UNIVERSIDADE DE BRASLIA FACULDADE DE TECNOLOGIA DEPARTAMENTO DE ENGENHARIA ELTRICA

ESTUDO DE SEGURANA DA INFORMAO COM ENFOQUE NAS NORMAS DA ABNT NBR ISO/IEC 17799:2005 E NBR ISO/IEC 27001:2006 PARA APLICAO NO SENADO FEDERAL

KENDY APARECIDO OSIRO

ORIENTADORA: VERA PARUCKER HARGER

MONOGRAFIA DE ESPECIALIZAO EM ENGENHARIA ELTRICA

PUBLICAO: UNB.LABREDES.MFE.007/2006

BRASLIA / DF: AGOSTO/2006

i

UNIVERSIDADE DE BRASLIA FACULDADE DE TECNOLOGIA DEPARTAMENTO DE ENGENHARIA ELTRICA

ESTUDO DE SEGURANA DA INFORMAO COM ENFOQUE NAS NORMAS DA ABNT NBR ISO/IEC 17799:2005 E NBR ISO/IEC 27001:2006 PARA APLICAO NO SENADO FEDERAL

KENDY APARECIDO OSIRO

MONOGRAFIA DE ESPECIALIZAO SUBMETIDA AO DEPARTAMENTO DE ENGENHARIA ELTRICA DA FACULDADE DE TECNOLOGIA DA UNIVERSIDADE DE BRASLIA, COMO PARTE DOS REQUISITOS NECESSRIOS PARA A OBTENO DO GRAU DE ESPECIALISTA. APROVADA POR:

VERA PARUCKER HARGER, Especialista, UFRJ (ORIENTADOR)

ROBSON DE OLIVEIRA ALBUQUERQUE, Mestre, UnB (EXAMINADOR INTERNO)

__________________________________________________________________________________ ODACYR LUIZ TIMM, Mestre, Escola de Aperfeioamento de Oficiais do Exrcito - RJ (EXAMINADOR EXTERNO)

DATA: BRASLIA/DF, 28 DE AGOSTO DE 2006.

ii

FICHA CATALOGRFICA
OSIRO, KENDY A. Estudo de Segurana da Informao com enforque nas Normas da ABNT NBR ISO/IEC 17799:2005 e NBR ISO/IEC 27001:2006, para aplicao no Senado Federal [Distrito Federal] 2006. viii, 114 p., 297 mm (ENE/FT/UnB, Especialista, Engenharia Eltrica, 2006). Monografia de Especializao Universidade de Braslia, Faculdade de Tecnologia. Departamento de Engenharia Eltrica. 1. Estudo de Segurana da Informao 2. Senado Federal 3. ABNT NBR ISO/IEC 17799:2005 4. ABNT NBR ISO/IEC 27001:2006 I. ENE/FT/UnB. II. Estudo de Segurana da Informao com enforque nas Normas da ABNT NBR ISO/IEC 17799:2005 e NBR ISO/IEC 27001:2006, para aplicao no Senado Federal [Distrito Federal]. 2006.

REFERNCIA BIBLIOGRFICA
OSIRO, A. K. (2006). Estudo de Segurana da Informao com enfoque nas Normas ABNT NBR ISO/IEC 17799:2005 e NBR ISO/IEC 27001:2006, para aplicao no Senado Federal. Monografia de Especializao, Publicao agosto/2006, Departamento de Engenharia Eltrica, Universidade de Braslia, Braslia, DF, 114p.

CESSO DE DIREITOS
NOME DO AUTOR: KENDY APARECIDO OSIRO TTULO DA DISSERTAO: Estudo de Segurana da Informao com enforque nas Normas da ABNT NBR ISO/IEC 17799:2005 e NBR ISO/IEC 27001:2006, para aplicao no Senado Federal. GRAU/ANO: Especialista/2006. concedida Universidade de Braslia permisso para reproduzir cpias desta Monografia de Especializao e para emprestar ou vender tais cpias somente para propsitos acadmicos e cientficos. tambm concedida Universidade de Braslia permisso para publicao desta dissertao em biblioteca digital com acesso via redes de comunicao, desde que em formato que assegure a integridade do contedo e a proteo contra cpias de partes isoladas do arquivo. O autor reserva outros direitos de publicao e nenhuma parte desta dissertao de mestrado pode ser reproduzida sem a autorizao por escrito do autor.

Kendy Aparecido Osiro SQSW 101, bloco I, ap. 104 - Sudoeste CEP 70.670-109 Braslia DF - Brasil

iii

Dedico este trabalho minha esposa Arlene. Sem a sua pacincia, apoio e incentivos sejam por palavras, cafs e horas de sono este trabalho no poderia ser realizado.

iv

AGRADECIMENTOS
minha orientadora Prof. Vera Parucker Harger pelo constante apoio, incentivo, dedicao essenciais para o desenvolvimento deste trabalho e para o meu desenvolvimento como pesquisador. Ao amigo, Prof. Timm da Techsoft, co-orientador deste trabalho, que apoiou e incentivou o autor na consecuo deste trabalho. A todos, os meus sinceros agradecimentos. O presente trabalho foi realizado com o apoio do Unilegis Universidade do Legislativo, rgo integrante da estrutura do Senado Federal destinado promoo e manuteno de instituies e atividades voltadas ao aprimoramento dos procedimentos legislativos; da Alta Direo do Senado Federal e da Secretaria Especial de Informtica Prodasen, bem como da Faculdade de Tecnologia da Universidade de Braslia.

Estudo de Segurana da Informao com enforque nas Normas da ABNT NBR ISO/IEC 17799:2005 e NBR ISO/IEC 27001:2006, para aplicao no Senado Federal

RESUMO

O trabalho descrito nesta dissertao tem como objetivo estudar a importncia da adoo de um Modelo de Gesto Corporativa de Segurana por parte do Senado Federal, com enfoque nas normas ABNT NBR ISO/IEC 17799 e ABNT NBR ISSO/IEC 27001:2006. Aborda como o Senado Federal vem trabalhando com questo da segurana em seu ambiente interno e publica uma pesquisa realizada entre os funcionrios, terceirizados e estagirios acerca dessa questo. Ao final, sugere a adoo de algumas medidas que visam melhorar a Segurana da Informao no Senado Federal.

vi

Study about Security of the Information with focus on the ABNT ISO/IEC 17799:2005 and 27001:2006, in order to apply in the Senate of Brazil. ABSTRACT

The aim of this thesis is to study the importance of the adoption of a model of management of corporative security by the Senate of Brazil, with the focus on the ABNT ISO/IEC norms 17799:2005 and 27001:2006. It discusses how the Senate has been working with the security of the information in its inside environment and publishes a research done with employees on that issue. In its conclusion, it suggests the adoption of some measures in order to improve the security of the information in the Senate of Brazil.

vii

NDICE Item 1. 2. Pgina INTRODUO ............................................................................................................... 1 CONCEITOS DE SEGURANA DA INFORMAO.............................................. 3 2.1. O QUE SEGURANA DA INFORMAO?................................................................ 3 2.2. CRESCIMENTO DA DEPENDNCIA INFORMATIZAO ......................................... 4
2.2.1. 2.2.2. 2.3.1. 2.3.2. 2.3.3. 2.3.4. 2.3.5. 2.4.1. 2.4.2. 2.4.3. 2.4.4. 2.4.5. 2.4.6. 2.4.7. 2.4.8. 2.4.9. 2.4.10. 2.5.1. 2.5.2. 2.5.3. 2.5.4. 2.5.5. 2.6.1. 2.6.2. 2.6.3. 2.6.4. 2.6.5. 2.6.6. 2.6.7. 2.7.1. 2.7.2. 2.7.3. 2.7.4. 2.7.5. Ciclo de Vida da Informao............................................................................. 6 Viso corporativa da Segurana da Informao ............................................. 8 Avaliao, gerenciamento e anlise de risco................................................... 10 Caracterizao dos sistemas ............................................................................ 13 Identificao das ameaas................................................................................ 14 Identificao das vulnerabilidades.................................................................. 14 O Jogo da Segurana........................................................................................ 15 Definio............................................................................................................ 17 Treinamento, publicao e divulgao ........................................................... 18 Utilizao dos recursos de TI........................................................................... 20 Sigilo da informao......................................................................................... 22 Autorizao para uso dos recursos de tecnologia da informao ................ 22 Estaes de trabalho e servidores.................................................................... 23 Padronizao das estaes de trabalho e dos servidores............................... 23 Formas de proteo .......................................................................................... 23 Estaes mveis de trabalho ............................................................................ 23 Termo de confidencialidade............................................................................. 24 Vrus de computador........................................................................................ 24 Softwares no autorizados ............................................................................... 24 Procedimentos para acesso Internet ............................................................ 25 Abrangncia dos procedimentos de utilizao dos recursos da Internet..... 26 Dicas para uma navegao segura .................................................................. 26 Controle de acesso lgico ................................................................................. 27 Processo de Logon ............................................................................................ 28 Senhas de acesso ............................................................................................... 29 Sistemas biomtricos ........................................................................................ 30 Controle de Acesso Rede............................................................................... 32 Combate a ataques e invases.......................................................................... 33 Privacidade das comunicaes ........................................................................ 35 Acesso de funcionrios e terceiros s dependncias da organizao............ 40 Controle de acesso fsico................................................................................... 40 Controles ambientais........................................................................................ 41 Segurana fsica de computadores pessoais ................................................... 42 Investimentos em segurana fsica e ambiental ............................................. 43
viii

2.3. IDENTIFICANDO OS RISCOS ................................................................................... 10

2.4. POLTICA DE SEGURANA DA INFORMAO ........................................................ 17

2.5. PROTEO CONTRA SOFTWARE MALICIOSO ........................................................ 24

2.6. SEGURANA LGICA ............................................................................................. 27

2.7. SEGURANA FSICA E DO AMBIENTE .................................................................... 38

2.8. CLASSIFICAO E CONTROLE DOS ATIVOS DA INFORMAO ............................. 44 2.9.

ENGENHARIA SOCIAL ............................................................................................. 47

2.9.1. 2.9.2. 2.10.1. 2.10.2. 2.10.3. 2.10.4. 2.10.5. 2.10.6. 2.10.7. 2.10.8. 2.10.9.

Engenheiro Social versus Security Officer ..................................................... 51 Soluo Corporativa de Segurana da Informao....................................... 51 Dificultando a Vida do Engenheiro Social ..................................................... 53 O que voc sabe................................................................................................. 54 O que voc tem.................................................................................................. 55 O que voc ...................................................................................................... 55 Plano de treinamento ....................................................................................... 56 Exemplos para Reforar a Conscientizao................................................... 58 Atuao do Security Officer ............................................................................ 62 Penalidades e Processos Disciplinares ............................................................ 64 Concluso .......................................................................................................... 65

2.10. PROPOSTAS DE SEGURANA .................................................................................. 52

3.

SEGURANA DA INFORMAO NO SENADO FEDERAL............................... 67 3.1. VISO GERAL......................................................................................................... 67 3.2. PESQUISA SOBRE SEGURANA DA INFORMAO .................................................. 69

4.

REVISO DAS NORMAS DE SEGURANA DA INFORMAO...................... 86

4.1. Leis............................................................................................................................ 86 4.2 Decreto n 3.505/2000 .............................................................................................. 87 4.3 NBR ISO/IEC 17799 (2000 e 2005) ........................................................................ 88 4.3.1 ISO 27001:2005 [19] ..................................................................................... 89 4.3.2 Porque Adotar a NBR ISO IEC 17799:2005 [12] ...................................... 91 4.3.3 A Nova Famlia das Normas ISO IEC 27000 .............................................. 91

5.

CONCLUSES ............................................................................................................. 93
5.1 Dificuldades.............................................................................................................. 94 5.2 Trabalhos Futuros ................................................................................................... 95

REFERNCIAS BIBLIOGRFICAS ................................................................................. 96 GLOSSRIO .......................................................................................................................... 98 ANEXOS ................................................................................................................................. 99

ix

NDICE DE TABELAS

Tabela

Pgina

Tabela 2.1 - Identificao de vulnerabilidades ...................................................................15

NDICE DE FIGURAS Figura Pgina

Figura 2.1 Onipresena da informao nos principais processos de negcio .................4 Figura 2.2 Os quatro momentos do ciclo de vida da informao.....................................8 Figura 2.3 Tipos de nveis de segurana nas empresas ...................................................12 Figura 2.4 Ambiente sem poltica de segurana ..............................................................15 Figura 2.5 Diagrama dos componentes da ....................................................................... 20 Figura 2.6 - Imagem de um e-mail falso (scam)..................................................................50 Figura 3.1 Local onde trabalha .........................................................................................70 Figura 3.2 Classificao do funcionrio............................................................................71 Figura 3.3 O que Segurana da Informao? ...............................................................71 Figura 3.4 Preocupao com a segurana da informao...............................................72 Figura 3.5 Poltica de Segurana da Informao no Senado ..........................................72 Figura 3.6 Controle de acesso fsico s instalaes ..........................................................73 Figura 3.7 Controle de acesso fsico s instalaes ..........................................................73 Figura 3.8 Plano de contingncia ......................................................................................74 Figura 3.9 Plano de contingncia ......................................................................................74 Figura 3.10 Plano de contingncia ....................................................................................75 Figura 3.11 Treinamento em Segurana da Informao ................................................75 Figura 3.12 Engenharia Social...........................................................................................76 Figura 3.13 Importncia das informaes no dia-a-dia ..................................................76 Figura 3.14 Utilizao de triturador/fragmentador de papis ......................................77 Figura 3.15 Canal de divulgao sobre Segurana da Informao...............................77 Figura 3.16 Troca de senha periodicamente ...................................................................78 Figura 3.17 Compartilha senha? ......................................................................................78 Figura 3.18 Executa arquivos anexados em e-mail?........................................................79

xi

Figura 3.19 Licenas de softwares .....................................................................................79 Figura 3.19 Licenas de softwares .....................................................................................79 Figura 3.21 Download de arquivo .....................................................................................80 Figura 3.22 Backup.............................................................................................................81 Figura 3.23 Backup.............................................................................................................81 Figura 3.24 Backup.............................................................................................................82 Figura 3.25 Trojan..............................................................................................................82 Figura 3.26 fornecimento de dados pessoais em listas.....................................................83 Figura 3.27 controle de e-mail ...........................................................................................83 Figura 3.28 monitoramento de acesso internet .............................................................84 Figura 3.29 faixa etria ......................................................................................................84

xii

1. INTRODUO
Vivemos na era da informao e da tecnologia, iniciada no sculo XX. Em especial, o computador e a telecomunicao tiveram avanos significativos nas ltimas dcadas, o que ocasionou um grande impacto sobre o modus vivendi das pessoas. Com os rgos pblicos no foi diferente. A revoluo tecnolgica chegou de forma avassaladora e muitos dirigentes e servidores pblicos no avaliaram as conseqncias advindas das mudanas tecnolgicas. Se por um lado a tecnologia facilitou o acesso e manuseio da informao, tornando mais rpida sua disseminao, por outro aumentaram os riscos de invaso de privacidade, integridade dos dados e a disponibilidade dos recursos tecnolgicos. Estamos cada vez mais dependentes da tecnologia: um pane no sistema de informtica pode redundar em prejuzos s empresas pblicas e privadas, ocasionar prejuzos ao errio pblico, indisponibilizar servios populao; fraudes podem ocorrer on-line e acarretar prejuzos incalculveis s instituies pblicas e privadas. Uma falha na segurana da informao resulta em danos no s monetrios mas tambm morais. O Senado Federal, rgo do Poder Legislativo, constitui um dos pilares da democracia. Sua misso principal legislar e fiscalizar as aes do Poder Executivo e, para tanto, necessita de informao para a tomada de decises. O que ocorreria se um projeto de lei, antes de ir Plenrio para votao, fosse alterado por pessoas no autorizadas. Qual seria o prejuzo decorrente dessa falha no sistema de informao? Difcil de se avaliar monetariamente, mas a imagem do Senado poderia ser seriamente afetada. Para diminuir os riscos, h que se falar em investimento na segurana da informao. Isso por que a informao um ativo, um dos maiores bens na atualidade, e como tal pode-se agregar valor ela. Muitas pessoas pensam que Segurana da Informao se resume compra de equipamentos e softwares caros, como firewals, sistema de deteco de intrusos ou antivrus. Outras acham que incluir a adoo de Polticas de Segurana e o estabelecimento de responsabilidades funcionais ao aparato tecnolgico suficiente. Mas nenhuma dessas abordagens consegue prevenir perdas se forem adotadas de forma isolada e inconseqente. O Novo Cdigo Civil traz maior responsabilidade para os administradores de empresas e autoridades do Governo. O tema Segurana da Informao no est restrita apenas rea de Tecnologia da Informao (TI), mas se aproxima cada vez mais da atividade-fim e dos executivos da organizao. Assim, os envolvidos com o processo de segurana devem se 1

interagir cada vez mais com os setores de TI, Auditoria, Jurdico, Recursos Humanos e Comunicao. Este trabalho tem como objetivo estudar a importncia da adoo de um Modelo de Gesto Corporativa de Segurana por parte do Senado Federal e tem enfoque na norma ABNT ISO/IEC 17799. Os captulos de 2 a 8 tratam sobre os seguintes assuntos: importncia da segurana da informao, riscos, Poltica de Segurana da Informao, Segurana Lgica, Segurana Fsica e do Ambiente, Classificao da Informao e Controle dos Ativos e Engenharia Social. O captulo 9 faz uma anlise geral de como o Senado Federal vem procedendo acerca da Segurana da Informao em seu ambiente interno. O captulo 10 trata das normas pertinentes ao assunto. Por fim, o ltimo captulo, denominado concluses, discorre sobre as dificuldades encontradas pelo autor para realizao do presente trabalho, sugere a adoo de algumas medidas que visam melhorar a segurana da informao no Senado Federal e faz uma concluso final sobre o presente trabalho.

2. CONCEITOS DE SEGURANA DA INFORMAO

2.1. O QUE SEGURANA DA INFORMAO? Segundo a Norma NBR ISO/IEC 17799 a informao um ativo que, como qualquer outro ativo importante para os negcios, tem um valor para a organizao e conseqentemente necessita ser adequadamente protegida. Dessa forma, a informao um patrimnio da empresa, tem valor. A segurana da informao protege a informao de diversos tipos de ameaas garantindo a continuidade dos negcios, minimizando os danos e maximizando o retorno dos investimentos e das oportunidades. Na sociedade da informao, ao mesmo tempo que as informaes so consideradas os principais patrimnios de uma organizao, esto tambm sob constante risco, como nunca estiveram antes. A sua perda ou roubo constitui um prejuzo para a organizao e um fator decisivo na sua sobrevivncia ou descontinuidade. A informao o sangue das organizaes que flui por todos os processos do negcio e est sujeita a muitas ameaas, vulnerabilidades. O que aconteceria se uma empresa perdesse todas as informaes relativas aos seus clientes, fornecedores ou mesmo sobre os registros funcionais dos seus empregados? Poderia ter srios prejuzos ou mesmo descontinuar sua atividade. Para o autor Marcos Smola [1], Segurana da Informao uma rea do conhecimento dedicada proteo de ativos da informao contra acessos no autorizados, alteraes indevidas ou sua indisponibilidade. Segundo o autor, a expresso Segurana da Informao ambgua, podendo assumir dupla interpretao. 1) Segurana como prtica adotada para tornar um ambiente seguro. 2) Resultado da prtica adotada. Segundo o Manual do TCU [2], a segurana da informao visa garantir: a) confidencialidade: garantia de que a somente pessoas autorizadas tenham acesso s informaes armazenadas ou transmitidas por meio de redes de comunicao. Manter a confidencialidade pressupe assegurar que as pessoas no tomem conhecimento de informaes, de forma acidental ou proposital, sem que possuam autorizao para tal procedimento; b) integridade: a fidedignidade as informaes. Pressupe a garantia de no violao dos dados com intuito de alterao, gravao ou excluso, seja ela acidental ou proposital;

c) disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Manter a disponibilidade de informaes pressupe garantir a prestao contnua do servio, sem interrupes no fornecimento de informaes para quem de direito. d) autenticidade: Consiste na veracidade da fonte das informaes. Por meio da autenticao possvel confirmar a identidade da pessoa ou entidade que presta as informaes. Ferreira e Arajo [3], mencionam ainda os seguintes conceitos aplicados segurana da informao: e) Legalidade: o uso da informao deve estar de acordo com as leis aplicveis, regulamentos, licenas e contratos; f) Auditabilidade: o.acesso e o uso da informao devem ser registrados, possibilitando a identificao de quem fez o acesso e o que foi feito com a informao; g) No repdio: o usurio que gerou ou alterou a informao (arquivo ou e-mail) no pode negar o fato, pois existem mecanismos que garantem sua autoria.

2.2.

CRESCIMENTO DA DEPENDNCIA INFORMATIZAO Segundo Smola [1], a informao sempre esteve presente em todas as diversas fases da

histria e cumpre importante papel para a gesto do negcio. Todas empresas, independente de seu segmento no mercado, dependem e usufruem da informao, objetivando melhor produtividade, reduo de custos, ganho de market share, aumento de agibilidade, competitividade e apoio tomada de deciso.
NEGCIO Viso Empresarial Desenvolvimento de Negcios Desenvolvimento de Solues Execuo de Servios Gesto do Conhecimento Apoio Deciso Aplicaes Infra-estrutura Fsica, Tecnolgica e Humana Figura 2.1 Onipresena da informao nos principais processos de negcio

Processos de Negcio

Viso

INFORMAO

Sistmica

Todo elemento que compe os processos que manipulam e processam a informao, a contar com a prpria informao, um ativo. Assim, constitui ativo os equipamentos na qual a informao manuseada, transportada e descartada, bem como as aplicaes, usurios, ambiente e processos. O termo ativo possui essa denominao, oriunda da rea financeira, por ser considerado um elemento de valor para um indivduo ou organizao, e que, por esse motivo necessita de proteo adequada. Havia uma poca em que as informaes nas empresas eram armazenadas apenas em papel e a segurana era relativamente simples. Bastava colocar os documentos num local seguro e restringir o acesso fsico quele local. Porm as coisas mudaram. A utilizao da Tecnologia da Informao para o processamento e armazenamento de dados introduziu novos riscos e aumentou a fragilidade das informaes. Fraudes eletrnicas, espionagem, sabotagem, vandalismo, incndio, inundao, erros de usurios, problemas causados por vrus, cavalos de tria, hackers, etc., colocam em jogo a segurana e disponibilidade da informao. Cada vez mais as organizaes so dependentes dos sistemas informatizados. Cresce a quantidade e a complexidade de sistemas computacionais que controlam os mais variados tipos de operaes e o prprio fluxo de informaes das organizaes. A computao distribuda dificultou ainda mais a implementao de um controle de segurana eficiente. Aliado a essa complexidade, muitos sistemas de informao no foram projetados para serem seguros. Bill Gates [4] afirmou que "Os negcios vo mudar mais na prxima dcada do que mudaram nos ltimos cinqenta anos. Ele diz que "O modo como voc rene, administra e usa a informao determina se voc vai perder ou ganhar". A pergunta que surge nessas afirmaes se o nosso ambiente est evoluindo junto com a complexidade das tecnologias que tratam a informao? Ao analisar a evoluo de como as empresas usavam a informao para gerir seus negcios, percebe-se que houve uma ntida mudana nas ferramentas com o passar dos anos. Alguns anos atrs, as informaes eram tratadas de forma centralizada e pouco automatizadas. A informtica engatinhava e os primeiros computadores eram grandes e caros. Em seguida, vieram os terminais burros, que serviam de consultas aos mainframes, que tinham a funo central de processamento e armazenamento de dados. 5

Com o advento dos chips e microprocessadores, a capacidade de processamento tornouse espantosa. De fato, Gordon Moore, um dos fundadores da Intel Corporation, constatou que a cada dezoito meses a capacidade de processamento dos computadores dobra, enquanto os custos permanecem constantes. Isto , daqui a um ano e meio pode-se comprar um chip com o dobro da capacidade de processamento pelo mesmo preo que se paga hoje. Essa profecia ficou conhecida como Lei de Moore e ainda no parece ter prazo de validade definido. O barateamento dos computadores e perifricos fizeram com que as empresas aplicassem como nunca a tecnologia da informao ao negcio, permitindo altos nveis de conectividade e compartilhamento. Dessa forma, a rede corporativa ganhou performance e o acesso informao chegou a nvel mundial pela rede mundial de computadores Internet. Novas expresses e aplicaes comerciais surgiram com o advento da Internet, dentre elas podemos citar business-to-business,1 business-to-consumer, business-to-government, ecomerce, e-procurement, e os sistemas integrados de gesto ERP Enterprise Resource Planning que prometem melhor organizao dos processos da organizao.
2.2.1. Ciclo de Vida da Informao

Conforme explanado anteriormente, toda informao influenciada por trs propriedades principais: Confidencialidade, Integridade e Disponibilidade, alm dos aspectos Autenticidade e Legalidade, que complementam esta influncia. Segundo Smola [1], o ciclo de vida da informao composto e identificado pelos momentos vividos pela informao que a colocam em risco. So quatro os momentos do ciclo de vida que so merecedores de ateno: Manuseio o momento em que a informao criada e manipulada, seja ao folhear um mao de papis, ao digitar informaes num processador de texto, ou mesmo utilizar sua senha em um sistema de acesso, por exemplo.

Vide glossrio para esses e outros termos tcnicos.

Armazenamento Momento em que a informao armazenada, seja em um banco de dados, num pedao de papel ou numa mdia de CD-ROM, por exemplo. Transporte Momento em que a informao transportada, seja por e-mail, fax ou ainda ao falar ao telefone, por exemplo. Descarte Momento em que a informao descartada, seja ao jogar na lixeira um material impresso, descartar um CD-ROM por apresentar defeito ou qualquer outra mdia. No basta garantir a segurana de trs das quatro fases acima. necessrio que todo o ciclo de vida da informao seja assegurado. Imagine, por exemplo que um diretor de uma empresa receba uma informao estratgica confidencial. Esta informao anotada em papel e armazenada em um cofre. No momento posterior, o diretor solicita que a secretria digite a informao sigilosa e a envie por correio eletrnico, utilizando um processo criptogrfico de transmisso. Contudo, aps ter sido completada a tarefa, a secretria no adotou os procedimentos adequados de descarte, ou seja, ela jogou o papel na lixeira sem qualquer critrio e tratamento. Neste exato momento, instaurou-se uma vulnerabilidade de segurana. Esta falha de segurana pode ser objeto de explorao por parte de um funcionrio de uma empresa concorrente que tenha objetivos obscuros e consiga obter o papel com a informao confidencial apenas vasculhando a lixeira. Comparamos esse exemplo uma pessoa que, antes de sair para uma viagem de frias, calibrou trs pneus e esqueceu o quarto vazio ou furado.

Figura 2.2 Os quatro momentos do ciclo de vida da informao [SMOLA, 2003, p. 11]

Muitos executivos de empresas privadas e pblicas vem as ameaas associadas segurana da informao como uma ponta de iceberg, ou seja, tm uma viso superficial do problema. As vulnerabilidades da informao transcendem os aspectos tecnolgicos e tambm so provocadas por aspectos fsicos e humanos. 2.2.2. Viso corporativa da Segurana da Informao

Faz-se necessrio realizar aes que mapeiem e identifiquem a situao atual da instituio, seja ela pblica ou privada, suas ameaas, vulnerabilidades, riscos, sensibilidades e impactos, a fim de permitir o adequado dimensionamento e modelagem da soluo. O primeiro ponto a ser observado que no existe risco zero. O que existe so vrios nveis de segurana e cada nvel est de acordo com a informao que se quer proteger e a natureza do negcio da empresa. Um alto nvel de segurana pode gerar a perda da velocidade em funo da burocratizao de processos, insatisfao de clientes e fornecedores, at mesmo o desinteresse de investidores. Conforme ensina Smola [1], a conscientizao do corpo executivo da instituio de extrema importncia para o sucesso da melhoria da segurana por se tratar de um problema generalizado e corporativo, envolvendo aspectos fsicos, tecnolgicos e humanos que 8

sustentam a operao do negcio. Faz-se mister que se inicie o trabalho no formato top down, mobilizando os executivos da diretoria da empresa para depois atingir os demais na hierarquia. Isso se deve por no ser possvel atingir simultaneamente todas as vulnerabilidades de todos os ambientes e processos da empresa, se no houver uma ao coordenada e principalmente apoiada pela cpula. O que vem a ser esse apoio? Alm da sensibilizao e da percepo dos executivos h tambm a conseqente priorizao das aes e definio oramentria altura. Mas por que eu preciso de segurana? A essa indagao, pode-se fazer uma comparao em relao a nossa vida cotidiana, em nosso lar: possumos documentos, mveis, roupas, eletrodomsticos, automvel, alm de nossos familiares. Nessa situao, ser que deixaramos as portas e janelas abertas, sem nenhuma proteo? Claro que no. Mesmo que coloquemos trancas e alarmes em nossas portas, podemos dizer que nossa casa est segura? Ser que falhas humanas podem ocorrer, como por exemplo empregados ou nossos familiares se esquecerem de ligar o alarme ou mesmo trancar adequadamente as portas, social e de servio, quando saem de casa? Esse exemplo se aplica s instituies pblicas e privadas. No estaria a equipe de TI preocupada apenas com os aspectos tecnolgicos de segurana e conseqentemente esquecendo dos aspectos fsicos e humanos? Ser que os investimentos realizados em segurana esto alinhados com os objetivos estratgicos da empresa, a fim de propiciar o melhor retorno sobre o investimento? Suas aes esto orientadas por um Plano Diretor de Segurana ou continuam correndo de acordo com as demandas reativas em carter emergencial? Estaria sua empresa operando em terreno de alto risco, encorajada por mecanismos de controle que lhe do uma falsa sensao de segurana, apesar de continuar com as portas trancadas, mas as janelas esto ainda abertas? Cristiane Pereira [5], em seu artigo Atividades de Segurana da Informao, ensina: Falar sobre segurana particularmente difcil quando o executivo da rea o nico que est falando. Profissionais de segurana que no fizeram parcerias vitais com seus pares, nem implantaram iniciativas de educao que ampliem a base da responsabilidade pela segurana dificulta a implementao das estratgias que conseguida por meio da gesto da segurana com a definio de um modelo de gesto de segurana corporativa, definindo papis e atribuies para todos dentro da organizao e isto significa tratar partes de seus problemas correntes como pacotes de trabalhos. 9

De fato, o problema de segurana de responsabilidade de todos os funcionrios da empresa, desde o executivo at o contnuo. Essa cultura s pode ser conseguida mediante a adoo de uma Poltica de Segurana, treinamento e atribuies de responsabilidades aos funcionrios, bem como aplicao de sanes, quando houver atos de negligncia ou m-f. Erros cometidos Muitos so os erros praticados na hora de pensar em segurana da informao, decorrentes de uma viso mope do problema. Smola [1] destaca os seguintes erros comumente cometidos: 1. atribuir exclusivamente rea de tecnologia a segurana da informao. 2. posicionar hierarquicamente o Conselho de Segurana da Informao abaixo da diretoria de TI. 3. Definir investimentos subestimados e limitados abrangncia dessa diretoria. 4. Elaborar planos de ao orientados reatividade. 5. No perceber a interferncia direta da segurana com o negcio. 6. Tratar as atividades como despesa e no como investimento. 7. Adotar ferramentas pontuais como medida paliativa. 8. Satisfazer-se com a sensao de segurana provocada por aes isoladas. 9. No cultivar corporativamente a mentalidade de segurana. 10. Tratar a segurana como um projeto e no como um processo.

2.3.
2.3.1.

IDENTIFICANDO OS RISCOS
Avaliao, gerenciamento e anlise de risco

Segundo a Foco Security [6], a Anlise de Risco tem por objetivo identificar os riscos de segurana presentes na organizao, fornecendo conhecimento para que sejam implementados controles eficazes de Segurana. Apesar da segurana aparente dos ambientes crticos de uma organizao e da competncia de seus dirigentes, perfeitamente possvel que, dada a complexidade e a abrangncia dos ambientes organizacionais, passem despercebidas vulnerabilidades que, se devidamente exploradas, representam risco para segurana de suas informaes e do prprio negcio. As caractersticas atribudas ao gerenciamento de riscos em geral levam as cincias sociais em suas diversas disciplinas, a saber sociologia, antropologia, psicologia, histria, etc. a se debruarem sobre o tema, principalmente devido necessidade de se compreender as 10

questes associadas aos riscos tecnolgicos e do negcio. Segundo Edmir Moita [7], chefe da Assessoria de Gerenciamento de Riscos do Ministrio da Previdncia e Assistncia Social, o termo risco deriva da palavra italiana riscare, cujo significado original era navegar entre rochedos perigosos, e que foi incorporada ao vocabulrio francs em torno de 1660. No entanto, o conceito mais contemporneo origina-se da teoria das probabilidades e implica a considerao de predio de situaes ou eventos por meio do conhecimento ou pelo menos possibilidade de conhecimento da potencialidade de perdas e danos e da amplitude de suas conseqncias. Neste contexto, risco pode ser definido como uma estimativa para as possveis perdas de uma instituio qualquer, devido s incertezas de suas atividades cotidianas. A abordagem cientfica do gerenciamento de riscos teve seu incio nos Estados Unidos e em alguns pases europeus, quando do estudo da possibilidade de reduo de prmios de seguros e a necessidade de proteo da empresa frente a riscos de acidentes. O que os americanos e os europeus na realidade fizeram foi aglutinar o que j se vinha fazendo de forma independente, em um conjunto de teorias as quais denominaram de Risk Management. A idia principal que balizou o desenvolvimento deste conjunto de teorias refletiu tanto uma tendncia para prever, planejar e alertar sobre os riscos, como a idia de que as decises regulamentadoras sobre os mesmos seriam menos controversas se pudessem ser estatisticamente comprovadas.
Ultimamente, o tema Gerenciamento de Riscos vem sendo amplamente discutido na academia, entretanto, no temos relatos de sua aplicao na administrao pblica. Cristiane Betanho [8] atenta para o fato de que uma empresa pblica, normalmente, tem cultura diferenciada das empresas do mercado livre. Tem sua imagem pr-determinada pelo fato de que pblica. Tem funcionrios cuja cultura encara a estabilidade como a no necessidade de mudanas, enquanto que deveria utiliz-la visando o desenvolvimento e a proteo da cidadania. Negando a necessidade de mudanas, a organizao nega a presena de riscos. A administrao pblica brasileira, por sua vez, no foge s caractersticas apresentadas pela referida autora.

Fazem parte de uma Anlise de Risco: Processos de Negcio: Identificar junto aos gestores e colaboradores os Processos de Negcio existentes na Empresa. Ativos: Identificar os ativos que sero considerados na Anlise de Risco: Pessoas, Infra-estrutura, Aplicaes, Tecnologia e informaes.

11

Vulnerabilidades: Identificar as vulnerabilidades existentes nos ativos que possam causar indisponibilidade dos servios ou serem utilizadas para roubo das suas informaes.

Ameaas: Toda e qualquer condio adversa capaz de causar alguma perda para a organizao. Uma ameaa uma condio potencial. Ela no ir causar necessariamente um dano;

Desastre: o impacto de uma fora externa agressiva que pode ocasionar perda ou prejuzo significativo. Necessariamente, um desastre no precisa ser destruidor. Em alguns casos, ele apenas uma condio que impede a operao de uma atividade crtica, necessria para a gerao de um servio ou produto;

Impacto: Tendo identificado as vulnerabilidades e ameaas, identificamos o impacto que estes podem causar na Empresa. Como roubo de informao, paralisao de servios, perdas financeiras entre outros.

Alguns Benefcios Conhecimento dos riscos da Empresa. Otimizao de recursos. Ter subsdios para um Plano de Ao

A Anlise de Risco possibilita enquadrar a organizao em uma das situaes abaixo.

Ameaas

Ameaas

Ameaas

Organizao

Organizao

Organizao

Nvel de Segurana

Nvel de Segurana

Nvel de Segurana

Nvel de segurana bem implementado para algumas situaes, porm outras extremamente fracas.

Nvel de segurana fraco em todas as situaes. Empresa no protegida

Nvel de segurana bem implementado, homogneo por todos os lados.

Figura 2.3 Tipos de nveis de segurana nas empresas

12

Segundo Fernando Ferreira [9], para determinar a probabilidade de um evento, as ameaas existentes que cercam o ambiente de Tecnologia da Informao devem ser analisadas, bem como as vulnerabilidades potenciais e controles de segurana implementados e disponveis. O impacto o resultado de um dano causado por uma ameaa, que explorou uma vulnerabilidade. O nvel de impacto determinado pelos aplicativos de misso crtica da organizao e seus ativos de informao afetados. A metodologia de avaliao de riscos contempla nove passos que, obrigatoriamente, devem ser seguidos:
2.3.2. Caracterizao dos sistemas

Para conduzir a avaliao de riscos em ambientes informatizados deve-se primeiramente definir seu escopo e abrangncia. Neste passo, as limitaes dos sistemas so identificados por meio de recursos e informaes que os constituem. Caracterizar um sistema informatizado ajuda na definio do escopo e abrangncia, delineia os limites para autorizaes e fornece informaes essenciais para definir o risco. Identificar risco em sistemas informatizados requer uma grande compreenso do seu ambiente de processamento. Os responsveis pela conduo da avaliao de riscos devem coletar as seguintes informaes relacionadas aos sistemas sob anlise: hardware, software, interfaces (internas ou externas), dados e informaes, pessoas que fornecem suporte e utilizam os sistemas; misso do sistema; criticidade dos dados e sistemas, ou seja, nvel de proteo necessria para garantir a integridade, disponibilidade e confidencialidade dos dados. No entendimento de Mrio Peixoto [10], deve-se ter em mente que o alicerce que assegura os princpios bsicos da segurana da informao, confidencialidade, integridade e disponibilidade, tem de levar em conta trs aspectos: a segurana fsica, a segurana tecnolgica e a segurana humana. A coleta de informaes sobre os sistemas informatizados pode ser realizada por meio de: questionrios para o pessoal tcnico e gerncia responsvel pelo desenvolvimento ou suporte do sistema; entrevista dos funcionrios que lidam com os sistemas; reviso da documentao, que podem fornecer importantes informaes sobre os controles de segurana utilizados e planejados para o sistema; e utilizao de ferramentas automatizadas, ou seja, softwares especficos podem ser utilizados para obteno de informaes adicionais, ou para confirmar a existncia da utilizao de controles de segurana. Um exemplo poderia ser uma 13

ferramenta de mapeamento de rede que pode identificar servios que esto sendo executados, diagnosticar as polticas de segurana em uso, etc.
2.3.3. Identificao das ameaas

Ameaa a possibilidade de um invasor ou evento inesperado explorar uma vulnerabilidade de forma eficaz. Vulnerabilidade uma fraqueza que pode ser acidentalmente utilizada ou intencionalmente explorada. Uma fonte de ameaa no representa riscos quando no existe vulnerabilidade que possa ser utilizada. O primeiro passo a identificao das fontes de ameaa, destacando-se as ameaas que so aplicveis ao ambiente avaliado. Ela definida como qualquer circunstncia ou evento que pode causar danos aos sistemas informatizados. As ameaas mais comuns so as causas naturais, falhas humanas ou ambientais. Por exemplo, embora a probabilidade de inundao natural de um ambiente informatizado localizado no deserto seja baixa, deve-se considerar a ameaa do rompimento de um encanamento. Os funcionrios podem ser considerados como potenciais fontes de ameaas por meios de atos intencionais devido ao seu descontentamento com a organizao, ou atos no intencionais como negligncia e erros. Um ataque pode ser uma tentativa maliciosa de obter acesso no autorizado a um sistema podendo comprometer a integridade, disponibilidade, e confidencialidade das informaes ou somente para obteno de acesso para efetuar algum tipo de consulta ou suporte, mas burlando a segurana.
2.3.4. Identificao das vulnerabilidades

A anlise de uma potencial ameaa em um sistema informatizado deve obrigatoriamente incluir a determinao das vulnerabilidades associadas ao seu ambiente. O objetivo desta etapa desenvolver uma relao das vulnerabilidades do sistema (falhas ou fraquezas) que podem ser exploradas pelas potenciais fontes de ameaa. Ex.: Vulnerabilidade Fonte de ameaa Aes utilizadas Tentativas de acesso remoto rede para acessar informaes da organizao. Utilizao do Telnet no servidor utilizando o usurio do tipo convidado para obter informaes Obteno de acesso no autorizado aos sistemas e informaes confidenciais, baseados na vulnerabilidade 14

Os User Ids dos usurios Usurios demitidos. demitidos no so removidos do sistema. O firewall aceita Telnet e os Usurios no autorizados usurios do tipo convidado esto ativos no servidor O fabricante identificou e Usurio no autorizados. publicou as fraquezas de segurana relacionadas ao seu sistema aplicativo. Entretanto,

Vulnerabilidade os respectivos patches de segurana no foram aplicados

Fonte de ameaa

Aes utilizadas divulgada.

Tabela 2.1 - Identificao de vulnerabilidades

Os mtodos recomendados para identificao das vulnerabilidades dos sistemas so a utilizao de fontes ou repositrios de vulnerabilidades, o resultado dos testes de performance dos sistemas e o desenvolvimento de checklists de segurana.
2.3.5. O Jogo da Segurana

A empresa Modulo Security Solutions [11], lder em Segurana da Informao na Amrica Latina, trouxe, dentre inmeros outros artigos que sempre divulga em seu portal, um documento muito interessante e bastante didtico desenvolvido pelo Modulo Education Center, relativo Segurana da Informao no ambiente corporativo. Na figura abaixo, h inmeras falhas de segurana no ambiente fsico, tcnico e humano.

Figura 2.4 Ambiente sem poltica de segurana [MODULO SECURITY]

15

Dentre as inmeras falhas que podem ser observadas na figura, muitas so simples de serem resolvidas, seguindo polticas de segurana e condutas educativas por parte dos funcionrios da empresa. Vejamos os erros: 1 mencionar senha por telefone. Esta informao no deve ser mencionada por este meio e antes de disponibilizar qualquer tipo de informao, deve-se certificar com quem fala, de onde fala, conferir a origem da ligao e por que o interlocutor quer a informao. 2 Visitantes terem acesso rea interna na empresa, obtendo contato com as informaes confidenciais, sem estar devidamente autorizado e identificado. 3 Entrega de informaes digitais (disquete, CD, etc.), sem o prvio conhecimento da procedncia e da inspeo do material recebido que possa comprometer a organizao. 4 Descarte incorreto de material que se acha intil jogado no lixo, sem o picotamento. 5 Cabos e fios que interligam os computadores soltos no meio da sala, sem a devida organizao de estarem atrs do micro salvaguardado de qualquer tropeo ou acidente. 6 Gavetas abertas, de fcil acesso a documentos. 7 Jogos via internet ou mesmo por disquetes ou CD-ROM so passveis de conter armadilhas, como ativao de worms, cavalos de tria, vrus dentre outros perigos que se escondem por trs dos jogos ou diverses oferecidas na internet. 8 arquivos de backup expostos. Estes devem ser guardados em lugar seguro confivel. 9 Nome de usurio e senha afixados em local pblico. 10 Fumar em ambiente de trabalho, podendo ocasionar incndio no carpete. 11 Computador ligado demonstrando informaes confidenciais como senha, usurio, cdigos fontes. 12 Acesso a sites indevidos, no confiveis, ou fora das polticas de trabalho da empresa. 13 Sistema de alarme desativado, desligado ou inoperante, em caso de alguma urgncia ou emergncia. e

16

2.4.

POLTICA DE SEGURANA DA INFORMAO

Definio

2.4.1.

Segundo Ferreira e Arajo [3], a Poltica de Segurana da Informao (PSI) pode ser definida como conjunto de normas, mtodos e procedimentos utilizados para a manuteno da segurana da informao, devendo ser formalizada e divulgada a todos os usurios que fazem uso dos ativos de informao. O objetivo da PSI Prover direo uma orientao e apoio para a segurana da informao ISO/IEC 17799. Segundo a Norma ISO/IEC 17799 [12], sugere a aprovao e publicao da PSI pela direo, bem como a sua comunicao de forma adequada, para todos os funcionrios da empresa. Os seguintes aspectos devem ser observados: Estabelecimento do conceito de que as informaes so um ativo importante da organizao; Envolvimento da Alta Administrao com relao Segurana da Informao; Responsabilidade formal dos colaboradores da empresa sobre a salvaguarda dos recursos da informao, incluindo os registros de incidentes de segurana; Estabelecimento de padres para a manuteno da Segurana da Informao. De acordo com Ferreira e Arajo[3], essencial definir claramente o escopo da PSI, j que ela pode abranger apenas alguns servios e reas da organizao. Conforme foi explanado anteriormente, no deve se ater apenas a hardware e software que compem os sistemas, e sim abranger tambm, as pessoas e os processos de negcio. Assim, considera-se o hardware, software, dados e documentao, identificando de quem estes elementos necessitam ser protegidos. Os autores ressaltam que as polticas, normas e procedimentos de segurana devem ser: 1) Simples e compreensvel: deve ser de fcil leitura, com uma linguagem simples, clara, concisa e direta, evitando termos tcnicos de difcil entendimento. 2) Homologadas e assinadas pela Alta Administrao: o nome do dirigente principal da organizao deve constar do documento, demonstrando que est de acordo com as polticas expostas no documento, bem como mostra seu comprometimento para que elas sejam adequadamente cumpridas. 3) Estruturadas de forma a permitir a sua implementao por fases; 17

4) Alinhadas com as estratgias da organizao, padres e procedimentos j existentes: em muitas organizaes comum que as polticas em vigor faam referncia a outros regulamentos internos j existentes ou em desenvolvimento.; 5) Orientadas aos riscos; 6) Flexveis, ou seja, moldveis aos novos requerimentos de tecnologias e negcio; 7) Proteger os ativos de informaes, priorizando os de maior valor e de maior importncia; 8) Positivas e no apenas concentradas em aes proibitivas ou punitivas. altamente recomendado que se crie um Comit de Segurana da Informao, que deve ser constitudo por gerentes e diretores de diversos setores, como por exemplo, informtica, jurdico, auditoria, engenharia, segurana, recursos humanos e outros que forem necessrios. Alm destes, h que se criar o papel do Security Officer (Oficial de Segurana), que so especialistas em segurana com a responsabilidade de planejar, organizar, executar e controlar atividades de segurana da informao. A segurana pode ser desmembrada em quatro grandes aspectos: Segurana computacional: conceitos e tcnicas utilizados para proteger o ambiente

informatizado contra eventos inesperados que possam causar qualquer prejuzo. Segurana lgica: preveno contra acesso no autorizado. Segurana fsica: procedimentos e recursos para prevenir acesso no autorizado,

dano e interferncia nas informaes e instalaes fsicas da organizao. Continuidade de negcios: estrutura e procedimentos para reduzir, a um nvel

aceitvel, o risco de interrupo, ocasionadas por desastres ou falhas por meio da combinao de aes de preveno e recuperao.
2.4.2. Treinamento, publicao e divulgao

A Poltica de Segurana por si s no garante a proteo dos ativos da empresa. Ela deve ser escrita em linguagem simples e divulgada por meio de avisos internos como, por exemplo, e-mail, comunicao interna, intranet, reunies de conscientizao, elaborao de material promocional sobre o esclarecimento dos principais pontos, reunies de conscientizao, etc. Outra forma de conscientizar os usurios o treinamento direcionado. 18

De acordo com a norma tcnica NBR ISO/IEC 17799 [12], seo sobre Treinamento dos Usurios, deve-se garantir que os usurios estejam cientes das ameaas e das preocupaes de segurana da informao e estejam equipados para apoiar a poltica de segurana da organizao durante a execuo normal do seu trabalho. Dessa forma, todos os funcionrios da organizao devem receber treinamento apropriado e atualizaes regulares sobre as polticas corporativas. Isso inclui requisitos de segurana, responsabilidades legais e controles do negcio, bem como treinamento sobre o uso correto dos recursos de Tecnologia da Informao como, por exemplo, procedimentos de acesso ou uso de pacotes de software antes que seja fornecido qualquer acesso aos servios. O treinamento dos usurios resulta na conscientizao das ameaas e das preocupaes de segurana da informao e esto equipados para apoiar a poltica de segurana durante a execuo de seu trabalho. Punies devem ser estabelecidas e aplicadas a todos os funcionrios, incluindo os estagirios, prestadores de servio, colaboradores, etc., pelo no cumprimento da Poltica de Segurana. Devem ser definidas punies de acordo com a cultura da organizao. Algumas empresas optam por criar nveis de punies relacionados aos itens da poltica, sendo a punio mxima a demisso. O principal objetivo de se estabelecer punies, pelo no cumprimento da Poltica de Segurana, incentivar os usurios a aderirem poltica, e tambm dar respaldo jurdico organizao. Convm que todos os incidentes de segurana reportados atravs de canais apropriados o mais rpido possvel. A notificao dos incidentes tero maior probabilidade de ocorrer se os funcionrios forem treinados e tiverem conscincia dos procedimentos. A Poltica de Segurana deve capacitar a organizao com instrumentos jurdicos, normativos e processuais. Esses instrumentos devem abranger as estruturas fsicas, tecnolgicas e administrativas, de forma a garantir a confidencialidade, integridade e disponibilidade das informaes corporativas. Desta forma, com o propsito de fornecer orientao e apoio s aes de gesto da segurana, a poltica possui uma funo fundamental e assume uma grande abrangncia, podendo ser subdividida em trs blocos (vide figura 2.5): Diretrizes: possuem papel estratgico e devem expressar a importncia que a organizao d aos ativos de informao, alm de comunicar aos funcionrios seus valores; Normas: segundo nvel da poltica que detalha situaes, ambientes, processos especficos e fornece orientao para o uso adequado das informaes; 19

Procedimentos: est presente na poltica em maior quantidade por seu perfil operacional. Descrio detalhada sobre como atingir os resultados esperados.

Figura 2.5 Diagrama dos componentes da Poltica de Informtica

2.4.3.

Utilizao dos recursos de TI

A utilizao de recursos tecnolgicos pelos colaboradores deve ocorrer apenas no desempenho de atividades diretamente relacionadas aos negcios da organizao. As polticas da organizao no devem admitir o uso dos recursos para a discriminao ou provocao em razo do sexo, raa, cor, religio, nacionalidade, idade, porte de deficincia fsica, condio de sade, estado civil ou qualquer outra condio prevista em lei. Adicionalmente, em nenhuma hiptese, os colaboradores podero utilizar meios tecnolgicos para transmitir, receber ou armazenar qualquer informao que seja discriminatria, difamatria ou provocativa (material pornogrfico, mensagens racistas, piadas, desenhos etc.). Sobre a violao de direitos autorais, os colaboradores no podem utilizar recursos tecnolgicos da empresa para copiar, obter ou distribuir material protegido por direito autoral.

20

A organizao deve somente disponibilizar recursos tecnolgicos aos colaboradores (funcionrios ou terceiros) autorizados de modo a auxili-los no desempenho de suas funes e na execuo dos trabalhos. A poltica deve ressaltar que cada colaborador responsvel por usar os recursos tecnolgicos disponveis de forma a aumentar sua produtividade e contribuir para os resultados e a imagem pblica da organizao. Os colaboradores devem ser responsveis pela guarda, zelo e bom uso dos recursos tecnolgicos disponibilizados, conforme as instrues do fabricante e a Poltica de Segurana. Ao desrespeitar a poltica da organizao, no que diz respeito ao uso de seus recursos tecnolgicos, o colaborador deve estar sujeito a medidas disciplinares. A poltica deve assegurar que a organizao detm todos os direitos, independentemente de seu contedo, sobre todos os dados e informaes armazenados nos componentes do sistema de computao, bem como sobre as mensagens, dados e informaes enviados e recebidos no sistema de correio eletrnico e correio de voz. Portanto, a poltica deve contemplar aspectos onde se reserva o direito de acessar, a seu critrio e a qualquer momento, todos os seus meios tecnolgicos, incluindo computadores, sistema de correio eletrnico e de correio de voz. Tal situao deve estar suportada por um termo devidamente assinado pelo usurio. Conforme atribudas as responsabilidades, o usurio dos recursos tecnolgicos responsvel pela segurana das informaes da organizao que esto sob sua responsabilidade. A poltica deve ressaltar que determinados recursos tecnolgicos da empresa podem ser acessados apenas mediante o fornecimento de uma senha vlida, ou seja, as senhas so utilizadas para prevenir acessos no autorizados informao e no conferem ao colaborador nenhum direito de privacidade. Os colaboradores devem manter suas senhas como informao confidencial. No deve ser permitido compartilh-las, nem acessar sistemas de outros colaboradores sem autorizao expressa, conforme a hierarquia interna de responsabilidade para autorizaes e aprovaes. Nesses casos, somente o diretor ou o gerente (responsvel pelo funcionrio), que tenha autorizado formalmente a quebra do sigilo de um colaborador, pode acessar essas informaes, de modo a garantir o sigilo das demais informaes. 21

Por medida de segurana, nenhum computador poder utilizar conexes discadas para acesso Internet ou outros servios de informao quando conectados rede da organizao. Os colaboradores que tentarem burlar ou desabilitar os dispositivos de segurana, que asseguram a integridade dos recursos tecnolgicos da organizao, devem estar sujeitos a aes disciplinares.
2.4.4. Sigilo da informao

A questo da proteo de segredos do negcio e outros tipos de informao confidencial, ou de titularidade tanto da organizao quanto de seus parceiros de negcio, deve ser tratada com extrema relevncia. No deve ser autorizada a transmisso de informao confidencial por meios eletrnicos para destinatrios fora dos domnios da organizao. Deve-se definir claramente para os colaboradores quais dados, assuntos etc. so confidenciais e merecem tratamento especial. A transmisso de informaes classificadas como "confidenciais" dentro da rede da organizao requer aprovao do diretor ou do gerente. Sempre que possvel, a rea de Segurana da Informao deve providenciar para seus usurios meios eletronicamente seguros para a transmisso e o arquivamento das informaes e dados classificados como "confidenciais". As polticas devem considerar que "meio eletronicamente seguro" a transmisso de dados criptografados atravs de uma rede privada de dados (VPN - virtual private network). Neste caso, em nenhuma hiptese o cdigo de acesso (ou chave do cdigo) poder ser transmitido junto com os dados confidenciais.
2.4.5. Autorizao para uso dos recursos de tecnologia da informao

O acesso a recursos tecnolgicos deve ser concedido exclusivamente com base em critrios estabelecidos pela organizao. Como regra geral, o acesso deve ser concedido levando em conta a funo desempenhada pelo colaborador. As autorizaes e aprovaes necessrias para o cumprimento dos procedimentos e instrues de trabalho devem ser fornecidas conforme a hierarquia de responsabilidades exemplificadas a seguir: 22

Diretor: poder efetuar autorizaes e aprovaes necessrias para os diretores e gerentes sob sua subordinao direta;

Gerente: poder efetuar autorizaes e aprovaes necessrias para os gerentes, chefes, encarregados e demais colaboradores sob sua subordinao direta.

2.4.6.

Estaes de trabalho e servidores

As estaes de trabalho e servidores so essenciais para a realizao de qualquer atividade. As polticas devem especificar que os equipamentos e recursos tecnolgicos so de uso restrito da organizao. Devem estar em local seguro, ter acesso restrito e protegido contra desastres com um nvel de segurana proporcional importncia do bem e das informaes neles contidas.
2.4.7. Padronizao das estaes de trabalho e dos servidores

A organizao deve classificar as estaes e os servidores identificando a finalidade de cada equipamento. Conseqentemente, ele deve estar configurado com software e hardware compatveis. Por exemplo, as estaes com nmero de patrimnio de 1234 at 1299 so da rea de compras, portanto, no precisam possuir os sistemas aplicativos da rea de contabilidade ou de recursos humanos.
2.4.8. Formas de proteo

Nos casos em que o usurio se ausentar de seu local de trabalho, recomendamos que ele ative a proteo de tela/bloqueio do teclado. Se por algum motivo o usurio no o fizer, como forma de proteo adicional, as estaes de trabalho devem ser configuradas para o bloqueio automtico aps um perodo de inatividade. Como forma de proteger a entrada e, principalmente, a sada de informao da organizao, os drives de disquete, gravadores de CDs e dispositivos USB devem ter seu uso controlado e autorizado formalmente.
2.4.9. Estaes mveis de trabalho

Alm das recomendaes de segurana citadas para as estaes de trabalho, ressaltamos que, estaes mveis de trabalho (notebooks/laptops) devem possuir recursos de segurana que impeam o acesso no autorizado s informaes.

23

2.4.10.

Termo de confidencialidade

De forma a obter o comprometimento dos funcionrios com as normas, padres e procedimentos internos da organizao, recomenda-se, aps a leitura da Poltica de Segurana, que eles assinem um termo declarando estarem cientes de todo o contedo deste importante documento corporativo. 2.5. PROTEO CONTRA SOFTWARE MALICIOSO
Vrus de computador

2.5.1.

o principal problema de segurana da informao. Como descrito no glossrio desta obra, vrus um programa ou cdigo que se duplica. O vrus pode no fazer nada a no ser propagar-se e deixar o programa infectado funcionar normalmente. Contudo, depois de se propagar silenciosamente por um perodo, ele comea a exibir mensagens ou pregar peas. Se um antivrus no possuir uma lista de assinaturas completa, pode ser que ele vasculhe um arquivo contaminado, mas, por no "conhecer" o vrus, deixe-o ileso. A forma como cada programa atualiza essa lista varia de acordo com o fabricante. Esse processo feito on-line e a verificao de novas listas pode ser programada para uma determinada periodicidade. O uso de software "pirata" est diretamente associado propagao de vrus em ambientes informatizados. Devido aos riscos aqui expostos, recomendamos que as polticas possuam, pelo menos, os seguintes procedimentos: Uso obrigatrio de software antivrus em todos os equipamentos; Atualizao peridica da lista de vrus e da verso do produto; Verificar todo arquivo recebido anexado em e-mail, ou download pelo software de antivrus; Disponibilizar treinamento adequado que oriente a utilizao do software de antivrus para os usurios.
2.5.2. Softwares no autorizados

Uma publicao americana observou que "usurios sempre sero usurios. Ainda que a organizao oferea uma mquina rpida, repleta de memria, certamente ele tentar instalar seus prprios programas". E, por isso, "impedir que usurios acrescentem software no autorizado em 24

seus computadores de mesa ou notebooks se tornou uma preocupao comum entre os gerentes de TI". Deve-se ressaltar na poltica, para os usurios, que todos os programas de computador (software) em uso na organizao possuem licena de uso oficial e so homologados, sendo proibida a instalao de software de propriedade da organizao alm da quantidade de licenas adquiridas ou em equipamentos de terceiros.
2.5.3. Procedimentos para acesso Internet

Embora o acesso Internet seja praticamente indispensvel no local de trabalho, ele pode resultar em perda de produtividade. Na poltica, devem-se definir regras para proteger os negcios da organizao. O procedimento de uso da Internet deve ser concebido visando padronizar o uso desse recurso. Principalmente, aqueles que tratam da proteo da propriedade intelectual, privacidade das informaes e mau uso dos recursos da organizao, assdio sexual, racismo, segurana da informao e confidencialidade dos dados da organizao e de seus clientes etc. A Poltica de Segurana deve especificar que a organizao possui os direitos de autoria sobre quaisquer materiais criados internamente por qualquer colaborador. As pginas da Internet contm programas que geralmente so inocentes e algumas vezes teis. Entretanto, existem sites de contedo duvidoso e at mesmo malicioso. Ao navegar na Web, possvel identificar o computador na Internet, dizer quais pginas foram acessadas, usar cookies para saber o perfil do usurio e instalar spyware em computadores, sem o conhecimento do usurio. Alm das atividades maliciosas, os negcios podem ser colocados em uma posio vulnervel por funcionrios que se envolvem em atividades ilegais e indesejveis na Web durante o expediente. Embora a conexo direta e permanente da rede da organizao com a Internet oferea um grande potencial de benefcios, abre a porta para riscos significativos para os dados e sistemas da organizao se no existir uma rgida disciplina de segurana. Qualquer usurio interno da Internet responsvel e pode ser responsabilizado por brechas que intencionalmente afetem a segurana ou a confidencialidade dos dados internos. No aconselhado instalar uma conexo permanente sem regras. A organizao pode e deve zelar para que isso no acontea. 25

Todas as tentativas de conexo devem ser registradas. Os seguintes registros de acesso so o mnimo que a organizao deve manter para fins de auditoria: Identidade do usurio; Data e hora das conexes; Endereos IP; Protocolos utilizados; Quantidade de dados sendo transmitidos e/ou recebidos.

Os usurios que possuem acesso Internet devem receber treinamento adequado para a explicao das polticas da organizao e de suas responsabilidades. Ressaltamos que eles no devem utilizar esse recurso enquanto no passarem pelo treinamento.
2.5.4. Abrangncia dos procedimentos de utilizao dos recursos da Internet

O procedimento de uso da Internet deve ser submetido anlise do Departamento Jurdico. Devem ser contemplados os seguintes aspectos: Se os funcionrios tero permisso para navegar na Web para uso pessoal assim como para fins comerciais; Se os funcionrios podero usar a Internet para fins particulares e em quais perodos (durante o almoo, depois do expediente etc); Se e como a organizao efetuar a monitorao do uso da Internet e a qual nvel de privacidade os funcionrios esto sujeitos; Acessos no permitidos, determinando os tipos de sites que sero inaceitveis, como:
2.5.5.

Download de contedo ofensivo ou preconceituoso; Atitude ameaadora ou violenta; Atividades ilegais; Solicitaes comerciais (no relacionadas ao trabalho); Outros aspectos que a organizao julgar necessrios.
Dicas para uma navegao segura

De forma a promover uma navegao segura, as seguintes recomendaes devem ser detalhadas: Visitar somente sites confiveis; Nunca navegar em sites a partir de um servidor. Sempre usar uma estao cliente; 26

Usar um firewall/roteador para que seja possvel filtrar os endereos e bloquear o trfego de Internet recebido de sites perigosos e enviado para eles; Considerar o uso de software de filtragem do contedo.

2.6.

SEGURANA LGICA Segundo Fernando Ferreira [9], a segurana em tecnologia da informao pode ser

compreendida por dois principais aspectos: segurana lgica e segurana fsica. A segurana fsica desempenha um papel to importante quanto segurana lgica. Isto porque a base para a proteo de qualquer investimento feito por uma organizao. Investir entre os diferentes aspectos de segurana sem observar suas devidas prioridades pode ocasionar uma perda de todos os recursos investidos, em virtude de uma falha nos sistemas mais vulnerveis [9]. Estatsticas do rgo americano FBI indicam que 72% dos roubos, fraudes, sabotagens e acidentes so causados pelos prprios funcionrios de uma determinada organizao. Outros 15% ou 20% so causados por terceiros ou consultores que foram formalmente autorizados a acessar as instalaes, sistemas e informaes da organizao. Apenas de 5% a 8% so causados por pessoas externas a organizao.
2.6.1. Controle de acesso lgico

Para obteno de acesso a qualquer ambiente, todos os indivduos devem ser autenticados e autorizados por algum tipo de sistema. Com a dependncia cada vez maior das empresas em relao ao uso do ambiente informatizado, natural que exista preocupao para implementao de dispositivos de controle de acesso que garantam a segurana de suas instalaes mais crticas. E as alternativas disponveis so diversas como a manual, executado por seguranas, recepcionistas ou funcionrios; a automtica, com uso de dispositivos especficos para esse fim; e a hbrida, com uso de recursos mistos manuais e automatizados. Cabe ao Security Officer analisar a situao e escolher a melhor soluo. Como regra bsica, o controle de acesso fsico, seja manual ou automatizado, deve ser capaz de distinguir entre a pessoa autorizada e a no autorizada, mediante sua identificao, que deve respeitar pelo menos duas entre trs premissas bsicas: Quem o indivduo? Sua identificao e/ou caractersticas biomtricas. O que o indivduo possui? Utilizao de cartes ou chaves. O que o indivduo sabe? 27

Um sistema de controle de acesso deve ser analisado em relao as seguintes caractersticas: Proteo contra ataques forados: os controles de segurana devem possuir a

mesma resistncia que um controle de acesso manual comum, evitando invases mediante corte de energia fora bruta; Atualizao do produto: deve ter capacidade de crescimento ou mudanas e

permitir incremento do nmero de pessoas autorizadas, nveis de privilgios e mudanas nas regras de acesso; Registro dos acessos: deve ser capaz de registrar todas as tentativas de acesso, dia e

qual login foi utilizado para o acesso.

2.6.2.

Processo de Logon

O processo de logon usado para obter acesso aos dados e aplicativos em um sistema informatizado. Normalmente esse processo envolve a utilizao de um User ID e uma senha. Para dificultar a tarefa de um invasor, recomenda-se limitar o nmero de tentativas incorretas de acesso (logon), bloqueando a conta do usurio ao alcanar o nmero limite. A identificao do usurio, ou User ID, deve ser nica, isto , cada usurio deve ter uma identificao prpria. Todos os usurios autorizados devem possuir um cdigo de usurio, quer seja um cdigo de caracteres, carto inteligente ou outro meio de identificao. Essa unicidade de identificao permite um controle das aes praticadas pelos usurios por meio de logs de acesso e atividade dos sistemas operacionais e aplicativos. Aps a identificao do usurio, ocorre sua autenticao, isto , o sistema confirma se o usurio ele mesmo. Os sistemas de autenticao so uma combinao de hardware, software e procedimentos que permite o acesso de usurios aos recursos computacionais. Na autenticao, o usurio apresenta algo que ele possui, podendo at envolver a verificao de caractersticas fsicas. A maioria dos sistemas modernas solicita uma senha (algo que o usurio conhece), ou cartes inteligentes (algo que o usurio possui) ou ainda caractersticas fsicas, como o formato da mo, da retina ou do rosto, impresso digital e reconhecimento da voz.

28

2.6.3.

Senhas de acesso

Para que os controle de senha funcionem, os usurios devem ter pleno conhecimento das polticas de composio e guarda de senha da organizao e serem orientados a segui-las. Funcionrios demitidos devem ter suas senhas canceladas. Recomenda-se que os usurios sejam orientados a escolher senhas mais seguras, evitando o uso de senhas muito curtas ou muito longas, que os obriguem a escrev-las em um pedao de papel para memoriz-la. Utilizar a mesma senha em sistemas distintos uma prtica comum, porm vulnervel, pois quando um invasor descobre a senha pela primeira vez, sua atitude test-la em outros sistemas. Deve-se evitar a composio de senhas com os seguintes elementos: Nome do usurio; Igual conta do usurio; Nomes de membros da famlia ou amigos; Nomes de lugares; Nome do sistema operacional ou da mquina que est sendo utilizada; Datas; Nmeros de telefone, carto de crdito, carteira de identidade ou de outros documentos pessoais; Placas ou marcas de carro; Letras ou nmeros repetidos; Letras seguidas do teclado (asdfg, yuiop, etc); Objetos ou locais que podem ser vistos a partir da mesa do usurio; Qualquer senha com menos de seis caracteres.

Alguns softwares so capazes de obrigar os usurios a utilizarem senhas complexas. Mas como escolher uma boa senha? So consideradas senhas fortes aquelas que so formadas por letras, nmeros, caracteres especiais e so compostas por mais de seis caracteres. As senhas devem ser trocadas freqentemente. Geralmente so consideradas boas senhas aquelas que incluem, em sua composio, letras (maisculas e minsculas), nmeros e smbolos embaralhados, totalizando mais de seis caracteres. Porm, para ser boa mesmo, a senha tem que ser difcil de ser adivinhada por outra pessoa, mas de fcil memorizao, para que no seja necessrio anot-la em algum lugar. Tambm conveniente escolher senhas que possam ser digitadas rapidamente, dificultando 29

que outras pessoas, a uma certa distncia ou por cima de seus ombros, possam identificar a seqncia de caracteres. Um mtodo bastante difundido hoje em dia selecionar uma frase significativa para o usurio e utilizar os primeiros caracteres de cada palavra que a compe, inserindo smbolos entre eles.
2.6.4. Sistemas biomtricos

Segundo Jos Pinheiro, a biometria pode ser definida como a cincia da aplicao de mtodos de estatstica quantitativa a fatos biolgicos, ou seja, o ramo da cincia que se ocupa da medida dos seres vivos (do grego bio = vida e mtron = medida). Resumindo, a biometria a autenticao / identificao de um indivduo pelas suas caractersticas biolgicas e comportamentais [13]. Os sistemas biomtricos so uma evoluo natural dos sistemas manuais de reconhecimento, como a anlise grafolgica de assinaturas, anlise de impresses digitais e o reconhecimento da voz. A biometria pode ser utilizada em um sistema de informao para resolver dois problemas importantes: a identificao e o acesso de usurios rede de computadores. Os sistemas biomtricos utilizados na segurana em uma rede de computadores buscam verificar a identidade de um indivduo (identificao) atravs das caractersticas nicas inerentes a essa pessoa por meio de processos automatizados. Essas caractersticas podem ser fsicas (olhos, mo, etc) e / ou comportamental (modo como assina um documento, por exemplo). No controle de acesso, os sistemas biomtricos permitem que um indivduo possa ser autenticado na rede sem a necessidade de uma senha ou outro dispositivo fsico (crach, carto eletrnico, etc), ou ainda (e mais usualmente) em combinao com estes. Os sistemas biomtricos tm algumas vantagens em relao aos sistemas tradicionais, na medida em que a informao necessria para permitir o acesso no perdida ou susceptvel de apropriao ilcita. Por outro lado, a pessoa no necessita de recordar nmeros, cdigos ou qualquer outra chave de identificao. A autenticao biomtrica envolve duas fases: registro no sistema (coleta de dados) e reconhecimento da caracterstica biomtrica. Para isso necessrio primeiramente que todos os usurios sejam cadastrados atravs de um dispositivo de entrada de dados, geralmente um

30

scanner, microfone, leitor ptico ou outro meio eletrnico, para colher a representao digital que ser usada na verificao do indivduo. O cadastramento envolve o indivduo que ir fornecer uma amostra de sua caracterstica biomtrica, sendo que essa caracterstica-chave ser usada pelo sistema para gerar um modelo biomtrico. A amostra convertida para um algoritmo matemtico que ento criptografado. Cada vez que o usurio requerer um acesso ao sistema, uma verificao / autenticao ser realizada e a amostra da caracterstica particular do indivduo ser comparada com o modelo biomtrico armazenado no banco de dados. Algumas das principais caractersticas dos sistemas biomtricos: Impresses digitais: so caractersticas nicas e consistentes. Nos sistemas

biomtricos que utilizam esta opo, so armazenados de 40 a 60 pontos para verificar uma identidade.O sistema compara a impresso lida com sua base de dados de impresses digitais de pessoas autorizadas. Voz: os sistemas de reconhecimento de voz so usados para controle de acesso,

porm no so to confiveis, em funo dos erros causados por rudos no ambiente e problemas na garganta ou nas cordas vocais das pessoas a ele submetidas. Geometria da mo: tambm usada em sistemas de controle de acesso, porm essa

caracterstica pode ser alterada por aumento ou diminuio de peso ou artrite. Configurao da ris e da retina: esses sistemas se propem a efetuar uma

identificao mais confivel do que as impresses digitais. Entretanto so sistemas evasivos, pois direcionam feixes de luz para os olhos das pessoas. Reconhecimento facial por meio de termograma: o termograma facial uma imagem

retirada com uma cmara infravermelha que mostra padres trmicos de uma face. Essa imagem nica e, combinada com algoritmos sofisticados de comparao de diferentes nveis de temperatura distribudos pela face, constitui-se em tcnica no evasiva, altamente confivel, no sendo afetada por alteraes de sade, idade ou temperatura do corpo. So armazenados ao todo 19.000 pontos de identificao, podendo distinguir gmeos idnticos, mesmo no escuro. Pesquisas esto sendo feitas na rea fins baratear seus custos.

31

2.6.5.

Controle de Acesso Rede

Os acessos internos e externos aos servios de rede devem ser controlados e liberados de acordo com a necessidade de cada usurio, dependendo do tipo de acesso, caminho utilizado, criticidade das informaes, recursos a serem disponibilizados, entre outros. Os pontos de rede devem ser protegidos (com autenticao, por exemplo) para impedir a conexo de estaes no autorizadas. O acesso s portas de diagnstico dos equipamentos (switches, routers , etc.) deve ser seguramente controlado. preciso segmentar as redes logicamente, isolando os servidores de misso crtica ou sensveis ao negcio da organizao (uma rede para os servidores e outra para as estaes), cada uma das quais protegidas por um permetro de segurana definido. Tal permetro pode ser implementado com a instalao de um gateway seguro entre as duas redes que sero interligadas para controlar o acesso e o fluxo de informaes entre os dois domnios. Este gateway deve ser configurado para filtrar o trfego entre estes dois domnios bloqueando acessos no autorizados de acordo com a poltica de controle de acesso da organizao. Um exemplo deste tipo de gateway freqentemente referenciado como firewall . As funcionalidades de segurana do sistema operacional, quando existentes, devem ser usadas para restringir o acesso aos recursos computacionais. Alm disso, convm que os acessos aos servios de informao sejam realizados atravs de um processo seguro de entrada no sistema ( logon ). Terminais inativos em locais de alto risco, por exemplo, em reas pblicas ou externas (fora dos limites do gerenciamento de segurana da organizao), ou servindo a sistemas de alto risco, devem contar com sistema de desligamento automtico aps um perodo predeterminado de inatividade, de forma a prevenir contra o acesso de pessoas no autorizadas. A mesma preocupao deve ser necessria com relao computao mvel (notebooks, palmtops, laptops , telefones celulares, etc) e acessos remotos, adotando-se, por exemplo, recursos de autenticao forte e criptografia.

32

2.6.6.

Combate a ataques e invases

Destinados a suprir a infra-estrutura tecnolgica com dispositivos de software e hardware de proteo, controle de acesso e conseqente combate a ataques e invases, esta famlia de mecanismos tem papel importante no modelo de gesto de segurana, medida que as conexes eletrnicas e tentativas de acesso indevido crescem exponencialmente. Nesta categoria, existem dispositivos destinados ao monitoramento, filtragem e registro de acessos lgicos, bem como dispositivos voltados para a segmentao de permetros, identificao e tratamento de tentativas de ataque. Firewall Velho conhecido dos ambientes de rede, este dispositivo, que pode assumir a forma de um software e tambm incorporar um hardware especializado, tem o papel de realizar anlises do fluxo de pacotes de dados, filtragens e registros dentro de uma estrutura de rede. Como o prprio nome diz, ele representa uma parede de fogo que executa comandos de filtragem previamente especificados com base nas necessidades de compartilhamento, acesso e proteo requeridos pela rede e pelas informaes disponveis atravs dela. Buscando um modelo didtico, podemos compar-lo ao tradicional filtro de gua domstico que, a princpio, formado por um compartimento vazio por onde passa a gua supostamente poluda, e por um elemento ou vela contendo camadas de filtragem formadas por diversos materiais. Ao passar por este compartimento, j com o elemento de filtragem, as impurezas da gua so retidas pelas diversas camadas do elemento. Desta forma, o filtro poder ser considerado eficiente se conseguir reter todas as impurezas e permitir a passagem de todos os demais componentes benficos sade, como sais minerais etc. O firewall se assemelha ao filtro por tambm necessitar da especificao de camadas de filtragem especficas para cada empresa e situao, com o propsito de impedir acessos indevidos que ocorram de dentro ou de fora da rede, registrando essas ocorrncias e, principalmente, permitindo o trfego normal de pacotes de dados legtimos. Por ser baseado na anlise binria de parmetros definidos no filtro, o firewall age sempre da mesma maneira e sem considerar variveis externas que possam modificar as situaes; portanto, a eficincia de proteo desse dispositivo est ligada diretamente adequada especificao e manuteno das regras de filtragem. importante lembrar que surgiu uma categoria de firewall destinada ao usurio final, chamada personal firewall, com o propsito de estender a segurana e complementar 33

proteo. Obviamente so recursos de software com baixa performance, mas adequadamente proporcionais, na maioria das situaes, ao volume de dados trafegados em uma conexo desse gnero. Detector de Intrusos Normalmente chamado pela sigla em ingls IDS, o detector de intrusos um dispositivo complementar ao firewall que agrega maior inteligncia ao processo de combate a ataques e invases. Diferente do firewall, o IDS orientado por uma base de dados dinmica contendo informaes sobre comportamentos suspeitos de pacotes de dados e assinaturas de ataques. uma verdadeira enciclopdia de ameaas consultada a todo o momento para que o dispositivo possa transcender a anlise binria de situaes e avaliar a probabilidade de um acesso ser um conhecido tipo de ataque ou uma nova tcnica de invaso. Ainda no estamos falando de inteligncia artificial; afinal, a ferramenta no aprende com as prprias experincias e no gera concluses de forma autnoma, mas o dispositivo demonstra seu potencial como sinalizador de situaes que fujam normalidade. importante ressaltar que, por possuir um grau de inferncia sobre possveis situaes de risco, o detector de intrusos responsvel por muitos falso-positivos, ou seja, por sinalizar situaes aparentemente estranhas, mas que so legtimas. Por conta disso, dependendo do ambiente protegido e do grau de tolerncia indisponibilidade de acesso, no conveniente deixar que o IDS aja sozinho, mas que atue como um instrumento de sinalizao para que os tcnicos possam avaliar a situao e, ento, decidir pelo bloqueio ou pela permisso. Existem dispositivos que, apesar de terem sido desenvolvidos originalmente para outros fins, incorporaram, com o passar do tempo, recursos que auxiliam e, muitas vezes, reforam atividades de bloqueio e combate a ataques. O roteado com filtro, por exemplo, incorpora parte das funcionalidades de um firewall, e o switch, naturalmente destinado melhoria de performance e gerenciamento das redes, tem grande aplicabilidade na segmentao lgica da mesma, reduzindo a eficincia de tentativas de ataque que monitoram o meio, grampeando-o, a fim de capturar informaes relevantes. Da mesma forma, o proxy, software com o propsito de aumentar a performance do acesso ao servio Web da Internet atravs da gerncia de contedo como se fosse uma memria cache, tem o potencial de filtrar e registrar acessos proibidos que sinalizam o descumprimento das normas da poltica de segurana.

34

2.6.7.

Privacidade das comunicaes

inevitvel falar de criptografia quando o assunto privacidade das comunicaes. A criptografia uma cincia que estuda os princpios, meios e mtodos para proteger a confidencialidade das informaes atravs da codificao ou processo de cifrao e que permite a restaurao da informao original atravs do processo de decifrao. Largamente aplicada na comunicao de dados, esta cincia se utiliza de algoritmos matemticos e da criptoanlise, para conferir maior ou menor proteo de acordo com sua complexidade e estrutura de desenvolvimento. Quando vemos softwares de criptografia de mensagem ou por exemplo, aplicaes que adotam criptografia, estamos diante de situaes em que a cincia foi empregada e materializada em forma de programas de computador. Existem duas tcnicas principais de criptografia. 1. Simtrica ou de chave privada Tcnica criptogrfica que utiliza uma nica senha, ou chave, para cifrar informaes na origem e decifr-las no destino. Apesar de sua excelente performance, entre outras coisas pela existncia de uma nica chave que confere velocidade aos processos matemticos de clculo, este mtodo tem uma vulnerabilidade nativa presente no processo de envio ou compartilhamento da chave simtrica com o destinatrio. Usando um exemplo hipottico em que se quer enviar uma mensagem criptografada do usurio A para o usurio B, o primeiro passo seria criar uma chave simtrica e enviar uma cpia da mesma ao destinatrio para que ele pudesse decriptografar a mensagem aps receb-la. O risco ocorre justamente no momento do envio da cpia da chave ao destinatrio por no ter sido adotado nenhum processo de proteo. Se, exatamente neste momento frgil, apesar da pequena janela de tempo da operao, a confidencialidade da chave for quebrada, todo o processo de criptografia fica comprometido; afinal, qualquer um que conhea a chave simtrica poder decriptografar a mensagem interceptada. Um dos algoritmos de chave simtrica mais utilizados no mundo o DES - Data Encryption Standard, criado em 1977, com chave criptogrfica de 56 bits, alm do 3DES, RC2, RC4 e Blowfish. O tamanho da chave criptogrfica est diretamente ligada ao nvel de segurana do algoritmo devido ao aumento exponencial de possibilidades e tentativas necessrias para "quebrar", ou seja, para descobrir a chave certa que decifre a proteo.

35

2. Assimtrica ou de chave pblica Tcnica criptogrfica que utiliza um par de chaves para cada um dos interlocutores, mais especificamente uma chave privada e outra pblica para o remetente, e o destinatrio. Desta forma, com a criptografia assimtrica criada em 1976 por Diffie e Hellman, os interlocutores no precisam mais compartilhar uma chave nica e secreta. Baseado no conceito de que para decifrar a criptografia necessrio possuir as duas chaves matematicamente relacionadas, pblica e privada, o remetente s precisa da chave pblica do destinatrio para garantir a confidencialidade da mensagem e para permitir que o destinatrio consiga decifrar a mensagem. Como o prprio nome diz, a chave privada pertence exclusivamente ao seu proprietrio e deve ser mantida em segredo. A pblica, por sua vez, pode e deve ser compartilhada e estar disponvel a qualquer interessado em enviar uma mensagem a voc de forma criptografada. Este tcnica ainda reserva recursos complementares, como a assinatura digital, obtida pela utilizao da chave privada para fazer uma "marca binria" na mensagem, sinalizando ter sido escrita e enviada pelo proprietrio da prpria. O certificado digital um instrumento eletrnico que atesta a veracidade da chave pblica do usurio, conferindo autenticidade ao documento assinado digitalmente. No podemos nos esquecer, tambm, da funo HASH, que confere a possibilidade de verificar a integridade de uma mensagem a partir da comparao, no destino, do resultado obtido pela aplicao da funo. Quando os resultados obtidos pela funo na origem no coincidem com os resultados obtidos no destino, tem-se a indicao de que a mensagem sofreu qualquer tipo de alterao, mesmo que muito pequena. Aparentemente esta tcnica se mostra perfeita, se no fosse pelo fato de possuir baixa performance, chegando a consumir centenas ou milhares de vezes mais tempo para ser processada se compararmos com a tcnica simtrica. Devido aos problemas presentes em ambas as tcnicas, foi encontrada uma soluo hbrida a partir da unio de tcnicas que permitiu usufruir da performance da simtrica e da segurana e funes satlites de assinatura digital e validao de integridade proporcionadas pela tcnica assimtrica. De posse do par de chaves pblica e privada, o remetente gera a chave simtrica e insere um cpia em uma nova mensagem, mtodo este que se convencionou chamar de envelopamento, criptografando-a com a chave pblica do destinatrio. Este por sua vez, ao receber a mensagem confidencial, lana mo de sua 36

chave privada para decifr-la, obtendo acesso cpia da chave simtrica. A partir deste momento, em que ambos esto de posse da chave simtrica enviada e recebida em segurana, o processo de comunicao criptografada pode ser reiniciado adotando esta mesma chave simtrica que ir conferir a velocidade necessria para viabilizar a troca de informaes. Virtual Private Network Esta soluo, comumente chamada pelo acrnimo VPN, fruto da aplicao de criptografia entre dois pontos distintos atravs de uma rede pblica ou de propriedade de terceiros. O resultado da adoo de criptografia a criao de um tnel seguro que garante a confidencialidade das informaes sem, no entanto, absorver os riscos nativos de uma rede que transcende seus limites de controle. Desta forma, a empresa passa a ter uma rede virtual privada, ou seja, a tecnologia viabiliza o uso de uma rede nativamente insegura como se parte dela fosse privada pela segurana agregada pelo tunelamento. Para cumprir o papel de extenso de sua rede corporativa, a VPN precisa garantir o mnimo de performance a fim de viabilizar conexes com filiais e parceiros, usufruindo, assim, dos benefcios de capilaridade e redundncia que a Internet, por exemplo, oferece. Assim, so implementadas por software e hardware especializados e capazes de processar a codificao e a decodificao dos pacotes de dados com extrema velocidade e competncia. importante lembrar que surgiu uma categoria de virtual private network destinada ao usurio final, chamada personal VPN, com o propsito de permitir conexes remotas seguras. Obviamente so recursos de software com baixa performance, mas adequadamente proporcionais, na maioria das situaes, ao volume de dados trafegados em uma conexo desse gnero. Public Key Infrastruture possvel notar a grande aplicabilidade do certificado digital em processos de autenticao e criptografia, seja na publicao de informaes, acessos a ambientes fsicos, aplicaes e equipamentos, envio de mensagens eletrnicas, redes virtuais privadas, ou na troca eletrnica de informaes em geral. Sua versatilidade e potencial de crescimento trazem tona um potencial problema: o gerenciamento do processo de emisso, revogao, guarda e distribuio; afinal, para que os documentos e processos possam assumir a credibilidade do agente ou usurio do dispositivo, a mesma dever ter sido herdada do processo de gerenciamento do dispositivo. Por conta dessa necessidade, a tecnologia PKI, ou Infra37

estrutura de Chaves Pblicas em portugus, rene recursos de software e servios para suportar a montagem de um processo de gesto de certificados. Buscando um exemplo que privilegie a didtica, podemos fazer uma analogia com os cartrios tradicionais. Para que a compra de um bem seja concretizada, muitos documentos precisam ser autenticados por uma estrutura que tenha f pblica ou, no mnimo, confiana das partes envolvidas na transao. Este processo requer a presena fsica para identificao das partes atravs de documentos, comprovao visual da autenticidade dos documentos originais para, ento, estender a originalidade s cpias. De forma similar, o processo de certificao digital implementado com a infra-estrutura de PKI requer a identificao prvia das partes para, s ento, emitir o instrumento digital. Alm disso, essa mesma estrutura tem de estar orientada por uma poltica especfica e ser capaz de reemitir, revogar, distribuir e, principalmente, manter sob altos critrios de confidencialidade, integridade e disponibilidade o segredo do processo: a chave privada e seus critrios de concepo. A percepo da importncia tcnica do assunto e, principalmente, dos fatores legais que envolvem a responsabilizao de pessoas e empresas pela relao eletrnica de informaes reconhecidas como legtimas, j chegou ao setor pblico. O interesse do governo orientar e subsidiar uma base comum de construo de infra-estruturas de chaves pblica para, no primeiro momento, garantir o reconhecimento mtuo das empresas e a administrao pblica federal dentro do pas e, em um segundo momento, viabilizar o reconhecimento por outras estruturas internacionais integradas, que fomentaro o comrcio eletrnico, as relaes governamentais e empresariais. O reflexo desse movimento se materializou em agosto de 2001, atravs da medida provisria MP-2002-2, que institui uma infra-estrutura de chaves pblicas do Brasil, ou ICP-Brasil, cuja definio vem a ser um conjunto de tcnicas, prticas e procedimentos, a ser implementado pelas organizaes governamentais e privadas brasileiras com o objetivo de estabelecer os fundamentos tcnicos e metodolgicos de um sistema de certificao digital baseado em chave pblica. 2.7. SEGURANA FSICA E DO AMBIENTE Os sistemas de segurana devem ser implementados para garantir que em todos os locais da organizao o acesso seja realizado apenas por profissionais autorizados. Quanto maior for a sensibilidade do local, maiores sero os investimentos em recursos de segurana para serem capazes de impedir o acesso no autorizado. 38

De acordo com o Portal do Governo do Estado de So Paulo, Os recursos e instalaes de processamento de informaes crticas ou sensveis ao negcio devem ser mantidos em reas seguras, protegidas por um permetro de segurana definido, com barreiras de segurana apropriadas e controle de acesso. A proteo fsica pode ser alcanada atravs da criao de diversas barreiras em torno da propriedade fsica do negcio e de suas instalaes de processamento da informao. Cada barreira estabelece um permetro de segurana, contribuindo para o aumento da proteo total fornecida. A proteo fornecida deve ser proporcional aos riscos identificados, sendo necessrio a implementao de controles de entrada apropriados para assegurar que apenas pessoas autorizadas tenham acesso as informaes. As paredes externas do local devem ser slidas e todas as portas externas protegidas de forma apropriada contra acessos no autorizados, como, por exemplo, mecanismos de controle, travas, alarmes, etc. Deve-se levar em considerao as possibilidades de dano causado por fogo, inundao, exploso, manifestaes civis e outras formas de desastres naturais ou causados pelo homem. Ainda com relao aos aspectos citados, recomenda-se o seguinte: Isolar as instalaes crticas do acesso pblico, mantendo os servidores em local

reservado com acesso controlado; Manter um controle restrito de entrada e sada de pessoas no recinto, utilizando

sistemas de controle de entrada atravs de cdigos de acesso, crachs autorizados entre outras tecnologias disponveis no mercado; Jamais permitir a instalao de equipamentos que permitam a duplicao de

informaes no mesmo ambiente em que as mesmas se encontram ou dentro de reas de segurana, como por exemplo, fotocopiadoras, scanners, unidades de gravao de CDs e mquinas de fax, para evitar vazamento de informao; Proibir a entrada de filmadoras e cmeras fotogrficas nestes ambientes;

Portas e janelas devem ser mantidas fechadas quando no utilizadas e, sempre que possvel, implementar um sistema de alarme.

39

2.7.1.

Acesso de funcionrios e terceiros s dependncias da organizao

As polticas devem especificar que todos os funcionrios da organizao somente tero acesso liberado s dependncias da organizao se portarem a identificao funcional pessoal. J para as reas restritas, os acessos devero ser previamente solicitados e autorizados, por meio de procedimentos formais criados para tal atividade. O acesso de prestadores de servio, contratos para as consultorias, manutenes e/ou quaisquer outros servios, devero obter autorizao formal antecipada para o acesso s dependncias. A Norma NBR/ISO 17799 [12] sugere diversos requisitos de segurana de terceiros dentro da organizao, principalmente no tocante a contratos, entre os quais destacamos a necessidade de serem includos nos contratos os requisitos de segurana fsica.
2.7.2. Controle de acesso fsico

O controle de acesso fsico toda e qualquer aplicao de procedimentos ou uso de equipamentos com o objetivo de proteger ambientes, equipamentos ou informaes cujo acesso deve ser restrito. Esse tipo de controle envolve o uso de chaves, trancas, guardas, crachs, cercas, alarmes, vdeo, smart cards, biometria e etc, alm da aplicao de normas e procedimentos utilizados pela organizao para esse fim. A poltica e o investimento, no controle de acesso fsico adotada pela organizao, estaro diretamente ligados importncia de seus ativos, observando sempre a relao custo/benefcio. Uma poltica de controle de acesso fsico eficaz depender muito mais da gesto dos modelos de segurana do que apenas do uso de tecnologia. Nesse sentido, fundamental a anlise do perfil de cada organizao, para a definio de uma poltica de controle de acesso fsico que atenda suas necessidades. Quanto maior o investimento em preveno menor ser o prejuzo em caso de eventos. O investimento em questo no se refere apenas ao uso de tecnologia de ponta, mas a forma como a empresa conscientiza seu quadro de funcionrios. Tipos de controles de acesso fsico, bem como suas caractersticas: Grades, muros e portas: determinam um limite, objetivando inibir a presena de

curiosos. As grades devem ter alarmes ou estarem sob vigilncia de guardas ou monitores de TV; 40

Guardas: posicionados na entrada de instalaes consideradas estratgicas, para

controlar o acesso e permitir a entrada somente de pessoal autorizado. A ao dos guardas tambm bastante eficaz na inspeo de pacotes e outros itens de mo na entrada e na sada. A eficincia do trabalho dos guardas ser otimizada com a aplicao de tecnologia, como a instalao de alarmes, cmeras e outros dispositivos; Crachs: funcionrios e visitantes devem ser obrigados a us-los para obterem

acesso. Esse sistema no envolve necessariamente a aplicao de tecnologia, mas o cumprimento das polticas e procedimentos internos. Recomenda-se que os crachs contenham poucas informaes. Assinaturas e detalhes por escrito sobre privilgios de acesso devem ser evitados. A identificao pode ser feita por cdigos ou cores e o nmero de srie dos crachs deve ser nico; Sistemas com portas duplas: podem ser usadas para forar as pessoas a identificarem-se junto a um guarda, que se posiciona na entrada da segunda porta. Esse tipo de sistema ideal para prevenir a entrada de intrusos que tm acesso a reas restritas seguindo pessoas autorizadas; Controle de acesso biomtrico: este o mtodo de identificao mais sofisticado utilizado atualmente. Biometria usada para a identificao inclui a impresso digital, leitura da palma da mo, padres de voz, escaneamento de retinas, entre outras. Como o controle biomtrico no pode ser compartilhado, perdido, roubado, ou esquecido, considerado altamente eficaz.
2.7.3. Controles ambientais

Os equipamentos devem ser fisicamente protegidos contra ameaas sua segurana e perigos ambientais. A proteo dos equipamentos, incluindo aqueles utilizados fora das instalaes fsicas da organizao, (localidades alternativas de processamento de dados) necessria para reduzir o risco de acessos no autorizados a dados e para proteo contra perda ou dano. Os equipamentos devem ser instalados e protegidos para reduzir o risco de ameaas ambientais, perigos e oportunidades de acesso no autorizado. Recomenda-se que os seguintes itens sejam considerados: As instalaes de processamento e armazenamento de informao que tratam as

informaes sensveis devem ser projetadas para reduzir riscos de espionagem de informaes durante o seu uso;

41

Os itens que necessitam de proteo especial devem ser isolados para reduzir o nvel

geral de proteo exigida; Adotar controles de forma a minimizar ameaas potenciais, incluindo: Fogo; Explosivos; Fumaa; gua; Poeira; Vibrao; Interferncia no fornecimento eltrico; Aspectos ambientais devem ser monitorados para evitar condies que possam afetar

de maneira adversa a operao das instalaes de processamento da informao; Utilizao de mtodos de proteo especial, como capas para teclados, seja

considerada para equipamentos em ambiente industrial; Tambm deve ser considerado o impacto de um desastre que possa ocorrer nas

proximidades da instalao, como por exemplo, um incndio em um prdio vizinho, vazamentos de gua no telhado ou em andares abaixo do nvel do cho ou exploses na rua.
2.7.4. Segurana fsica de computadores pessoais

Quando se utilizam recursos da computao mvel, por exemplo, notebooks, paimtops, laptops e telefones celulares, devem ser tomados cuidados especiais para assegurar que a informao da organizao no seja comprometida. Uma poltica formal deve ser adotada, levando-se em conta os riscos de trabalhar com tais recursos mveis, particularmente em ambientes desprotegidos. Devem ser tomadas certas precaues ao se utilizarem os recursos de computao mvel em locais pblicos, salas de reunies e outras reas desprotegidas fora dos limites da organizao. Devem ser estabelecidas protees para evitar o acesso no autorizado ou a divulgao de informaes armazenadas e processadas nestes recursos (criptografia). importante que, quando tais recursos forem utilizados em locais pblicos, seja tomado cuidado para evitar o risco de captao por pessoas no autorizadas. Tambm devem ser estabelecidos procedimentos contra software pirata/malicioso e vrus, mantendo-os sempre atualizados. 42

Adicionalmente, os recursos de computao mvel tambm devem ser protegidos fisicamente contra roubo, especialmente quando deixados, por exemplo, em carros ou em outros meios de transporte, quartos de hotis, centros de conferncia e locais de reunio. Os equipamentos que contm informaes crticas nunca devem ser deixados sem observao e, quando possvel, devem ser fisicamente trancados ou que travas especiais sejam utilizadas de forma a manter o equipamento seguro.
2.7.5. Investimentos em segurana fsica e ambiental

O primeiro passo a ser tomado para investir em segurana fsica deve ser a realizao de uma anlise dos riscos e vulnerabilidades fsicas que a organizao possa estar exposta. Esta anlise deve ser feita, preferencialmente, por especialistas no assunto e, se possvel, externos organizao, para que no haja conflito ou compromisso com relao a projetos realizados com ou sem sucesso. Existem diversas ferramentas para auxiliara anlise dos impactos nos negcios, em virtude de eventos ou sinistros aos quais a empresa possa estar exposta. A anlise de riscos dever retratar a real situao da organizao quanto aos aspectos de segurana fsica. Os resultados devem ser encarados como uma ferramenta para auxiliar a organizao a melhorar ou manter seu nvel de segurana fsica. Muitas vezes as organizaes no utilizam a anlise de riscos como uma ferramenta, em razo de no quererem mudar o que j foi feito ou por acreditarem que ao faz-lo estaro assumindo suas deficincias e erros passados. Num cenrio de mudanas constantes em Tecnologia da Informao, onde sistemas devem ser flexveis e preparados para evolues e alteraes, a segurana da informao tambm deve ser capaz de acompanhar estas mudanas. Desta forma, a segurana fsica, apesar de seu conceito tradicional estar ligado solidez e estabilidade, precisa ser flexvel e capaz de absorver as diferentes tecnologias que surgem ao longo do tempo. As organizaes precisam estar constantemente revisando e reorganizando seus componentes e processos de segurana fsica. O segundo passo, aps uma anlise de riscos fsicos, deve ser o levantamento das necessidades de componentes e processos de segurana fsica. Nesta etapa, deve ser envolvido um comit responsvel pela continuidade dos negcios da organizao e/ou uma empresa contratada para a elaborao do plano, em razo de envolver assuntos correlacionados de segurana lgica e tcnica. Nesta fase, decide-se sobre todos os recursos a serem 43

disponibilizados como equipamentos de monitorao, energia, climatizao, ambientes de segurana para os equipamentos crticos, poltica de segurana de acesso fsico s informaes e ambientes distintos da organizao, dentre os diversos componentes e processos que devem ser envolvidos num projeto de segurana fsica. A ltima fase envolve a implementao do plano de segurana fsica, que faz parte de um projeto maior de continuidade de negcios. Aps realizar os investimentos e implementar o plano, a organizao dever rev-lo e modific-lo periodicamente, se necessrio.

2.8.

CLASSIFICAO E CONTROLE DOS ATIVOS DA INFORMAO A classificao das informaes necessria para seu melhor gerenciamento. Se

implementada corretamente, a classificao reduz drasticamente o custo com recursos para proteger as informaes e ajuda na implementao de controles onde realmente so necessrios. Segundo Fernando Ferreira [9], o processo de classificao aumenta a confiabilidade dos dados garantindo sua confidencialidade, integridade e disponibilidade. Adicionalmente, boas prticas de segurana so aprimoradas como resultado da correta classificao e destino dos recursos identificados. A poltica de segurana da informao corporativa deve ser a base fundamental para este processo de classificao, bem como o primeiro passo para obteno do comprometimento da alta cpula da organizao. O projeto e o conceito de classificao dos ativos de informao dependem da Poltica de Segurana das Informaes corporativa, implementada e formalmente divulgada a todos os funcionrios, terceiros, colaboradores ou qualquer indivduo que possua acesso a um tipo de informao, declarando que os dados so um ativo da organizao e devem ser protegidos. Neste mesmo documento, deve-se citar que as informaes sero classificadas com base em seu valor, risco de sua perda ou modificao e exigncias legais. Esta poltica fornece ao Security Officer as bases necessrias para iniciar um projeto, bem como exigir o comprometimento da Alta Administrao. Podero ser utilizados os seguintes critrios para auxiliar a classificao: Informaes para auditoria: quanto custa, onde esto localizadas e quais os

controles esto em vigor para minimizar o risco de divulgao, alteraes no autorizadas?

44

A segregao de funes necessria: Sim ou No? Caso afirma de que forma

realizada/controlada? So utilizados mecanismos de criptografia? Como realizado e administrado o procedimento de controle de acesso? Os procedimentos e controles sobre os backups esto documentados? Qual a localizao da documentao?

Adicionalmente, os controles descritos abaixo so necessrios para completar a estrutura de controles sobre as informaes, mas precaues dever tomadas para assegurar que todos os controles de segurana implementados so adequados para cada tipo de classificao da informao: Utilizar controles recomendados pela auditoria; Desenvolver e realizar planos de teste; Segregar todas as funes; Procedimentos formais para o gerenciamento de mudanas.

Aps a classificao das aplicaes e informaes, deve-se elaborar e implementar procedimentos para monitoramento contnuo. Geralmente, o departamento de auditoria da organizao fica encarregado de liderar e iniciar esta atividades para garantir a conformidade com a poltica organizacional. O Security Officer, em conjunto com os proprietrios da informao, deve, periodicamente, revisar as informaes classificadas para assegurar que elas esto adequadamente classificadas. Adicionalmente, os privilgios e direitos de acesso dos usurios devem ser revisados para assegurar que esto de acordo com as necessidades de cada um. Uma vez que os critrios de classificao esto adequadamente definidos e implementados, a equipe dever determinar a classificao que ser utilizada e os controles de segurana adequados. Fatores especiais, incluindo exigncias legais, devem ser consideradas no momento de estabelecer a classificao. Muitas classificaes no so aconselhadas, pois podero gerar confuses para os proprietrios das informaes ou encontrar algum tipo de resistncia para sua implementao. A equipe no deve permitir que as reas de negcio utilizem classificaes diferentes daquelas especificadas nas polticas da organizao.

45

Cada classificao deve ser de fcil compreenso e claramente descrita para demonstrar a diferenciao entre cada uma delas. Segue abaixo exemplo utilizado por muitas organizaes: Classe 1: pblica/informao no classificada Informaes que, se forem divulgadas fora da organizao, no traro impactos aos negcios. A integridade dos dados no vital. Exemplo: testes de sistemas ou servios sem dados confidenciais, brochuras e folders da organizao. Classe 2: informao interna O acesso externo s informaes deve ser evitado. Entretanto, se estes dados tornarem-se pblicos, as conseqncias no so crticas. A integridade dos dados importante, mas no vital. Exemplo: agendas de telefones e ramais, grupos de desenvolvimento de sistemas aplicativos onde os dados utilizados so fictcios. Classe 3: informao confidencial As informaes desta classe devem ser confidenciais dentro da organizao e protegidos de acesso externo. Se alguns destes dados forem acessados por pessoas no autorizadas, as operaes da organizao podem ser comprometidas, causando perdas financeiras e perda de competitividade. A integridade dos dados vital. Exemplos: salrios, dados pessoais, dados de clientes, senhas e informaes sobre as vulnerabilidades da organizao. Classe 4: informao secreta O acesso interno ou externo no autorizado a estas informaes extremamente crtico para a organizao. A integridade dos dados vital. O nmero de pessoas com acesso as informaes deve ser muito pequeno, bem como regras restritas para sua utilizao. Exemplos: informaes de votao secreta ou contratos confidenciais. Segundo Prof. Vera Paucker Harger [14], os ativos da organizao devem ser inventariados, classificados de acordo com o grau de confidencialidade, disponibilidade e integridade e haver um proprietrio com a responsabilidade da manuteno dos controles apropriados, voltados a garantir a segurana dos ativos em questo. Ativos so todos os servios, informaes, sistemas computadorizados e equipamentos da organizao. As informaes necessitam ser classificadas e rotuladas, de acordo com o grau de confidencialidade exigido pelos negcios da Companhia, para que recebam um nvel apropriado de proteo. Desta forma, tambm necessitam ser inventariadas e receber um 46

proprietrio com a incumbncia de proteg-las. Adicionalmente, cuidados com o manuseio das informaes devem ser endereados de acordo com seus rtulos . 2.9. ENGENHARIA SOCIAL H uma frase de llen Frisch [15] que diz: Segurana tem incio e termina com as pessoas. Muitos executivos pensam que suficiente a implementao de regras, regulamentos, polticas, normas, bem como o uso de programas de proteo da informao. Estas so aes importantes, contudo so parte da soluo. essencial que haja a conscientizao das pessoas da organizao, sejam elas funcionrios, prestadores de servios, executivos e acionistas. Infelizmente a informao no considerada como fonte preciosa de posse particular. Ou seja, como objeto preponderantemente valioso que cada funcionrio carrega consigo, desde o momento em que se instala na empresa at o presente momento. Funcionrios despreparados podem ser alvos fceis da tcnica denominada Engenharia Social. Mas o que vem a ser Engenharia Social? Emerson Alecrim [16] a define como sendo qualquer mtodo usado para enganao ou explorao da confiana das pessoas para a obteno de informaes sigilosas e importantes. Ou, segundo um dos maiores especialistas na arte da Engenharia Social, Kevin Mitnick [17]: um termo diferente para definir o uso da persuaso para influenciar as pessoas a concordar com um pedido. Em geral, o Engenheiro Social tem o perfil do tipo de pessoal agradvel, simptica, educada e carismtica. Alm disso, criativo, flexvel e dinmico, possuindo uma conversa bastante envolvente. Ele utiliza vrias ferramentas para a prtica da engenharia social, dentre elas tm-se: Telefone ou VoIP (voz sobre IP): passam-se por algum que no , Internet: utilizam sites que fornecem id e passwords, sites clonados ou via FTP,

Orkut, registro.br, Google, dentre outros. Intranet (acesso remoto): captura o micro de determinado usurio da rede e se

passa por algum que na verdade no . Pode se tratar de funcionrio insatisfeito, que constitui uma das maiores ameaas existentes. E-mail: emails falsos (Fakemails), phishing scam. Pessoalmente: o engenheiro social faz-se passar por algum que na verdade ele

no . Utiliza a persuaso e como um artista de teatro, adota toda uma encenao, a fim de manipular a vtima de forma bastante convincente no que diz. 47

Chats (bate papo): Utilizam softwares de canais de bate-papo, tais como

Messenger, ICQ, IRC para obter informaes valiosas, passando-se por algum que na verdade no . Fax: praticando os mesmos princpios do email, o engenheiro social envia

pedidos de requisio, formulrios de preenchimento, dentre outros, para posterior retorno do que se deseja obter. Cartas/correspondncias: utilizado principalmente para enganar pessoas mais

velhas e principalmente aquelas que tm certa resistncia tecnologia. Da o engenheiro social elabora cartas documentos com logomarcas e tudo mais, dando a impresso de que se trata realmente da origem. Sypware: software espio usado para monitorar de modo oculto as atividades do

computador alvo. Mergulho no lixo (Dumpster diving): muitas informaes valiosas so

jogadas no lixo diariamente sem que o documento passe por um triturador. Surfar sobre os ombros: o ato de observar se uma pessoa digitando no

teclado do computador para descobrir e roubar sua senha ou outras informaes de usurio, em geral em locais pblicos. P2P (Peer-to-Peer): tecnologia empregada para estabelecer uma espcie de rede

de computadores virtual onde cada estao possui capacidades e responsabilidades equivalentes. Difere da arquitetura cliente/servidor, no qual alguns computadores so dedicados a servirem dados a outros. Aparentemente mal empregado, o termo Peer-to-Peer, quando usado para aplicaes como o Napster, ressaltam a importncia do papel exercido pelos ns da rede. Estes passam a servir como provedores de informao, e no apenas consumidores passivos. So exemplos de aplicaes Peer-to-Peer: Kazaa, Freenet, Emule, Edonkey, aMule, Shareaza, LimeWire, etc. O engenheiro social utiliza vrias tcnicas para obter as informaes de que necessita. Uma delas a criar confiana nas pessoas que deseja enganar. Aps adquirir esta confiana, passa a atacar e conseguir as informaes. Ele prepara toda a teia de situaes que podem vir a ocorrer, como questionamentos e perguntas das quais ele possa ter que responder no ato, sem gaguejar, ou demonstrar insegurana, a ponto da vtima no ter motivo de desconfiar algo estranho na pessoa. 48

O hacker pode ser considerado o primo longe do engenheiro social. Nem todo engenheiro social um hacker, mas em alguns casos o hacker chega a ser um engenheiro social, com condutas semelhantes captura de informaes. O hacker age de forma a explorar muito mais as vulnerabilidades tcnicas, enquanto o engenheiro social explora as vulnerabilidades humanas. A internet um excelente recurso para coleta de informaes, assim como para aprimorar ataques de engenharia social. Armadilhas como sites clonados, mensagens enganosas que chegam ao correio eletrnico, denominados fakemail ou Scam (email falsos) que se passam por mensagens verdadeiras para atrair internautas. A idia consiste em usar o nome de uma empresa ou de algum servio conhecido na internet para convencer usurios a clicarem no link da mensagem. No entanto, esse link no aponta para o que a mensagem oferece, mas sim para um site falso que tem o mesmo layout de um site verdadeiro ou para um arquivo executvel que tem a funo de capturar informaes da mquina da vtima. Segundo Emerson Alecrim [19], os scams usam qualquer tema, porm, os mais comuns fingem ser e-mails de cartes virtuais. Nestes casos, o link para a visualizao do carto geralmente aponta para um arquivo executvel e muita gente, na expectativa de ver o carto, clica no link sem checar se este mesmo verdadeiro. H tambm scams que usam como tema assuntos financeiros, como mensagens que fingem ser e-mails de bancos conhecidos solicitando ao internauta o recadastramento de informaes, sob o pretexto de alguma vantagem tentadora. Caso o usurio clique no link, este o levar um site falso com um visual igual ou semelhante pgina do banco em questo e, por isso, o internauta tende a no desconfiar que aquele endereo falso e acaba fornecendo suas informaes, inclusive senhas. A questo que, cada vez mais, os internautas esto tomando cincia desses golpes e os scammers - os criminosos que enviam as mensagens falsas - esto em constante busca de alternativas para continuar a aplicar os golpes. Uma das tcnicas encontradas o uso do medo e do susto. Isso funciona, basicamente, da seguinte forma: uma mensagem chega caixa de e-mails do internauta dizendo que este possui dvidas pendentes (por exemplo, em contas de telefone) ou irregularidades em algum documento (por exemplo, no CPF - Cadastro de Pessoa Fsica). Qualquer pessoa honesta realmente fica preocupada ao receber uma notificao desse tipo e, algumas, mesmo tendo cincia dos golpes que chegam por e-mail, no momento do 49

susto, podem acabar acreditando na mensagem e clicam no link que a acompanha, na expectativa de obter detalhes sobre o suposto problema. Como exemplo de mensagem falsa, a imagem a seguir uma falsa notificao da Receita Federal. A mensagem diz que o CPF do usurio est cancelado ou pendente de regularizao. Repare que o texto apresenta links, mas todos apontam para

"www.pandoranyx.com/VampireForum/mail/cartao0401.scr". Veja que esse endereo no tem nenhuma ligao com o site da Receita Federal (www.receita.fazenda.gov.br). Note tambm que o campo "De:" da mensagem tem como emissor o e-mail

"receita@receita.fazenda.gov.br". Essa uma caracterstica que pode levar o internauta a acreditar que a mensagem mesmo verdadeira. No entanto, no : spammers (pessoas que enviam SPAM) e scammers usam softwares capazes de enviar milhares de e-mails por minuto. Esses programas so dotados de recursos que permitem ao emissor indicar qualquer endereo como remetente. Dessa forma, uma mensagem falsa pode ter o campo "De:" preenchido com um endereo da Receita Federal, do FBI, do InfoWester, enfim, de qualquer site. Se o cabealho dessas mensagens for analisado, ser possvel constatar que a emisso no foi feita pelo endereo indicado anteriormente.

Figura 2.6 - Imagem de um e-mail falso (scam) [ALECRIM, 2005]

50

2.9.1.

Engenheiro Social versus Security Officer

Segundo Mrio Csar Peixoto [10], o Security Officer no deixa de ser um engenheiro social do bem, devido a ter que conhecer suas tcnicas, seu modo de agir, enfim, o perfil com atitudes e suspeitas de que esteja se deparando com um ataque da engenharia social, caso este suposto engenheiro social esteja realmente aplicando suas habilidades por um propsito malfico. O Security Officer utiliza tcnicas e ferramentas que muitas vezes o engenheiro social mal intencionado utiliza, para detectar, demonstrar e descobrir as fragilidades existentes (ou o chamado elo mais fraco) dentro da organizao e poder assim tomar medidas aplicveis a evitar ou dificultar o que antes era um ponto de vulnerabilidade. Contudo, infelizmente, existe no somente o lado da curiosidade, impetuosidade ou "vontade de descobrir o que no pode", mas sim o lado da maldade, do rancor e at mesmo da vingana, que o ser humano carrega consigo transpondo as barreiras do bom senso, da responsabilidade e, sobretudo, a do respeito, fazendo com que tais habilidades sejam utilizadas na "arte de enganar" pessoas. Sero abordadas algumas medidas que o Security Officer e sua equipe de segurana podero implementar como medidas de controle de segurana, assim como treinamentos e sensibilizao.
2.9.2. Soluo Corporativa de Segurana da Informao

Segundo Marcos Smola, a Soluo Corporativa de Segurana da Informao o resultado da criao de uma estrutura corporativa adequadamente posicionada no organograma denominada Comit Corporativo de Segurana da Informao, baseado em um modelo de gesto dinmico, com autonomia e abrangncia, coordenado por um executivo em ao focada intitulado Security Officer. O Security Officer tem que ser o mediador, orientador, questionador, analisador de ameaas, impactos e consequentemente responsvel por um estudo de viabilidade para cada situao e etapas a serem impostas, na esfera das estratgias de anlise dos riscos [1]. Este, apoiado por uma equipe prpria ou terceirizada, e por representantes de departamentos ou gestores dos processos crticos, orientados por um Plano Diretor de Segurana desenvolvido sob medida e alinhado s diretrizes estratgicas do negcio, que ir organizar as atividades em busca da adoo de controles que conduzam os riscos ao patamar operacional definido como ideal. Realmente no tarefa fcil elaborar e executar um Plano Diretor de Segurana, mas bastante possvel na medida em que se conheam verdadeiramente os negcios da empresa tendo a liberdade de propor novos planos Diretoria. Sem entrar especificamente em detalhes sobre cada 51

processo, ser apenas mencionado cada um (apenas como uma viso "top-down"); sabendo-se da grande importncia que existe para o Security Officer de aplicar tais processos, cada um com suas particularidades: Soluo Corporativa de Segurana da Informao; Plano Diretor de Segurana; Plano de Continuidade de Negcios; Poltica de Segurana da Informao; Anlise de Riscos e Vulnerabilidades; Testes de Invaso; Implementao de Controles de Segurana; Treinamento e Sensibilizao em Segurana; Equipe para Resposta a Incidentes; Administrao e Monitorao de Segurana.

Cada caso um caso, em detrimento ao que ser implementado como processo para cada empresa. Entende-se ento que no existe uma soluo padro para ser aplicada em todas as empresas e sim planos personalizados conforme a necessidade de cada uma. 2.10. PROPOSTAS DE SEGURANA Tendo que se preocupar com a segurana em diversos aspectos, sendo o tecnolgico muita das vezes o foco de principal ateno a ser lembrado, fica dispersa a implementao de controles de segurana, principalmente relativa aos outros dois: fsicos e humanos. Aos poucos se percebe que no mais est sendo to comum essa cultura de "esquecer" estes outros dois fatores, como tambm delimitadores da emergente necessidade de investir maiores esforos quanto aplicabilidade aos mecanismos de controle de segurana a fim de atingir o nvel de risco adequado. Quanto aos riscos inerentes aos fatores humanos, podem-se destacar como exemplo os seguintes controles: Seminrios de sensibilizao; Cursos de capacitao; Campanhas de divulgao da poltica de segurana; Crachs de identificao; Procedimentos especficos para demisso e admisso de funcionrios; 52

Procedimentos especficos para tratamento de recursos terceirizados; Termo de responsabilidade; Termo de confidencialidade; Softwares de auditoria de acessos; Softwares de monitoramento e filtragem de contedo.

Quanto aos riscos inerentes aos fatores fsicos, para um melhor controle e proteo, podemos citar: Roletas de controle de acesso fsico; Climatizadores de ambiente; Detectores de fumaa; Acionadores de gua para combate a incndio; Extintores de incndio; Cabeamento estruturado; Salas-cofre; Dispositivos de biometria; Certificados Digitais de Token; Circuitos internos de televiso; Alarmes e sirenes; Dispositivos de proteo fsica de equipamentos; Nobreaks; Dispositivos de armazenamento de mdia magntica; Fragmentadoras de papel.
Dificultando a Vida do Engenheiro Social

2.10.1.

A maior prova para se ter certeza de que voc ser a prxima vtima da engenharia social simplesmente subestimar o praticante desta arte. Mas como ao certo saber quem afinal o engenheiro social naquele dado momento, lugar ou situao? No saber, na primeira instncia. Apenas desconfiar de algum suspeito medida que voc v adquirindo conhecimento das tcnicas padres e revolucionrias da engenharia social. E assim percebendo algumas "gafes" do engenheiro social, deixar a incerteza para ento capturar o alvo certo. Mas a equipe de segurana, ou o Security Officer pode muito bem dificultar a vida deste audacioso elemento, que no mais ser surpresa e sim presa fcil, se aplicada a j mencionada 53

tcnica da engenharia social reversa (para isso devero existir profissionais treinados e preparados para executar tal procedimento) mais alguns mtodos de autenticao que podem ser divididos em trs grupos, segundo o grau de segurana que oferecem. 1. O que voc sabe? 2. O que voc tem? 3. O que voc ?
2.10.2. O que voc sabe

Mtodo baseado na utilizao de senhas. No deixa de ser uma maneira para dificultar a entrada no autorizada, mas definitivamente no o mais eficiente e seguro. Consiste em no colocar as chamadas "senhas fortes", onde se tenha no mnimo seis dgitos com nmeros e letras misturados e que no lembre nada do mundo real, como: nomes prprios, placas de automvel, datas de nascimento dentre outros. Nativamente este mtodo j revela fragilidades, pois a segurana depende de fatores internos como a estrutura de construo e manuteno da senha, bem como de fatores externos ao mtodo como o comportamento dos agentes que podem ter desvios de conduta, levando ao comprometimento do mecanismo. Compartilhar a senha, selecionar uma senha fraca, no mant-la em segredo ou, ainda, manuse-la sem os critrios adequados, podem por em risco toda a eficincia do mtodo. Desmistificando a classificao popular de senha fraca ou forte, tome como base os critrios de classificao Acadmica e Prtica. Academicamente falando, uma senha pode ser classificada como forte se possuir mais de seis caracteres, misturar nmeros, letras em maisculo, em minsculo e caracteres especiais como colchete, asterisco etc. E pode ser classificada como fraca se possuir menos de seis caracteres, se for construda apenas por nmeros, letras maisculas ou minsculas e, principalmente, quando, apesar de possuir tamanho maior, representar alguma informao do mundo real, ou seja, nomes prprios, placa de automveis, datas de nascimento etc. Em contrapartida, adotando o critrio prtico de classificao, uma senha pode assumir o rtulo de forte ou fraca dependendo, fundamentalmente, de trs fatores: do valor e importncia das informaes protegidas por ela, do tempo em que a senha estar cumprindo o papel de proteo, e pelo poderio, interesse e disposio que um suposto interessado despenderia para obter acesso informao protegida.

54

2.10.3.

O que voc tem

Baseado na utilizao de dispositivos fsicos para facilitar de forma mais confivel as autenticaes de acesso. Mtodo aplicado conforme tambm as necessidades do nvel de segurana desejado; alm do oramento disponvel para implementar determinada tecnologia. Vem sendo adotado de forma crescente baseado na utilizao de dispositivos fsicos que so apresentados em processos de autenticao de acessos. H um grande conjunto de dispositivos que se encaixam neste perfil. A escolha do melhor mecanismo est diretamente atrelada ao nvel de segurana necessrio para as informaes e inevitavelmente ao oramento disponvel. Carto com cdigo de barras; Carto magntico; Smartcard; Tokens, etc.
O que voc

2.10.4.

Ainda em fase de popularizao e barateamento, este mtodo emprega dispositivos fsicos que realizam mtricas biomtricas para identificar pessoas que exercem o direito de acesso a informaes, ambientes etc. Costumeiramente, so equipamentos dispendiosos devido tecnologia de ponta empregada, pois se baseiam na leitura de informaes do corpo humano, que so nicas em cada indivduo. O nvel de segurana oferecido por cada dispositivo depende diretamente da mtrica usada e do nmero de pontos de comparao disponveis por cada parte do corpo analisado. Geralmente um dos mtodos mais caros, mas tambm um dos mais eficientes, consiste em empregar dispositivos fsicos que realizam mtricas biomtricas para identificar pessoas que exercem o direito de acesso a informaes, lugares etc. Geometria das mos; Geometria da face; Identificao digital; Reconhecimento da voz; Leitura de ris, etc.

A idia sem dvida dificultar ao mximo que puder a concretizao dos planos que o engenheiro social tem em mente e deseja pr em prtica. Pois como o maior entendido do 55

assunto, Kevin Mitnick, havia dito: "A verdade que no existe uma tecnologia no mundo que evite o ataque de um engenheiro social" [17]. O importante que deve haver a conscientizao por parte de todos os empregados, para assim ao menos amenizar as ameaas da engenharia social. E esta conscientizao dever estar sendo combinada s polticas de segurana, juntamente com os hbitos das condutas corretas segmentadas s regras definidas, completando com treinamentos. Funcionrios treinados e conscientes fazem com que aumente de forma considervel o conhecimento baseado nas polticas de segurana adotadas pela organizao e as tcnicas utilizadas pelo engenheiro social. Quanto maior este conhecimento, maior ser a resistncia de se cair nas armadilhas do engenheiro social. Algumas autoridades recomendam que 40% do oramento geral para segurana da empresa seja aplicado no treinamento da conscientizao. Diante de tantas opes de autenticao e da oferta de diferentes nveis de segurana proporcionados por cada mtodo, fator crtico de sucesso para o gestor da segurana analisar em detalhes o permetro-alvo da autenticao, as reais necessidades de proteo impostas pela criticidade das informaes e os impactos relacionados ao desempenho e montante de investimento demandado. Mesmo assim, podem surgir situaes em que um nico mtodo no atenda aos requisitos mnimos de segurana, tornando necessrio combinar um ou mais mtodos. Estas solues hbridas tm sido uma constante em segmentos especficos, como o financeiro, onde o cliente, alm de possuir um carto magntico, tem de inserir uma senha fixa e, ainda, informaes pessoais de comprovao de identidade.
2.10.5. Plano de treinamento

Os recursos humanos so considerados o elo mais frgil da corrente, pois so responsveis por uma ou mais fases de processo de segurana da informao. Esta situao ratificada pelo fato de o peopleware no ter um comportamento binrio e previsvel em que se possa eliminar todas as vulnerabilidades presentes. O ser humano uma mquina complexa, dotada de iniciativa, criatividade e que sofre interferncia de fatores externos, provocando comportamentos nunca antes experimentados. O fator surpresa um dos pontos nevrlgicos dos processos de segurana que dependem das pessoas. Se especificarmos normas de criao, manuseio, armazenamento, transporte e descarte de senhas, implementamos recursos tecnolgicos de auditoria e autenticao de acesso para tornar um ambiente mais seguro, podemos ter a eficincia dessas iniciativas postas em dvida medida que um recurso 56

humano descumpra as instrues da poltica de segurana e compartilhe sua senha supostamente pessoal e intransfervel. Esses riscos precisam ser tratados de forma gradativa, objetivando formar uma cultura de segurana que se integre s atividades dos funcionrios e passe a ser vista como um instrumento de autoproteo. As aes devem ter a estratgia de compartilhar a responsabilidade com cada indivduo, transformando-o em co-autor do nvel de segurana alcanado. Somente desta forma as empresas tero, em seus funcionrios, aliados na batalha de reduo e administrao dos riscos. Muitas so as formas de iniciar a construo da cultura de segurana. Algumas delas se aplicam a pblicos com perfis diferentes; outras se aplicam a todos os perfis, mas em momentos distintos. Fazer um raio-x das problemticas e deficincias existentes dentro da organizao, diagnosticando setores frgeis quanto segurana, percebendo que a estrutura em si est comprometida a qualquer momento de sofrer um ataque da engenharia social sem ter os "anticorpos" necessrios a se defender, algo a que o Security Officer deve ficar atento. Para tanto, a estrutura do treinamento a ser aplicado a todos os funcionrios dever levar consigo j dois princpios bsicos que poderiam evitar alguns ataques, conforme observou Mitnick: 1. Verificar a identidade da pessoa que faz a solicitao; ou seja, essa pessoa realmente quem diz ser? 2. Verificar se a pessoa est autorizada; ou seja, a pessoa tem a necessidade de saber ou tem autorizao para fazer a solicitao? Conforme observou Mitnick [17], um bom e prtico programa de treinamento e conscientizao visando a segurana das informaes contidas tambm os aspectos do comportamento humano pode incluir: Uma descrio do modo como os atacantes usam habilidades da engenharia social para enganar as pessoas; Os mtodos usados pelos engenheiros sociais para atingir seus objetivos; Como reconhecer um provvel ataque da engenharia social; O procedimento para o tratamento de uma solicitao suspeita; A quem relatar as tentativas da engenharia social ou os ataques bem sucedidos; 57

A importncia de questionar todos os que fazem uma solicitao suspeita, independentemente da posio ou importncia que a pessoa alega ter; O fato de que os funcionrios no devem confiar implicitamente nas outras pessoas sem uma verificao adequada, embora o seu impulso seja dar aos outros o benefcio da dvida;

A importncia de verificar a identidade e a autoridade de qualquer pessoa que faa uma solicitao de informaes ou ao; Procedimentos para proteger as informaes confidenciais, entre eles a familiaridade com todo o sistema de classificao de dados; A localizao das polticas e dos procedimentos de segurana da empresa e a sua importncia para a proteo das informaes e dos sistemas de informaes corporativas;

Um resumo das principais polticas de segurana e uma explicao do seu significado. Por exemplo, cada empregado deve ser instrudo sobre como criar uma senha difcil de adivinhar;

A obrigao de cada empregado de atender s polticas e as conseqncias do seu no-atendimento. A motivao para que o funcionrio aplique de forma mais eficaz tais medidas de segurana das informaes promover, por exemplo, certificados pela concluso e acompanhamento dos programas de treinamento oferecidos pela empresa; brindes ou prmios por estar colaborando significativamente para a diminuio dos ataques sofridos, dentre outras maneiras.

Seria tambm muito importante fazer com que o funcionrio assinasse algum termo de comprometimento quanto ao seguimento das polticas e princpios de segurana que foram ministrados pelo programa. Geralmente quando as pessoas assinam algo, as chances de se esforar para cumprir os procedimentos aumentam.

2.10.6.

Exemplos para Reforar a Conscientizao

Apesar de se ter em mente que os planos para o desenvolvimento de um programa de conscientizao partam quase que exclusivamente do departamento de Tl, por estar envolvendo tecnologias e estruturas fsicas, no se pode esquecer que envolve tambm principalmente o mais importante de todos: o ser humano. Ento nada mais justo e coerente que desenvolver o plano de

58

conscientizao da segurana das informaes juntamente com o departamento de Recursos Humanos. O programa de conscientizao dever ser criativo, dinmico e convincente. Demonstrar que aquilo que est sendo posto em prtica realmente necessrio e sobretudo importante. Portanto, assim como na propaganda tradicional, o humor e a inteligncia ajudam. Fugir da mesmice de divulgaes que nunca mudam, ou seja, que j se tornam bastante familiares, fazendo assim com que comecem a serem ignoradas, colabora para que fiquem mais "enraizadas" as mensagens na mente de cada um. Seminrios O trabalho deve comear com seminrios abertos voltados a compartilhar a percepo dos riscos associados s atividades da empresa, os impactos potenciais no negcio e, principalmente, o comprometimento dos processos crticos se alguma ameaa se concretizar. Desta forma, cada funcionrio passa a se enxergar como uma engrenagem da mquina e coresponsvel por seu bom funcionamento, podendo gerar impactos diretos ao seu processo e indiretos a processos adjacentes. Campanha de Divulgao importante que a empresa disponha de uma poltica de segurana atualizada e alinhada s necessidades e estratgias do negcio, mas fundamental que ela seja reconhecida pelos funcionrios como o manual de segurana da empresa. Suas diretrizes devem ser conhecidas por todos, e suas normas, procedimentos e instrues especficas devem ser apresentados a cada grupo com perfil de atividade semelhante. Desta forma, cada membro percebe suas responsabilidades dentro de um modelo de segurana nico, motivando-o a colaborar. Mas no suficiente. Lembre-se de que os resultados efetivos de comprometimento ocorrem lentamente e, muitas vezes, requerem aes complementares. Por conta disso, a campanha dever lanar mo de diversos artifcios para comunicar os padres, critrios e instrues operacionais, como cartazes, jogos, peas promocionais, protetores de tela, e-mails informativos, e-mails de alerta, comunicados internos, pginas especializadas na Intranet etc.

59

Carta do Presidente Como instrumento de oficializao dos interesses da empresa em adequar o nvel de segurana de suas informaes a partir do envolvimento de todos os nveis hierrquicos conveniente que o presidente, CEO ou CIO externe esta vontade oficialmente. A Carta do Presidente tem esse papel e disponibilizada, quando no, encaminhada a cada funcionrio, dando um carter formal ao movimento. Por vezes, este documento aparentemente simples, responsvel por muitos apoios espontneos e o natural fortalecimento do plano estratgico de segurana da informao.

Termo de Responsabilidade e Confidencialidade Considerado mais um importante instrumento de sensibilizao e formao de cultura, o Termo de Responsabilidade e Confidencialidade tem o propsito de formalizar o compromisso e o entendimento do funcionrio diante de suas novas responsabilidades relacionadas proteo das informaes que manipula. Alm disso, este termo se encarrega de divulgar as punies cabveis por desvios de conduta e, ainda, esclarecer que a empresa o legtimo proprietrio dos ativos, incluindo as informaes, que fluem pelos processos de negcio e ora so temporariamente custodiadas pelas pessoas. Cursos de Capacitao e Certificao Dentro do quadro de funcionrios, existem perfis profissionais que necessitam de maior domnio dos conceitos, mtodos e tcnicas de segurana, podendo inclusive, variar sua rea de interesse e profundidade. Os administradores de rede, por exemplo, precisam estar preparados para reagir s tentativas de ataque e invaso, ou para contingenciar situaes de risco. O Security Officer, por sua vez, deve ter condies de definir, medir e avaliar os ndices e indicadores de segurana para subsidiar seus planos de gesto e seu planejamento de trabalho, a fim de garantir a total integrao das aes e, principalmente, alcanar os objetivos. Para todos esses casos, no bastam os seminrios, campanhas de conscientizao ou a carta do presidente. Eles precisam de Capacitao formal atravs de cursos especializados, que propem uma certificao como instrumento de reconhecimento da competncia. Pela heterogeneidade de perfis, surgem demandas de cursos verticalmente tcnicos, voltados a capacitar recursos em uma determinada tecnologia de segurana, bem como demandas para orientao e preparao de Security Officers. Entretanto, relevante destacar a necessidade de processos contnuos de sensibilizao e Capacitao das pessoas, 60

sob pena de ter a equipe estagnada e, brevemente, despreparada para a administrao das novas situaes de risco. Alguns exemplos para reforar a concretizao de um plano constante de conscientizao podem incluir: O fornecimento de trabalhos, pesquisas, artigos para leitura voltados engenharia

social, para todos os funcionrios; A incluso de itens informativos nas circulares da empresa: por exemplo, artigos,

lembretes (de preferncia itens curtos que chamem a ateno) ou quadrinhos; A colocao de uma foto do funcionrio da Segurana do ms; Psteres afixados nas reas dos empregados; Notas publicadas no quadro de avisos; O fornecimento de lembretes impressos nos contracheques de pagamento; O envio de lembretes por correio eletrnico; O uso de protees de tela relacionadas com segurana; A transmisso de anncios sobre a segurana por meio dos sistemas de voice mail; A impresso de etiquetas para o telefone com mensagens tais como: "A pessoa que

est ligando quem ela diz ser"?; A configurao de mensagens de lembrete que aparecem quando o computador

ligado, tais como: "Criptografe as informaes confidenciais antes de envi-las"; A incluso da conscientizao para a segurana como o item-padro nos relatrios de

desempenho dos empregados e nas anlises anuais; A publicao na intranet de lembretes de conscientizao para a segurana, talvez

usando quadrinhos ou humor, ou alguma outra maneira que incentive as pessoas a lerem; O uso de um quadro eletrnico de mensagens na lanchonete, com um lembrete de

segurana que seja trocado freqentemente; A distribuio de folhetos ou brochuras; E pense naqueles biscoitos da sorte que so distribudos de graa na lanchonete,

contendo cada um deles um lembrete sobre a segurana em vez de uma previso. Toda precauo e divulgao quanto segurana so vlidos. Assim como as ameaas so constantes, os lembretes tambm devem ser constantes.

61

2.10.7.

Atuao do Security Officer

Assim como o chamado ombudsman, o Security Officer a pessoa responsvel por criticar, argumentar e questionar fatos e fatores, casos e ocorrncias, sendo s vezes conhecido como o indivduo "chato" da organizao. Algo interessante seria a empresa contratar uma pessoa desconhecida por todos que nela trabalham a fim de ser basicamente um "espio" colaborador s exigncias impostas e determinadas pelo Security Officer e sua equipe de segurana. Esse trabalho seria feito periodicamente de tempos em tempos (conforme a necessidade emergente, ou at mesmo pela rotina padro que fora determinada pelo Security Officer). Deve constar no contrato que este profissional espio estabelea total acordo de confidencialidade a todas as informaes repassadas, assim como principalmente as descobertas de vulnerabilidades detectadas por ele, pelo fato agora deste ser tambm um funcionrio da empresa (mesmo sem estar trabalhando com a periodicidade de costume, dos demais empregados). O papel do Security Officer no ficaria ofuscado de maneira alguma com a presena deste espio. Seria apenas mais uma poderosa ferramenta para ajudar na diminuio de pontos vulnerveis que possam mais tarde se tornar ameaas crnicas resultando em impactos s vezes irreparveis. O surgimento deste novo tipo de profissional poder vir a crescer daqui a alguns anos, mediante a verdadeira tnica da insegurana crescente que se alastra cada vez mais, pondo em cheque a estabilidade de qualquer organizao. Seguindo trs critrios de verificao relevantes quanto ajuda na identificao de determinada pessoa que solicita alguma informao, faz com que as possibilidades desta pessoa conseguir enganar ou convencer sejam menores. Os critrios seriam os seguintes: Verificao da identidade; Verificao do status do empregado; Verificao da necessidade de saber.

A verificao da identidade poderia estabelecer os seguintes recursos como fatores dificultantes ao praticante da engenharia social: retorno; Realizar um modo de Autorizao, onde se verifica realmente se determinado solicitante 62 Identificador de chamadas, realizando posteriormente tambm uma ligao de

tem o consentimento de algum de confiana da empresa;

Utilizar do chamado "segredo compartilhado", como por exemplo um cdigo dirio

ou uma senha (isto , uma IGD Interna); Utilizar o e-mail seguro, que uma forma de mensagem assinada digitalmente; Fazer o reconhecimento pessoal de voz, como por exemplo, j ter falado pessoalmente

com essa pessoa, conhecendo a verdadeira voz do outro lado da linha; Outro recurso a de se apresentar pessoalmente com identificao, ou seja, alm de

estar l de corpo presente, tem tambm que mostrar o crach para se identificar (de preferncia com foto). Na verificao do status do empregado, algumas outras medidas parte devem ser levadas em conta. Sempre atente-se quele ex-funcionrio. O empregado demitido to perigoso quanto o Engenheiro Social, pois, infelizmente, pode haver o sentimento de vingana e descontentamento por parte deste funcionrio demitido, levando informaes importantes da empresa. Vejamos alguns mtodos para verificar a autenticidade deste solicitante de informaes, sabendo se ou no ainda um integrante da empresa: Fazer uma verificao na lista de empregados que esto em atividade, ou verificar

naquele ms a relao de empregados demitidos ou admitidos; Realizar a verificao com o gerente do solicitante; Verificao do departamento ou grupo de trabalho do solicitante.

Por fim, a verificao da necessidade de saber considera algo simples a ser questionado: "Por que voc quer saber sobre isso?". Algumas formas que ajudam a diminuir esse gargalo e filtrar a passagem somente daqueles que na verdade so reconhecidos e autorizados tm como alguns mtodos Consultar a lista de cargos, grupos de trabalho e/ou responsabilidades; Obter autorizao de um gerente; Obter a autorizao do proprietrio ou criador das informaes.

Em sntese, o Security Officer dever saber identificar alguns sinais de ataque do Engenheiro Social, tais como, por exemplo: Recusa em dar um nmero de retomo; Solicitao fora do comum; Alegao de autoridade; nfase na urgncia; Ameaas de conseqncias negativas em caso de no atendimento; 63

Mostrar desconforto quando questionado; Nome falso; Cumprimentos ou lisonja; Flerte.

Penalidades e Processos Disciplinares

2.10.8.

Nenhuma Poltica de Segurana pode ser estabelecida sem estas consideraes. Os executivos devem demonstrar que punies severas sero aplicadas aos colaboradores da organizao (estagirios, prestadores de servio, funcionrios etc.) que desrespeitarem ou violarem as polticas internas. Essa severidade ser determinada em funo do grau de problemas e ou prejuzos atribudos organizao. Pode-se simplesmente mudar as atividades realizadas por um determinado profissional e, em casos graves, realizar sua demisso e aplicar as sanes legais. O principal objetivo de estabelecer punies pelo no-cumprimento da poltica incentivar os usurios a aderirem a ela e tambm dar respaldo jurdico organizao. Qualquer violao deve ser imediatamente levada ao conhecimento da Alta Administrao. A rea de Segurana da Informao, bem como os responsveis pelas reas de negcio, devero assegurar que o problema da violao foi resolvido e executar as aes necessrias para evitar reincidncias. A prpria Poltica de Segurana deve prever os procedimentos a serem adotados para cada caso de violao, de acordo com sua severidade, amplitude e tipo de infrator que a executa. A punio pode ser desde uma simples advertncia verbal ou escrita at uma ao judicial. Atualmente, existem leis que prevem penas para os casos de: de dados; Insero de dados falsos em sistemas de informao; Modificao ou alterao no autorizada de sistemas; Divulgao de informaes sigilosas ou reservadas; Fornecimento ou emprstimo de senha que possibilite o acesso de pessoas no Violao de integridade e quebra de sigilo de sistemas informatizados ou bancos

autorizadas a sistemas de informaes. Fica ainda mais evidente a importncia da conscientizao dos funcionrios quanto Poltica de Segurana da Informao. Uma vez que a Poltica seja de conhecimento de todos, no 64

ser admissvel que as pessoas aleguem o desconhecimento das regras nela estabelecidas a fim de se livrar da culpa sobre as violaes cometidas. Quando detectada uma violao, preciso averiguar suas causas, conseqncias e circunstncias nas quais ocorreu. Pode ter sido derivada de um simples acidente, erro ou mesmo desconhecimento da poltica, como tambm de negligncia, ao deliberada e fraudulenta. Essa averiguao possibilita que as vulnerabilidades at ento desconhecidas pelo pessoal da gerncia de segurana passem a ser consideradas, exigindo, se for o caso, alteraes nas polticas.
2.10.9. Concluso

A questo da privacidade estar cada vez menor, ao ponto de daqui a alguns anos quase no mais existir, fato. As informaes, sejam elas pessoais ou empresariais, esto cada vez mais fceis de serem encontradas e utilizadas. O patamar em que se encontram tais informaes sendo expostas da forma que so, to facilmente divulgadas e compartilhadas, no est definitivamente no mesmo patamar da noo e conscientizao das pessoas fsicas e jurdicas com relao a esta "imprivacidade" que delas detm. Programar diversos mecanismos de identificao, autorizao, armazenamento de dados, sistemas de auditoria, inspeo e Checagem ajudam. E devem ser levados em conta, para que haja maior segurana quanto exposio involuntria ou no de informaes pessoais e tcnicas, enfim, confidenciais. A rdua tarefa de ser este "super-homem" ou de se ter a "superequipe" algo realmente difcil. Adquirir um nvel de profissionais com alta capacidade de bom relacionamento interpessoal e ao mesmo tempo bons conhecimentos tcnicos, est complicado. O investimento no pouco, e muito menos com retorno em curto prazo. Mas compensa na medida em que se valorizem cada vez mais todos os ativos da empresa. O desafio grande e a caminhada para o "sossego" de obter definitiva segurana das informaes est muito longe. Principalmente devido falta de privacidade, cada vez maior. Mas quanto segurana corporativa das informaes deve, sem sombra de dvidas, ser encarada como "preciosidade" cada vez mais valorizada por cada funcionrio da organizao. Contudo, ter em mente que para se obterem profissionais aptos a trabalhar com esta segurana que as informaes merecem ter, assim como fazer com que as pessoas que trabalhem com algum meio tecnolgico principalmente sejam envolvidas a interagirem participativamente 65

s responsabilidades quanto s condutas ao tratamento das informaes que manipulam, um investimento a ser aplicado e no simplesmente mais uma despesa a ser adicionada ao oramento.

66

3. SEGURANA DA INFORMAO NO SENADO FEDERAL

3.1. VISO GERAL Segundo a Norma NBR ISO/IEC 17799 [12], essencial que uma organizao identifique os seus requisitos de segurana. Para tanto, existem trs fontes principais: 1. Avaliao de riscos dos ativos da organizao; 2. legislao vigente, os estatutos, a regulamentao e as clusulas contratuais que a organizao, parceiros, contratados e prestadores de servio tm que atender; 3. conjunto particular de princpios, objetivos e requisitos para o processamento da informao que uma organizao tem que desenvolver para apoiar suas operaes. Foge do escopo deste trabalho a realizao de levantamento dos requisitos de segurana no Senado Federal, j que um assunto abrangente e o autor no dispe de recursos tcnicos, conhecimento especializado e tempo para tal empreendimento. Quanto ao item 2, foi realizada uma pesquisa de normas internas e legislao federal em vigor sobre o assunto. Essas normas e leis esto explicitadas no captulo 10. Ressalto que no foi encontrado nos bancos de dados de normas e legislao (Nadm: Normas Administrativas) uma Poltica de Segurana da Informao no Senado Federal. Esse fato foi corroborado por meio de entrevistas a chefes de servio, diretores e servidores de diversos rgos da Casa, em que alguns desconhecem norma regulamentadora sobre o assunto e outros afirmam que no h uma Poltica de Segurana para a instituio (foram entrevistados servidores da Secretaria Especial de Informtica Prodasen, Secretaria Especial de Editoraes e Publicaes Seep, Secretaria Especial do Interlegis, Secretaria de Segurana, Secretaria de Documentao e Informao do Senado Federal). A ausncia de uma norma que trate sobre Gesto de Segurana no Senado Federal acarreta vulnerabilidades, incongruncias e outros problemas em diversos setores. Dentre os problemas mais visveis, podemos citar: 1. no unificao de medidas de segurana por parte dos rgos do Senado Federal. Cada rgo que compe a estrutura organizacional do Senado estabelece suas medidas de segurana, quando elas existem. Medidas de controle so adotadas de forma diferente para o mesmo tipo de funcionrios. Por exemplo, na Secretaria Especial de Informtica Seep, que cuida da impresso grfica do Senado, os estagirios e terceirizados no tm acesso a Internet, o que no ocorre para diversos outros setores da Casa.

67

2. no h classificao da informao, ou seja, no h norma regulamentadora que indique a importncia, a prioridade e o nvel de proteo dos documentos impressos e eletrnicos. 3. no h uma definio explcita das proibies que envolvam segurana da informao e punies para os funcionrios em geral. Exemplo recente que ocorreu no Senado foi o bloqueio do MSN Messenger para todos os funcionrios da Casa, a menos que houvesse justificativa provando a necessidade de tal ferramenta para o trabalho. No entanto, como no h uma norma regulamentadora, apenas uma determinao por parte do Prodasen, este obrigado a cumprir ordem de desbloqueio do MSN Messenger quando uma autoridade, seja por ordem impositiva ou alegao de que precisa daquela ferramenta de comunicao, determina a sua reativao. Outra vezes, funcionrios conseguem burlar a determinao, seja utilizando senha de outros que tm permisso de utilizar o Messenger ou mesmo utilizando artifcios ou brechas na rede. 4. no h requisitos de segurana nos contratos de terceirizao. Dessa forma, no h como cobrar das firmas prestadoras de servio quando terceirizados praticam aes que burlam o aspecto de segurana no Senado, pois estes podem alegar o desconhecimento das suas responsabilidades de segurana. Embora os contratos de terceirizao podem levantar algumas questes complexas de segurana, os controles includos na Poltica de Segurana da Informao poderiam servir como ponto de partida para contratos que envolvam a estrutura e o contedo do plano de gesto da segurana. 5. no h um processo formal de registro e do cancelamento de usurio para obteno de acesso rede, e-mail, sistemas de informao e servios, bem com a devoluo de crach quando funcionrios comissionados, terceirizados ou estagirios tm seu contrato rescindido. O controle dos terceirizados do zelo e cuidado por parte dos responsveis que cuidam dos contratos terceirizados, denominados gestores de contrato. Os setores de Recursos Humanos do Senado, Prodasen e Seep, nem sempre comunicam ao rgo de TI a exonerao de servidores comissionados para fins de cancelamento do login e senha. A falta de norma regulamentadora cria uma brecha nesse sentido e essa vulnerabilidade pode ser explorada por ex-funcionrios mal intencionados. 6. as senhas de acesso rede no esto atreladas lotao do servidor nem funo que ocupa no Senado. Dessa forma, quando h mudana de lotao de servidor ou alterao da sua funo, os privilgios de utilizao dos servios de rede e de sistemas de informao multiusurio no alterado de forma automtica. Ocorre que, por falta de um procedimento 68

formal, fica a cargo da chefia do servidor a comunicao da alterao ao rgo gerente de contas do Prodasen que este em geral providencia a alterao. O problema que, s vezes por desconhecimento ou por negligncia, no ocorre a comunicao e muitas vezes, o servidor continua com os privilgios de acesso anteriores. 7. O controle de entrada fsica s instalaes no Senado de competncia da Secretaria de Segurana. Apesar disso, um visitante pode acessar as dependncias do Senado por meio da Cmara dos Deputados e vice-versa, pois no h uma barreira fsica separando os dois prdios. Um controle mais eficaz poderia ser levado adiante se houvesse um planejamento e ao conjunta com a segurana da Cmara dos Deputados. Esses foram os itens percebidos numa viso geral, sem adentrar em aspectos detalhados e outros fatos sem comprovao. Contudo, a falta de uma Poltica de Segurana da Informao, Implementao e Auditoria constituem causa para o surgimento de inmeras vulnerabilidades e ameaas informao e de quem lida com ela no dia a dia.

3.2.

PESQUISA SOBRE SEGURANA DA INFORMAO No perodo de 1 de maio a 27 de julho de 2006, foi realizada uma pesquisa sobre

Segurana da Informao no Senado Federal, com 28 perguntas com respostas objetivas, com o intuito de verificar qual o nvel de conscincia acerca desse tema na Casa. Foram distribudos 450 formulrios para servidores efetivos (47%) e comissionados (21%), estagirios (9%) e terceirizados (23%) e exercem diferentes funes e cargos nos rgos do Senado Federal. Todos os participantes trabalham na sede do Senado Federal, em Braslia. O objetivo da pesquisa o de permitir a percepo quanto ao grau de conformidade que o Senado Federal tem em relao aos controles sugeridos pelo cdigo de conduta de gesto de segurana da informao definidos pela norma NBR ISO/IEC 17799 [12]. O resultado dessa pesquisa poder servir como parmetro de evoluo nos nveis de segurana, aps a implementao de aes por parte da administrao que visem alcanar o estgio de conformidade com a referida norma. Do total dos participantes, 34% trabalham em gabinete de senador, 55% na rea administrativa (Recursos Humanos, Contabilidade, Patrimnio, etc), 2% na Secretaria Especial de Informtica Prodasen, rgo responsvel pela rea de Tecnologia da Informao, 2% trabalham no rgo grfico (Secretaria Especial de Editorao e Publicao), 1% no Interlegis (programa desenvolvido pelo Senado Federal, em parceria com o Banco Interamericano de Desenvolvimento (BID), de modernizao e integrao do 69

Poder Legislativo nos seus nveis federal, estadual e municipal) e 6% em outros locais, tais como comisses parlamentares e rgos encarregados do processo legislativo.

1 - Local onde Trabalha

60% 55%

50% Gabinete Senador 34% 30% Administrativa Prodasen SEEP Interlegis 20% Outro

40%

10% 2% 0% 2% 1%

6%

Figura 3.1 Local onde trabalha

70

28 - Voc servidor:
50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 9% 23% 21% efetivo comissionado terceirizado estagirio 47%

Figura 3.2 Classificao do funcionrio

Resultados
2 - Voc sabe o que Segurana da Informao?
80% 70% 60% 50% 40% 30% 21% 20% 11% 10% 0% sim no no sabe informar. 68%

Figura 3.3 O que Segurana da Informao?

71

3 - Voc se preocupa com a segurana das suas informaes?

100% 90% 80% 70% 60% 50% 40% 30% 20% 9% 10% 0% sim no

91%

Figura 3.4 Preocupao com a segurana da informao

4 - O Senado possui uma Poltica de Segurana da Informao?

60% 48% 39% sim 30% no no sabe informar. 20% 13% 10%

50%

40%

0%

Figura 3.5 Poltica de Segurana da Informao no Senado

72

5 - Existe controle de acesso fsico s instalaes?

60% 50% 50%

40% sim 30% 25% 25% no no sabe informar.

20%

10%

0%

Figura 3.6 Controle de acesso fsico s instalaes

6 - Voc acha que necessrio existir controle de acesso fsico s instalaes?

100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 10% 0% 4% sim no no sabe informar. 86%

Figura 3.7 Controle de acesso fsico s instalaes

73

7 - Voc sabe o que plano de contingncia?

60% 50% 50%

40% 34% 30% sim no no sabe informar. 20% 16%

10%

0%

Figura 3.8 Plano de contingncia

8 - Voc sabe se o Senado possui plano de contingncia?

60% 51% 50% 42% 40% sim 30% no no sabe informar. 20%

10%

7%

0%

Figura 3.9 Plano de contingncia

74

8.1 - Na sua opinio, quais as alternativas esto corretas?

60% 50% 50% 39% para um rgo pblico indiferente possuir um plano de contingncia. importante possuir um plano de contingncia.

40%

30%

20% 11% 10% todos os empregados devem estar devidamente preparados para executar um plano de contingncia.

0%

Figura 3.10 Plano de contingncia

9 - Voc j participou de algum treinamento em que o foco fosse a Segurana da Informao?

90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 16% sim no 84%

Figura 3.11 Treinamento em Segurana da Informao

75

10 - Voc sabe o que engenharia social?

90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 23% sim no 77%

Figura 3.12 Engenharia Social

11 - Voc considera as informaes, com as quais lida no dia-a-dia, importantes?

120% 97%

100%

80% sim no

60%

40%

20% 3% 0%

Figura 3.13 Importncia das informaes no dia-a-dia

76

12 - Voc utiliza triturador/fragmentador de papis para os documentos que so descartados?

70% 60% 50% 40% 30% 20% 10% 0% 36% sim no 64%

Figura 3.14 Utilizao de triturador/fragmentador de papis

13 - O Senado tem algum canal de comunicao para divulgar informaes sobre Segurana da Informao?
60% 53% 50% 40% 33% 30% 20% 10% 0% sim no no sabe informar. 14%

Figura 3.15 Canal de divulgao sobre Segurana da Informao

77

14 - Voc obrigado a trocar sua senha de acesso rede periodicamente?

100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 12% sim no 88%

Figura 3.16 Troca de senha periodicamente

15 - Voc compartilha sua senha de rede?

80% 70% 60% 50% 40% 31% 30% 20% 10% 0% sim no 69%

Figura 3.17 Compartilha senha?

78

16 - Voc executa arquivos anexados em email?

60% 49% 40% 40% sim no salva primeiro no computador 11% 10%

50%

30%

20%

0%

Figura 3.18 Executa arquivos anexados em e-mail?

17 - Os programas de computadores que voc utiliza possuem licenas?

80% 70% 60% 50% sim 40% 30% 20% 10% 0% 3% 29% no no sabe informar. 68%

Figura 3.19 Licenas de softwares

79

18 - Voc consegue instalar software externo no seu computador?

60% 52% 50%

40% sim 30% 21% 20% 27% no no sabe informar.

10%

0%

Figura 3.20 Instalao de software externo

19 - Voc consegue fazer download de arquivo da Internet e instalar no seu computador

50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 16% sim no no sabe informar. 38% 46%

Figura 3.21 Download de arquivo

80

20 - O Senado possui poltica de backup?

60% 50% 46%

50%

40% sim 30% no no sabe informar. 20%

10% 4% 0%

Figura 3.22 Backup

21 - Quem determina a periodicidade do backup?

60% 54% 50%

40% 32% 30% voc seu rgo Prodasen no sabe informar. 20% 13% 10% 1% 0%

Figura 3.23 Backup

81

22 - Voc j teve que refazer todo o trabalho por no ter sido possvel o retorno do backup?
70% 60% 50% 40% 30% 20% 10% 0% 37% sim no 63%

Figura 3.24 Backup

23 - Voc sabe o que um "cavalo de tria" (trojan)?

70% 60% 60% 50% 40% 40% 30% 20% 10% 0% sim no

Figura 3.25 Trojan

82

24 - Voc normalmente se cadastra em listas, concursos, promoes fornecendo seus dados pessoais?
90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 1 sim no

Figura 3.26 fornecimento de dados pessoais em listas

25 - Voc acha que o Senado pode controlar e-mail de seus funcionrios disponibilizado pelo provedor @senado.gov.br?
80% 70% 60% 50% 40% 30% 20% 10% 0% sim 32% no 68%

Figura 3.27 controle de e-mail

83

26 - Voc acha que o Senado pode monitorar os acessos de seus funcionrios, durante o horrio de trabalho, internet?
70% 61% 60% 50% 40% 30% 20% 10% 0% 39% sim no

Figura 3.28 monitoramento de acesso internet

27 - Indique a faixa etria que voc se enquadra

60% 48% abaixo dos 20 anos entre 21 e 25 anos 30% entre 26 e 30 anos entre 31 e 35 anos entre 36 e 40 anos 20% 14% 15% 14% 8% 1% 0% acima de 40 anos

50%

40%

10%

Figura 3.29 faixa etria

84

A pesquisa demonstrou que 91% dos entrevistados tm a preocupao com a segurana das informaes que utiliza no dia a dia. Porm, 47% no sabem informar se h uma Poltica de Segurana da Informao no Senado Federal e 84% nunca tiveram treinamento sobre segurana da informao. Apesar de 97% dos entrevistados considerarem suas informaes importantes, 69% compartilham sua senha na rede e somente 36% utilizam fragmentador de papel. Outro fato alarmante que 67% dos usurios j perderam dados por no terem efetuado cpia de segurana ou recuperado do backup. No h por parte da Secretaria Especial de Informtica Prodasen, rgo de TI no Senado, uma poltica que obrigue os servidores a trocarem suas senhas periodicamente. Esses fatos vm corroborar que o Senado no possui Poltica de Segurana da Informao, o que ocasiona um aumento dos riscos e vulnerabilidades na segurana da informao da instituio.

85

4. REVISO INFORMAO
4.1. Leis

DAS

NORMAS

DE

SEGURANA

DA

As normas relativas a sistemas de informao e segurana da informao no Brasil no esto consolidadas e no h jurisprudncia sobre o assunto. Na legislao atual, o crime digital no considerado uma nova modalidade de crime e sim um crime comum, cuja ferramenta o computador. Alm da consolidao da legislao sobre o assunto, falta preparo pela polcia e pelos legisladores com relao informtica. Com exceo da NBR ISO/IEC 17799:2001 [12], as leis citadas neste captulo foram anexadas ao final deste trabalho. No caso especfico do Senado Federal, os servidores de efetivos e comissionados so regidos pelo Regime Jurdico nico da Lei n 8.112, de 1990. Nesta norma no h dispositivos que tratam da obrigao ou proibio quanto a atos praticados pelo funcionrio relativos segurana da informao. Em se tratando de normas internas, no h nenhuma que verse sobre o assunto. A Lei 9.296/96 a primeira lei especfica para o meio digital. Ela trata basicamente do sigilo das transmisses de dados, segundo a qual vedado a qualquer pessoa ou entidade o direito de interceptao de mensagens digitais ou telefnicas, bem como quaisquer comunicaes entre 2 computadores por meios telefnicos, telemticos ou digitais. Em fevereiro de 1998, foi editada a Lei n 9.608, conhecida como Lei do Software, que a define no art. 1 como sendo a expresso de um conjunto organizado de instrues em linguagem natural ou codificada, contida em suporte fsico de qualquer natureza, de emprego necessrio em mquinas automticas de tratamento da informao, dispositivos, instrumentos ou equipamentos perifricos, baseados em tcnica digital ou anloga, para faz-los funcionar de modo e para fins determinados". Tais programas receberam a proteo legal contra a cpia ilegal capitulada como crime de sonegao fiscal. A lei d poderes Receita Federal para investigar empresas e saber a procedncia de programas utilizados nos computadores. A Lei n 9.983, de 14 de julho de 2000, acrescentou ao Cdigo Penal artigo Art. 313-A que prev pena de recluso de 2 a 12 anos e multa aos funcionrios que inserirem dados falsos em sistemas de informaes ou bancos de dados da Administrao Pblica, com o fim de obter vantagem indevida para sim ou para outrem ou causar dano. A mesma norma legal 86

prev a punio de 3 meses a 2 anos e multa ao funcionrio que modificar ou alterar sistemas de informaes ou programa de informtica sem autorizao ou solicitao de autoridade competente. O Art. 2 da referida lei prev como crime a ao de divulgao de informaes sigilosas ou reservadas, contidas ou no nos sistemas de informao ou banco de dados da Administrao Pblica, com pena de deteno de 1 a 4 anos, e multa. Em agosto de 2001, por meio da Medida Provisria n 2.200-2, o governo instituiu a Infra-Estrutura de Chaves Pblicas Brasileira ICP Brasil, que permitiu o respaldo legal para uso de tecnologia de segurana da informao baseada em certificados digitais. O novo Cdigo Civil (art. 212) diz que uma das modalidades de prova dos fatos jurdicos a presuno A MP 2.200-2 estipula presuno legal caso um documento seja assinado digitalmente sob a ICP-Brasil Duas iniciativas legislativas recentes contribuem para fortificar ainda mais o envio de uma mensagem eletrnica como prova jurdica. O Projeto de Lei 7.316/02, do Instituto de Tecnologia e Informao (ITI), que ir substituir a Medida Provisria 2.200/01, sobre a certificao digital, faz com que documentos assinados eletronicamente ganhem o mesmo valor jurdico de um documento de papel. Outro projeto de lei, de n 6.693/06, apresentado pela senadora Sandra Rosado (PSBRN), tambm prope validar as mensagens de correio eletrnico como prova documental.
4.2. Decreto n 3.505/2000

O Governo Federal legislou a respeito da Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal por meio do Decreto n 3.505, de 13 de junho de 2000. Essa Poltica de Segurana visa oferecer instrumentos jurdicos, normativos e organizacionais que capacitem rgo e entidades cientfica, tecnolgica e administrativamente a fim de assegurar a confidencialidade, integridade, a autenticidade, o no-repdio e a disponibilidade dos dados e das informaes tratadas, classificadas e sensveis. Para esta Poltica, foi criado um Comit Gestor, composto por representantes de alguns Ministrios e rgos do Governo para aferir a evoluo do assunto. Contudo, decretos se aplicam ao mbito do Poder Executivo, sendo assim, o Senado Federal no vem aplicando esta norma. Estas normas visam reduo de riscos e torna-se necessrio um conjunto coordenado de trabalhos no pas e a nvel de Estado, contribuindo para o uso da TI e diminuio dos

87

riscos advindo da evoluo tecnolgica, principalmente por empresas e organizaes que atuem em reas consideradas estratgicas e sensveis ao pas.
4.3. NBR ISO/IEC 17799 (2000 e 2005)

Em 1987, o departamento de comrcio e indstria do Reino Unido (DTI) criou um centro de segurana de informaes, o CCSC (Commercial Computer Security Centre) que dentre suas atribuies tinha a tarefa de criar uma norma de segurana das informaes para o Reino Unido. Assim, em 1995 surgiu a Brithish Standart-7799 (BS-7799), norma de segurana da informao destinada a empresas. Esse documento foi disponibilizado em duas partes para consulta pblica, a primeira denominada BS-7799-1, em 1995, e a segunda, a BS7799-2, em 1998. A BS7799-1 a primeira parte da norma que contm uma introduo, definio de extenso e condies principais de uso da norma. Disponibiliza 148 controles divididos em dez partes distintas. planejada como um documento de referncia para implementar "boas prticas" de segurana na empresa. A BS7799-2 a segunda parte da norma e tem por objetivo proporcionar uma base para gerenciar a segurana da informao dos sistemas das empresas. Em Abril de 1999 as duas normas (a de 1995 e a de 1998) foram publicadas aps uma reviso, com o nome de BS7799-1999; neste perodo esta norma j estava sendo adotada por outros pases, como a Austrlia, a frica do Sul, a Repblica Checa, a Dinamarca, a Coria, a Sua e a Nova Zelndia. BS7799 j foi traduzida para vrias lnguas entre as quais pode-se destacar o Francs, o Alemo e o Japons. Neste mesmo ano a primeira parte deste documento foi submetida "ISO" para homologao, sobre o mecanismo de Fast Track. Em maio de 2000 a "BSI" homologou a primeira parte da norma BS7799. Em outubro na reunio do comit da "ISO" em Tquio, a norma foi votada e aprovada pela maioria dos representantes. Os representantes dos pases ricos, excluindo a Inglaterra, foram todos contra a homologao; mas em primeiro de dezembro de 2000 houve a homologao desta "BS" como "ISO/IEC 17799:2001". Por fim, em setembro de 2001, a ABNT homologou a verso brasileira da norma, denominada NBR ISO/IEC 17799, que uma traduo literal da norma ISO. Sua publicao inclui oficialmente o Brasil no conjunto de pases que, de certa forma, adotam e apiam o uso da norma de Segurana da Informao.

88

4.3.1. ISO 27001:2005 [19]

A Norma Britnica BS 7799-2:2002 foi publicada no dia 5 de setembro de 2002. Aps um trabalho de cinco anos, que envolveu aproximadamente 100 especialistas em SI de 35 pases, foi publicado, em 15 outubro de 2005, a norma ISO 27001:2005, que a norma BS7799-2:2002 revisada, com melhorias e adaptaes contemplando o ciclo PDCA de melhorias e a viso de processos que as normas de sistemas de gesto j incorporaram. Os controles da ISO/IEC 17799 [12] foram adicionados a um anexo desta verso, permitindo uma correspondncia entre a numerao em ambas as normas. O novo padro agora contm 11 captulos principais renomeados e reorganizados. Os novos captulos so: 1. Polticas de Segurana 2. Organizando a Segurana da Informao 3. Gerenciamento de ativos 4. Segurana dos Recursos Humanos 5. Segurana Fsica e Ambiental 6. Gerenciamento das Comunicaes e Operaes 7. Controle de Acessos 8. Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao 9. Gerenciamento de Incidentes na Segurana da Informao 10. Gerenciamento da Continuidade do Negcio 11. Conformidade. A nova verso do padro tambm introduz controles para tratar de uma srie de assuntos antes no considerados. Estes incluem tpicos como o provisionamento para a terceirizao (outsourcing) e gerncia de correes (patch). Da mesma forma, outras reas foram substancialmente estendidas ou re-formatadas, como a resciso do emprego, e comunicao mvel distribuda. As principais mudanas foram: 1) Tornou a norma user friendly, ou seja, de fcil leitura e entendimento. Apresenta o Objetivo do Controle, define qual o Controle a ser implementado e apresenta diretrizes para a sua implementao. Alm disso, ainda apresenta informaes adicionais, como, por exemplo, aspectos legais e referncias a outras normas.

89

2) Foi criada uma seo especfica sobre Anlise/Avaliao e tratamento de riscos. Essa seo recomenda que: a. A anlise/avaliao de riscos de SI inclua um enfoque para estimar a magnitude do risco e a comparao contra critrios definidos; b. As anlises/avaliaes de riscos de SI peridicas, contemplando as mudanas nos requisitos de SI e na situao de risco; c.A anlise/avaliao de riscos de SI tenha um escopo claramente definido, que pode ser em toda a organizao ou em parte dela. A anlise/avaliao de riscos uma das trs fontes principais para que uma Organizao identifique os seus requisitos de SI, alm de legislaes vigentes, estatutos, regulamentaes e clusulas contratuais que a Organizao deva atender; e os princpios, objetivos e requisitos do negcio que venha apoiar as operaes da Organizao. 3) Existe uma nova definio de SI, agora contemplando outras propriedades: autenticidade, no repdio e confiabilidade. Os componentes principais para a preservao e proteo da informao, como a confidencialidade, a integridade e a disponibilidade, foram mantidos na nova definio. 4) O conceito de ativos foi ampliado para incluir pessoas e imagem/reputao da Organizao, alm dos ativos de informao, ativos de software, ativos fsicos e servios j existentes na verso 2000. 5) Uma nova seo sobre Gesto de Incidentes de SI. 6) Os controles existentes foram atualizados, melhorados e incorporados com outros controles. 7) 17 novos controles foram incorporados na verso 2005. O prximo passo ser a converso da ISO/EC 17799:2005 em ISO/IEC 27002, previsto para 2007, formando assim a famlia ISO/IEC 27000 que tratar aspectos mais amplos de Segurana da Informao. No Brasil, a ABNT (Associao Brasileira de Normas Tcnicas) lanou no dia 24/08/2005 a verso NBR ISO IEC 17799:2005. A partir de 2007 ser numerada como NBR ISO IEC 27002.

90

4.3.2. Porque Adotar a NBR ISO IEC 17799:2005?

As normas publicadas pela Organizao Internacional de Normalizao, a ISO, tm uma grande aceitao no mercado. Um exemplo disso a norma ISO 9001:2000, que trata da Gesto da Qualidade, considerada como a mais difundida norma da ISO que existe no mundo. No caso da NBR ISO IEC 17799:2005, que um Cdigo de Boas Prticas para a Segurana da Informao, a sua aplicao um pouco mais restrita que a ISO 9001:2000, pois ela no uma norma voltada para fins certificao. Entretanto, a NBR ISO IEC 17799:2005 pode ser usada pela maioria dos setores da economia, pois todas as organizaes, independentemente do seu porte ou do ramo de atuao, do setor pblico ou privado, precisam proteger as suas informaes sensveis e crticas. As principais recomendaes da NBR ISO IEC 17799 esto detalhadas nas 11 sees abaixo, totalizando 39 categorias principais de SI: 1. Poltica de Segurana da Informao; 2. Organizando a Segurana da Informao; 3. Gesto de Ativos; 4. Segurana em Recursos Humanos; 5. Segurana Fsica e do Ambiente; 6. Gerenciamento das Operaes e Comunicaes; 7. Controle de Acesso; 8. Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao; 9. Gesto de Incidentes de Segurana da Informao; 10. Gesto da Continuidade de Negcios; 11. Conformidade.

4.3.3. Nova Famlia das Normas ISO IEC 27000

Como forma de dar suporte implantao da ISO IEC 27001:2005 [19], o Comit da ISO IEC que trata da segurana da informao decidiu pela criao de uma famlia de normas sobre Gesto da Segurana da Informao. Esta famlia foi batizada pela srie ISO IEC 27000, a exemplo da srie ISO 9000 das normas de qualidade e da srie ISO 14000 das normas sobre meio ambiente.

91

Esta nova famlia estar relacionada com os requisitos mandatrios da ISO IEC 27001:2005, como, por exemplo, a definio do escopo do Sistema de Gesto da Segurana da Informao, a avaliao de riscos, a identificao de ativos e a eficcia dos controles implementados. Na reunio do Comit ISO IEC, em Nov/2005 (Kuala Lumpur-Malsia), foram aprovadas as seguintes normas e projetos de norma desta nova famlia: Nmero: ISO IEC NWIP 27000 (NWIP - New Work Item Proposal) Ttulo: Information Security Management Systems Fundamentals and Vocabulary Situao: Ainda nos primeiros estgios de desenvolvimento. Previso de publicao como norma internacional: 2008/2009. Aplicao: Apresentar os principais conceitos e modelos de SI. Nmero: ISO IEC 27001:2005 Ttulo: Information Security Management Systems - Requirements Situao: Norma aprovada e publicada pela ISO em 15/10/2005. A ABNT publicar como Norma Brasileira NBR ISO IEC 27001. Aplicao: A ISO/IEC 27001:2005 a evoluo do padro britnico BS 7799 Parte 2:2002, que trata da definio de requisitos para um Sistema Gesto de Segurana da Informao. Todas as Organizaes; define requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um SGSI. Ser a base para as Organizaes que desejem implantar um SGSI. Nmero: ISO IEC 27002:2005 (Atual ISO IEC 17799) Ttulo: Information Technology Code of Practice for IS Management Situao: Norma aprovada e publicada pela ISO em 15/06/2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 17799 no dia 24/08/2005. A partir de 2007, ser numerada como NBR ISO IEC 27002. Aplicao: Guia prtico de diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de SI em uma Organizao. Os objetivos de controle e os controles atendem aos requisitos identificados na anlise/avaliao de riscos. Nmero: ISO IEC 1 st WD 27003 Ttulo: Information Security Management Systems - Implementation Guidance Situao: Em desenvolvimento, denominado de WD - Working Draft. Previso de publicao como norma internacional: 2008-2009. Aplicao: Fornecer um guia prtico para implementao de um SGSI, baseado na ISO IEC 27001. 92

5. CONCLUSES
Diante do complexo assunto que envolve a segurana da informao, se pudssemos sintetiz-la em duas palavras, estas seriam controle e conscientizao. com controle que se possvel autorizar ou bloquear pessoas que tentam entrar em ambientes fsicos restritos, registrar as tentativas de acesso a sites na Internet, agir com velocidade e eficincia em situaes de crise bem como mensurar o prejuzo decorrente da quebra de segurana, inibir de tentativas de ataques, realizar e medir a eficincia de treinamentos de conscientizao e capacidade de tcnicos e usurios da rede corporativa, etc. Contudo, um controle eficiente e eficaz s possvel quando h planejamento, implementao, anlise e monitoramento das atividades que fazem parte da soluo de segurana. O primeiro passo o planejamento e fator crtico de sucesso para a iniciativa de gerir a segurana da informao. Outro fator importante a conscientizao do elemento humano da organizao quanto a Segurana da Informao. Assim, h que se criar uma Poltica de Segurana do Senado, com rubrica no oramento especfico para esse fim. Essa poltica representa a bssola que ir apontar o caminho e os passos que iro formar o mosaico da soluo para o Senado Federal. E quais atividades devem ser implementadas para se criar uma Poltica de Segurana do Senado Federal? So quatro aes que devem ser tomadas: 1. conscientizar a Alta Direo do Senado da importncia da gesto da Segurana da Informao. 2. criar um Comit de Segurana, posicionado na estrutura do Senado, com autonomia prpria e abrangncia geral, coordenado por um cargo de direo e composto por representantes de vrias reas do Senado Federal, Secretaria Especial de Informtica Prodasen, Secretaria de Documentao e Informao, Secretaria de Biblioteca, Secretaria de Segurana, Secretaria de Recursos Humanos, Secretaria Especial do Interlegis e Secretaria Especial de Editorao e Publicaes. Este comit dever ser apoiado por consultoria na rea de segurana da informao, servio este que pode e deve ser prestado por empresa ou pessoa terceirizada, pois esta estar isenta de influncias internas e ter melhores condies de avaliar o problema e propor solues de forma imparcial. 3. aps a instituio do Comit de Segurana, necessrio realizar a avaliao dos riscos para se determinar os requisitos de segurana do Senado Federal. Trata-se de uma tarefa complexa, principalmente por se tratar de uma organizao grande e singular que 93

o Senado Federal. imperioso a adoo de uma metodologia que tenha como objetivo a viso consolidada dos processos de negcio, mapeamento de relevncia, critrios de importncia, estudo de impactos, permetros e atividades do Senado Federal. 4. elaborao uma Poltica de Segurana da Informao com base nas Normas ABNT ISO/IEC 17799:2005 [12] e ISO/IEC 27001 [19], que dever ser divulgada a todos os funcionrios e colaboradores do Senado Federal, apoiada por uma massiva campanha de endomarketing. O estabelecimento da Poltica de Segurana da Informao somente o estgio inicial do processo de mudana de cultura quanto ao tema, sendo assim, a preparao de polticas para o estabelecimento de um ambiente seguro somente se efetiva por meio do comprometimento de seus profissionais e o desenvolvimento de processos que utilizam tecnologias e prticas aderentes a poltica. Todos, do funcionrio menos graduado at os que ocupam cargos de direo, devem perceber que tm a sua parcela de contribuio. O contedo mnimo da Poltica de Segurana deve contemplar a definio de aspectos gerais da poltica de forma concisa e objetiva, estabelecendo diretrizes para o desenvolvimento das normas. Por fim, o sucesso na implementao de uma Poltica de Segurana est atrelado a uma estratgia que dever apoiada pela Alta Administrao e dever considerar trs aspectos fundamentais: Pessoas, Tecnologia e Processos.

5.1.

Dificuldades

A no existncia de normas sobre o segurana da informao no Senado Federal, levou o autor a realizar uma pesquisa de opinio entre os funcionrios da Casa, estagirios, terceirizados e contratados. Muitas vezes os entrevistados no devolviam o questionrio e outros sequer respondiam. O autor tambm realizou entrevistas a responsveis por diversos setores da Casa (TI, documentao, grfica, Interlegis, etc) para saber se havia ou no uma Poltica de Segurana. Aps inmeros contatos, chegou-se a concluso de que cada Secretaria e seus servios utilizam uma metodologia de segurana prpria, contudo no foi possvel obter o documento por escrito dessas prticas.

94

5.2.

Trabalhos Futuros

Esse trabalho ser submetido ao Diretor da Secretaria de Recursos Humanos do Senado Federal para avaliao das propostas aqui apresentadas e se aprovado, poder ser apresentado Alta Administrao da Casa.

95

REFERNCIAS BIBLIOGRFICAS
[1] SMOLA, M. Gesto da Segurana da Informao, Uma viso executiva. 7. ed. Rio de Janeiro: Elsevier, 2003. [2] Diretoria de Auditoria da Tecnologia da Informao do Tribunal de Contas da Unio. Boas Prticas em Segurana da Informao. Braslia, 2003. 73 p. [3] FERREIRA, F. N. F.; ARAJO, M. T. Poltica da Segurana da Informao: Guia Prtico para Elaborao e Implementao. 1. ed. Rio de Janeiro: Cincia Moderna, 2006. [4] GATES, B. A Empresa na Velocidade do Pensamento. Companhia das Letras, 1998. 448 p. [5] PEREIRA C. Atividades de Gesto da Segurana da Informao. Disponvel em http://www.trueaccess.com.br/downl_artigos/artigo%20%20atividades%20da%20gestao%20corporativa%20de%20seguranca.pdf. Acessado em 28-4-2006. [6] Foco Security. Anlise de Risco. Disponvel em http://www.focosecurity.com.br/. Acessado em 21-06-2006. [7] MOITA, E. S.; SOUZA, L. A., A Previdncia Social e o Gerenciamento de Riscos. Disponvel em http://www.previdencia.gov.br. Acessado em 26-06-2006. [8] BETANHO, Cristiane. Gesto de riscos: uma abordagem da empresa pblica desaneamento. Relatrio Reflexivo. Mestrado Integrado em Administrao. Universidade So Francisco, 2002. [9] FERREIRA, F. N. F. Segurana da Informao. Editora Cincia Moderna: Rio de Janeiro, 2003. [10] PEIXOTO, Mrio Csar Pintaudi Engenharia Social e Segurana da Informao. Ed. Brasport: Rio de Janeiro, 2006. [11] O Jogo da Segurana: descubra as ameaas e vulnerabilidades em ambiente corporativo. Mdulo Security Magazine, So Paulo, n 345, 2004. Disponvel em http://www.modulo.com.br/arquivoboletins/2k4/msnews_no345.htm. Acesso em 2-5-2006 [12] ABNT. NBR ISO/IEC 17799 - Tecnologia da informao: cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro: ABNT, 2001. 96

[13] PINHEIRO, J. M. S. Biometria na Segurana de Redes de Computadores. Nov. 2004. Disponvel em http://www.projetoderedes.com.br/artigos/artigo_biometria_na_seguranca_ das_redes.php. Acesso em 29-6-2006. [14] HARGER, Vera P. Princpios de Segurana da Informao. Apostila ministrada no Curso de Gesto de Tecnologia da Informao da Unilegis. Maio de 2006. [15] FRISCH, A. Essential System Administration, 2nd Edition. Oreilly. 1995. [16] ALECRIM, E. Fique Atento: Scams Usam Sustos para Enganar Internautas. Disponvel em http://www.infowester.com/col200305.php. Acessado em 19-06-2006. [17] MITNICK, K. ; WILLIAM L. A arte de enganar: ataques de hackers: controlando o fator humano na segurana da informao. So Paulo: Pearson Education, 2003. [18] ALECRIM, E. Ataques da Engenharia Social na Internet. Disponvel em http://www.infowester.com/col120904.php . Acessado em 16-06-2006. [19] ABNT. NBR ISSO/IEC 27001 Tecnologia da informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos. Rio de Janeiro. ABNT, 2006.

97

GLOSSRIO
business-to-business (B2B) Negcios para empresas de negcios o uso de uma rede, em especial a Internet para a comercializao entre empresas que nesta modalidade, comercializam seus produtos e servios. Business to consumer o segmento dentro do comrcio eletrnico que abrange qualquer transao em que uma companhia ou organizao vende seus produtos ou servios para as pessoas que navegam pela Internet. o segmento dentro do comrcio eletrnico que abrange qualquer transao entre empresas e governo capacidade de realizar transaes envolvendo a troca de bens ou servios entre duas ou mais partes utilizando meios eletrnicos. Enterprise Resources Planning ou Planejamento de Recursos Empresariais, so uma plataforma de software desenvolvida para integrar os diversos departamentos de uma empresa, possibilitando a automao e armazenamento de todas as informaes de negcio.

business-to-consumer (B2C)

business-to-government (B2G) e-comerce

ERP

98

ANEXOS
LEI N 9.296, DE 24 DE JULHO DE 1996 Regulamenta o inciso XII, parte final, do art. 5 da Constituio Federal. O PRESIDENTE DA seguinte Lei: REPBLICA Fao saber que o Congresso Nacional decreta e eu sanciono a

Art. 1 A interceptao de comunicaes telefnicas, de qualquer natureza, para prova em investigao criminal e em instruo processual penal, observar o disposto nesta Lei e depender de ordem do juiz competente da ao principal, sob segredo de justia. Pargrafo nico. O disposto nesta Lei aplica-se interceptao do fluxo de comunicaes em sistemas de informtica e telemtica. Art. 2 No ser admitida a interceptao de comunicaes telefnicas quando ocorrer qualquer das seguintes hipteses: I - no houver indcios razoveis da autoria ou participao em infrao penal; II - a prova puder ser feita por outros meios disponveis; III - o fato investigado constituir infrao penal punida, no mximo, com pena de deteno. Pargrafo nico. Em qualquer hiptese deve ser descrita com clareza a situao objeto da investigao, inclusive com a indicao e qualificao dos investigados, salvo impossibilidade manifesta, devidamente justificada. Art. 3 A interceptao das comunicaes telefnicas poder ser determinada pelo juiz, de ofcio ou a requerimento: I - da autoridade policial, na investigao criminal; II - do representante do Ministrio Pblico, na investigao criminal e na instruo processual penal. Art. 4 O pedido de interceptao de comunicao telefnica conter a demonstrao de que a sua realizao necessria apurao de infrao penal, com indicao dos meios a serem empregados. 1 Excepcionalmente, o juiz poder admitir que o pedido seja formulado verbalmente, desde que estejam presentes os pressupostos que autorizem a interceptao, caso em que a concesso ser condicionada sua reduo a termo. 2 O juiz, no prazo mximo de vinte e quatro horas, decidir sobre o pedido. Art. 5 A deciso ser fundamentada, sob pena de nulidade, indicando tambm a forma de execuo da diligncia, que no poder exceder o prazo de quinze dias, renovvel por igual tempo uma vez comprovada a indispensabilidade do meio de prova. Art. 6 Deferido o pedido, a autoridade policial conduzir os procedimentos de interceptao, dando cincia ao Ministrio Pblico, que poder acompanhar a sua realizao.

99

 1 No caso de a diligncia possibilitar a gravao da comunicao interceptada, ser determinada a sua transcrio. 2 Cumprida a diligncia, a autoridade policial encaminhar o resultado da interceptao ao juiz, acompanhado de auto circunstanciado, que dever conter o resumo das operaes realizadas. 3 Recebidos esses elementos, o juiz determinar a providncia do art. 8 , ciente o Ministrio Pblico. Art. 7 Para os procedimentos de interceptao de que trata esta Lei, a autoridade policial poder requisitar servios e tcnicos especializados s concessionrias de servio pblico. Art. 8 A interceptao de comunicao telefnica, de qualquer natureza, ocorrer em autos apartados, apensados aos autos do inqurito policial ou do processo criminal, preservando-se o sigilo das diligncias, gravaes e transcries respectivas. Pargrafo nico. A apensao somente poder ser realizada imediatamente antes do relatrio da autoridade, quando se tratar de inqurito policial (Cdigo de Processo Penal, art.10, 1) ou na concluso do processo ao juiz para o despacho decorrente do disposto nos arts. 407, 502 ou 538 do Cdigo de Processo Penal. Art. 9 A gravao que no interessar prova ser inutilizada por deciso judicial, durante o inqurito, a instruo processual ou aps esta, em virtude de requerimento do Ministrio Pblico ou da parte interessada. Pargrafo nico. O incidente de inutilizao ser assistido pelo Ministrio Pblico, sendo facultada a presena do acusado ou de seu representante legal. Art. 10. Constitui crime realizar interceptao de comunicaes telefnicas, de informtica ou telemtica, ou quebrar segredo da Justia, sem autorizao judicial ou com objetivos no autorizados em lei. Pena: recluso, de dois a quatro anos, e multa. Art. 11. Esta Lei entra em vigor na data de sua publicao. Art. 12. Revogam-se as disposies em contrrio. Braslia, 24 de julho de 1996; 175 da Independncia e 108 da Repblica. FERNANDO HENRIQUE CARDOSO Nelson A. Jobim

100

LEI N 9.609 , DE 19 DE FEVEREIRO DE 1998 Dispe sobre a proteo da propriedade intelectual de programa de computador, sua comercializao no Pas, e d outras providncias. O PRESIDENTE DA REPBLICA Fao saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei: CAPTULO I DISPOSIES PRELIMINARES Art. 1 Programa de computador a expresso de um conjunto organizado de instrues em linguagem natural ou codificada, contida em suporte fsico de qualquer natureza, de emprego necessrio em mquinas automticas de tratamento da informao, dispositivos, instrumentos ou equipamentos perifricos, baseados em tcnica digital ou anloga, para faz-los funcionar de modo e para fins determinados. CAPTULO II DA PROTEO AOS DIREITOS DE AUTOR E DO REGISTRO Art. 2 O regime de proteo propriedade intelectual de programa de computador o conferido s obras literrias pela legislao de direitos autorais e conexos vigentes no Pas, observado o disposto nesta Lei. 1 No se aplicam ao programa de computador as disposies relativas aos direitos morais, ressalvado, a qualquer tempo, o direito do autor de reivindicar a paternidade do programa de computador e o direito do autor de opor-se a alteraes no-autorizadas, quando estas impliquem deformao, mutilao ou outra modificao do programa de computador, que prejudiquem a sua honra ou a sua reputao. 2 Fica assegurada a tutela dos direitos relativos a programa de computador pelo prazo de cinqenta anos, contados a partir de 1 de janeiro do ano subseqente ao da sua publicao ou, na ausncia desta, da sua criao. 3 A proteo aos direitos de que trata esta Lei independe de registro. 4 Os direitos atribudos por esta Lei ficam assegurados aos estrangeiros domiciliados no exterior, desde que o pas de origem do programa conceda, aos brasileiros e estrangeiros domiciliados no Brasil, direitos equivalentes. 5 Inclui-se dentre os direitos assegurados por esta Lei e pela legislao de direitos autorais e conexos vigentes no Pas aquele direito exclusivo de autorizar ou proibir o aluguel comercial, no sendo esse direito exaurvel pela venda, licena ou outra forma de transferncia da cpia do programa. 6 O disposto no pargrafo anterior no se aplica aos casos em que o programa em si no seja objeto essencial do aluguel. Art. 3 Os programas de computador podero, a critrio do titular, ser registrados em rgo ou entidade a ser designado por ato do Poder Executivo, por iniciativa do Ministrio responsvel pela poltica de cincia e tecnologia. 1 O pedido de registro estabelecido neste artigo dever conter, pelo menos, as seguintes informaes: I - os dados referentes ao autor do programa de computador e ao titular, se distinto do autor, sejam pessoas fsicas ou jurdicas; II - a identificao e descrio funcional do programa de computador; e III - os trechos do programa e outros dados que se considerar suficientes para identific-lo e caracterizar sua originalidade, ressalvando-se os direitos de terceiros e a responsabilidade do Governo. 2 As informaes referidas no inciso III do pargrafo anterior so de carter sigiloso, no podendo ser reveladas, salvo por ordem judicial ou a requerimento do prprio titular. Art. 4 Salvo estipulao em contrrio, pertencero exclusivamente ao empregador, contratante de servios ou rgo pblico, os direitos relativos ao programa de computador, desenvolvido e elaborado durante a vigncia de contrato ou de vnculo estatutrio, expressamente destinado pesquisa e desenvolvimento, ou em que a atividade do empregado, contratado de servio ou servidor seja prevista, ou ainda, que decorra da prpria natureza dos encargos concernentes a esses vnculos.

101

 1 Ressalvado ajuste em contrrio, a compensao do trabalho ou servio prestado limitar-se- remunerao ou ao salrio convencionado. 2 Pertencero, com exclusividade, ao empregado, contratado de servio ou servidor os direitos concernentes a programa de computador gerado sem relao com o contrato de trabalho, prestao de servios ou vnculo estatutrio, e sem a utilizao de recursos, informaes tecnolgicas, segredos industriais e de negcios, materiais, instalaes ou equipamentos do empregador, da empresa ou entidade com a qual o empregador mantenha contrato de prestao de servios ou assemelhados, do contratante de servios ou rgo pblico. 3 O tratamento previsto neste artigo ser aplicado nos casos em que o programa de computador for desenvolvido por bolsistas, estagirios e assemelhados. Art. 5 Os direitos sobre as derivaes autorizadas pelo titular dos direitos de programa de computador, inclusive sua explorao econmica, pertencero pessoa autorizada que as fizer, salvo estipulao contratual em contrrio. Art. 6 No constituem ofensa aos direitos do titular de programa de computador: I - a reproduo, em um s exemplar, de cpia legitimamente adquirida, desde que se destine cpia de salvaguarda ou armazenamento eletrnico, hiptese em que o exemplar original servir de salvaguarda; II - a citao parcial do programa, para fins didticos, desde que identificados o programa e o titular dos direitos respectivos; III - a ocorrncia de semelhana de programa a outro, preexistente, quando se der por fora das caractersticas funcionais de sua aplicao, da observncia de preceitos normativos e tcnicos, ou de limitao de forma alternativa para a sua expresso; IV - a integrao de um programa, mantendo-se suas caractersticas essenciais, a um sistema aplicativo ou operacional, tecnicamente indispensvel s necessidades do usurio, desde que para o uso exclusivo de quem a promoveu. CAPTULO III DAS GARANTIAS AOS USURIOS DE PROGRAMA DE COMPUTADOR Art. 7 O contrato de licena de uso de programa de computador, o documento fiscal correspondente, os suportes fsicos do programa ou as respectivas embalagens devero consignar, de forma facilmente legvel pelo usurio, o prazo de validade tcnica da verso comercializada. Art. 8 Aquele que comercializar programa de computador, quer seja titular dos direitos do programa, quer seja titular dos direitos de comercializao, fica obrigado, no territrio nacional, durante o prazo de validade tcnica da respectiva verso, a assegurar aos respectivos usurios a prestao de servios tcnicos complementares relativos ao adequado funcionamento do programa, consideradas as suas especificaes. Pargrafo nico. A obrigao persistir no caso de retirada de circulao comercial do programa de computador durante o prazo de validade, salvo justa indenizao de eventuais prejuzos causados a terceiros. CAPTULO IV DOS CONTRATOS DE LICENA DE USO, DE COMERCIALIZAO E DE TRANSFERNCIA DE TECNOLOGIA Art. 9 O uso de programa de computador no Pas ser objeto de contrato de licena. Pargrafo nico. Na hiptese de eventual inexistncia do contrato referido no caput deste artigo, o documento fiscal relativo aquisio ou licenciamento de cpia servir para comprovao da regularidade do seu uso. Art. 10. Os atos e contratos de licena de direitos de comercializao referentes a programas de computador de origem externa devero fixar, quanto aos tributos e encargos exigveis, a responsabilidade pelos respectivos pagamentos e estabelecero a remunerao do titular dos direitos de programa de computador residente ou domiciliado no exterior. 1 Sero nulas as clusulas que: I - limitem a produo, a distribuio ou a comercializao, em violao s disposies normativas em vigor;

102

II - eximam qualquer dos contratantes das responsabilidades por eventuais aes de terceiros, decorrentes de vcios, defeitos ou violao de direitos de autor. 2 O remetente do correspondente valor em moeda estrangeira, em pagamento da remunerao de que se trata, conservar em seu poder, pelo prazo de cinco anos, todos os documentos necessrios comprovao da licitude das remessas e da sua conformidade ao caput deste artigo. Art. 11. Nos casos de transferncia de tecnologia de programa de computador, o Instituto Nacional da Propriedade Industrial far o registro dos respectivos contratos, para que produzam efeitos em relao a terceiros. Pargrafo nico. Para o registro de que trata este artigo, obrigatria a entrega, por parte do fornecedor ao receptor de tecnologia, da documentao completa, em especial do cdigo-fonte comentado, memorial descritivo, especificaes funcionais internas, diagramas, fluxogramas e outros dados tcnicos necessrios absoro da tecnologia. CAPTULO V DAS INFRAES E DAS PENALIDADES Art. 12. Violar direitos de autor de programa de computador: Pena - Deteno de seis meses a dois anos ou multa. 1 Se a violao consistir na reproduo, por qualquer meio, de programa de computador, no todo ou em parte, para fins de comrcio, sem autorizao expressa do autor ou de quem o represente: Pena - Recluso de um a quatro anos e multa. 2 Na mesma pena do pargrafo anterior incorre quem vende, expe venda, introduz no Pas, adquire, oculta ou tem em depsito, para fins de comrcio, original ou cpia de programa de computador, produzido com violao de direito autoral. 3 Nos crimes previstos neste artigo, somente se procede mediante queixa, salvo: I - quando praticados em prejuzo de entidade de direito pblico, autarquia, empresa pblica, sociedade de economia mista ou fundao instituda pelo poder pblico; II - quando, em decorrncia de ato delituoso, resultar sonegao fiscal, perda de arrecadao tributria ou prtica de quaisquer dos crimes contra a ordem tributria ou contra as relaes de consumo. 4 No caso do inciso II do pargrafo anterior, a exigibilidade do tributo, ou contribuio social e qualquer acessrio, processar-se- independentemente de representao. Art. 13. A ao penal e as diligncias preliminares de busca e apreenso, nos casos de violao de direito de autor de programa de computador, sero precedidas de vistoria, podendo o juiz ordenar a apreenso das cpias produzidas ou comercializadas com violao de direito de autor, suas verses e derivaes, em poder do infrator ou de quem as esteja expondo, mantendo em depsito, reproduzindo ou comercializando. Art. 14. Independentemente da ao penal, o prejudicado poder intentar ao para proibir ao infrator a prtica do ato incriminado, com cominao de pena pecuniria para o caso de transgresso do preceito. 1 A ao de absteno de prtica de ato poder ser cumulada com a de perdas e danos pelos prejuzos decorrentes da infrao. 2 Independentemente de ao cautelar preparatria, o juiz poder conceder medida liminar proibindo ao infrator a prtica do ato incriminado, nos termos deste artigo. 3 Nos procedimentos cveis, as medidas cautelares de busca e apreenso observaro o disposto no artigo anterior. 4 Na hiptese de serem apresentadas, em juzo, para a defesa dos interesses de qualquer das partes, informaes que se caracterizem como confidenciais, dever o juiz determinar que o processo prossiga em segredo de justia, vedado o uso de tais informaes tambm outra parte para outras finalidades. 5 Ser responsabilizado por perdas e danos aquele que requerer e promover as medidas previstas neste e nos arts. 12 e 13, agindo de m-f ou por esprito de emulao, capricho ou erro grosseiro, nos termos dos arts. 16, 17 e 18 do Cdigo de Processo Civil. CAPTULO VI

103

DISPOSIES FINAIS Art. 15. Esta Lei entra em vigor na data de sua publicao. Art. 16. Fica revogada a Lei n 7.646, de 18 de dezembro de 1987. Braslia, 19 de fevereiro de 1998; 177 da Independncia e 110 da Repblica. FERNANDO HENRIQUE CARDOSO Jos Israel Vargas

104

Lei n 9.983, DE 14 DE JULHO DE 2000 Altera o Decreto-Lei n 2.848, de 7 de dezembro de 1940 Cdigo Penal e d outras providncias. O PRESIDENTE DA REPBLICA Fao saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei: Art. 1 So acrescidos Parte Especial do Decreto-Lei n 2.848, de 7 de dezembro de 1940 Cdigo Penal, os seguintes dispositivos: "Apropriao indbita previdenciria" "Art. 168-A. Deixar de repassar previdncia social as contribuies recolhidas dos contribuintes, no prazo e forma legal ou convencional:" "Pena recluso, de 2 (dois) a 5 (cinco) anos, e multa." " 1 Nas mesmas penas incorre quem deixar de:" "I recolher, no prazo legal, contribuio ou outra importncia destinada previdncia social que tenha sido descontada de pagamento efetuado a segurados, a terceiros ou arrecadada do pblico;" "II recolher contribuies devidas previdncia social que tenham integrado despesas contbeis ou custos relativos venda de produtos ou prestao de servios;" "III - pagar benefcio devido a segurado, quando as respectivas cotas ou valores j tiverem sido reembolsados empresa pela previdncia social." " 2 extinta a punibilidade se o agente, espontaneamente, declara, confessa e efetua o pagamento das contribuies, importncias ou valores e presta as informaes devidas previdncia social, na forma definida em lei ou regulamento, antes do incio da ao fiscal." " 3 facultado ao juiz deixar de aplicar a pena ou aplicar somente a de multa se o agente for primrio e de bons antecedentes, desde que:" "I tenha promovido, aps o incio da ao fiscal e antes de oferecida a denncia, o pagamento da contribuio social previdenciria, inclusive acessrios; ou" "II o valor das contribuies devidas, inclusive acessrios, seja igual ou inferior quele estabelecido pela previdncia social, administrativamente, como sendo o mnimo para o ajuizamento de suas execues fiscais." "Insero de dados falsos em sistema de informaes" "Art. 313-A. Inserir ou facilitar, o funcionrio autorizado, a insero de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administrao Pblica com o fim de obter vantagem indevida para si ou para outrem ou para causar dano:" "Pena recluso, de 2 (dois) a 12 (doze) anos, e multa." "Modificao ou alterao no autorizada de sistema de informaes" "Art. 313-B. Modificar ou alterar, o funcionrio, sistema de informaes ou programa de informtica sem autorizao ou solicitao de autoridade competente:" "Pena deteno, de 3 (trs) meses a 2 (dois) anos, e multa." "Pargrafo nico. As penas so aumentadas de um tero at a metade se da modificao ou alterao resulta dano para a Administrao Pblica ou para o administrado." "Sonegao de contribuio previdenciria" "Art. 337-A. Suprimir ou reduzir contribuio social previdenciria e qualquer acessrio, mediante as seguintes condutas:" "I omitir de folha de pagamento da empresa ou de documento de informaes previsto pela legislao previdenciria segurados empregado, empresrio, trabalhador avulso ou trabalhador autnomo ou a este equiparado que lhe prestem servios;"

105

"II deixar de lanar mensalmente nos ttulos prprios da contabilidade da empresa as quantias descontadas dos segurados ou as devidas pelo empregador ou pelo tomador de servios;" "III omitir, total ou parcialmente, receitas ou lucros auferidos, remuneraes pagas ou creditadas e demais fatos geradores de contribuies sociais previdencirias:" "Pena recluso, de 2 (dois) a 5 (cinco) anos, e multa." " 1 extinta a punibilidade se o agente, espontaneamente, declara e confessa as contribuies, importncias ou valores e presta as informaes devidas previdncia social, na forma definida em lei ou regulamento, antes do incio da ao fiscal." " 2 facultado ao juiz deixar de aplicar a pena ou aplicar somente a de multa se o agente for primrio e de bons antecedentes, desde que:" "I (VETADO)" "II o valor das contribuies devidas, inclusive acessrios, seja igual ou inferior quele estabelecido pela previdncia social, administrativamente, como sendo o mnimo para o ajuizamento de suas execues fiscais." " 3 Se o empregador no pessoa jurdica e sua folha de pagamento mensal no ultrapassa R$ 1.510,00 (um mil, quinhentos e dez reais), o juiz poder reduzir a pena de um tero at a metade ou aplicar apenas a de multa." " 4 O valor a que se refere o pargrafo anterior ser reajustado nas mesmas datas e nos mesmos ndices do reajuste dos benefcios da previdncia social." Art. 2 Os arts. 153, 296, 297, 325 e 327 do Decreto-Lei N 2.848, de 1940, passam a vigorar com as seguintes alteraes: "Art. 153. ................................................................." " 1-A. Divulgar, sem justa causa, informaes sigilosas ou reservadas, assim definidas em lei, contidas ou no nos sistemas de informaes ou banco de dados da Administrao Pblica:" "Pena deteno, de 1 (um) a 4 (quatro) anos, e multa." " 1 (pargrafo nico original)........................................." " 2 Quando resultar prejuzo para a Administrao Pblica, a ao penal ser incondicionada." "Art. 296. ......................................................................." " 1 ............................................................................ ......................................................................................." "III quem altera, falsifica ou faz uso indevido de marcas, logotipos, siglas ou quaisquer outros smbolos utilizados ou identificadores de rgos ou entidades da Administrao Pblica." "........................................................................................" "Art. 297. ........................................................................... ........................................................................................" " 3 Nas mesmas penas incorre quem insere ou faz inserir:" "I na folha de pagamento ou em documento de informaes que seja destinado a fazer prova perante a previdncia social, pessoa que no possua a qualidade de segurado obrigatrio;" "II na Carteira de Trabalho e Previdncia Social do empregado ou em documento que deva produzir efeito perante a previdncia social, declarao falsa ou diversa da que deveria ter sido escrita;" "III em documento contbil ou em qualquer outro documento relacionado com as obrigaes da empresa perante a previdncia social, declarao falsa ou diversa da que deveria ter constado." " 4 Nas mesmas penas incorre quem omite, nos documentos mencionados no 3, nome do segurado e seus dados pessoais, a remunerao, a vigncia do contrato de trabalho ou de prestao de servios." "Art. 325. ....................................................................." " 1 Nas mesmas penas deste artigo incorre quem:"

106

"I permite ou facilita, mediante atribuio, fornecimento e emprstimo de senha ou qualquer outra forma, o acesso de pessoas no autorizadas a sistemas de informaes ou banco de dados da Administrao Pblica;" "II se utiliza, indevidamente, do acesso restrito." " 2 Se da ao ou omisso resulta dano Administrao Pblica ou a outrem:" "Pena recluso, de 2 (dois) a 6 (seis) anos, e multa." "Art. 327. ......................................................................" " 1 Equipara-se a funcionrio pblico quem exerce cargo, emprego ou funo em entidade paraestatal, e quem trabalha para empresa prestadora de servio contratada ou conveniada para a execuo de atividade tpica da Administrao Pblica." (NR) "................................................................................." Art. 3 O art. 95 da Lei N 8.212, de 24 de julho de 1991, passa a vigorar com a seguinte redao: "Art. 95. Caput. Revogado." "a) revogada;" "b) revogada;" "c) revogada;" "d) revogada;" "e) revogada;" "f) revogada;" "g) revogada;" "h) revogada;" "i) revogada;" "j) revogada." " 1 Revogado." " 2 ............................................................................" "a) ................................................................................" "b) ................................................................................" "c) ................................................................................" "d) ................................................................................" "e)................................................................................." "f)................................................................................." " 3 Revogado." " 4 Revogado." " 5 Revogado." Art. 4 Esta Lei entra em vigor noventa dias aps a data de sua publicao. Braslia, 14 de julho de 2000; 179 da Independncia e 112 da Repblica. FERNANDO HENRIQUE CARDOSO Jos Gregori Waldeck Ornelas

Publicada no DOU de 17/07/2000

107

MEDIDA PROVISRIA N 2.200-2, DE 24 DE AGOSTO DE 2001 Institui a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informao em autarquia, e d outras providncias. O PRESIDENTE DA REPBLICA, no uso da atribuio que lhe confere o art. 62 da Constituio, adota a seguinte Medida Provisria, com fora de lei: Art. 1 Fica instituda a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurdica de documentos em forma eletrnica, das aplicaes de suporte e das aplicaes habilitadas que utilizem certificados digitais, bem como a realizao de transaes eletrnicas seguras. Art. 2 A ICP-Brasil, cuja organizao ser definida em regulamento, ser composta por uma autoridade gestora de polticas e pela cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz AC Raiz, pelas Autoridades Certificadoras - AC e pelas Autoridades de Registro - AR. Art. 3 A funo de autoridade gestora de polticas ser exercida pelo Comit Gestor da ICP-Brasil, vinculado Casa Civil da Presidncia da Repblica e composto por cinco representantes da sociedade civil, integrantes de setores interessados, designados pelo Presidente da Repblica, e um representante de cada um dos seguintes rgos, indicados por seus titulares: I - Ministrio da Justia; II - Ministrio da Fazenda; III - Ministrio do Desenvolvimento, Indstria e Comrcio Exterior; IV - Ministrio do Planejamento, Oramento e Gesto; V - Ministrio da Cincia e Tecnologia; VI - Casa Civil da Presidncia da Repblica; e VII - Gabinete de Segurana Institucional da Presidncia da Repblica. 1 A coordenao do Comit Gestor da ICP-Brasil ser exercida pelo representante da Casa Civil da Presidncia da Repblica. 2 Os representantes da sociedade civil sero designados para perodos de dois anos, permitida a reconduo. 3 A participao no Comit Gestor da ICP-Brasil de relevante interesse pblico e no ser remunerada. 4 O Comit Gestor da ICP-Brasil ter uma Secretaria-Executiva, na forma do regulamento. Art. 4 Compete ao Comit Gestor da ICP-Brasil: I - adotar as medidas necessrias e coordenar a implantao e o funcionamento da ICP-Brasil; II - estabelecer a poltica, os critrios e as normas tcnicas para o credenciamento das AC, das AR e dos demais prestadores de servio de suporte ICP-Brasil, em todos os nveis da cadeia de certificao; III - estabelecer a poltica de certificao e as regras operacionais da AC Raiz; IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de servio; V - estabelecer diretrizes e normas tcnicas para a formulao de polticas de certificados e regras operacionais das AC e das AR e definir nveis da cadeia de certificao; VI - aprovar polticas de certificados, prticas de certificao e regras operacionais, credenciar e autorizar o funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o correspondente certificado; VII - identificar e avaliar as polticas de ICP externas, negociar e aprovar acordos de certificao bilateral, de certificao cruzada, regras de interoperabilidade e outras formas de cooperao internacional, certificar,

108

quando for o caso, sua compatibilidade com a ICP-Brasil, observado o disposto em tratados, acordos ou atos internacionais; e VIII - atualizar, ajustar e revisar os procedimentos e as prticas estabelecidas para a ICP-Brasil, garantir sua compatibilidade e promover a atualizao tecnolgica do sistema e a sua conformidade com as polticas de segurana. Pargrafo nico. O Comit Gestor poder delegar atribuies AC Raiz. Art. 5 AC Raiz, primeira autoridade da cadeia de certificao, executora das Polticas de Certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICP-Brasil, compete emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nvel imediatamente subseqente ao seu, gerenciar a lista de certificados emitidos, revogados e vencidos, e executar atividades de fiscalizao e auditoria das AC e das AR e dos prestadores de servio habilitados na ICP, em conformidade com as diretrizes e normas tcnicas estabelecidas pelo Comit Gestor da ICP-Brasil, e exercer outras atribuies que lhe forem cometidas pela autoridade gestora de polticas. Pargrafo nico. vedado AC Raiz emitir certificados para o usurio final. Art. 6 s AC, entidades credenciadas a emitir certificados digitais vinculando pares de chaves criptogrficas ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar disposio dos usurios listas de certificados revogados e outras informaes pertinentes e manter registro de suas operaes. Pargrafo nico. O par de chaves criptogrficas ser gerado sempre pelo prprio titular e sua chave privada de assinatura ser de seu exclusivo controle, uso e conhecimento. Art. 7 s AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usurios na presena destes, encaminhar solicitaes de certificados s AC e manter registros de suas operaes. Art. 8 Observados os critrios a serem estabelecidos pelo Comit Gestor da ICP-Brasil, podero ser credenciados como AC e AR os rgos e as entidades pblicos e as pessoas jurdicas de direito privado. Art. 9 vedado a qualquer AC certificar nvel diverso do imediatamente subseqente ao seu, exceto nos casos de acordos de certificao lateral ou cruzada, previamente aprovados pelo Comit Gestor da ICP-Brasil. Art. 10 Consideram-se documentos pblicos ou particulares, para todos os fins legais, os documentos eletrnicos de que trata esta Medida Provisria. 1 As declaraes constantes dos documentos em forma eletrnica produzidos com a utilizao de processo de certificao disponibilizado pela ICP-Brasil presumem-se verdadeiros em relao aos signatrios, na forma do art. 131 da Lei n 3.071, de 1 de janeiro de 1916 - Cdigo Civil. 2 O disposto nesta Medida Provisria no obsta a utilizao de outro meio de comprovao da autoria e integridade de documentos em forma eletrnica, inclusive os que utilizem certificados no emitidos pela ICPBrasil, desde que admitido pelas partes como vlido ou aceito pela pessoa a quem for oposto o documento. Art. 11 A utilizao de documento eletrnico para fins tributrios atender, ainda, ao disposto no art. 100 da Lei no 5.172, de 25 de outubro de 1966 - Cdigo Tributrio Nacional. Art. 12 Fica transformado em autarquia federal, vinculada ao Ministrio da Cincia e Tecnologia, o Instituto Nacional de Tecnologia da Informao - ITI, com sede e foro no Distrito Federal. Art. 13 O ITI a Autoridade Certificadora Raiz da Infra-Estrutura de Chaves Pblicas Brasileira. Art. 14 No exerccio de suas atribuies, o ITI desempenhar atividade de fiscalizao, podendo ainda aplicar sanes e penalidades, na forma da lei. Art. 15 Integraro a estrutura bsica do ITI uma Presidncia, uma Diretoria de Tecnologia da Informao, uma Diretoria de Infra-Estrutura de Chaves Pblicas e uma Procuradoria-Geral.

109

Pargrafo nico. A Diretoria de Tecnologia da Informao poder ser estabelecida na cidade de Campinas, no Estado de So Paulo. Art. 16 Para a consecuo dos seus objetivos, o ITI poder, na forma da lei, contratar servios de terceiros. 1 O Diretor-Presidente do ITI poder requisitar, para ter exerccio exclusivo na Diretoria de InfraEstrutura de Chaves Pblicas, por perodo no superior a um ano, servidores, civis ou militares, e empregados de rgos e entidades integrantes da Administrao Pblica Federal direta ou indireta, quaisquer que sejam as funes a serem exercidas. 2 Aos requisitados nos termos deste artigo sero assegurados todos os direitos e vantagens a que faam jus no rgo ou na entidade de origem, considerando-se o perodo de requisio para todos os efeitos da vida funcional, como efetivo exerccio no cargo, posto, graduao ou emprego que ocupe no rgo ou na entidade de origem. Art. 17 Fica o Poder Executivo autorizado a transferir para o ITI: I - os acervos tcnico e patrimonial, as obrigaes e os direitos do Instituto Nacional de Tecnologia da Informao do Ministrio da Cincia e Tecnologia; e II - remanejar, transpor, transferir, ou utilizar, as dotaes oramentrias aprovadas na Lei Oramentria de 2001, consignadas ao Ministrio da Cincia e Tecnologia, referentes s atribuies do rgo ora transformado, mantida a mesma classificao oramentria, expressa por categoria de programao em seu menor nvel, observado o disposto no 2 do art. 3 da Lei no 9.995, de 25 de julho de 2000, assim como o respectivo detalhamento por esfera oramentria, grupos de despesa, fontes de recursos, modalidades de aplicao e identificadores de uso. Art. 18 Enquanto no for implantada a sua Procuradoria Geral, o ITI ser representado em juzo pela Advocacia Geral da Unio. Art. 19 Ficam convalidados os atos praticados com base na Medida Provisria no 2.200-1, de 27 de julho de 2001. Art. 20 Esta Medida Provisria entra em vigor na data de sua publicao. Braslia, 24 de agosto de 2001; 180 da Independncia e 113 da Repblica. FERNANDO HENRIQUE CARDOSO Jos Gregori Martus Tavares Ronaldo Mota Sardenberg Pedro Parente

110

DECRETO N 3.505, DE 13 DE JUNHO DE 2000 Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal. O PRESIDENTE DA REPBLICA, no uso da atribuio que lhe confere o art. 84, inciso IV, da Constituio, e tendo em vista o disposto na Lei n 8.159, de 8 de janeiro de 1991, e no Decreto n 2.910, de 29 de dezembro de 1998, D E C R E T A : Art. 1 Fica instituda a Poltica de Segurana da Informao nos rgos e nas entidades da Administrao Pblica Federal, que tem como pressupostos bsicos: I - assegurar a garantia ao direito individual e coletivo das pessoas, inviolabilidade da sua intimidade e ao sigilo da correspondncia e das comunicaes, nos termos previstos na Constituio; II - proteo de assuntos que meream tratamento especial; III - capacitao dos segmentos das tecnologias sensveis; IV - uso soberano de mecanismos de segurana da informao, com o domnio de tecnologias sensveis e duais; V - criao, desenvolvimento e manuteno de mentalidade de segurana da informao; VI - capacitao cientfico-tecnolgica do Pas para uso da criptografia na segurana e defesa do Estado; e VII - conscientizao dos rgos e das entidades da Administrao Pblica Federal sobre a importncia das informaes processadas e sobre o risco da sua vulnerabilidade. Art. 2 Para efeitos da Poltica de Segurana da Informao, ficam estabelecidas as seguintes conceituaes: I - Certificado de Conformidade: garantia formal de que um produto ou servio, devidamente identificado, est em conformidade com uma norma legal; II - Segurana da Informao: proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao desautorizada de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaas a seu desenvolvimento. Art. 3 So objetivos da Poltica da Informao: I - dotar os rgos e as entidades da Administrao Pblica Federal de instrumentos jurdicos, normativos e organizacionais que os capacitem cientfica, tecnolgica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o no-repdio e a disponibilidade dos dados e das informaes tratadas, classificadas e sensveis; II - eliminar a dependncia externa em relao a sistemas, equipamentos, dispositivos e atividades vinculadas segurana dos sistemas de informao; III - promover a capacitao de recursos humanos para o desenvolvimento de competncia cientficotecnolgica em segurana da informao; IV - estabelecer normas jurdicas necessrias efetiva implementao da segurana da informao; V - promover as aes necessrias implementao e manuteno da segurana da informao; VI - promover o intercmbio cientfico-tecnolgico entre os rgos e as entidades da Administrao Pblica Federal e as instituies pblicas e privadas, sobre as atividades de segurana da informao; VII - promover a capacitao industrial do Pas com vistas sua autonomia no desenvolvimento e na fabricao de produtos que incorporem recursos criptogrficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de servios relacionados com a segurana da informao; e VIII - assegurar a interoperabilidade entre os sistemas de segurana da informao. Art. 4 Para os fins deste Decreto, cabe Secretaria-Executiva do Conselho de Defesa Nacional, assessorada pelo Comit Gestor da Segurana da Informao de que trata o art. 6o, adotar as seguintes diretrizes:

111

I - elaborar e implementar programas destinados conscientizao e capacitao dos recursos humanos que sero utilizados na consecuo dos objetivos de que trata o artigo anterior, visando garantir a adequada articulao entre os rgos e as entidades da Administrao Pblica Federal; II - estabelecer programas destinados formao e ao aprimoramento dos recursos humanos, com vistas definio e implementao de mecanismos capazes de fixar e fortalecer as equipes de pesquisa e desenvolvimento, especializadas em todos os campos da segurana da informao; III - propor regulamentao sobre matrias afetas segurana da informao nos rgos e nas entidades da Administrao Pblica Federal; IV - estabelecer normas relativas implementao da Poltica Nacional de Telecomunicaes, inclusive sobre os servios prestados em telecomunicaes, para assegurar, de modo alternativo, a permanente disponibilizao dos dados e das informaes de interesse para a defesa nacional; V - acompanhar, em mbito nacional e internacional, a evoluo doutrinria e tecnolgica das atividades inerentes segurana da informao; VI - orientar a conduo da Poltica de Segurana da Informao j existente ou a ser implementada; VII - realizar auditoria nos rgos e nas entidades da Administrao Pblica Federal, envolvidas com a poltica de segurana da informao, no intuito de aferir o nvel de segurana dos respectivos sistemas de informao; VIII - estabelecer normas, padres, nveis, tipos e demais aspectos relacionados ao emprego dos produtos que incorporem recursos critptogrficos, de modo a assegurar a confidencialidade, a autenticidade, a integridade e o no-repdio, assim como a interoperabilidade entre os Sistemas de Segurana da Informao; IX - estabelecer as normas gerais para o uso e a comercializao dos recursos criptogrficos pelos rgos e pelas entidades da Administrao Pblica Federal, dando-se preferncia, em princpio, no emprego de tais recursos, a produtos de origem nacional; X - estabelecer normas, padres e demais aspectos necessrios para assegurar a confidencialidade dos dados e das informaes, em vista da possibilidade de deteco de emanaes eletromagnticas, inclusive as provenientes de recursos computacionais; XI - estabelecer as normas inerentes implantao dos instrumentos e mecanismos necessrios emisso de certificados de conformidade no tocante aos produtos que incorporem recursos criptogrficos; XII - desenvolver sistema de classificao de dados e informaes, com vistas garantia dos nveis de segurana desejados, assim como normatizao do acesso s informaes; XIII - estabelecer as normas relativas implementao dos Sistemas de Segurana da Informao, com vistas a garantir a sua interoperabilidade e a obteno dos nveis de segurana desejados, assim como assegurar a permanente disponibilizao dos dados e das informaes de interesse para a defesa nacional; e XIV - conceber, especificar e coordenar a implementao da infra-estrutura de chaves pblicas a serem utilizadas pelos rgos e pelas entidades da Administrao Pblica Federal. Art. 5 Agncia Brasileira de Inteligncia - ABIN, por intermdio do Centro de Pesquisa e Desenvolvimento para a Segurana das Comunicaes - CEPESC, competir: I - apoiar a Secretaria-Executiva do Conselho de Defesa Nacional no tocante a atividades de carter cientfico e tecnolgico relacionadas segurana da informao; e II - integrar comits, cmaras tcnicas, permanentes ou no, assim como equipes e grupos de estudo relacionados ao desenvolvimento das suas atribuies de assessoramento. Art. 6 Fica institudo o Comit Gestor da Segurana da Informao, com atribuio de assessorar a Secretaria-Executiva do Conselho de Defesa Nacional na consecuo das diretrizes da Poltica de Segurana da Informao nos rgos e nas entidades da Administrao Pblica Federal, bem como na avaliao e anlise de assuntos relativos aos objetivos estabelecidos neste Decreto. Art. 7 O Comit ser integrado por um representante de cada Ministrio e rgos a seguir indicados: I - Ministrio da Justia; II - Ministrio da Defesa; III - Ministrio das Relaes Exteriores;

112

IV - Ministrio da Fazenda; V - Ministrio da Previdncia e Assistncia Social; VI - Ministrio da Sade; VII - Ministrio do Desenvolvimento, Indstria e Comrcio Exterior; VIII - Ministrio do Planejamento, Oramento e Gesto; IX - Ministrio das Comunicaes; X - Ministrio da Cincia e Tecnologia; XI - Casa Civil da Presidncia da Repblica; e XII - Gabinete de Segurana Institucional da Presidncia da Repblica, que o coordenar. XIII - Secretaria de Comunicao de Governo e Gesto Estratgica da Presidncia da Repblica. (NR) 1 Os membros do Comit Gestor sero designados pelo Chefe do Gabinete de Segurana Institucional da Presidncia da Repblica, mediante indicao dos titulares dos Ministrios e rgos representados. 2 Os membros do Comit Gestor no podero participar de processos similares de iniciativa do setor privado, exceto nos casos por ele julgados imprescindveis para atender aos interesses da defesa nacional e aps aprovao pelo Gabinete de Segurana Institucional da Presidncia da Repblica. 3 A participao no Comit no enseja remunerao de qualquer espcie, sendo considerada servio pblico relevante. 4 A organizao e o funcionamento do Comit sero dispostos em regimento interno por ele aprovado. 5 Caso necessrio, o Comit Gestor poder propor a alterao de sua composio. XIV - Ministrio de Minas e Energia; XV - Controladoria-Geral da Unio; e XVI - Advocacia-Geral da Unio. Art. 8 Este Decreto entra em vigor na data de sua publicao. Braslia, 13 de junho de 2000; 179 da Independncia e 112 da Repblica. FERNANDO HENRIQUE CARDOSO Jos Gregori Geraldo Magela da Cruz Quinto Luiz Felipe Lampreia Pedro Malan Waldeck Ornlas Jos Serra Alcides Lopes Tpias Martus Tavares Pimenta da Veiga Ronaldo Mota Sardenberg Pedro Parente Alberto Mendes Cardoso

Publicado no DOU de 14/06/2000

113