Sumrio

Introduo.............................................................................................................................................2 Mas o que informao?......................................................................................................................2 A base da Segurana da Informao.....................................................................................................3 Outras definies importantes em Segurana da Informao..............................................................3 Gesto de ris o.....................................................................................................................................! A"a#iando o ris o..................................................................................................................................$ A"a#iao quantitati"a % qua#itati"a.....................................................................................................& 'ratamento do ris o..............................................................................................................................( Mtodos de proteo.............................................................................................................................( )stratgias de proteo.......................................................................................................................*+ Monitoramento...................................................................................................................................** ,o#-ti as de Segurana........................................................................................................................** .efinindo um ,o#-ti a de Segurana de Informaes.........................................................................** /omo e#aborar uma po#iti a de segurana..........................................................................................*3 .i"ises da ,o#-ti a............................................................................................................................*0 'e%to em n-"e# estratgi o.............................................................................................................*0 'e%to em n-"e# t1ti o......................................................................................................................*0 'e%to em n-"e# opera iona#............................................................................................................*2 /onte3do da ,o#-ti a...........................................................................................................................*2 Mtodos de ,roteo......................................................................................................................*2 4esponsabi#idades..........................................................................................................................*! 5so Adequado................................................................................................................................*$ /onseq67n ias...............................................................................................................................*$ ,ena#idades....................................................................................................................................*$ 8uais as atitudes que de"em ser e"itadas na 1rea de inform1ti a......................................................*&

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ %&'(

Introduo
9os dias de :o;e< as empresas e =rgos go"ernamentais dependem ada "e> mais dos sistemas de informao e da Internet para fa>er neg= ios e umprir suas misses< no podendo dar?se ao #u%o de sofrer interrupes em suas operaes. 5m in idente de segurana pode impa tar direta e negati"amente as re eitas de uma orporao< a onfiana de seus #ientes e na sua imagem perante a so iedade. 5m in idente de segurana est1 diretamente re#a ionado om pre;u->os finan eiros< se;am e#es de"idos @ parada de um sistema por onta de um "-rus< ao furto de uma informao onfiden ia#< perda de uma informao importante ou pro essos ;udi iais por danos ausados por "a>amento ou e%posio de dados. )stima?se que Aorms e "-rus que atingiram grandes propores de propagao omo< por e%emp#o< MB.oom< S#ammer< 9imda tendo o asionado pre;u->os da ordem de bi#:es de d=#ares no mundo. )m 3#tima instCn ia< um in idente pode impedir< direta ou indiretamente< a organi>ao de umprir sua misso. )ssa perspe ti"a tra> a segurana da informao para um patamar no"o< no apenas re#a ionada om a esfera da te no#ogia e das ferramentas ne ess1rias para proteger a informao< mas tambm omo um dos pi#ares de suporte @ estratgia de neg= io de uma orporao. A gesto da segurana assume< ento< um no"o signifi ado< pois passa a #e"ar em onsiderao os e#ementos estratgi os de uma organi>ao e e"o#ui para a e%tenso da pr1ti a de gesto de ris os do neg= io.

Mas o que informao?

A noo que temos de informao bem "ago e intuiti"o. 8uando fa>emos uma pergunta< estamos pedindo informao. 8uando assistimos te#e"iso ou um fi#me< estamos absor"endo informao. Ao #er um ;orna#< uma re"ista em quadrin:os< ou ao ou"ir uma m3si a< sabemos que estamos #idando om a#gum tipo de informao. At quando ontamos uma piada estamos transmitindo informao. 5samos< absor"emos< assimi#amos< manipu#amos< transformamos< produ>imos e transmitimos informao durante o tempo todo< durante todo o tempo. Sabemos intuiti"amente o que informao< mas no onseguimos des re"er< em pa#a"ras< o que informao. )nto podemos onsiderar que prati amente todos os nossos sentidos nos forne em informaes. Agora entra uma questo muito dis utidaD .ados so informaes? Eem< depende. Se apresentar a seguinte tabe#aF Gos ,edro 0 2 Herdes A>uis

AntInio 3 ,retos )#a pode no signifi ar nada< a no ser um monte de dados que no nos forne e informao< mas se o#o armos t-tu#os nessas o#unas a- teremosF 9ome Gos ,edro Idade 0 2 O#:os Herdes A>uis

AntInio 3 ,retos Agora sim temos informao< pois sabemos que Gos tem 0 anos de idade e seus o#:os so "erdes.

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ 3&'(

A base da Segurana da Informao

A Segurana da Informao est1 re#a ionada om proteo de um on;unto de dados< no sentido de preser"ar o "a#or que possuem para um indi"-duo ou uma organi>ao. So ara ter-sti as b1si as da segurana da informao os atributos de onfiden ia#idade< integridade e disponibi#idade< no estando esta segurana restrita somente a sistemas omputa ionais< informaes e#etrIni as ou sistemas de arma>enamento. O on eito se ap#i a a todos os aspe tos de proteo de informaes e dados. O on eito de Segurana Inform1ti a ou Segurana de /omputadores est1 intimamente re#a ionado om o de Segurana da Informao< in #uindo no apenas a segurana dos dadosJinformao< mas tambm a dos sistemas em si. Outros atributos importantes so a irretratabi#idade e a autenti idade. /om o e"o#uir do omr io e#etrIni o e da so iedade da informao< a pri"a idade tambm uma grande preo upao. Con)idencialidade ? propriedade que #imita o a esso a informao to somente @s entidades #eg-timas< ou se;a< @que#as autori>adas pe#o propriet1rio da informao. Inte*ridade ? propriedade que garante que a informao manipu#ada manten:a todas as ara ter-sti as originais estabe#e idas pe#o propriet1rio da informao< in #uindo ontro#e de mudanas e garantia do seu i #o de "ida Knas imento<manuteno e destruioL. Di+,oni-ilidade ? propriedade que garante que a informao este;a sempre dispon-"e# para o uso #eg-timo< ou se;a< por aque#es usu1rios autori>ados pe#o propriet1rio da informao. Irretrata-ilidade ou 9o?rep3dio M propriedade que garante que as informaes forne idas so mesmo de um determinado usu1rio< impossibi#itando que este negue a autoria. )%emp#oF ,agamento de fatura em ai%as e#etrIni as. A.tenticidade M ,ropriedade que garante< om erte>a abso#uta< que um ob;eto pro"m das fontes anun iadas e que no foi a#"o de mutaes ao #ongo de um pro esso

Outras definies importantes em Segurana da Informao

Ata/.eF )"ento que pode omprometer a segurana de um sistema ou uma rede. 5m ataque pode ter ou no su esso. 5m ataque om su esso ara teri>a uma in"aso. 5m ataque tambm pode ser ara teri>ado por uma ao que ten:a um efeito negati"o< )%F .oS. Autenti aoF N o pro esso de se onfirmar a identidade de um usu1rio ou um :ost. ,ode ser feita na amada de ap#i ao Katra"s de uma sen:aL< ou mais omp#e%a< no esquema desafio?resposta Kuti#i>ando a#goritmos espe -fi osL. Back DoorF N um programa es ondido< dei%ado por um intruso< o qua# permite futuro a esso @ m1quina a#"o. )ste termo um sinInimo para um termo mais antigoF trap door. BugF 5ma fa#:a< ou fraque>a num programa de omputador. He;a "u#nerabi#idade. Ca0alo de Tr1iaF 'ambm on:e idos omo Trojan Horses ou simp#esmente Trojan. ,rogramas que so entregues para o usu1rio de forma aparentemente #eg-tima Kmuitas "e>es podem ser oisas interessantes omo ;oguin:os< artes "irtuais< et .L< mas que internamente e sem o on:e imento do usu1rio rea#i>am aes ma#i iosas e que omprometem a segurana do sistema< tais omoF gra"ar sen:as< gra"ar toques de te #a ou fa>er um print s reen e arma>ena estas informaes para en"iar para outra pessoa. CERTF Computer Emergency Response Team ? 5ma organi>ao dedi ada a segurana< seu prop=sito dar assist7n ia @s redes que foram in"adidas ou esto sob ataque. )#es podem ser en ontrados em :ttpFJJAAA. ert.org Crack2 ,rograma uti#i>ado para quebrar #i enas de outros programas. 'ambm pode se referir a programas uti#i>ados para quebrar sen:as.

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ 3&'(

Cracker2 Indi"-duo om on:e imentos e#e"ados de omputao e segurana< que os uti#i>a para fins riminosos< destruio de dados ou interrupo de sistemas. 'ambm pode se referir a programas uti#i>ados para quebrar sen:as K)%. Password CrackerL. En*en4aria SocialF ' ni a uti#i>ada por hackers e ra Oers para obter informaes interagindo diretamente om as pessoas. ExploitF ,rogramas uti#i>ados por hackers e ra Oers para e%p#orar "u#nerabi#idades em determinados sistemas< onseguindo assim< a essos om maior pri"i#gio. FirewallF )quipamento eJou softAare uti#i>ado para ontro#ar as one%es Kque entram ou saemL de uma rede. )#es podem simp#esmente fi#trar os pa otes baseados em regras simp#es< omo tambm forne er outras funes tais omoF 9A'< pro%B< et . FloodF Sobre arga Kem gera#< de pa otesL ausada por e"entos no esperados que ausam #entido da rede. HackerF Indi"-duo om on:e imentos e#e"ados de omputao e segurana< que os uti#i>a para fins de di"erso< interesse< emoo. )m gera#< hackers no destroem dados< possuem um =digo de ti a e no bus am gan:os finan eiros. O termo hacker atua#mente adotado pe#a m-dia de forma indis riminada< se referindo a ra Oers por e%emp#o. HackingF N o ato de :a Oear sistemas< no no sentido 3ni o de in"adir< mas prin ipa#mente de des obrir omo fun ionam< e se possuem fa#:as. HijackingF N o assa#to de uma sesso< gera#mente '/,JI,. O assa#to de sesso uma forma de obter o ontro#e de uma one%o ini iada por um usu1rio #eg-timo. Ao inter eptar esta one%o o PhackerP pode impedir o usu1rio #eg-timo de usar o sistema e tomar o seu #ugar. HoleF 5m bug ou uma "u#nerabi#idade. Intrusion Detection S5+tem ? IDS2 N um Sistema de .ete o de Intruso< um softAare respons1"e# por monitorar uma rede ou sistema e a#ertar sobre poss-"eis in"ases. In0a+6o2 /ara teri>a um ataque bem su edido. LammerF N uma pa#a"ra que os hackers uti#i>am para identifi ar os -ndi"iduos que se a :am hackers< mas esto ainda no est1gio ini ia# de aprendi>ado. !reakingF So os hackers de te#efonia< on"en iona# ou e#u#ar. "cannerF Qerramenta uti#i>ada por hackers ou espe ia#istas em segurana que ser"e para P"arrerP uma m1quina ou uma rede< em bus a de portas abertas< informaes ou ser"ios "u#ner1"eis. "cript #iddieF N o indi"-duo que saiu do est1gio de lammer mas que s= sabe usar as Pre eitas de bo#oP< programas prontos e ainda no entende muito bem o que est1 fa>endo. "ni$$erF Qerramenta uti#i>ada por hackers e espe ia#istas em segurana e de rede que ser"e para monitorar e gra"ar pa otes que trafegam pe#a rede. .ependendo do sniffer< poss-"e# ana#isar "1rios dados dos pa otes< ana#isar proto o#os< "er dados espe -fi os da amada de ap#i ao< sen:as< et . "poo$ing% N uma forma de manter uma one%o om uma m1quina se fa>endo passar por outra na qua# e#a onfie. 5m termo muito uti#i>ado o I, Spoofing< que signifi a o uso de "u#nerabi#idades do ,roto o#o '/,JI, que permitem a ao des rita a ima. 78r.+F So =digos ou programas que infe tam outros programas e se mu#tip#i am< na maioria das "e>es podem ausar danos aos sistemas infe tados. 7.lnera-ilidadeF )stado de um omponente de um sistema que ompromete a segurana de todo o sistema< uma "u#nerabi#idade e%iste sempre< at que se;a orrigida< e%istem "u#nerabi#idades que

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ 9&'(

so intr-nse as ao sistema. &are'F 9ome uti#i>ado por hackers para se referir a pirataria de softAare. &ormF 5m worm seme#:ante a um "-rus< mas difere pe#o fato de no ne essitar de um programa espe -fi o para se infe tar e reprodu>ir. Muitos "-rus< :o;e< possuem a ara ter-sti a de worms e "i e e "ersa. Agora que on:e emos a#guns termos e temos idia do que se;a a segurana da informao podemos partir para a pr=%ima questoF o que rea#mente de"e ser protegido dentro da instituio? )ste ponto ostuma disparar dis usses intermin1"eis sobre o que rea#mente importante. )nto pre isamos definir quem so estes e#ementos< onde esto e qua# o seu "a#or. O termos segurana nos remete a um estado no qua# estamos #i"res de perigos e in erte>as. )m uma instituio pro uramos forne er esta segurana aos e#ementos que t7m "a#or< o que :amaremos de A'IHOS. /#assifi ao dos Ati"os Ati0o 'ang-"eis E:em,lo ? Informaes impressas ou em m-dia ? )quipamentos ? M="eis ? Imagem de uma insatituio ? /onfiabi#idade da instituio ? Mar a de um produto E:em,lo ? .ados dentro do ser"idor ? Sistema )4, ? 4ede HoI, ? Mi ros ? Ser"idores ? Autom="eis ? )mpregados ? ,restadores de ser"io

Intang-"eis

Ati0o R=gi os

Q-si os

Sumanos

.a mesma forma que possu-mos ati"os ara ter-sti as diferentes< de"emos adotar medidas diferentes para tratar ada uma de#as< om por e%emp#oF Ati"o R=gi os Q-si os Sumanos Medida de segurana Sen:a Rogs QireAa## Qe :aduras /adeados ,ortas 9ormas ,ro edimentos

Os omponentes b1si os para se a"a#iar o quo seguro est1 este ati"o soF

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ ;&'(

7alorF 8ua# o "a#or de determinado ati"o para a instituio? )ste "a#or pode ser tang-"e# ou intang-"e#? Isso pode gerar d3"idas na :ora de a"a#i1?#o. )#e um equipamento orriqueiro? 5m espe ifi o impres ind-"e# na instituio? Ou a imagem da instituio frente a so iedade? 7.lnera-ilidade2 Aus7n ia de um me anismo de proteo ou fa#:a no me anismo e%istente. A "u#nerabi#idade por si s= no ausa pre;u->o. O pre;u->o ausado pe#a e%p#orao desta "u#nerabi#idade por a#gum e#emento no i"o. Amea<a2 )"ento que tem poten ia# em si pr=prio para ausar pre;u->o< um in endio ou roubo so e%emp#os de ameaa. Im,actoF 'aman:o do pre;u->o< que pode ser mensur1"e# ou abstrato< e "aria de a ordo om e"ento o orrido. 5m in 7ndio< norma#mente ausa mais pre;u->o que um roubo. Ri+coF N a probabi#idade de uma ameaa e%p#orar uma "u#nerabi#idade e ausar um determinado impa to< norma#mente fa>endo os ati"os perderem seu "a#or.

Gesto de risco
O ris o no um no"o prob#ema ou uma no"a termino#ogiaD os seres :umanos sempre ti"eram de enfrentar Kou en ararL os ris os no seu meio ambiente< embora seu signifi ado ten:a mudado< omo tem mudado a so iedade e o pr=prio meio onde "i"e. 9o passado< a grande preo upao esta"a entrada nos desastres naturais Kgeo#=gi os e #imato#=gi osL na forma de inundaes< se as< terremotos e tempestades. Ap=s a re"o#uo industria#< os ris os naturais foram substitu-dos por aque#es gerados pe#o pr=prio :omemD nos )stados 5nidos< os a identes originados dos perigos te no#=gi os< representam de *2 a 2+T da morta#idade :umana e tem u#trapassado signifi ati"amente daque#es naturais< em termos do impa to perante a so iedade< usto e importCn ia. 5ma das ferramentas mais poderosas no geren iamento de ris os o on:e imento. 9a era do on:e imento< onde a informao onsiderada um dos prin ipais patrimInios de grande parte das organi>aes< esta de"e ser tratada omo ta#< sendo protegida nos seus aspe tos de disponibi#idade< integridade< onfiden ia#idade e autenti idade< seguindo a #in:a adotada pe#o Go"erno Qedera#. 9este onte%to< o geren iamento de ris o indi a os amin:os e as informaes que de"em ser protegidas. 5ma e%pe tati"a de perda e%pressada omo a probabi#idade de que uma ameaa em parti u#ar poder1 e%p#orar uma "u#nerabi#idade om um poss-"e# pre;u->oD o 4is o pode se definido omo uma medida da in erte>a asso iada aos retornos esperados de in"estimentos. A Gesto de 4is o ser"e para definirmos o que rea#mente de"e ser protegido< qua# o n-"e# de proteo que de"emos adotar para ada ati"o e at mesmo se podemos assumir o ris o de no protegermos um ati"o e ter um pre;u->o. 'udo isso "ai depender de um pro;eto que a"a#ie minu iosamente ada ati"o< sua importCn ia dentro da instituio < seu "a#or abso#uto e re#ati"o e o impa to de um e"ento no dese;1"e# sobre este ati"o. 9a figura* podemos "isua#i>ar as "1rias re#aes poss-"eis entre um propriet1rios e seus ati"os. /abe aqui a ressa#"a de que nosso ob;eti"o proteger a informao< no somente o ati"o que a ontm. .e que adianta in"estir na proteo de um ser"idor de rede< por e%emp#o< que no arma>ena nen:uma informao r-ti a ao neg= io? Os esforos de"em ser on entrados no que rea#mente signifi ati"o para a instituio.

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ =&'(

Qigura *

Ava iando o risco

,ara fa>ermos uma a"a#iao de ris o de"emos riar um pro;eto di"ididos em ma rofase< ada ma rofase ser1 respons1"e# por forne er informaes espe -fi as e a;udar na ompreenso do pro;eto omo um todo. So e#asF De)ini<6o do e+co,oF ponto ini ia#< onde espe ifi amos o que "ai ser a"a#iado< o que ;ustifi a o pro;eto de a"a#iao de ris o. A definio de es opo de"e ser feita de uma maneira que eng#obe uma quantidade de ati"os sufi ientes para que o pro;eto atin;a seu ob;eti"o e se;a e%e utado na -ntegra< e"itando e%ageros que possam in"iabi#i>ar o pro;eto ou demorar muito para ser e%e utado. /aso :a;a ne essidade de uma abordagem mais amp#a< dese;1"e# que se rie "1rias etapas para que possam ser tratadas indi"idua#mente. O #e"antamento do es opo pode estar baseado nos pro essos< nos tipos de ati"os<na #o a#idade f-si a ou ser uti#i>ada uma abordagem mista.

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ (&'(

Identi)ica<6o da amea<aF Identifi ar ameaas rea#mente uma tarefa muito dif- i# e "ai depender do on:e imento t ni o e da riati"idade de quem esta identifi ando< porm< nesta fase tambm no podemos querer identifi ar todas as poss-"eis ameaas e%istentes pois poderia ser uma ati"idade quase intermin1"e#. A re omendao b1si a neste aso F Ana#ise de forma genri a< identifi ando as ameaas por grupos ou a#gum tipo de afinidadeD Qoque nas ameaas mais omuns e uti#i>e os grupos de dis usso para obter #istas prontas destas ameaas. E+timati0a da ,ro-a-ilidade de ocorr>ncia de e0ento+ n6o de+e?0el F Infe#i>mente no e%istem dados estat-sti os onfi1"eis sobre o orr7n ia desses e"entos. 8ua#quer que se;a o e"ento a"a#iado< as probabi#idades de o orr7n ia "o "ariar de pa-s pra pa-s e de instituio pra instituio. 9o"amente a a"a#iao destas probabi#idades fi aro por onta da e%peri7n ia do t ni o que esta a"a#iando. E+timar o im,acto do e0ento n6o de+e?0elF )stimar o impa to a"a#iar qua# a dimenso do dano nos neg= ios ou ati"idades da instituio. )stimar o impa to a"a#iar o "a#or do ati"o para a instituio< podendo ser o "a#or do pr=prio ati"oK"a#or abso#utoL ou o benef- io que e#e tra>K"a#or re#ati"oL. Identi)icar o+ ati0o+ de maior ri+co F 9este ponto definimos quais so os ati"os que tero prioridade no pro;eto. Apesar de entendermos que todos os ati"os identifi ados no es opo so importantes< aqui definimos quais so os mais r-ti os dentro do es opo< e so estes ati"os que de"em re eber toda a ateno e in"estimentos no in- io do pro;eto. A0aliar a+ mel4ore+ )orma+ de ,rote<6o F )sta a"a#iao pode estar diretamente #igada a disponibi#idade de "erba. A#gumas so#ues no tem usto a#gum< omo no aso de onfigurao do sistema< ou ustar mi#:ares de reais. 9este aso importante "erifi ar se o gasto om proteo no maior que o "a#or abso#uto eJou o "a#or re#ati"o deste ati"o. Outra obser"ao importante rea#i>ar #aborat=rio de teste para a"a#iar a efi 1 ia da so#uo es o#:ida. )%istem entenas de so#ues no mer ado< mas de"emos pro urar a que me#:or atenda nossas espe ifi aes t ni as om a me#:or re#ao usto x benef- io. Im,lementar a+ ,rote<@e+F Agora o momento de o#o ar as so#ues para fun ionar. )sta etapa a mais #onga e de#i ada< podendo demorar a#guns meses< e norma#mente so e#aborados pro;etos para o pro esso de imp#ementao de ada uma de#as. As duas 3#timas fases se en ai%am no pro esso de tratamento do ris o.

Ava iao quantitativa x qua itativa

A a"a#iao quantitati"a baseia?se em "a#ores numri os baseados nos "a#ores de ada ati"o< o #u ro que ada um gera e no pre;u->o que e#e ira representar aso fique fora de fun ionamento. ,or ser um mtodo baseado em "a#ores< sua a"a#iao mais dif- i# e traba#:osa< demandando um tempo muito mair de an1#ise. 9o mtodo qua#itati"o atribu-mos menes aos ati"os< de a ordo om o seu ris o. )ste mtodo o mais uti#i>ado por ser mais r1pido e f1 i# de rea#i>ar< porm sem perder a qua#idade dos resu#tados. ,ara fa>ermos uma a"a#iao qua#itati"a podemos uti#i>ar o seguinte 1# u#oF 9-"e# Ha#or Eai%o * Mdio 2 A#to 3

4is o U Hu#nerabi#idade x Ameaa x Impa to

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ A&'(

4is o Eai%o 4is o Mdio 4is o A#to Amea<a

de * a ! de $ a *2 de *3 a 2$ Bai:a (x1) B * 2 3 " 2 0 ! A 3 ! ( B 2 0 ! B "Cdia (x2) " 0 & *2 A ! *2 *& B 3 ! ( Alta (x ) " ! *2 *& A ( *& 2$

7.lnera-ilidade Im,acto " A

!ratamento do risco
O tratamento a fase na qua# se#e ionamos e imp#ementamos as medidas de forma a redu>ir os ris os que foram identifi ados. )stas medidas tem omo ob;eti"o tra>er os ris os para patamares a eit1"eis pre"iamente definidos< ou definir omo sero tratados os ati"os ap=s um e"ento indese;1"e#< diminuindo o impa to nas ati"idades da instituio. )%iste uma srie de medidas para tratar os ris os< as mais omuns soF E0itar M Simp#esmente no se e%por ao ris oD Tran+)erir M Qa>er um seguro< transferindo o pre;u->o para a seguradoraD Reter M Qa>er um auto?seguro< preparando?se para um futuro pre;u->oD 4edu>ir M Imp#ementar so#ues que diminuam o ris oD "iti*ar M 'omar medidas para diminu-rem o impa to de um e"ento indese;1"e#.

Mtodos de proteo
Pre0enti0aF /omo se di> no ditado popu#ar ? pre"enir o me#:or remdio M mas a pre"eno de"er ser p#ane;ada para atender e%atamente o que se quer proteger. O des on:e imento da ferramenta usada pode dar uma fa#sa sensao de segurana. 5m e%emp#o a uti#i>ao do QireAa## na esperana de no sofrerem danos por "-rus< o que no funo desta ferramenta. De+encora?adora2 So me anismos que desestimu#am o ato no i"o< omo os a"isos de Cmeras de "igi#Cn ia< #u>es sobre portas de a esso ou qua#quer outra forma de intimidar a ao. LimitadoraF Me anismos ou t ni as que #imitam a ao no i"a. 5m e%emp#o bastante simp#es a uti#i>ao de fi#tro de #in:a nos omputadores. /aso :a;a uma a#terao muito "io#enta de orrente< o e#emento que sofre o dano o fi#tro e no o equipamento. "onitoradora2 Monitoram o estado ou fun ionamento dos ati"os. )ntre e#es podemos onsiderar omo e#ementos monitoradores os sensores de temperatura< softAares de monitoramento de tr1fego e #og de sistemas. Detectora2 .ete tam a o orr7n ia de um in idente. sensores de presena< fumaa ou a#or< a#armes et . Reati0aF 4eage a determinados in idente< omo por e%emp#o os sistemas de e%tino de in 7ndio ou i#uminao de emerg7n ia.

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ 'D&'(

Correti0aF 8ua#quer sistema que ten:a apa idade de orrigir uma fa#:a e ontinuar fun ionando orretamente. Rec.,eradora2 8ua#quer sistema que possa re uperar um ati"o atingido por a#gum in idente. ,odemos dar omo e%emp#o o sistema 4AI.2 que pode re uperar dados de um determinado dis o a partir de partes dos dados e%istentes em outras unidades.

"stratgias de proteo
9o importa o que se dese;a proteger< importante es o#:er uma estratgia que atenda @que#a ne essidade espe -fi a. /ada aso pede uma abordagem diferente< porm as prin ipais soF Pri0ilC*io m8nimoF ,rati amente todos os prob#ema de segurana ini iam?se por prob#ema de e%posio< o#o ando a instituio a mer 7 de uma srie de ameaas. O on eito de pri"i#gio m-nimo prega que quanto menor o a esso ou a e%posio< maior ser1 a resist7n ia do sistema a ataques. )m um sistema de informao a maioria dos usu1rios no pre isam en%ergar todos os re ursos de uma rede< sendo assim #imitamos os direitos de a esso deste usu1rio para apenas o que for estritamente ne ess1rio. Ao insta#ar um ser"idor< omo por e%emp#o o Rinu%< e#e disponibi#i>a uma srie de ser"ios que podem no ter uti#idade para a min:a ap#i ao. Sendo assim eu desabi#ito todos os re ursos adi ionais< dei%ando ati"os apenas o impres ind-"e# para seu fun ionamento e manuteno< desta forma e#imino uma srie de poss-"eis "u#nerabi#idades que podem e%istir nestes re ursos e%tras. De)e+a em ,ro).ndidadeF 8uando entramos em um ondom-nio passamos por "1rios sistemas de ontro#eF uma portaria< o e#e"ador om Cmeras< o Vo#:o m1gi oW da porta do apartamento e at mesmo a pr=pria porta. )stes re urso forne em o que :amamos de .efesa em ,rofundidade. A idia que ten:amos uma srie de ontro#es que possam fa>er obertura uns aos outros. Se uma pessoa entrar pe#a garagem do prdio sem ser per ebida e#a ser1 ertamente fi#mada no e#e"ador< e mesmo que :egue a a#gum apartamento e#a ter1 que passar pe#a porta. O sistemas de segurana no so infa#-"eis e portanto no podemos onfiar em uma s= so#uo. ,or mais fant1sti o que se;a um sistema de segurana< e#e so>in:o menos seguro que dois re ursos om a metade de sua apa idade< porque se onseguirmos quebrar um sistema 3ni o de segurana teremos a esso irrestrito aos ati"os que queremos atingir< enquanto que em "1rios n-"eis teremos riado< no minimo< mais traba#:o ao ata ante Elo mai+ )racoF V O fora de uma orrente equi"a#ente a fora de seu e#o mais fra oW< ou se;a< se temos uma orrente de ao om um e#o de p#asti o< a resist7n ia ser1 igua# a do e#o de p#1sti o. )m um Sistema de Informao de"emos pro urar tratar o ambiente de forma assimtri a< pro urando proteger todos os pontos fra os do sistema< pois a "u#nerabi#idade de uma pequena parte pode omprometer todo o ambiente< assim omo o e#o de p#1sti o ompromete a resist7n ia da orrente de ao. Ponto de e+tran*.lamentoF O ob;eti"o do ponto de estrangu#amento riar um ponto 3ni o de ontro#e< omo a onte e em prdios omer iais< onde os "isitantes e fun ion1rios passam por uma mesma re epo no importando o seu destino. /om essa abordagem onseguimos fo ar o ontro#e e um ou dois pontos espe -fi os minimi>ando pontos de "u#nerabi#idade e ainda diminuir o gasto om equipamentos de ontro#e< ;1 que todos iro passar< obrigatoriamente< pe#o mesmo #o a#. Se*.ran<a atra0C+ da o-+c.ridadeF )ste on eito baseia?se na premissa de que quanto menos informao esti"er dispon-"e#< maior sera a difi u#dade do ata ante. Se em uma instituio pou as pessoas sabem onde fi am os ofres ou os dados estratgi os< menor ser1 a possibi#idade de um ata ante saber e%atamente onde e quando ata ar. ,orm esta estratgia de"e ser uti#i>ada ;untamente om outras formas de ontro#e.

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ ''&'(

Sim,licidadeF A simp#i idade o me#:or amin:o. 5m sistema muito omp#e%o pode dei%ar bre :as dif- eis de serem identifi adas. 5ma porta om um bom adeado tem sua "u#nerabi#idade f1 i# de ser identifi ada< enquanto um sistema de sensores e tra"as e#etrIni as pode ter fa#:as des on:e idas at mesmo para um t ni o< dei%ando o ati"o muito mais "u#ner1"e#.

Monitoramento
,or fim< temos o monitoramento. )sta fase ont-nua e de"e durar toda a "ida da so#uo definida. Muitos sistemas s= fun ionam adequadamente quando sua manuteno obser"ada. )sta manuteno tambm ser"ir1 para a"a#iar a efi 1 ia da so#uo adotada e omparar os resu#tados om os definidos no pro;eto.

#o $ticas de Segurana
)%iste uma antiga piada< ontada mais ou menos assimF 5m guarda de segurana que traba#:a no turno da noite em uma f1bri a "7 um :omem bai%in:o sair do prdio< empurrando um arrin:o de mo "a>io. O guarda< om uma suspeita repentina< p1ra o :omem< que pergunta por que est1 sendo parado. PApenas quero ter erte>a de que "o 7 no est1 roubando nadaP< di> o guarda< de forma grosseira. P/onfira tudo o que quiserP< responde o :omem< e o guarda pro ura< mas no en ontra nada suspeito e permite que o :omem "1 embora. 9a noite seguinte< a onte e @ mesma oisa. Isso se repete por a#gumas semanas e ento o bai%in:o no apare e mais no porto. ,assam "inte anos e o guarda< ;1 aposentado< est1 sentado em um bar< quando o bai%in:o entra. 4e on:e endo?o< o guarda aposentado se apro%ima< e%p#i a quem e ofere e pagar uma bebida< se o bai%in:o responder a uma pergunta. O :omem on orda e o guarda di>F P'en:o erte>a de que "o 7 esta"a #e"ando a#go< mas nun a onsegui des obrir o que "o 7 esta"a roubandoP. O bai%in:o pegou a bebida e< enquanto #e"a"a o opo @ bo a< disseF P)u esta"a roubando arrin:os de moP. A idia dessa piada sugere< #aro< que as medidas de segurana nada representaro se os guardas no souberem o que de"ero proteger. )%perimente perguntar ao e%e uti"o de uma empresa quais so os ob;eti"os das equipes de segurana e pro"a"e#mente re eber1 respostas pare idas om Pso e#es que nos mant7m seguros #1P. Se pressionadas< muitas pessoas podero ir um pou o adiante< des re"endo o #ado da segurana f-si aF no permitir a entrada de "isitas sem autori>ao< "erifi ar se esto tran adas as portas que de"em permane er tran adas e a;udar em qua#quer emerg7n ia. N bem pou o pro"1"e# que as mesmas pessoas ompreendam para que e%iste a equipe de segurana dos omputadores. 9a me#:or das :ip=teses< pro"a"e#mente "o 7 ou"ir1 Pmanter os hackers fora de nossa redeP. /abe @ equipe de segurana da rede partir dessa des rio "aga e mostrar que seu traba#:o mais amp#o< at o ponto em que possa fi%ar prioridades e mere er estar in #u-do nos oramentos. Se "o 7 perguntar a profissionais de segurana o que poder1 fa>er de mais importante para proteger sua rede< e#es respondero< sem :esitar< que es re"er uma boa po#-ti a de segurana.

%efinindo um #o $tica de Segurana de Informaes

A po#-ti a de segurana um me anismo pre"enti"o de proteo dos dados e pro essos importantes de uma organi>ao que define um padro de segurana a ser seguido pe#o orpo t ni o e geren ia# e pe#os usu1rios< internos ou e%ternos. ,ode ser usada para definir as interfa es entre usu1rios< forne edores e par eiros e para medir a qua#idade e a segurana dos sistemas atuais.

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ '%&'(

)m um pa-s< temos a #egis#ao que de"e ser seguida para que ten:amos um padro de onduta onsiderado adequado @s ne essidades da nao para garantia de seu progresso e :armonia. 9o :a"ia omo ser diferente em uma empresa. 9esta< pre isamos definir padres de onduta para garantir o su esso do neg= io. 5ma po#-ti a de segurana atende a "1rios prop=sitosF .es re"e o que est1 sendo protegido e por qu7D .efine prioridades sobre o que pre isa ser protegido em primeiro #ugar e om qua# ustoD ,ermite estabe#e er um a ordo e%p#- ito om "1rias partes da empresa em re#ao ao "a#or da seguranaD Qorne e ao departamento de segurana um moti"o "1#ido para di>er PnoP quando ne ess1rioD ,ropor iona ao departamento de segurana a autoridade ne ess1ria para sustentar o PnoPD Impede que o departamento de segurana ten:a um desempen:o f3ti#.

A po#-ti a de segurana de informaes de"e estabe#e er prin -pios institu ionais de omo a organi>ao ir1 proteger< ontro#ar e monitorar seus re ursos omputa ionais e< onseq6entemente< as informaes por e#es manipu#adas. N importante que a po#-ti a estabe#ea ainda as responsabi#idades das funes re#a ionadas om a segurana e dis rimine as prin ipais ameaas< ris os e impa tos en"o#"idos. A po#-ti a de segurana< de"e ir a#m dos aspe tos re#a ionados om sistemas de informao ou re ursos omputa ionais< e#a de"e estar integrada om as po#-ti as institu ionais da empresa< metas de neg= io e ao p#ane;amento estratgi o da empresa. Se uma boa po#-ti a de segurana o re urso mais importante que se pode riar para tornar uma rede segura< por que a maioria das empresas onsidera to dif- i# riar uma po#-ti a efi iente? )%istem "1rias ra>es prin ipais. PrioridadeF A po#-ti a importante< mas :o;e @ tarde pre iso que a#gum o#oque o ser"idor da Xeb on?#ine. Se for ne ess1rio que as pessoas dei%em de uidar do que onsideram urgentes e usem o tempo para on ordar om a po#-ti a de segurana< ser1 muito dif- i# ter su esso. Pol8tica internaF )m qua#quer empresa< grande ou pequena< "1rios fatores internos afetam qua#quer de iso ou pr1ti a. Pro,riedadeF .e uma maneira bastante estran:a< em a#gumas empresas e%iste uma briga entre "1rios grupos que dese;am ser os donos da po#-ti a e< em outras empresas< a briga o orre entre "1rios grupos que e%p#i itamente no querem ser os respons1"eis pe#a po#-ti a. Di)ic.ldade ,ara e+cre0er2 5ma boa po#-ti a um do umento dif- i# de se organi>ar de maneira pre isa< prin ipa#mente quando ne ess1rio que se;a abrangente. 9o poss-"e# pre"er todos os asos e todos os deta#:es. Al*.ma+ +.*e+t@e+ ,ara a?.dar a +ol.cionar e++e+ ,ro-lema+2 5ma boa po#-ti a :o;e me#:or do que uma e% e#ente po#-ti a no pr=%imo anoD 5ma po#-ti a fra a< mas bem?distribu-da< me#:or do que uma po#-ti a forte que ningum #euD 5ma po#-ti a simp#es e fa i#mente ompreendida me#:or do que uma po#-ti a omp#i ada que ningum se d1 o traba#:o de #erD onfusa e

5ma po#-ti a u;os deta#:es esto #igeiramente errados muito me#:or do que uma po#-ti a sem

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ '3&'(

quaisquer deta#:esD 5ma po#-ti a dinCmi a que atua#i>ada onstantemente me#:or do que uma po#-ti a que se torna obso#eta om o passar do tempo.

&omo e aborar uma po itica de segurana

E+cre0a .ma ,ol8tica de +e*.ran<a 9o in #ua nada espe -fi o. Afirme genera#idades. )ssa po#-ti a no de"er1 o upar mais de in o p1ginas. 9em sero ne ess1rios mais de dois dias para es re"7?#a. 9o pea a;uda. Qaa de a ordo om suas pr=prias idias. 9o tente torn1?#a perfeita< pro ure apenas reunir a#guma idias essen iais. 9o ne ess1rio que este;a omp#eta e no pre isa ser de uma #are>a abso#uta. De+c.-ra al*.ma+ ,e++oa+ di+,o+ta+ a )aEer ,arte do Fcomit> de ,ol8tica de +e*.ran<aF A tarefa dessas pessoas ser1 riar regras e emendas para a po#-ti a< sem modifi 1?#a. As pessoas do omit7 de"ero estar interessadas na e%ist7n ia de uma po#-ti a de segurana< perten er a partes diferentes da empresa< se poss-"e#< e estar dispostas a se en ontrarem rapidamente uma ou duas "e>es por trimestre. .ei%e #aro que a ap#i ao da po#-ti a e a so#uo de qua#quer prob#ema re#a ionado so sua responsabi#idade e no de#as. O traba#:o do omit7 ser1 o de #egis#adores e no de e%e utores. Crie .m +ite interno +o-re a ,ol8tica e incl.a .ma ,*ina ,ara entrar em contato com o comit> Y medida que as emendas forem es ritas e apro"adas< a res ente?as ao site to depressa quanto poss-"e#. Trate a ,ol8tica e a+ emenda+ como re*ra+ a-+ol.ta+ com )or<a de lei 9o faa nada que possa "io#ar a po#-ti a e no permita que o orram "io#aes. )m a#gum momento< a administrao notar1 o que est1 a onte endo. ,ermita e in enti"e que a administrao se en"o#"a no pro esso tanto quanto poss-"e#< a no ser que o pessoa# da administrao pretenda simp#esmente e#iminar a sua po#-ti a e dei%1?#o om nada. Oriente?os para a riao de uma po#-ti a no"a e me#:or. 9o ser1 poss-"e# enga;1?#os a menos que rea#mente o queiram e este um mtodo e% e#ente para en"o#"7? #os. Se e#es ontinuarem interessados< "o 7 ser1 apa> de estabe#e er uma po#-ti a om o a"a# da administrao. Se e#es passarem a se o upar de outras oisas< sua po#-ti a seguir1 no pro esso em andamento. Se al*.Cm ti0er al*.m ,ro-lema com a ,ol8ticaG )a<a com /.e a ,e++oa ,ro,on4a .ma emenda A emenda poder1 ter apenas uma p1gina. .e"er1 ser to genri a quanto poss-"e#. ,ara se tornar uma emenda< ser1 ne ess1rio que dois dos tr7s Kou maisL membros do omit7 de po#-ti a on ordem. Pro*rame .m encontro re*.lar ,ara con+olidar a ,ol8tica e a+ emenda+ )sse en ontro de"er1 a onte er uma "e> por ano e de"er1 en"o#"er "o 7 e o omit7 de po#-ti a de segurana. O prop=sito desse en ontro < onsiderando a po#-ti a e poss-"eis emendas< ombin1?#os em uma no"a de #arao de po#-ti a de in o p1ginas. In enti"e o pr=prio omit7 a redigi?#a se preferir< mas pro"a"e#mente o me#:or pro edimento ser1 dedi ar a es re"er outro ras un:o da po#-ti a< in #uindo todas as emendas. Re,ita o ,roce++o no0amente )%pon:a a po#-ti a no site< trate?a omo uma #ei< en"o#"a as pessoas da administrao< se dese;arem ser en"o#"idas< a res ente emendas onforme se;a ne ess1rio e re"ise tudo a ada ano. /ontinue repetindo esse pro esso< enquanto for poss-"e#.

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ '3&'(

%ivises da #o $tica
Texto em nvel estratgico
S1 situaes no dia?a?dia em que pre isamos tomar de ises. )< de "e> em quando< o bom senso a ferramenta usada pe#os profissionais para a tomada de uma de iso. Sim< porque se nun a ningum passou pe#a situao antes e no :1 nen:uma orientao da empresa para o que fa>er quando e#a a onte e< o ta#ento o respons1"e# pe#a definio entre a genia#idade da reso#uo do prob#ema ou a #ou ura de quem tomou a de iso errada. 7amo+ a .m e:em,lo2 PA segurana da informao de"e ser estabe#e ida desde que no in"iabi#i>e o neg= io da instituioP. A frase no disse muito para aque#es que esto pro urando Ppo< poD quei;o< quei;oP< mas< em ompensao< disse tudo para aque#e indi"-duo que se en ontra na seguinte situaoF O te#efone to aF ? ,re iso que "o 7 #ibere uma regra do fireAa## para que eu possa rea#i>ar uma operao. Se e#e #iberar o a esso ao equipamento< pode ser punido porque tomou uma de iso que< para todos< ob"iamente errada. 'odos sabem que #iberar aque#e a esso abrir uma "u#nerabi#idade no sistema< mas< se e#e no #iberar esse a esso< a empresa dei%ar1 de e%e utar uma operao ru ia# para a ontinuidade de um pro;eto que pre isa ne essariamente ser terminado :o;e. O que fa>er ? Rendo a frase es rita a ima< o fun ion1rio pode tomar sua de iso K#iberar o a esso< apesar de e%por momentaneamente a empresaL om a ons i7n ia #impa< sabendo que ser1 parabeni>ado pe#a sua ompet7n ia e a#in:amento om os "a#ores da empresa. )nto< :egamos @ pa#a"ra :a"e quando fa#amos em n-"e# estratgi oF "a#ores< ou se;a< um 45MO a ser seguido.

Texto em nvel ttico

Min:a empresa tem fi#iais em 3 idades brasi#eiras< e as redes desses tr7s #o ais so omp#etamente distintas em fun ionamento e padres. 5ma "e> pre isamos #e"antar um :ist=ri o de um pro;eto interno< e em uma das fi#iais esse :ist=ri o no e%istia. Se fosse na min:a fi#ia#< e%istiria. ,or que a diferena? Simp#es. 9ingum disse ao administrador do ban o de dados daque#a fi#ia# que a =pia de segurana do ban o pre isa"a ser arma>enada por ! meses. O fun ion1rio daque#a idade a :ou que era sufi iente guardar as fitas durante * m7s. Ap=s esse per-odo< as fitas eram reuti#i>adas para no"as =pias de segurana. PAs =pias de segurana de informaes referentes a pro;etos de"em permane er ina#teradas durante o per-odo de ! meses ap=s a sua efetuao.P /on ordam que essa frase reso#"eria o prob#ema ? A pa#a"ra :a"e para o n-"e# t1ti o F padroni>ao de ambiente. )quipamentos< softAare< sen:as< uti#i>ao de orreio e#etrIni o< =pias de segurana< segurana f-si a et . 'udo isso pre isa e de"e ser padroni>ado. Isso fa> om que todos os pontos da empresa ten:am o mesmo n-"e# de segurana e no ten:amos um e#o mais fra o na orrente.

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ '9&'(

Texto em nvel operacional

P9a mesma empresa onde ti"emos prob#emas om ba Oup< em uma das idades ningum onsegue re eber e?mai#s om p#ani#:as ane%adasP. Ob"iamente< o que de"e estar a onte endo nesse estado que o administrador< sabiamente ou no< o#o ou um #imite para mensagens de e?mai# do tipoF aso e#a se;a maior do que Z< no re eba. ,or que temos esse prob#ema< ou so#uo< apenas nesse estado? ,orque ningum disse omo onfigurar o equipamento. 9esses asos< pre iso ser minu ioso na definio da padroni>ao< "isto que @s "e>es o P #i arP de uma P ai%in:a de onfiguraoP pode ter impa to re#e"ante no fun ionamento do ambiente de 'I da empresa e< ta#"e>< nos neg= ios da empresa. A pa#a"ra :a"e nesse aso F deta#:amento para garantir perfeio no atendimento e ontinuidade dos neg= ios< independentemente do fator :umano. Se a onfigurao est1 no pape#< no :1 omo ser rea#i>ada de forma diferente. A parte opera iona# da po#-ti a de segurana "em e%atamente para padroni>ar esses deta#:es de onfiguraes dos ambientes. ,odemos ter um padro na iona# ou< quem sabe< um padro por estado. Isso ir1 depender da ne essidade da empresa. O importante sabermos que pre isamos desse padro. As pessoas possuem on:e imentos diferentes e< em qua#quer empresa sem uma po#-ti a de segurana< a onfigurao de um sistema em um determinado #o a# no ser1 igua# @ onfigurao do mesmo sistema em outra #o a#idade.

&onte'do da #o $tica
A#gumas questes u;a in #uso em uma po#-ti a de segurana de"er1 ser #e"ada em onsideraoF O que estamos protegendo ? PSe no souber o que e por que est1 defendendo< no ser1 poss-"e# defend7?#oP PSaber que est1 sendo ata ado representa mais da metade da bata#:aP. .es re"a de forma ra>oa"e#mente deta#:ada os tipos de n-"eis de segurana esperados para sua empresa. ,or e%emp#o< ara teri>e as m1quinas da rede da seguinte maneiraF !ermelho ? /ontm informaes e%tremamente onfiden iais ou forne e ser"ios essen iaisD "marelo ? /ontm informaes sens-"eis ou forne e ser"ios importantesD !erde ? /apa> de ter a esso @s m1quinas "erme#:as ou amare#as< mas no arma>ena informaes sens-"eis nem e%e uta funes ru iais de uma maneira direta. #ranco ? Sem a esso aos sistemas "erme#:o< amare#o ou "erde e no pode ser a essado e%ternamente. Sem funes ou informaes sens-"eis. Preto ? A ess-"e# e%ternamente. Sem a esso aos sistemas "erme#:o< amare#o< "erde ou bran o. 4eunindo essas informaes< "o 7 agora ter1 um "o abu#1rio para des re"er todas as m1quinas e%istentes na rede e o n-"e# de segurana a ser atribu-do a ada m1quina. As mesma nomen #atura permitir1 des re"er as redes< a#m de e%igir< por e%emp#o< que as m1quinas "erme#:as este;am one tadas @s redes "erme#:as e assim por diante.

Mtodos de Proteo
.es re"er as prioridades para a proteo da rede. ,or e%emp#o< as prioridades organi>a ionais

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ ';&'(

podero ser as seguintesF Sa3de e segurana :umanaD /onformidade om a #egis#ao ap#i 1"e# #o a#< estadua# e federa#D ,reser"ao dos interesses da empresaD ,reser"ao dos interesses dos par eiros da empresaD .isseminao gratuita e aberta de informaes no?sens-"eis.

.es re"er qua#quer po#-ti a de ar1ter gera# para o a esso de ada ategoria do sistema< e ainda riar um i #o de qua#ifi ao que ir1 des re"er om que freq67n ia uma m1quina de determinado tipo de usu1rio de"er1 ser e%aminada para "erifi ar se ainda est1 onfigurada orretamente de a ordo om seu status de segurana.

Responsabilidades
.es re"er as responsabi#idades Ke< em a#guns asos< os pri"i#giosL de ada #asse de usu1rios do sistema. Gera# /on:e imento dessa po#-ti aD 'odas as aes de a ordo om essa po#-ti aD Informar @ segurana qua#quer "io#ao on:e ida a essa po#-ti aD Informar @ segurana qua#quer suspeita de prob#emas om essa po#-ti a.

Administrador de sistema J Operaes 'odas as informaes sobre os usu1rios sero tratadas omo onfiden iaisD 9o ser1 permitido a esso no?autori>ado a informaes onfiden iaisD Assegurar todas as aes onsistentes om o =digo de onduta de um administrador de sistemas. Mais a#to n-"e# de onduta ti aD Assegurar todas as aes onsistentes om o =digo de onduta de um respons1"e# pe#a seguranaD

/ontratado A esso a m1quinas espe ifi amente autori>adas na forma espe ifi amente autori>adaD So#i itar1 autori>ao pr"ia por es rito para qua#quer ao que possa ser interpretada omo uma questo de segurana.

/on"idado

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ '=&'(

9en:um a esso a re ursos de omputao< a menos que :a;a notifi ao pr"ia por es rito @ segurana.

Uso Adequado
/omo os fun ion1rios de"ero ou no usar a rede. Gera# 5so pessoa# m-nimo durante o :or1rio omer ia# norma#D 9en:uma uti#i>ao da rede para ati"idades omer iais e%ternasD A esso a re ursos de Internet onsistentes om as po#-ti as de 4S.

Administrador de sistemas A esso respons1"e# a informaes sens-"eis ou pessoais na redeD 'odo a esso espe ia# de"e ser ;ustifi ado..

)quipe de Segurana A esso respons1"e# a informaes sens-"eis ou pessoais na redeD 'odo a esso espe ia# de"e ser ;ustifi adoD 5so de ferramentas de segurana apenas para ob;eti"os #eg-timos.

/ontratado 9en:um a esso pessoa# a qua#quer tempoD 5so m-nimo da rede e apenas por moti"os espe -fi os re#ati"os a determinados ontratos.

/on"idado 9en:um uso da rede a qua#quer tempo.

onseq!"ncias
.es re"er omo determinada a importCn ia de uma "io#ao da po#-ti a e as ategorias de onseq67n ias.

Penalidades
.es re"er quais as pena#idades de a ordo om o n-"e# do des umprimento de um item da po#-ti a de segurana.

3 Centro de Telemtica de rea SEGURANA APLICADA SEGURANA DA IN !R"A#! $ '(&'(

/r-ti a Sria 4e omendao para demissoD 4e omendao para des onto de sa#1rio. 4e omendao para demissoD 4e omendao para abertura de ao #ega#.

Rimitada 4e omendao para des onto de sa#1rioD 4epreenso forma# por es ritoD Suspenso no?remunerada.

(uais as atitudes que devem ser evitadas na rea de informtica)

S1 menos de uma d ada< basta"am um adeado< orrentes reforadas no porto e um a :orro fero> para manter a empresa e seus dados protegidos dos gatunos. So;e< om a maior parte das informaes digita#i>adas< pre iso ir a#m. 9o d1 para dei%ar de in"estir em softAares de segurana e no treinamento dos fun ion1rios para preser"ar os segredos da empresa. ) no so pou as as o orr7n ias de espionagem industria#. A maioria dos [piratas[ onta om a a;uda dos fun ion1rios da 1rea de inform1ti a. /om bons on:e imentos t ni os< fa i#itam a "ida da on orr7n ia por meio da entrega de dados onfiden iais da asa. He;am abai%o quais so os sete pe ados apitais da 1rea de te no#ogia e onfira se "o 7 omete a#guns de#esF !RGULH! ? Os administradores de rede a reditam que apenas os fireAa##s< softAares que barram a entrada e sa-da de e?mai#s e os tradi ionais anti"-rus so apa>es de garantir tota# segurana aos arqui"os da empresa. .es artam qua#quer outra ao pre"enti"a. IN7EIA ? ,rofissionais que bai%am programas espies KspBAareL< usam bre :as de segurana na rede para roubar dados onfiden iais da empresa. GULA ? Os fun ion1rios no resistem @ fartura de banda e bai%am arqui"os pesados de "-deo e de m3si a< possibi#itando que a rede de a esso @ Internet fique mais #enta. LUJKRIA ? A ombinao do a esso a sites de pornografia< @ banda #arga e @ rede ponto?a?ponto fa i#ita a aptura de imagem para o omputador pessoa#. )< onseq6entemente< fa i#ita tambm a tro a de arqui"os entre os fun ion1rios< dei%ando "u#ner1"e# o a esso a informaes sigi#osas. IRA ? /eder aos ape#os dos momentos de f3ria e ometer ataques @ rede interna pode pro"o ar perdas de dados e desperd- io de re ursos. C!BIA ? A tentao de en :er o omputador do traba#:o om arqui"os em M,3 e .H.s fun iona omo uma porta de entrada para "-rus e programas espies KspBAareL. PREGUIA ? Qi ar pendurado nos programas de mensagens instantCneas< ;ogos interati"os e e"entos de esportes ao "i"o no ambiente de traba#:o gera ustos e mau uso do tempo.