Monografia 00-35297

Universidade de Braslia
Instituto de Cincias Exatas

Departamento de Cincia da Computao
Polticas de Segurana da Informao:
Recomendaes para Reduo de Riscos e
Vulnerabilidades Humanas.
Luciano Silva Tadeu
Monografia apresentada como requisito parcial para
concluso do Curso de Computao Licenciatura
Orientadora
Profa. Maria de Ftima Ramos Brando
Braslia
2006
Segurana da Informao
2
Universidade de Braslia UnB
Curso de Computao Licenciatura
Coordenadora: Profa Dra Maria Emlia
Banca examinadora composta por:
Prof Maria de Fti ma Ramos Brando ( Orie ntadora) CIC/UnB
Prof Marco Aurlio de Carvalho CIC/UnB
Prof Pe dro de Azeve do Be rge r CIC/ UnB
CIP Catalogao Internacional na Publicao
Luciano Silva Tadeu
Recomendaes para Polticas de Reduo de Riscos e
Vulnerabilidades Humanas em Ambientes Coorporativos./ Luciano
Silva Tadeu. Braslia : UnB,2006
Monografia (Graduao) Universidade de Braslia, Braslia, 2006.
Endereo
Campus Universitrio Darcy Ribeiro
Asa Norte
CEP 70910-900
Braslia - DF - Brasil
3
Polticas de Segurana da Informao:
Recomendaes para Reduo de Riscos e
Vulnerabilidades Humanas.
Luciano Silva Tadeu
Monografia apresentada como requisito parcial para
concluso do Curso de Computao Licenciatura
Prof Maria de Fti ma Ramos Brando(Orientadora)
CIC/UnB
Prof Dr Marco Aurlio de Carvalho Prof Dr Pe dro de Azeve do Be rge r
CIC/UnB CIC/UnB
Prof . Dra. Maria Emlia
Coordenadora do Curso de Computao Licenciatura
Braslia, 21 de Dezembro de 2006
4
Agradecimento
Agradeo a Deus, a quem devo minha
vida, a minha esposa Zenaide e aos meus
filhos, Lucas, Masa e Amanda que so a
razo de tudo pra mim. Agradeo tambm
a minha orientadora Professora Maria de
Ftima Ramos Brando, que se dedicou
para a realizao desta monografia.
5
Resumo
A informao , na atualidade, uma das mais valiosas ferramentas de
uma corporao. Logo, se no houver mecanismos de proteo, cedo ou tarde,
haver prejuzo, moral ou material para a corporao. Portanto, a questo que se
apresenta de como promover nas corporaes aes para conscientizao,
esclarecimento e informao de seus colaboradores quanto aos riscos existentes, s
vulnerabilidades e aos aspectos de segurana da informao, de maneira a garantir
que a Poltica de Segurana da Informao de uma corporao seja efetiva do ponto
de vista do fator humano? A pesquisa apresenta uma anlise dos problemas
levantados em trs estudos de caso de corporaes militares e fornece
recomendaes para a reduo dos riscos e vulnerabilidades humanas nas
corporaes. A anlise identificou que os problemas esto concentrados nas reas de
acesso Internet via rede corporativa; na engenharia social que vulnerabiliza o
sistema e na invaso do sistema por cdigo malicioso do tipo vrus e cavalo de tria.
Esses problemas apresentam o colaborador, o funcionrio e o militar como aspecto
comum de fragilidade. As recomendaes partem do princpio de que os gestores
priorizem os aspectos humanos e comportamentais dos sistemas de segurana. Um
quadro com recomendaes prticas proposto com o objetivo de apoiar as aes
dos gestores nos contextos de suas corporaes.
Palavras-chave: Tecnologia da Informao. Segurana.
6
Abstract
Information is, nowadays, one of the most valuable tools of a
corporation. Consequently, without protection mechanisms, sooner or later, there will
be moral or material losses to the corporation. The question that appears is how to
promote in corporations actions to create awareness and provide information to its
collaborators about the risks, vulnerabilities and information security aspects, in a way
to assure that the Information Security Policy of a corporation is effective in the point of
view of the human factor? The research presents an analysis of the problems found in
three case studies of military corporations e provides recommendations for the
reduction of risks and human vulnerabilities in corporations. The analysis identified that
the problems are concentrated in the Internet access area through corporative net; in
the social engineering that turns vulnerable the system and in the invasion of the
system by malicious virus-like and trojan-like codes. These problems show the
collaborator, the employee and the military as common aspects of fragility. The
recommendations consider that the managers prioritize the human and behavior
aspects of the security system. A graph with practical recommendations is proposed
with the objective to support the actions of managers considering their corporations
context.
Keywords: Information Technology. Security.
7
Sumrio
Glossrio......................................................................................................... 8
Lista de Abreviaturas...................................................................................... 10
Lista de Figuras.............................................................................................. 11
Lista de Quadros............................................................................................ 12
Captulo 1 Introduo.................................................................................. 13
Captulo 2 Normas e Padres de Segurana da Informao..................... 16
Captulo 3 Segurana da Informao em Ambientes Corporativos ............ 26
Captulo 4 Segurana da Informao e Vulnerabilidades........................... 39
Captulo 5 Metodologia do Estudo de Casos.............................................. 43
5.1 Instrumentos de Coleta de Dados............................................. 43
5.2 Estratgia de Aplicao ............................................................ 45
5.3 Desafios Inerentes ao planejamento do estudo......................... 45
5.4 Desafios inerentes a operacionalizao do estudo.................... 45
Captulo 6 Dos Dados Coletados ................................................................ 46
6.1 Perfil das Organizaes Militares Pesquisadas......................... 46
6.2 Conscincia sobre Segurana................................................... 46
6.3 Anlise dos dados obtidos nas pesquisas aplicadas nas OM 47
6.4 Tecnologias e Falhas de Segurana.......................................... 48
Captulo 7 Recomendaes......................................................................... 53
7.1 Recomendaes para gestores.................................................. 53
7.2 Recomendaes para o usurio final.......................................... 55
7.3 Conscientizao.......................................................................... 61
Captulo 8 Concluses................................................................................. 62
Referncias Bibliogrficas............................................................................... 64
Anexo A........................................................................................................... 66
8
Glossrio
1. Cavalo de Troia:Programa que finge realizar uma certa tarefa, e secretamante
realiza uma outra tarefa maliciosa;
2. Classificao de Informaes: de acordo com o grau de sigilo as informaes
so classificadas em: ultra-secreto, secreto, confidencial, reservado e
ostensivo;
3. Confidencialidade:garantia de que a informao acessvel somente por
pessoas autorizadas a terem acesso;
4. Crackers: So aqueles que invadem computadores atravs da quebra de
cdigos;
5. Detector de Intruso: Dispositivo que verifica e monitora tentativa de intruso
no sistema;
6. Disponibilidade: garantia de que os usurios autorizados obtenham acesso
informaes e aos ativos correspondentes sempre que necessrio;
7. Engenharia Social: Tcnica de influenciar pessoas pelo poder da persuaso;
8. Hackers: Hacker o termo originrio do ingls usado para designar um
especialista em Informtica;
9. Hardware: Material ou Ferramental a parte fsica do computador, ou seja, o
conjunto de componentes eletrnicos, circuitos integrados e placas, que se
comunicam atravs de barramentos
10. Integridade: salvaguarda da exatido e completeza da informao e dos
mtodos de processamento;
11. Keyloggers: um programa ou um dispositivo fsico desenvolvido para registar
a sequncia de teclas digitadas por um utilizador;
12. Malware: Proveniente de "Malicious Software" um software designado a se
infiltrar em um sistema de computador alheio de forma ilcita com o intito de
causar algum dano ou roubo de informaes (confidnciais ou no).
13. Pathes: Correes de programas disponibilizados no site do fabricante;
14. Phishing Scam: um golpe no qual o autor distribui e-mails com aspecto
legtimo, aparentemente vindos de alguns dos mais importantes sites da Web,
com a inteno de roubar informaes particulares e obter acesso s contas
bancrias ou aos servios por assinatura da vtima;
9
15. Phreacker - No incio dos anos 80, alguns crackers se especializaram enganar
o sistema telefnico.O objetivo podia ser fazer ligaes de graa ou alterar as
configuraes de uma linha, por exemplo.Estes crackers ficaram conhecidos
como phreacker (de phone freak, algo como manaco por telefone);
16. Software: programa de computador, uma sequncia de instrues a serem
seguidas e/ou executadas, na manipulao, redirecionamento ou modificao
de um dado/informao ou acontecimento;
17. Spam:O spam uma mensagem de e-mail no-solicitada;
18. Spyware: Produto que utiliza uma conexo de internet sem que o usurio tome
conhecimento e extrai/transmite informaes do mesmo;
Palavra-Chave Tecnologia da Informao.Segurana
10
Lista de abreviaturas
1. BSI: British Standards Institute
2. Cobit: Control Objectives for Information and related Technology
3. IDS: (Intrusion detection system) sistema de software ou hardware que registra
a tentativa de acesso no autorizado a um sistema;
4. IEC: International Eletrotechnical Comission
5. ISACF: Information Systems Audit and Control Foundation
6. ISO: International Organization for Standardization
7. ISMS: Information Security Management System
8. OM : Organizao Militar
9. PDCA: Plan-do-Check-Act ( Planejar, fazer, checar e agir)
10. SGSI: Sistema de Gesto da Segurana da Informao
11. SOA: Statement of Applicability declarao de aplicabilidade
12. TI: Sigla que significa Tecnologia da informao. Aqui citado como sendo o
setor responsvel em manter a tecnologia utilizada na empresa de maneira a
garantir que a informao esteja disponvel e segura para todos que possuem
acesso mesma. Corresponde ao ento setor de informtica
11
Lista de Figuras
Fig 1 PDCA Sistemas de Gesto de Segurana da Informao........ 23
Fig 2 Cobit (Control Objectives for Information and related
Technology). 24
12
Lista de quadros
Quadro 6.1 Investimentos na rea de segurana em 2006............................ 47
Quadro 6.2 Principais obstculos para implementao de segurana........... 47
Quadro 6.3 Principais tpicos abordados na poltica de segurana............... 48
Quadro 6.4 Principais Ameaas...................................................................... 49
Quadro 6.5 Principais pontos de invaso........................................................ 49
Quadro 6.6 Responsveis por problemas de segurana registrados............. 50
Quadro 6.7 Providncias adotadas no caso de alguma falha de segurana.. 50
Quadro 6.8 Medidas de segurana j implementadas.................................... 51
Quadro 6.9 Uso corporativo da Internet........................................................ 51
Quadro 6.10 Principais aplicaes efetuadas na Internet............................... 52
Quadro 7.1 Recomendaes para o usurio final........................................... 57
13
Captulo 1
Introduo
O preo da liberdade a eterna vigilncia
Thomas Jefferson
Na era do conhecimento, a informao considerada um dos
principais patrimnios das corporaes e deve ser protegida em seus aspectos de
disponibilidade, integridade e confidencialidade, sendo a rea de Segurana da
Informao o elemento chave dessa proteo (VASCONCELLOS, 2004). Por outro
aspecto, com o uso das tecnologias em sistemas de comunicaes, tais como satlite,
celulares, computadores, rdios, etc., ocorrem diariamente problemas de segurana.
Os celulares e cartes de crdito so clonados, redes bancrias so invadidas pela
Internet. Nas empresas, corporaes e reparties de trabalho, a situao no
diferente, a segurana nos meios de comunicaes necessria, seja no computador,
no telefone ou, at mesmo, na comunicao entre as pessoas. A definio, os
procedimentos e os motivos para cada funcionrio ou grupo de funcionrios possuir
qualquer tipo de acesso informao devem estar especificados num documento de
definio da Poltica de Segurana da Informao da Corporao, alm disso, devem
ser especificados todas as regras de controle de acesso, treinamento, conscientizao
e os procedimentos para a classificao das informaes. Esse esforo visa controlar
e evitar os acessos no autorizados aos recursos de TI (Tecnologia da Informao).
A segurana da informao tema de debate para as corporaes
que esto em busca de solues prticas e efetivas para otimizar suas atividades e,
ao mesmo tempo, garantir segurana nos seus mecanismos de trabalho. A forma
como as corporaes devem gerir este desafio, se apresenta sob dois aspectos de
ordem tecnolgica e de ordem humana.
O aspecto tecnolgico trata da comunicao atravs de ativos e
dispositivos de software e hardware. Por outro lado, o aspecto humano tem a funo
de gerenciar, operar, desenvolver, organizar e coordenar os aspectos tecnolgicos da
segurana nas corporaes.
14
A As s c co or rp po or ra a e es s p pr re eo oc cu up pa am m- -s se e q qu ua as se e q qu ue e e ex xc cl lu us si iv va am me en nt te e c co om m a a
t te ec cn no ol lo og gi ia a e e t to od da a a a e es s t tr ru ut tu ur ra a f f s s i ic c a a e em mp pr re eg ga ad da a. . E Em m s se eg gu un nd do o p pl la an no o p po os si ic c i io on na ad do o o o
a as sp pe ec ct to o h hu um ma an no o q qu ue e, , e em m g ge er ra al l, , o o e el lo o m ma ai is s f fr ra ac c o o q qu ue e r re eg ge e a as s c co or rp po or ra a e es s d de e
q qu ua al lq qu ue er r s se et to or r. . A As s p pe es ss s o oa as s s s o o i im mp pr re ev vi is s v ve ei is s e e p pa as ss s v ve ei is s d de e s se er re em m i in nf fl lu ue en nc c i ia ad da as s , , o o
q qu ue e t to or rn na a e es ss se e a as sp pe ec ct to o u um m e el le em me en nt to o i im mp po or rt ta an nt te e e e c c r r t ti ic co o e em m q qu ua al lq qu ue er r s s i is st te em ma a d de e
s se eg gu ur ra an n a a. . Atualmente, a al l m m d do os s h ha ac ck ke er rs s e e v v r ru us s, , o o f fu un nc ci io on n r ri io o i in ns sa at ti is s f fe ei it to o e e o o
v va az za am me en nt to o d de e i in nf fo or rm ma a e es s i in nd de ev vi id da as s , , p pa as ss sa am m a a f fa az ze er r p pa ar rt te e d do o r ro ol l d de e p pr re eo oc cu up pa a e es s
d da as s c co or rp po or ra a e es s. . Dessa forma, necessrio que os responsveis pela rea de
Segurana da Informao nas corporaes tenham suas atenes voltadas tambm
para os aspectos humanos nas questes de segurana da informao. Deve-se
procurar conscientizar, esclarecer e informar os seus funcionrios e colaboradores,
sobre os riscos existentes tornando-os parte importante da Poltica de Segurana da
Informao na corporao.
A questo que se apresenta de como promover nas corporaes
aes para conscientizar, esclarecer e informar seus colaboradores no que diz
respeito aos riscos existentes sobre Segurana da Informao e garantir que a
Poltica de Segurana da Informao seja efetiva?
Nesse contexto, o objetivo da pesquisa propor recomendaes
sobre fatores humanos em Segurana da Informao que possam ser adotados em
ambientes corporativos. A abordagem metodolgica apresenta-se do seguinte modo:
A An n l li is se e d de e n no or rm ma as s e e p pa ad dr r e es s e ex xi is s t te en nt te es s n na a l li it te er ra at tu ur ra a e e i id de en nt ti if fi ic ca a o o d do os s
r re eq qu ui is si it to os s d de e s se eg gu ur ra an n a a; ;
E El la ab bo or ra a o o d de e r ro ot te ei ir ro os s d de e i in nv ve es st ti ig ga a o o p pa ar ra a E Es st tu ud do o d de e C Ca as so o; ;
Realizao de pesquisa sobre Segurana da Informao em trs
Organizaes Militares
A An n l li is se e d do os s d da ad do os s o ob bt ti id do os s
E El la ab bo or ra a o o d de e R Re ec co om me en nd da a e es s p pa ar ra a P Po ol l t ti ic ca as s d de e R Re ed du u o o d de e R Ri is sc co os s e e
V Vu ul ln ne er ra ab bi il li id da ad de es s H Hu um ma an na as s n no os s A Am mb bi ie en nt te es s a av va al li ia ad do os s . .
Espera-se que as recomendaes inseridas no contexto das
corporaes possam contribuir para a conscientizao sobre os benefcios de uma
Poltica de Segurana da Informao que priorize o fator humano.
O documento apresenta no captulo 2 as normas e padres que
orientam a rea de Segurana da Informao. No captulo 3 abordada a temtica
15
de segurana da informao em ambientes corporativos. O captulo 4 ressalta as
vulnerabilidades na rea de Segurana da Informao. O captulo 5 apresenta o
estudo de caso realizado nas trs Organizaes Militares. O captulo 6 apresenta as
anlises sobre os dados levantados. O captulo 7 apresenta as recomendaes
propostas para polticas de reduo de riscos e vulnerabilidades humanas em
ambientes corporativos. E, por fim, no captulo 8 so apresentadas as concluses e
recomendaes para trabalhos futuros.
MAIORES INFORMAES:
a) Segurana da Informao:
http://modulo.com.br
b) Poltica de Segurana da Informao:
NBR ISO/IEC 17799 Tecnologia da Informao Cdigo de prtica para a gesto da
segurana da informao.
c) Poltica de Reduo de Riscos:
ISO Guide 73
d) Engenharia Social:
(MITNICK, Kevin D.), A arte de enganar, ed. Makron Book
16
Captulo 2
Normas e Padres de Segurana da Informao
A segurana no um produto, mas um processo. Voc
no pode simplesmente inclu-la em um sistema aps um
fato Solues perfeitas no so exigidas, mas sistemas que
possam ser totalmente invadidos so inaceitveis Bruce
Schneier [Segurana.com]
A engenharia definida como a arte de aplicar conhecimentos
cientficos e empricos e certas habilitaes especficas criao de estruturas,
dispositivos e processos que se utilizam para converter recursos naturais em formas
adequadas ao atendimento das necessidades humanas. E ainda, o aspecto social
da sociedade ou relativo a ela (PRIBERAM,2006).
Portanto, a Engenharia Social a cincia que estuda como o
conhecimento do comportamento humano pode ser utilizado para
induzir uma pessoa a atuar segundo seu desejo. No se trata de hipnose
ou controle da mente. As tcnicas de Engenharia Social so
amplamente utilizadas por detetives para obter informao ou por e
magistrados para comprovar se um declarante fala a verdade. Tambm
utilizada para lograr todo tipo de fraudes, inclusive invaso de sistemas
eletrnicos.(Diponvel em :<http:// www.konsultex.com.br > Acesso em: 20
nov. 2005)
Perfil do Engenheiro Social
Geralmente o engenheiro social um tipo de pessoa agradvel, ou
seja, uma pessoa educada, simptica, carismtica, mas sobretudo criativa, flexvel e
dinmica, possuindo uma conversa bastante envolvente (PEIXOTO, 2002).
17
As origens da Norma ISO/IEC 17799 (International Standards
Organization)
Por mais de 100 anos, o British Standards Institute (BSI) e a
International Organization for Standardization (ISO) fornecem referncias globais para
padres operacionais, de fabricao e de desempenho. Uma coisa que o BSI e o ISO
no tinham ainda proposto era um padro para a Segurana de Informao
Finalmente em 1995, o BSI lanou seu primeiro padro de segurana, BS 7799
(British Standards). A BS 7799 foi criada com a inteno de abranger assuntos de
segurana relacionados ao e-commerce (comrcio eletrnico). No incio, a BS 7799 foi
considerada inflexvel e no foi adotada globalmente. O momento no era correto e
questes de segurana no despertavam grande interesse naquele tempo.
Avancemos para quatro anos mais tarde. Em maio de 1999, o BSI tentou novamente,
lanando a segunda verso da BS 7799, uma enorme reviso da verso anterior.
Essa edio continha vrios aperfeioamentos e melhoras. Foi nessa poca que a
ISO identificou a oportunidade e comeou a trabalhar na reviso da BS 7799. Em
dezembro de 2000, o International Standards Organization (ISO) adotou e publicou a
primeira parte da BS7799 como seu prprio padro, chamando-a ISO/IEC 17799.
Nessa mesma poca, uma maneira formal de credenciamento e certificao de
compatibilidade com os padres foram adotadas. A adoo da BS 7799 Parte 1 (o
critrio padro) pela ISO foi mais aceitvel nternacionalmente, e foi nessa poca que
um conjunto de padres de segurana finalmente recebeu reconhecimento global
Uma estrutura de recomendaes
Especialistas da rea reconhecem a ISO/IEC 17799 como uma
compilao de recomendaes para melhores prticas de segurana, que podem ser
aplicadas por empresas, independentemente do seu porte ou setor. Ela foi criada com
a inteno de ser um padro flexvel, nunca guiando seus usurios a seguir uma
soluo de segurana especfica em vez de outra.
___________________
Disponvel em: <http://www.symantec.com> Acesso em:14 Dez 2005
18
As recomendaes da ISO/IEC 17799 continuam neutras com relao tecnologia e
no fornecem nenhuma ajuda na avaliao ou entendimento de medidas de
segurana j existentes. Por exemplo, discute a necessidade de firewall, mas no
aprofunda nos tipos de Sistemas de firewall e como devem ser usados. Isso leva
alguns opositores a dizer que a ISO/IEC 17799 muito vaga e pouco estruturada para
ter seu valor realmente reconhecido.
A flexibilidade e impreciso da ISO/IEC 17799 so intencionais, pois
muito difcil criar um padro que funcione para todos os variados ambientes de TI e
que seja capaz de crescer com a mutante paisagem tecnolgica atual. Ela
simplesmente fornece um conjunto de regras, em uma Corporao onde elas no
existiam.
As dez reas de controle do ISO/IEC 17799:
A flexibilidade e impreciso da ISO 17799 so intencionais, pois
muito difcil criar um padro que funcione para todos os variados ambientes de TI e
que seja capaz de crescer com a mutante paisagem tecnolgica atual. Ela
simplesmente fornece um conjunto de regras, em uma indstria onde elas no
existam (Symantec, 2004).
A norma ISO/IEC 17799, 2001 dividida nas seguintes reas:
1) Poltica de Segurana necessrio uma poltica para determinar as expectativas
para segurana, o que fornece direo e suporte ao gerenciamento. A poltica deve
tambm ser usada como uma base para revises e avaliaes regulares.
2) Corporao da Segurana Sugere que uma estrutura de gerenciamento seja
determinada dentro da empresa, explicando quais os grupos so responsveis por
certas reas de segurana e um processo para o gerenciamento de respostas a
incidentes.
3) Classificao e Controle do Patrimnio Exige um inventrio do patrimnio de
informaes da empresa e, com esse conhecimento, garante que o nvel de proteo
apropriado seja aplicado.
4) Segurana dos Funcionrios Indica a necessidade de educar e informar os
funcionrios atuais ou potenciais sobre a expectativa da empresa para com eles, com
relao a assuntos confidenciais e de segurana, e como sua funo na segurana se
enquadra na operao geral da empresa. Tenha um plano de relatrios de incidentes.
19
5) Segurana Fsica e Ambiental Aborda a necessidade de proteger reas,
equipamentos de segurana e controles gerais.
6) Gerenciamento de Operaes e Comunicaes Os objetivos dessa seo
incluem:
- Garantir instalaes para a operao correta e segura do processamento de
informaes;
- Minimizar o risco de falhas dos sistemas;
- Proteger a integridade do software e/ou das informaes;
- Manter a integridade e disponibilidade do processamento de informaes e
comunicaes;
- Garantir a proteo das informaes em redes e da infra-estrutura de suporte;
- Evitar danos ao patrimnio e interrupes nas atividades da empresa;
- Prevenir perdas, modificaes ou uso inadequado das informaes trocadas
entre empresas.
7) Controle de Acesso Identifica a importncia da monitorao e controle do acesso
a recursos da rede e de aplicativos, para proteger contra abusos internos e intruses
externas.
8) Manuteno e Desenvolvimento de Sistemas Refora que com todos os esforos
de TI, tudo deve ser implementado e mantido com a segurana em mente, usando os
controles de segurana em todas as etapas do processo.
9) Gerenciamento da Continuidade dos Negcios Recomenda que as empresas se
preparem com maneiras de neutralizar as interrupes s atividades comerciais, e
protejam os processos comerciais cruciais, no evento de uma falha ou desastre.
10) Compatibilidade Instrui as empresas a observar como a sua compatibilidade
com o ISO/IEC 17799 se integra ou no com outros requisitos legais como o
European Unions Directive on Privacy (Diretivas da Unio Europia sobre
Privacidade), Health Insurance Portability and Accountability Act (Decreto de
Responsabilidade e Portabilidade de Seguro de Sade, HIPAA) e o Gramm-Leach-
Bliley Act (GLBA). Essa seo exige tambm uma reviso da poltica de segurana e
compatibilidade tcnica, alm de consideraes a serem feitas com relao ao
sistema do processo de auditoria, para garantir que cada empresa se beneficie o
mximo possvel.
20
Status da ISO/IEC 17799
A ISO (International Organization for Standardization) est atualmente
revisando a norma 17799 para torn-lo mais aceitvel pelo seu pblico global. A
ISO/IEC 17799 determinou o primeiro padro e suas recomendaes principais e
idias sero criadas e expandidas de acordo com as necessidades futuras.
Se a Corporao no possui um programa de proteo de
informaes, a ISO 17779 pode fornecer as diretrizes para a criao de um. A norma
pode servir como um guia para a criao da postura de segurana da Corporao ou
como uma boa diretriz de segurana a ser usada pela Corporao.(NBR/IEC 17799,
2002).
ISO 27001:2005
A norma ISO 27001:2005 a evoluo natural da norma BS7799-
2:2002 um padro britnico que trata da definio de requisitos para um Sistema
Gesto de Segurana da Informao. O padro foi incorporado pela The International
Organization for Standardization (ISO), instituio internacional com sede na Sua
que cuida do estabelecimento de padres internacionais de certificao em diversas
reas.
A norma ISO 27001:2005 a norma BS7799-2:2002 revisada, com
melhorias e adaptaes. A reviso foi feita por um comit tcnico de mbito
internacional, formado pela ISO e pelo IEC (The International Eletrotechnical
Comission) o ISO/IEC JTC 1, sub-comit SC 27, que atravs de um trabalho conjunto
que ocorreu desde 2000 efetuou as alteraes que so a compilao de diversas
sugestes que os membros deste comit apresentaram ao longo do trabalho, cujas
reunies de discusso e apresentao dos resultados ocorreram em diversos pases
at o primeiro semestre de 2005.
Um breve histrico da evoluo da norma at chegar a ISO
27001:2005
Os Gerentes de segurana h muito tempo esperam por algum que
produza um conjunto razovel de padres de Segurana da Informao, reconhecidos
globalmente. Muitos acreditam que um cdigo de prtica ajudaria a suportar os
esforos dos gerentes de TI e tambm a influenciar decises, aumentar a cooperao
21
entre os vrios departamentos em nome do interesse comum pela segurana e ajudar
a tornar a Segurana em uma das prioridades organizacionais (Symantec, 2004).
- 1995: publicada a primeira verso da BS 7799-1 (BS 7799-1:1995 Tecnologia da
Informao Cdigo de prtica para gesto da Segurana da Informao)
- 1998: publicada a primeira verso da BS 7799-2 (BS 7799-2:1998 Sistema de
gesto da Segurana da Informao Especificaes e guia para uso)
- 1999: publicada uma reviso da BS 7799-1 (BS 7799-1:1999 Tecnologia da
Informao Cdigo de prtica para gesto da Segurana da Informao)
- 2000: publicada a primeira verso da norma ISO/IEC 17799 (ISO/IEC 17799:2000
Tecnologia da Informao Cdigo de prtica para gesto da Segurana da
Informao tambm referenciada como BS ISO/IEC 17799:2000)
- 2001: publicada a primeira verso da norma no Brasil, NBR ISO/IEC 17799 (NBR
ISO/IEC 17799:2001 Tecnologia da Informao Cdigo de prtica para gesto da
Segurana da Informao)
- 2002: publicada reviso da norma BS 7799 parte 2 (BS7799-2:2002 Sistema de
gesto da Segurana da Informao Especificaes e guia para uso).
- Agosto/2005: publicada a segunda verso da norma no Brasil, NBR ISO/IEC 17799
(NBR ISO/IEC 17799:2005 Tecnologia da Informao Cdigo de prtica para
gesto da Segurana da Informao);
- Outubro/2005: publicada a norma ISO 27001 (ISO/IEC 27001:2005 Tecnologia da
Informao Tcnicas de segurana Sistema de gesto da Segurana da
Informao Requisitos).
Acompanhando o processo de evoluo histrica apresentado acima,
pode-se observar que a norma ISO/IEC 17799, que a evoluo da BS7799-1,
incorporada pela ISO em 2000, tambm foi revisada, e ambas as normas, a ISO/IEC
27001 e a ISO/IEC 17799, j esto alinhadas. A publicao da ISO/IEC 27001:2005
representa no apenas um grande e ansiosamente aguardado acontecimento no
mundo da Segurana da Informao, mas trata-se de uma norma internacional que
toda corporao ciente da importncia da segurana deve procurar implementar e
tentar obter sua certificao (DE CICCO, 2005).
A ISO 27001 uma especificao para Sistemas de Gesto da
Segurana da Informao (SGSI) e pode ser adotadas por corporaes pequenas,
mdias e grandes de diferentes setores industriais e de servios, como manufatura,
22
finanas, seguros, telecomunicaes, utilidades, varejo, transportes, governos e
muitos outros.
A adoo da ISO 27001, reafirmar, para clientes e fornecedores, o
fato de que a Segurana da Informao est sendo levada a srio pelas corporaes
com as quais eles fazem negcio, j que empregam processos de ltima gerao para
lidar com as ameaas e os riscos segurana, a informao, a exemplo de outros
importantes valores empresariais, um ativo que agrega riqueza corporao e como
tal precisa ser protegida (DE CICCO, 2005).
Quanto ao comportamento dos mercados perante a introduo da
nova norma, De Cicco avalia que a ISO 27001 estava sendo ansiosamente
aguardada, pois havia algumas restries certificao de empresas segundo a BS
7799-2, que uma norma nacional da Gr-Bretanha. Agora que foi publicada a ISO
27001, a BS 7799-2 deixou de existir, diz. Mas ele acha importante frisar que ainda
existe no mercado uma certa confuso em relao a outra norma internacional a
ISO/IEC 17799:2005 que no para ser utilizada para fins de certificao, pois
trata-se de documento mais amplo, que d as diretrizes e princpios gerais para
melhorar a gesto da Segurana da Informao nas corporaes. A ISO/IEC 17799
, portanto, um cdigo de boas prticas que se complementa de forma excelente com
a nova ISO 27001, afirma. Em relao ao ranking atual das empresas que j se
certificaram, De Cicco diz que esta informao ainda no est disponvel, tendo em
vista que muitas empresas que estavam certificadas pela BS7799-2 devero ainda
fazer a transio para a ISO 27001. Comparativamente, a ISO/IEC 27001:2005
substituiu integralmente a norma britnica BS 7799 parte 2, que existia desde 1998 e
que tinha sido revisada em 2002. Em termos estritos, a nova ISO 27001 uma
especificao (documento que utilizado para a realizao de auditorias e
conseqente certificao) de um Sistema de Gesto da Segurana da Informao
(SGSI). A ISO 27001:2005 contm as seguintes sees:
0) Introduo
1) Objetivo e Campo de Aplicao
2) Referncias Normativas
3) Termos e Definies
4) Sistema de Gesto da Segurana da Informao
5) Responsabilidades da Direo
23
6) Anlise Crtica do SGSI
7) Melhoria do SGSI
Alm disso, a ISO 27001 estabelece um processo de seis etapas para
a implementao da SGSI, adotando a abordagem baseada em processos (a mesma
utilizada nas normas ISO 9001 Gesto da Qualidade e ISO 14001 Gesto
Ambiental), incluindo o ciclo PDCA (Plan-do-Check-Act - Planejar, fazer, checar e agir)
(fig1) de melhoria contnua (planejamento, execuo, verificao, ao). O processo
de seis etapas compreende:
I) Definir a poltica de Segurana da Informao da corporao.
II) Definir o escopo do SGSI.
III) Identificar, analisar e avaliar riscos.
IV) Tratar os riscos avaliados.
V) Selecionar os controles que sero implementados
VI) Preparar uma SoA (Statement of Applicability declarao de
aplicabilidade).
O ciclo PDCA (Plan-Do-Check-Act) de melhoria contnua pode ser assim
visualizado:
(ISMS - Information Security Management System)
Figura 1 PDCA -Sistemas de Gesto da Segurana da Informao
Fonte: http://pt.wikipedia.org/wiki/Ciclo_PDCA
CobiT (Control Objectives for Information and related Technology)
uma ferramenta eficiente para auxiliar o gerenciamento e controle das
iniciativas de TI nas empresas; um guia para a gesto de TI
recomendado pelo ISACF (Information Systems Audit and Control
PLANEJAR
AGIR
FAZER
CHECAR
24
Foundation, www.isaca.org). O CobiT (Fig2) inclui recursos tais como um
sumrio executivo, um framework, controle de objetivos, mapas de
auditoria, um conjunto de ferramentas de implementao e um guia com
tcnicas de gerenciamento. As prticas de gesto do CobiT so
recomendadas pelos peritos em gesto de TI que ajudam a otimizar os
investimentos de TI e fornecem mtricas para avaliao dos resultados.
O CobiT independe das plataformas de TI adotadas nas empresas.
(FAGUNDES, Eduardo Mayer, 2005). Engenheiro, Mestre e Professor
da Universidade Mackenzie.
Figura 2 - Cobit - (Control Objectives for Information and related Technology)
Fonte: http://www.modulo.com. br/checkuptool/artigo_08.htm
Poltica e gesto de Segurana da Informao
Nossa atual realidade presa informao como sendo o bem de
maior valia para as corporaes independentemente do ramo de atuao desta,
sendo ela comrcio, indstria ou financeira, a informao nos abre novos horizontes
e mercados para que possamos expandir nossos anseios em busca de maiores
lucros e perspectivas.
25
Para garantir sua sobrevivncia, essas corporaes necessitam
essencialmente de informaes.
Poltica de Segurana da Informao basicamente um manual de
procedimentos que descreve como os recursos de que manipulam as informaes da
empresa devem ser protegidos e utilizados e o pilar da eficcia da Segurana da
Informao, estabelecendo investimentos em recursos humanos e tecnolgicos
(CASTRO, 2002).
Muitos Sistemas de informao no foram projetados para serem
seguros. A segurana que pode ser alcanada por meios tcnicos limitada e
convm que seja apoiada por gesto e procedimentos apropriados. A identificao
de quais controles convm que sejam implantados, requer, planejamento
cuidadoso e ateno aos detalhes. A Gesto da Segurana da Informao
necessita, pelo menos , da participao de todos os funcionrios da Corporao.
(NBR ISO/IEC 17799, 2002).
As aes de Segurana da Informao podem:
1) Viabilizar aplicaes e processos que otimizem as atividades da empresa,
reduzindo custos;
2) Viabilizar novos produtos e servios, aumentando a receita da empresa;
3) Reduzir e administrar os riscos do negcio;
4) Fortalecer a image m da Corporao;
5) Criar valor para a empresa e para o acionista (BASTOS, 2005).
26
Captulo 3
Segurana da Informao em Ambientes Corporativos
Risco a incerteza inerente a um conjunto de
possveis conseqncias (ganhos e perdas), as quais
ocorrem como resultado de escolhas e decises exigidas
por toda corporao. Risco est relacionado escolha,
no ao acaso. Ives P. Mulle.
A complexidade dos ambientes corporativos se d devido aos diferentes tipos
de comunicao existentes entre as redes integradas, cada qual com sua tecnologia,
seus usurios, sua cultura e sua poltica interna. A integralizao de todos estes
fatores tarefa importantssima na segurana.
Por se tratar de diversas redes, o acesso que uma poder ter na outra deve
ser restrito apenas aquela. A ligao entre matrizes, filiais, fornecedores e
clientes proporcionam uma abertura de comunicao entre elas onde, se no
fiscalizada, uma poder estar acessando informaes confidenciais da outra. A
segurana neste ambiente se torna muito complexa e deve ser planejada
detalhadamente a fim de disponibilizar apenas recursos necessrios para
cada uma das empresas envolvidas, evitando que uma empresa acesse a
rede de outra por intermdio de uma terceira empresa, fato chamado de
triangulao (NAKAMURA, 2002).
Neste captulo abordaremos fatores e termos que envolvem Segurana da
Informao em ambientes Corporativos.
3.1 Certificao Digital
A certificao digital est se proliferando devido necessidade da
implantao de servios on-line que possibiltem opes geis e confiveis quando
de uma transao efetuada pela Internet, envolvendo questes de extrema
importncia e sigilo. Ela nos garantir que as operaes possam ser efetuadas de
modo que a integridade e a autenticidade das informaes permaneam intactas.
A Certificao Digital pode ser definida como um processo eletrnico que visa
garantir a integridade e a autenticidade de um determinado processo ou documento.
Tecnicamente, o Certificado Digital um arquivo de computador que faz a
identificao de uma pessoa. Ele um documento emitido por uma Autoridade
Certificadora e serve para garantir a autenticidade e a inviolabilidade de mensagens
27
trafegadas pela Internet. Ainda permite enviar e-mails assinados digitalmente e/ou
criptografados.
O certificado consiste de um par de senhas, uma de conhecimento pblico (chave
pblica), outra de conhecimento exclusivo da pessoa a ser certificada (chave
privada).
O Certificado Digital realiza 4 itens bsicos: a identificao das partes
envolvidas em uma transao, garante a integridade, o sigilo e a impossibilidade de
repdio.
3.2 Criptografia
A criptografia o ato da transformao de informao numa forma
aparentemente ilegvel, com o propsito de garantir a privacidade, ocultando
informao de pessoas no autorizadas.
Atravs da criptografia os dados so codificados e decodificados, para que os
mesmos sejam transmitidos e armazenados sem que haja alteraes realizadas por
terceiros no autorizados. Como a Certificao Digital o principal objetivo da
criptografia prover uma comunicao segura, garantindo confidencialidade,
autenticidade, integridade e a no-repudiao (NAKAMURA, 2002).
Existem duas possibilidades de encriptao de mensagens por cdigos ou
cifras. Por cdigos, o contedo das mensagens escondido atravs de cdigos
predefinidos entre duas partes. Este tipo de soluo tem dois grandes problemas: a
facilidade de deciframento devido ao intenso uso dos cdigos e o envio de apenas
mensagens predefinidas.
Existe um outro mtodo, a cifra, onde o contedo da mensagem cifrado
atravs da mistura e/ou substituio das letras da mensagem original. A mensagem
decifrada fazendo-se o processo inverso ao ciframento.
As cifras consistem na implementao de longas seqncias de nmeros e/ou
letras que determinaro o formato do texto cifrado atravs de algoritmos associados
a chaves.
Este tipo de criptografia se baseia na classificao quanto ao nmero de
chaves utilizadas, simtrica e assimtrica.
Na criptografia simtrica, o poder da cifra medido pelo tamanho da
chave, geralmente as chaves de 40 bits so consideradas fracas e as de 128 bits
ou mais, as mais fortes (GRAFF, 2000). Exemplos de algoritmos: DES, Triple DES,
28
RC4 e IDEA. Neste caso, utilizada uma nica chave secreta que compartilhada
pelo emissor e pelo receptor.
Na criptografia assimtrica so utilizados dois tipos de chaves, chave pblica
e chave privada, onde a criptografia da mensagem feita utilizando a chave pblica
e a decriptografia realizada com a chave privada, ou vice-versa.
Os algoritmos utilizam mtodos baseados na fatorao de nmeros primos,
como por exemplo, o RSA.
3.3 Hackers
A definio correta de hacker : uma pessoa que, por fins prprios, se
interessa exageradamente por assuntos relacionados informtica (sistemas
operacionais, redes e afins). Utiliza seu conhecimento avanado para descobrir
falhas e vulnerabilidades de segurana (OTILIO, 2000). Erroneamente, o termo
hacker passou a ser usado para qualquer pessoa que efetuasse algum tipo
de crime ciberntico.
O termo cracker o correto nome para algum que utiliza seus
conhecimentos para quebrar a segurana, ganhar acesso a sistemas de outras
pessoas, sem a devida permisso e cometer estragos no mesmo. Ou seja,
ocracker um hacker atuando negativamente.
Com a evoluo das tecnologias, ocorreu uma mudana no perfil dos
crackers e dos hackers. Antes, eles eram pessoas com alto grau de
conhecimento em informtica (sistemas operacionais, redes e tecnologia em geral).
Devido a grande facilidade de troca de informaes pela Internet, qualquer pessoa
passou a ter acesso a informaes sobre segurana. Outro fator muito importante
foram as ferramentas (de console ou grficas) criadas por hackers mais
experientes que trouxeram aos usurios comuns a possibilidade de invaso a
sistemas particulares.
Os motivos de pessoas infringirem leis invadindo sistemas e computadores
so os mais variados possveis. Abaixo segue alguns deles:
Lazer;
Supremacia de grupos rivais;
Roubo de informaes;
Protestos;
Desafios propostos por sites e empresas de informtica.
29
Nesta monografia, o termo hacker ser utilizado como sendo aquela pessoa
que infiltra em sistemas sem a permisso dos responsveis para qualquer fim, seja
ele positivo ou negativo.
3.4 Firewall
Firewalls so mecanismos de proteo de redes de computadores, que forma
uma barreira interposta entre uma rede privada de qualquer organizao e uma rede
externa (por exemplo: Internet). Existem na forma de hardware, ou software, ou uma
combinao de ambos (NAKAMURA, 2002).
Sua principal funo analisar o trfego entre a rede interna e a rede externa
em tempo real, permitindo ou bloqueando o trfego de acordo com regras pr-
definidas.
Atualmente, o principal instrumento de defesa de redes corporativas,
controlando e monitorando o acesso aos sistemas e aos hosts da organizao e a
filtragem de trfego entre duas redes.
Com ele pode-se dispensar a instalao de softwares adicionais nos hosts,
centralizando a administrao e a configurao de toda a rede.
3.4.1 Algumas funes dos Firewalls:
Filtragem de servios consiste em filtrar servios que no
so considerados seguros, aumentado a segurana da rede e dos hosts,
podendo rejeitar pacotes de uma determinada origem.
Controle de acesso a servios e hosts consiste na definio de regras
de acesso externo para hosts da rede interna e para servios
especficos, fixando permisses de acessos a servios e hosts, evitando
assim invases externas.
Bloqueio de servios permite bloquear servios considerados inseguros
e servios que forneam informaes utilizadas em intruses.
Registro e estatsticas de utilizao da rede permite monitorar todo
o sistema, registrando os acessos, e permite tambm fornecer estatsticas
do sistema atravs de logs de utilizao, sendo possvel fornecer detalhes
que identifiquem possveis tentativas de ataque rede.
Imposio da Poltica de acesso Internet a filtragem e a permisso
30
a qualquer tipo de acesso Internet monitorada atravs do firewall. Com
isso, possvel forar o cumprimento de uma poltica de acessos, sem
ter que depender da cooperao dos usurios.
O firewall no a nica soluo de segurana disponvel em ambientes
corporativos. uma das principais, porm ele no resolve todos os problemas.
necessrio complementar a segurana com alguns dos sistemas descritos nos
prximos tpicos.
Abaixo so listadas algumas das limitaes que o firewall nos fornece:
Ataques internos e usurios mal intencionados;
Proteo antivrus;
Portas abertas ou Backdoors;
Bugs e falhas no equipamento;
Colises da rede interna e externa.
3.5 Pragas Virtuais
Atualmente existem muitos tipos de pragas virtuais que danificam as
informaes contidas em computadores. Para usurios leigos, qualquer cdigo que
acarrete problemas aos computadores, chamado vrus. Porm existem diferenas
entre estas pragas virtuais, pelo mesmo motivo que pessoas diferem doenas virais
de bactrias. Abaixo segue uma descrio de cada uma delas.
3.6 Vrus
Vrus um programa malicioso que possui a habilidade de auto-replicar e
infectar partes do sistema operacional ou de programas de aplicao, com o intuito
de causar a perda ou dano nos dados.
O nome, vrus, se d devido semelhana das aes e proliferaes que o
mesmo efetua, com um vrus real que domina o mecanismo de clulas normais.
Ele normalmente se disfara em outros arquivos de programa. A infeco
acontece quando o programa infectado executado, juntamente o cdigo do vrus
tambm executado. A ao do trecho de programa procura e infecta novos
arquivos de programas. A proliferao realizada quando o usurio envia o arquivo
contaminado a outras pessoas.
31
A seguir mostrada uma lista de tipos de vrus:
Vrus de arquivos ou programas Vrus que normalmente ficam
alojados em arquivos com extenses: .COM, .EXE, .DLL, .SYS, .BIN e .BAT.
Exemplos de vrus de programa conhecidos so Jerusalm e Cascade;
Vrus de setor de boot Vrus que ficam armazenados na
inicializao do sistema. Exemplos de vrus de setor de boot so: Form,
Disk Killer, Michelangelo e Stoned;
Vrus de macro Vrus que infectam arquivos dos programas
Microsoft Office (Word, Excel, PowerPoint e Access);
Vrus Multipartite Vrus que infectam setores de boot, disquetes e
arquivos executveis. Exemplo: Dead.Boot.488, Pieck.4444.A, Delwin.1759;
Vrus Stealth Vrus que utiliza tcnicas para ocultar as
alteraes executadas e enganar o antivrus. Exemplo: AntiCNTE Boot,
Natas.4988, Bleah;
Vrus Polimrficos Vrus que se auto modificam a cada
nova disseminao. De forma que um nico vrus pode ter inmeras formas
diferentes. Exempo: Satan Bug, Spanska.4250, W95/HPS.
Alguns vrus so desenvolvidos para danificar o computador corrompendo
programas, excluindo arquivos ou reformatando o disco rgido. Outros no cometem
estragos, simplesmente se reproduzem e chamam a ateno sobre a sua presena
com mensagens de texto, vdeo e udio.
3.7 Worm(Verme)
Os worms so parecidos com os vrus, porm se diferenciam na forma
de infeco. Eles somente fazem cpias deles prprios e as propagam.
Exemplo: LittleDavinia, Navidad.
Worm (COFFEE, 2000) um cdigo de programa auto-replicante que
se duplica por meio de redes de computadores. A percepo da contaminao
por worms se d quando sua replicao descontrolada consome recursos do
sistema, atrasando ou interrompendo outras tarefas. Porm existem alguns worms
que alm das caractersticas normais tambm danificam o sistema.
_______________________
Disponvel em: http://www.scua.net > Acessado em: 5 nov. 2005
32
3.8 Trojan Horse (Cavalos de Tria)
O termo "Cavalo de Tria" vem de uma lenda antiga, onde os gregos deram
aos troianos um grande cavalo de madeira como sinal de que estavam desistindo da
guerra, desejando a paz. Tal cavalo escondia no seu interior um grupo de soldados
gregos, que abririam os portes da cidade para o exrcito grego, depois que os
troianos levassem o cavalo para dentro da cidadela.
Esse tipo de programa parece fazer algo til, ou pelo menos divertido, como
ativar um protetor de tela atraente. Entretanto, como seu homnimo legendrio, um
programa Cavalo de Tria oculta um propsito destrutivo: ao ser executado, pode
destruir arquivos ou criar uma entrada pela "porta dos fundos" que permita ao intruso
acessar seu sistema (GALVO, 2002).
Ele no se propaga sozinho de um computador para outro. A auto-replicao
o que caracteriza as outras duas principais famlias de cdigo malicioso, os vermes
e os vrus.
Definio da RFC 2828 (Request for Coments n 2828): programa que
aparenta ter uma funo til, mas possui alguma funo maliciosa que burla os
mecanismos de segurana. No possui a capacidade de se auto replicar. Como
exemplo pode-se citar um jogo puxado pela Internet, que na verdade, ao ser
executado, tira a ateno do usurio enquanto executa algum dano ao computador
em segundo plano.
Este tipo de programa est sendo muito utilizado como forma de ataques. Por
meio de qualquer disfarce ele se instala na mquina hospedeira. A partir da, o
computador hospedeiro passa a ser controlado por outra pessoa. Com isso, o hacker
poder monitorar e realizar qualquer operao que estar sendo feita neste
computador. A destruio de arquivos bem como o roubo de senhas tarefa simples
de se executar atravs desta tcnica de invaso.
3.9 Sistema de Deteco de Intrusos IDS
Os sistemas de deteco de intrusos (IDS) so sistemas de monitoramento
de trfego de redes de computadores a procura de situaes ilegais. Eles funcionam
analisando trfego ou eventos suspeitos, caso encontre algo estranho dos padres
estabelecidos, enviado um aviso ou gerada uma rotina de correo
33
(NAKAMURA, 2002).
A deteco de intrusos pode ser realizada de dois modos:
Sensores procuram por assinaturas de ataques, que so os
mtodos utilizados por invasores e catalogados no IDS;
Sensores detectam alguma atividade suspeita, seja por eventos
no esperados ou diferentes do perfil normal de um usurio ou aplicao.
Os IDS de rede tm a vantagem de proteger todo um segmento de rede,
embora sejam limitados por no poder ver o que acontece dentro dos servidores.
Os IDS de rede examinam os tipos e o contedo dos pacotes trafegados. IDS
baseados em servidores examinam as trilhas de auditoria e log de atividades. Uma
implementao completa de IDS dever utilizar ambos os tipos de IDS.
Para a perfeita monitorao do sistema, um IDS deve seguir alguns aspectos
bsicos (PELISSARI, 2002):
Funcionamento constante em segundo plano sem interao;
Base de dados no pode ser perdida em caso de falhas do
sistema operacional;
Monitorao de si prprio;
Funcionamento imperceptvel no sistema;
Deteco de alteraes no funcionamento normal;
Difcil de ser enganado;
Deteco de poucos falsos positivos;
No-deteco de falsos negativos;
No permisso de subverso.
As principais funes do IDS so:
Alarmar o administrador de rede ou do sistema, em tempo real, sobre
uma possvel invaso;
Disparar automaticamente mecanismos de segurana contra essa suspeita.
3.10 VPN Virtual Private Network
Atualmente, a troca eletrnica de informaes um bem comum entre os
indivduos. A comunicao e a troca de dados entre os ambientes corporativos
ocorre constantemente sendo necessrio um meio de comunicao seguro e
confivel. Os meios de comunicaes dedicados so bastante utilizados, porm com
34
alto valor de aquisio e manuteno. A soluo encontrada para diminuir o custo da
comunicao foi utilizar uma rede pblica (Internet) como meio de comunicao. Mas
a segurana, a confiabilidade e a integridade neste tipo de comunicao so
pontos que comprometem o servio devido ao contedo trafegado por ela ser
acessvel a todos, podendo ser interceptado e capturado (PELISSARI, 2002).
A VPN utiliza exatamente este conceito de comunicao, todavia com os
quesitos mnimos de segurana, integridade e confiabilidade nos seus servios
(NAKAMURA, 2002).
Alm disso, a Internet sendo de alcance mundial facilita a comunicao em
lugares onde a situao irregular, possibilitando assim uma total abrangncia de
comunicao.
Para que a abordagem de VPN se torne efetiva, ela deve prover um conjunto
de funes que garanta Confidencialidade, Integridade e Autenticidade.
Existem muitas tcnicas que podem ser usadas na implementao de VPN,
abaixo so listadas algumas:
Modo Transmisso somente os dados so criptografados, no
havendo mudana no tamanho dos pacotes;
Modo Transporte somente os dados so criptografados, podendo
haver mudana no tamanho dos pacotes;
Modo Tnel Criptografado os dados e o cabealho dos pacotes
so criptografados, sendo empacotados e transmitidos segundo um
novo endereamento IP, em um tnel estabelecido entre o ponto de origem
e de destino.
Modo Tnel No Criptografado tanto os dados quanto o cabealho
so empacotados e transmitidos segundo um novo endereamento IP, em
um tnel estabelecido entre o ponto de origem e destino.
3.11 Smartcard
O termo ingls Smartcard significa carto inteligente. Ele tem formato e
tamanho de um carto convencional, como por exemplo, o carto de crdito. A
diferena fica por conta de um chip embutido, que pode processar e armazenar
dados eletrnicos protegidos por caractersticas avanadas de segurana.
Geralmente, ele pode existir em trs verses diferentes:
Carto de memria armazena dados e necessita de um
35
processador externo para acessar e manipular os dados;
Carto processador processa e armazena dados
independentemente atravs de um microprocessador embutido com sistema
operacional;
Carto de encriptao obtm caractersticas adicionais de
segurana atravs de um co-processador de encriptao.
Os smartcards so usados com diferentes propsitos cada qual com seu
mecanismo de segurana. Alguns menos sofisticados, cartes de memria, e outros
mais sofisticados, cartes processadores.
Os smartcards podem ser usados como cartes comuns, onde somente o
proprietrio tem acesso s informaes (Exemplos: cartes de crdito), ou como
carto de identificao onde qualquer um pode ter acesso s informaes
(Exemplos: identificao de nome, RG, tipo sangneo, endereo).
Muitos testes j foram realizados com esta tecnologia. Sendo esta aprovada e
causando grande expectativa na rea de segurana para o futuro. Algumas
vantagens so descritas abaixo em relao a este novo conceito de carto:
A flexibilidade e a capacidade para armazenar grandes quantidades de
dados e potencial de acomodar vrias aplicaes tarifrias vista como
um dos grandes benefcios da tecnologia.
Cartes inteligentes no so muito caros. A relao custo/benefcio
dos smartcards prova que esta tecnologia em breve estar no mercado
sendo usada como uma das principais formas de armazenagem de dados
pessoais.
Testes esto sendo elaborados e executados em grande escala.
As padronizaes dos cartes ainda esto sendo desenvolvidas, preocupando-se
em assegurar a interoperacionalidade do seu funcionamento.
3.12 Biometria
A biometria tem se tornado uma forma de segurana bastante efetiva na
autenticao de usurio.
Pode-se definir biometria como sendo uma forma de verificao de identidade
de pessoas por meio de caracterstica fsica e nica. Dentre muitas formas de
biometria, pode-se destacar a impresso digital, scanner de ris e projeo facial.
Mesmo com o pequeno avano, a biometria j obtm sucesso, baixando o ndice de
36
fraudes.
O funcionamento do sistema consiste em verificar uma certa identificao em
algum registro. Para isso, cada usurio configura uma caracterstica fsica, biolgica
ou comportamental junto ao sistema, a fim de que seja utilizada na verificao da
identidade do usurio.
A verificao consiste na captura da caracterstica do usurio atravs de
sensores e comparao da mesma com o modelo biomtrico armazenado no banco
de dados do sistema. Abaixo esto relacionadas algumas formas de biometria:
Identificao de ris;
Impresso digital;
Reconhecimento de voz;
Reconhecimento da dinmica da digitao;
Reconhecimento da face;
Identificao da retina;
Geometria da mo;
Reconhecimento da assinatura.
3.13 Engenharia Social
Parece ser um assunto menos tcnico se comparado com os outros, mas
esse pode ser o assunto mais importante em toda a rea de Segurana da
Informao. Um ataque complicado em um computador em uma rede pode se
tornar muito simples com a correta utilizao dessa tcnica.
Com isso, ao invs tentar solues puramente tecnolgicas, muitos invasores
procuram se aproximar das pessoas que te m acesso aquele siste ma ou meio de
informao para atravs da persuaso, influncia e manipulao conseguir os
dados almejados.
Portanto ao final deste captulo espero que o leitor compreenda um pouco mais
sobre Segurana da Informao e suas vulnerabilidades.
3.13.1 Tipos De Ataque
Ataque Direto Caracterizados pelo contato pessoal. So geralmente feitos por
37
fax ou telefone e exigem planejamento antecipado e detalhado.(Della Valle-Ulbrich,
2003)
Ataque Indireto Consiste na utilizao de ferramentas de invaso (cavalos de
tria, falsos e-mails, sites falsos com aparncia de verdadeiros, etc). Os usurios
individuais de quem o hacker extrai os dados so apenas vetores para a coleta de
Informaes de uma entidade maior empresa,corporao ou governo. Sua inteno
no atacar cada um desses usurios e sim o organismo maior ao qual eles
pertencem. (Della Valle-Ulbrich, 2003)
3.13.2 Ferramentas
As principais ferramentas utilizadas pelo praticante da engenharia social
so as seguintes:
Telefone (se passar por algum que no , seria um dos tpicos ataques
de engenharia social, como na personificao help-desk, Suporte
Tcnico);
Internet (coleta de informaes como, por exemplo, sites que fornecem
id e passwords default , sites clonados, etc.);
E-mail (Fakemail, e-mails falsos);
Pessoalmente In Person Social Engineering (poder de
persuaso, habilidade em saber conversar, tipo de ataque mais raro);
Chats (bate papo) Assim como no telefone, fazer-se passar por algum
que na verdade no , fica muito mais fcil pelos canais de bate-papo.
Pois alm de tudo, mandar fotos fica bem mais atrativo e seduz mais
facilmente a conseguir informaes que deseja;
Cartas/correspondncia No o meio mais moderno sem dvida, mas
acredite um recurso poderoso que faz como uma das maiores vtimas,
pessoas mais velhas. No somente idosos , mas principalmente aquelas
que tem uma certa resistncia tecnologia. muito fcil hoje elaborar
cartas documentos com logomarcas e tudo mais, dando-se a
impresso de que se trata realmente daquela origem;
Spyware Software especializado usado para monitorar de modo oculto
as atividades do computador de um alvo.
Mergulho no lixo Dumpster diving (Vrias coisas que so descartadas
para o lixo, muita das vezes contem informaes essenciais ao suposto
38
engenheiro social);
Surfar sobre os ombros - o ato de observar uma pessoa digitando no
teclado do computador para descobrir e roubar sua senha ou
outras informaes de usurio (PEIXOTO, 2002).
3.14 O que scam
O scam (ou golpe) qualquer esquema ou ao enganosa e/ou
fraudulenta que, normalmente, tem como finalidade obter vantagens financeiras.
3.15 O que phishing
Phishing, tambm conhecido como phishing scam ou phishing/scam, foi um
termo originalmente criado para descrever o tipo de fraude que se d atravs do envio
de mensagem no solicitada, que se passa por comunicao de uma instituio
conhecida, como um banco, empresa ou site popular, e que procura induzir o acesso
a pginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e
financeiros de usurios. A palavra phishing (de fishing) vem de uma analogia criada
pelos fraudadores, onde iscas (e-mails) so usadas para pescar senhas e dados
financeiros de usurios da Internet. Atualmente, este termo vem sendo utilizado
tambm para se referir aos seguintes casos: mensagem que procura induzir o usurio
a instalao de cdigos maliciosos, projetados para furtar dados pessoais e
financeiros; mensagem que, no prprio contedo, apresenta formulrios para o
preenchimento e envio de dados pessoais e financeiros de usurios.
3.16 Boatos
Boatos (hoaxes) so e-mails que possuem contedos alarmantes ou falsos
e que, geralmente, tem como remetente ou apontam como autora da mensagem
alguma instituio, empresa importante ou rgo governamental. Atravs de uma
leitura minuciosa deste tipo de e-mail, normalmente, possvel identificar em seu
contedo mensagens absurdas e muitas vezes sem sentido. Dentre os diversos
boatos tpicos, que chegam as caixas postais de usurios conectados a Internet,
podem-se citar as correntes, pirmides, mensagens sobre pessoas que esto prestes
a morrer de cncer, entre outras. Histrias deste tipo so criadas no s para espalhar
desinformao pela Internet, mas tambm para outros fins maliciosos.
_________________________
Disponvel em: <http://www.cert.br> Acessado em: 10 Jan 2006
39
Captulo 4
Segurana da Informao e Vulnerabilidades
Risco a incerteza inerente a um conjunto de possveis
conseqncias (ganhos e perdas), as quais ocorrem como
resultado de escolhas e decises exigidas por toda corporao.
Risco est relacionado escolha, no ao acaso. Ives P. Mulle.
A ISO17799, considerada como referncia para prticas em gesto de SI,
pouco fala sobre o processo de conscientizao de usurios. A necessidade est
descrita, mas falta detalhamento e direcionamento sobre como isso deve ser feito
(RAMOS, 2004). Essa questo no chega a ser um problema, sendo at considerado
por muitos como uma caracterstica, no especificar detalhes sobre como as aes
devem ser tomadas, permite aos gestores criar e adaptar estratgias da forma que
melhor se adaptem a sua corporao.
Na maioria das corporaes, a unidade responsvel pela Segurana
da Informao apresenta uma postura reativa, em que as conseqncias das
decises a respeito de mudanas no ambiente de SI/TI (sistemas de informao e
tecnologia da informao) so analisadas a posteriori, e muitas vezes ignoradas at
que algum impacto negativo causado por essas alteraes passe a exigir uma
interveno no sentido de minimizar os riscos de novos incidentes (BEAL, 2004).
Em qualquer tipo de corporao, o ambiente de SI/TI est em
constante mutao, o que significa que as ameaas e vulnerabilidades a que se
sujeita tambm se modificam o tempo todo. Qualquer alterao na estrutura
organizacional, nos processos de trabalho ou nas solues tecnolgicas adotadas, por
mais irrelevante que possa parecer para o processo de gesto da Segurana da
Informao, pode vir a causar uma alterao importante nas ameaas e
vulnerabilidades a que esto expostos os ativos informacionais.
A tarefa de gerir a Segurana da Informao dentro de uma
corporao complexa e abrangente. O assunto, at pouco tempo desconhecido fora
das grandes empresas e do crculo de profissionais especializados, tem vindo a tona
com maior freqncia, provavelmente impulsionado por uma mudana gradual e
constante pela qual vem passando o universo da Segurana da Informao como um
todo. O clima de guerra e os mais observadores percebero, inclusive, que a ttica
de guerrilha: em vez de se expor atacando diretamente as redes das corporaes,
40
queimando cartucho onde os crackers sabem que muitos mecanismos de proteo e
deteco esto implementados, a estratgia atacar o famoso elo fraco da
segurana, conhecido pelo nome genrico de Usurio (RAMOS, 2004).
No mundo atual, a informao uma das mais valiosas ferramentas
que uma corporao pode possuir. Logo, se no houver uma proteo para estas
informaes em sua Corporao, cedo ou tarde, haver um prejuzo, seja ele moral ou
material. Recente pesquisa da Mdulo Security Solutions com 682 profissionais
ligados as reas de Tecnologia e Segurana da Informao de diferentes ramos de
empresas, revelou que 77% das empresas j sofreu invaso em seus sistemas,
enquanto 16% no souberam dizer se foram alvo de ataque aos seus dados e 7%
negaram qualquer tipo de ocorrncia. Estes nmeros, embora assustadores, podem
ser ainda maiores, uma vez que as empresas no tm interesse em assumir este tipo
de violao aos seus dados. Cerca de 8% das companhias pesquisadas calcularam
seus prejuzos entre cinquenta mil e quinhentos mil reais. Uma anlise nos dados
divulgados revela um quadro que, embora bastante conhecido, continua a ser
desconsiderado pela grande maioria dos empresrios: mais da metade dos ataques
aos sistemas ocorrem dentro das prprias empresas e so praticados por
empregados insatisfeitos ou simplesmente infiis. Os to temidos "hackers" so
responsveis por 32% das ocorrncias, se coibir a ao dos "hackers" parece um
trabalho rduo e muito longo, a criao de polticas de segurana de dados pode
eliminar mais da metade das ameaas, pois mesmo os hackers se utilizam, em geral,
de uma falha interna das empresas para agir
4.1 Ambientes Corporativos
Com a disseminao da utilizao dos computadores pessoais e do
surgimento da Internet, o mundo dos negcios passou a convergir para um modelo
diferente do convencional, onde cada vez mais a computao torna-se pea
fundamental.
O mundo moderno e globalizado passou a impor s empresas um alto grau
de competitividade fazendo com que as mesmas buscassem modelos de negcios
com maior rapidez, eficincia e qualidade nos servios prestados e nos produtos,
melhorando o relacionamento com clientes e fornecedores. A infra-estrutura das
organizaes passou a ser um diferencial entre as concorrentes, mostrando aos
clientes a preocupao com seus produtos.
41
O alto ndice de fuses de empresas de grande porte e o rpido avano
tecnolgico implicou no aumento de investimentos em infra-estrutura computacional
demonstrando ao mercado a sua preocupao com a segurana dos negcios.
A rede de computadores com o propsito de trocar informaes e economizar
recursos d lugar a um novo ambiente muito mais complexo. A importncia da
Internet nos negcios e a globalizao resultam em trocas de informaes tcnicas,
comerciais e financeiras por meio de redes integradas entre empresas matrizes,
filiais, fornecedores e parceiros comerciais (NAKAMURA, 2002).
As informaes agora so primordiais para o sucesso das negociaes. Com
isso o grau de proteo e preocupao com estas informaes cresceu
consideravelmente dentro deste ambiente integrado. Medidas e cuidados de
segurana devem ser tomados e sempre verificados.
A informtica deixa de ser uma ferramenta para se tornar um dos elementos
principais na organizao e metodologia dos negcios, definindo modelos e
caractersticas de organizaes, fluxo e segurana de informaes e tecnologias
aplicveis na gesto dos negcios.
Como qualquer cidade que comea a crescer e passa a ter problemas com o
aumento da violncia, uma rede de computadores tambm sofre com esses
inconvenientes. Em ambientes corporativos que tratam de diferentes culturas
humanas, tecnolgicas e sociais, a preocupao com a segurana se torna fato
primordial para que a organizao tenha uma imagem firme e segura.
A segurana da informao em ambientes complexos deve seguir padres
pr-estabelecidos, incluindo todos os envolventes no assunto, tanto pessoas como
processos.
4.2 Segurana da Informao
O compartilhamento de recursos e informaes atravs das redes
de computadores no uma tarefa simples. Em uma rede podem existir
muitos computadores cada qual com sua funo determinada. As informaes
trocadas entre eles nem sempre podem ser vistas e compartilhadas por todos,
muitas delas so confidenciais e devem ser compartilhadas por apenas algumas
pessoas.
Para o controle da rede devem existir funes especficas a cada usurio da
rede, definindo quem, onde e o que pode-se acessar, delimitando o espao de cada
42
um dentro do sistema inteiro.
Como pode ser visto uma rede de computadores no apenas conectar um ou mais
computadores para trocar informaes. Estas informaes devem ser gerenciadas com
todo o cuidado, se preocupando com os trs principais tpicos de redes: integridade,
confidencialidade e disponibilidade. Com o surgimento da Internet novas preocupaes
passaram a ocupar os responsveis pela rea. Como a Internet a ligao de
muitas redes de computadores, necessita-se existir mecanismos de proteo de
redes que demarcam o territrio onde as informaes podem trafegar livremente e com
acesso restrito. Porm existem pessoas que utilizam a Internet para descobrir falhas na
segurana das redes, roubar e danificar informaes de redes privadas. O responsvel pela
segurana de redes deve se preocupar com os acessos, dando direitos e permisses aos
usurios conforme a sua necessidade. O alto investimento das empresas de TI, no que
se refere segurana, esta relacionado preocupao em se proteger cada vez
mais dos ataques por hackers, vrus e worms que surgem. O crescimento da
incluso digital facilitou o acesso informao. O reflexo deste novo panorama
traduz-se em episdios cada vez mais freqentes de saques eletrnicos indevidos,
clonagem de cartes de crdito, acesso a bases de dados confidenciais, phishing
scan, dentre inmeras outras ameaas. Se associarmos a Segurana da
Informao a uma corrente o elo mais fraco sem dvida o usurio. Portanto a
elaborao e implementao de polticas e treinamento em Segurana da
Informao se tornam de fundamental importncia (SANTOS, 2004). Promover nas
corporaes aes para conscientizar, esclarecer e informar seus colaboradores no
que diz respeito aos riscos existentes sobre Segurana da Informao uma
questo ainda no completa e solucionada nos ambientes corporativos, as
tentativas de fraudes eletrnicas reportadas ao grupo de resposta a incidentes de
segurana mantido pelo comit gestor da internet no Brasil (CGIBr) cresceram 74%
no ltimo trimestre, reforando o alarme de que os ataques s redes esto se
tornando cada vez mais perigosos (Faulhaber, 2004), portanto como garantir que a
poltica de Segurana da Informao seja efetiva ?
Com a finalidade de tratar essa questo a abordagem do trabalho se faz sob a
perspectiva humana das polticas de Segurana da Informao em ambientes
corporativos. O captulo 5 apresenta a metodologia adotada para o levantamento de
informaes sobre Segurana da Informao em trs corporaes Militares.
43
Captulo 5
Metodologia do Estudo de Casos
"Esta obra, eu no a ornei nem a enchi de perodos longos ou de
palavras empoladas e magnificentes, ou de qualquer outro
artifcio de arte ou ornamento extrnseco, com os quais muita
gente costuma descrever e ornar as suas coisas; porque no quis
que artifcio algum lhe valesse, mas, sim, que apenas a variedade
do assunto e a gravidade do tema a tornassem agradvel."
Niccol Machiavelli
O objetivo do trabalho identificar comportamentos humanos adotados nas
organizaes, que possam comprometer a implementao de polticas de Segurana
da Informao em ambientes corporativos.
A pesquisa envolveu o estudo de trs corporaes Militares
respectivamente, pequeno, mdio e grande porte.
A escolha de Organizaes Militares do Exrcito deu-se devido ao fato da
facilidade maior em pesquisar, uma vez que sou militar, e a vontade de trazer a 9
a
.
Pesquisa Nacional de Segurana da Informao(Modulo Security, 2003), que foi
aplicada em empresas civis, para dentro das OM do Exrcito Brasileiro.
A Metodologia adaptada envolveu a anlise de normas e padres para
identificao dos requisitos de segurana, elaborao de roteiro de pesquisa,
investigao de estudo de caso corporativo, realizao de pesquisa sobre Segurana
da Informao em trs Organizaes Militares, anlise comparativa dos dados obtidos
e a elaborao de Recomendaes para Polticas de Reduo de Riscos e
Vulnerabilidades Humanas nos Ambientes avaliados.
5.1 Instrumentos de Coleta de Dados
Um questionrio sobre Segurana da Informao em Ambientes
Corporativos foi elaborado a partir do instrumento utilizado na 9 Pesquisa Nacional
de Segurana em Tecnologia da informao, (MDULO, 2003).
O Instrumento contm vinte e sete questes dis tribudas em trs
tpic os , que s o des c ritos a s eguir:
44
a)Perfil das organizaes entrevistadas
Este tpico tem a finalidade de demonstrar as diferenas em efetivos nas
Organizaes Militares(OM) entrevistadas, se a organizao de pequeno, mdio
ou grande porte, bem como verificar como as OM tratam seus departamentos de
Segurana da Informao no que diz respeito a efetivo e terceirizao. Dados
importantes para que se inicie uma poltica de segurana ou se reestruture. Nesta
pesquisa as OM so classificadas em pequeno mdio e grande porte quanto ao
nmero de militares e/ou funcionrios do seguinte modo: at 499
militares/funcionrio OM de pequeno porte ou Companhia, de 500 a 999
militares/funcionrios OM de mdio porte ou Batalho e acima de 1000
militares/funcionrios OM de grande porte ou Brigada.
b)Conscincia dos funcionrios e responsveis pela rea
Conscientizao muito importante, saber como a poltica de Segurana
da Informao vista pelos funcionrios e responsveis pela rea reflete a
verdadeira situao da Segurana da Informao da organizao. Com os objetivos
em mente e o apoio garantido, o prximo passo escolher as mdias que sero
utilizadas para transportar suas idias e desenvolv-las. Algumas organizaes
preferem palestras, outras material impresso. Algumas preferem pirmides nas
mesas, outras avisos pendurados no teto. Combinar diversas mdias costuma ser a
melhor e mais eficaz idia (RAMOS, 2004).
Este tpico trata principalmente sobre o oramento destinado ao setor de
segurana nas OM e como acontece a aplicao destes recursos. verificado
tambm atravs deste tpico, como a poltica de segurana vem sendo vista pelos
funcionrios e quais so os principais itens desta poltica de segurana.
c)Falhas e tecnologias de segurana.
Este tpico trata principalmente de vulnerabilidades e que tipo de
procedimento adotado pelos responsveis nas reas de segurana das OM. Trata
tambm do uso corporativo da internet e as solues adotadas para proteo de
documentos na internet.
Foram feitas questes de mltiplas escolhas a fim de facilitar as respostas
e a tabulao das mesmas. O questionrio pode ser visto no Anexo A. Dessa forma
45
foi possvel coletar informaes a respeito de vulnerabilidades humanas nas
polticas de segurana das trs Organizaes Militares avaliadas.
5.2 Estratgia de Aplicao
As trs Organizaes Militares (OM) pesquisadas, podem ser classificadas
como de pequeno, mdio e g ra nde porte das seguintes reas de atuao:
comunicaes, telemtica e eletrnica, respectivamente. Foi concedida autorizao
para a pesquisa, em resposta a solicitao desde que fosse garantido o sigilo da
identificao das Organizaes Militares.
Os contatos iniciais foram feitos por telefone e e-mail. As entrevistas
(levantamento dos dados) foram re a l i z a d a s pessoalmente, junto s O M
divulgando o trabalho e objetivando respostas srias e corretas.
A pesquisa foi aplicada na forma de entrevistas pessoais com os
responsveis pela rea de segurana dos ambientes corporativos.
Como questionrio base para a comparao ao estudo de caso foi
escolhido a 9 Pesquisa Nacional de Segurana em Tecnologia da Informao
(Mdulo Security, 2003). Atravs das informaes colhidas, foi possvel estudar
o perfil das diferentes OM, o grau de conscincia e responsabilidade dos
envolvidos e a segurana propriamente dita, falhas, tecnologias e ameaas.
5.3 Desafios Inerentes ao planejamento do estudo
Durante o planejamento as maiores dificuldades foram encontradas na
escolha de quais Organizaes Militares iriam compor o estudo, quais dessas
representariam melhor a corporao. Outra dificuldade encontrada foi na elaborao
do questionrio, pois a 9 Pesquisa Nacional de Segurana da Informao (Modulo
Security,2003) trata de corporaes civis e no Militares. O interesse no tema
justificava a anlise do problema numa grande corporao: o Exrcito Brasileiro.
5.4 Desafios inerentes a operacionalizao do estudo
O desafio deste estudo depende de mudanas comportamentais e de
cultura dos usurios bem como na maneira de abordar a poltica de segurana da OM.
Inclui mudanas por parte dos responsveis e gestores da rea de segurana nas
OM, bem como os usurios. Certamente um objetivo para ser alcanado a longo
prazo.
46
Captulo 6
Dos Dados Coletados
So as prticas, os procedimentos e os mecanismos usados
para a proteo da informao e seus ativos, que podem
impedir que ameaas explorem vulnerabilidades... Marcos
Smola
O objetivo da anlise dos dados coletados tem como alvo verificar as
diferenas entre as polticas de segurana das Organizaes Militares pesquisadas, no
que diz respeito ao porte, bem como verificar as diferenas existentes entre as
corporaes avaliadas na pesquisa da Modulo Security e as Organizaes Militares
pesquisadas. Os dados coletados nas pesquisas sero vistos em quadros comparativos,
apresentados nas pginas seguintes. Os dados coletados, so questes retiradas do
questionrio que foi aplicado s Organizaes Militares, este questionrio pode ser visto
na ntegra no Anexo A
6.1 Perfil das Organizaes Militares Pesquisadas
Notou-se que nas trs Organizaes Militares pes quis adas o setor
de segurana est integrado ao setor da informtica em geral, s vezes sendo at
imperceptvel.
Apenas uma pessoa responsvel pela Segurana da Informao e
administrao da rede. Percebeu-se ainda que as OM preferem ter o seu prprio
funcionrio responsvel pela segurana recebendo suporte de empresas
especializadas.
6.2 Conscincia sobre Segurana
O oramento destinado ao setor de segurana foi uma das respostas
mais difceis de serem respondidas pelos responsveis pelas reas de segurana
das OM pesquisadas, por se tratar de revelar valores. Percebeu-se que as OM
no tm verbas especficas para segurana. As verbas de segurana esto
juntamente com as verbas de informtica em geral.
Segundo a 9 Pesquisa Nacional de Segurana da Informao (Mdulo
Security,. 2003), 73 % das corporaes avaliadas nesta pesquisa possuem
47
oramento especfico para a rea de Tecnologia da Informao, deste total 24,5%
alocam menos de 1% em recursos de segurana.
6.3 Anlise dos dados obtidos nas pesquisas aplicadas nas OM
Parte da verba de Informtica que foi aplicada em segurana ocorreu como
pode ser visto no Quadro 5.1. A implementao de firewall, segurana e m
ac e s s o re moto, s e g uran a na Internet, poltica de segurana e
c ri ptog raf i a f oram as mai s apli c a das , de mons tra ndo uma g rande
pre oc upa o c om os me i os de hardware e s of tware na prote o
dos dados da re de , mas o te m c a pac i ta o da e qui pe tc ni c a n o
f oi apontado por ne nhuma OM, o que de mons tra uma pre oc upa o
mui to g rande c om o as pe c to te c nolg i c o e um e s que c i me nto do
f ator humano.
Quadro 6.1: Investimentos em segurana ano 2006.
Porte OM
Item Pesquisado Pequeno Mdio Grande
a) Criptografia
b) Implementao de Firewall
c) Poltica de Segurana
d) Segurana em Acesso Remoto
e) Segurana em Internet
f) Anlise de Riscos
g) Autoridade Certificadora
h) Certificado Digital
i) Contratao de Empresas Especializadas
j) Sistemas de Deteco de Intrusos
Legenda:
OM respondeu sim ao tem pesquisado OM respondeu no ao tem pesquisado
A segurana, como a maioria das verbas de informtica, ainda tem sido
barrada por diversos motivos, sendo os principais o oramento e conscincia dos
funcionrios (Ver Quadro 5.2).
Quadro 6.2: Principais obstculos para implementao de segurana.
Porte OM
tem Pesquisado Pequeno Mdio Grande
a) Conscincia dos Funcionrios
b) Falta de Apoio Especializado
c) Oramento
d) Recursos Humanos
Legenda:
48
O responsvel da rea de re de s e segurana de cada OM relatou estar
preocupado com o nvel de ameaas e vulnerabilidades existentes, e que, com isso
os problemas de segurana iro aumentar nos prximos anos.
A poltica de segurana est sendo bem vista, considerada um dos
principais fatores do combate aos inimigos da OM.
Os tpicos abordados na poltica de segurana esto sendo devidamente
analisados, para que as melhores formas de combate sejam encontradas e
aplicadas. A grande difuso da Internet trouxe os seus pontos positivos e negativos
tona. Como principais preocupaes da poltica de segurana das empresas esto
os tpicos que tem a Internet como forma de acesso, vrus, o uso em geral da
Internet e senhas, apesar de outros itens tambm terem sido mencionados como
Segurana Fsica e classificao de informaes. (Ver Quadro 5.3).
Quadro 6.3: Principais tpicos abordados na poltica de segurana.
Porte OM
a) Classificao de Informaes
b) Acesso Remoto
c) Cadastro de Usurios
d) Segurana Fsica
e) Uso da Internet
f) Uso da Intranet
g) Uso de Senhas
h) Vrus
i) Uso de Notebooks
j) Uso de Software
Legenda:
6.4 Tecnologias e Falhas de Segurana
As principais ameaas relatadas pelas OM so os acessos de fora para
dentro como, os vrus e o vazamento de informaes. Porm a divulgao de
senhas, acessos indevidos e acessos remotos indevidos seguem com ndices
ainda elevados, como pode ser visto no Quadro 5.4. Atravs desta anlise vemos
que apesar de toda a preocupao com os aspectos tecnolgicos as principais
ameaas esto relacionadas ao comportamento do usurio no que diz respeito a
vrus e vazamento de informaes.
49
Quadro 6.4: Principais Ameaas.
Porte OM
Item pesquisado Pequeno Mdio Grande
a) Vrus
b) Vazamento de Informaes
c) Divulgao de Senhas
d) Acessos Indevidos
e) Acessos Remotos Indevidos
f) Alterao Indevida
g) Falhas na Segurana Fsica
h) Funcionrios Insatisfeitos
i) Incndio/Desastre
j) Lixo Informtico
k) Uso de Notebooks
Legenda:
Como j dito anteriormente, a Internet a maior preocupao como ponto de invaso.
(Ver Quadro 5.5).
Quadro 6.5 Principais pontos de invaso.
Porte OM
a) Internet
b) Acesso Remoto
c) Invaso Fsica
d) Engenharia Social
Legenda:
Outra questo que foi muito discutida se refere aos ataques sofridos pelas
OM, duas das trs OM pesquisadas j sofreu algum tipo de ataque e os ataques sofridos
pelas OM so bastante recentes, na faixa de 1 a 2 anos.
Os resultados das duas prximas questes (Quadros 5.6 e 5.7) so
bastante interessantes. Nota-se que a maioria dos ataques registrados foram
externos, nota-se tambm que e ntre os principais responsveis apare c e o
ataque por v rus e c avalo de tri a.
50
Quadro 6.6: Responsveis por problemas de segurana registrados.
Porte OM
a) Vrus
b) Cavalo de tria
Legenda:
Apesar das OM estarem preocupadas com a segurana, elas esto
receosas em divulgar as informaes, como pode ser visto no tpico 19 do
que s ti onri o di s tri bu do as OM ( Ane xo A), no te m providncias internas.
As empresas que examinam a fundo os ataques, descobrindo os culpados e
lutando por indenizaes de perdas e danos, so ainda a minoria, alm de muitas
apenas corrigirem e atualizarem seus sistemas quanto s falhas encontradas .
Quadro 6.7: Providncias adotadas no caso de alguma falha de segurana.
Porte OM
a) Providncias Internas
b) Apenas a Correo dos Problemas
c) Providncias Legais
Legenda:
Como a poltica de segurana, o tpico Plano de continuidade um dos
itens que est em bastante evidncia, sendo que as OM esto comeando a
desenvolv-lo.
As medidas de segurana j implementadas pelas OM so as mais
comuns na rea de Segurana da Informao, preveno contra vrus, segurana
em Internet e sistemas de backup, medidas de aspectos apenas tecnologicos.
Ape na s o de s ta que pa ra c las s i f i c a o das i nf orma e s (Ver
Quadro 5.8).
51
Quadro 6.8: Medidas de segurana j implementadas.
Porte OM
a) Classificao das Informaes
b) Preveno contra Vrus
c) Sistemas de Backup
d) Certificao Digital
e) Firewall
f) Poltica de Segurana
g) Proxy Server
h) Segurana em Acesso Remoto
i) Assinatura Digital
j) Autoridade Certificadora
k) Capacitao e Treinamento
l) Controle de Contedo
m) Criptografia
n) Monitorao de Log
o) Palestras para Usurios
p) Segurana em Internet
q) Segurana na Sala dos Servidores
r) Sistemas de Deteco de Intrusos
s) Software de Controle de Acesso
t) Termo de Responsabilidade
Legenda:
OM respondeu sim ao item pesquisado OM respondeu no ao tem pesquisado
O uso das aplicaes computacionais est cada vez mais tomando conta dos
ambientes corporativos. As intranets das OM esto servindo de verdadeiros
depsitos de informaes. O uso da Internet ainda causa desconfortos aos
responsveis pela segurana devido aos muitos problemas que ela traz
conjuntamente aos benefcios. Porm o acesso est aumentando muito dentro
das OM. Este tpico ainda nos mostra que as OM esto mantendo suas
informaes atualizadas nos sites e que o Internet Banking muito utilizado. (Ver
Quadro 5.9)
Quadro 6.9: Uso corporativo da Internet.
Porte OM
Item da Pesquisa Pequeno Mdio Grande
a) Acesso atravs da rede da empresa
b) permitido comprar via internet
c) Utiliza internet Banking
d) A empresa possui pgina na Web
Legenda:
52
Atravs do tpico a seguir fica bem claro que as OM esto migrando suas
aplicaes para Internet fazendo muito bem o uso das tecnologias. Dentre as
aplicaes mais efetuadas na intranet est a consulta banco de dados e
documentos como mostra o Quadro 5.10. A documentao de procedimentos e
relatrios est sendo, aos poucos, informatizada, percebeu-se na maioria dos
casos a utilizao de protoc olo eletrnico de doc umentos, eliminando des sa
forma o us o de papis (paperless).
Quadro 6.10: Principais aplicaes efetuadas na Intranet.
Porte OM
a) Consultas a Cadastro/Banco de Dados
b) Certificao Digital
c) Corporativos com Manuais e Procedimentos
d) Divulgao de Documentos e Informativos
e) Funes Administrativas
f) RH
g) Diagnstico Remoto
h) Sistema de Gesto Empresarial
Legenda:
OM respondeu sim ao item pesquisado OM respondeu no ao tem pesquisado
A Internet est se disseminando rapidamente devida a sua facilidade
de aprendizado e a facilidade em obter informaes. Com isso a maioria das OM
disponibilizam o acesso a ela sem restries aos cargos.
Dentre as tecnologias mais utilizadas para a segurana das informaes de
documentos na Internet esto a criptografia, a SSL e a VPN.
53
Captulo 7
Recomendaes
"No mundo de hoje a informtica cada vez mais
importante para assegurar a manuteno e a
competitividade dos nossos negcios, por
consequncia a nossa sobrevivncia a longo
prazo." Luis Kauffmann, Diretor Presidente da
Aracruz Celulose.
7.1 Recomendaes para gestores
Partindo do pressuposto que Segurana da Informao requer
investimentos, deve ser estimado o valor da informao a ser protegida, de forma que
seja maximizado o retorno dos investimentos. um jogo que no pra, a cada novo
investimento as corporaes devem tornar os resultados palpveis, expressando-os
em nmeros. preciso conhecimento do negcio para definir o modelo que melhor se
adapte a cada situao, este o ponto chave de qualquer Gerenciamento de Riscos.
Estamos trabalhando com hipteses: a probabilidade de ocorrncia de
uma situao e o grau do dano (severidade) decorrente de sua concretizao. Mas
vamos questes mais prticas: uma vez quantificado o valor de uma informao,
devem ser levantados os meios em que esta se encontra, tanto armazenada quanto
em trnsito, e delimitado o escopo de atuao. Escopos infinitos caracterizam um dos
erros mais comuns cometidos durante um Gerenciamento de Riscos. Cabe aqui a
ressalva de que nosso objetivo proteger a informao, no o ativo que a contm. De
que adianta investir na proteo de um servidor de rede, por exemplo, que no
armazena nenhuma informao crtica ao negcio? Os esforos devem ser
concentrados no que realmente significativo para a corporao.
Agora sim, chegamos sistemtica de Gerenciamento de Riscos. No
pretendo definir uma metodologia ideal, mas apresentar uma seqncia de etapas que
possam ser seguidas para que este processo seja bem sucedido. Inicialmente, faz-se
necessrio a definio do Gerenciamento de Riscos no contexto corporativo, este
um processo que objetiva identificar os riscos do negcio na corporao e os critrios
de priorizao, que possam apoiar as decises e aes tomadas e que minimizem
seus efeitos. caracterizado, sobretudo, por ter uma abordagem estruturada e
54
metodolgica que pode ser dividida em em 4 (quatro) etapas bsicas: Identificao
dos riscos, quantificao dos riscos, tratamento dos riscos e monitorao dos riscos.
a. Identificao dos Riscos: Como o prprio nome j diz, nessa etapa so
identificados os riscos a que o ambiente est sujeito. O primeiro passo a realizao
de uma Anlise de Riscos, que pode ser tanto quantitativa baseada em estatsticas,
numa anlise histrica dos registros de incidentes de segurana, quanto qualitativa
baseada em know-how, geralmente realizada por especialistas, que tm profundos
conhecimentos sobre o assunto. De acordo com a 9 Pesquisa Nacional de
Segurana da Informao,2003, devido a sua agilidade, geralmente as corporaes
tendem a adotar o modelo qualitativo, que no requer clculos complexos.
Independentemente do mtodo adotado, uma Anlise de Riscos deve contemplar
algumas atividades, como o levantamento de ativos a serem analisados, definio de
uma lista de ameaas e identificao de vulnerabilidades nos ativos.
b. Quantificao dos Riscos: Nessa etapa mensurado o impacto que um
determinado risco pode causar ao negcio. Como praticamente impossvel oferecer
proteo total contra todas as ameaas existentes, preciso identificar os ativos e as
vulnerabilidades mais crticas, possibilitando a priorizao dos esforos e os gastos
com segurana. Voc capaz de responder qual prejuzo sua corporao teria caso
um sistema estivesse indisponvel durante 2 horas?
c. Tratamento dos Riscos: Uma vez que os riscos foram identificados e a corporao
definiu quais sero tratados, as medidas de segurana devem ser de fato
implementadas.
d. Monitorao dos Riscos
O Gerenciamento de Riscos um processo contnuo, que no termina com
a implementao de uma medida de segurana. Atravs de uma monitorao
constante, possvel identificar quais reas foram bem sucedidas e quais precisam de
revises e ajustes. Mas como realizar uma monitorao de segurana? O ideal que
este trabalho seja norteado por um modelo de Gesto de Segurana, que defina
atribuies, responsabilidades e fluxos de comunicao interdepartamentais. S que a
realidade costuma ser bem diferente, Conforme pode ser visto no resultado dos
questionrios aplicados s Organizaes Militares, no so todas as corporaes que
possuem uma estrutura prpria para tratar a segurana de suas informaes. Ento a
monitorao de riscos pode ocorrer numa forma mais light, digamos. No
55
necessrio todo o formalismo de uma estrutura especfica, mas devem ser realizadas
algumas atividades importantes, tais como:
- Elaborao de uma poltica de segurana, composta por diretrizes, normas,
procedimentos e instrues, indicando como deve ser realizado o trabalho;
- Auditoria de segurana, a fim de assegurar o cumprimento dos padres definidos e,
consequentemente, medir a eficcia da estratgia de segurana adotada (PRADO,
Larissa 2002).
Definio dos riscos
Alguns riscos podem ser eliminados, outros reduzidos ou at mesmo aceitos pela
OM, tendo sempre a situao escolhida documentada. S no permitido ignor-los.
Nessa etapa ainda podem ser definidas medidas adicionais de segurana, como os
Planos de Continuidade que visam manter em funcionamento os servios de
misso-crtica, essenciais para a corporao, em situaes emergenciais e
Response Teams que possibilitam a deteco e avaliao dos riscos em tempo real,
permitindo que as providncias cabveis sejam tomadas rapidamente (PRADO,
Larissa 2002).
7.2 Recomendaes para o usurio final
Acesso a sites de comrcio eletrnico ou Internet Banking
Conforme a cartilha de Segurana para a Internet do Cert.br ( Centro de
Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil) existem
diversos cuidados que um usurio deve ter ao acessar sites de comrcio eletrnico ou
Internet Banking. Dentre eles, podem-se citar:
a) realizar transaes somente em sites de instituies que voc considere
confiveis;
b) procurar sempre digitar em seu browser o endereo desejado.
c) No utilize links em pginas de terceiros ou recebidos por e-mail;
d) certificar-se de que o endereo apresentado em seu browser corresponde ao site
que voc realmente quer acessar, antes de realizar qualquer ao;
e) certificar-se que o site faz uso de conexo segura (ou seja, que os dados
transmitidos entre seu browser e o site sero criptografados) e utiliza um tamanho de
chave considerado seguro;
56
f) no acessar sites de comrcio eletrnico ou Internet Banking atravs de
computadores de terceiros;
g) desligar sua Webcam (caso voc possua alguma), ao acessar um site de comrcio
eletrnico ou Internet Banking.
h) manter o seu browser sempre atualizado e com todas as correes (patches)
aplicadas;
i) alterar a configurao do seu browser para restringir a execuo de JavaScript e de
programas Java ou ActiveX, exceto para casos especficos;
j) configurar seu browser para bloquear pop-up windows e permiti-las apenas para
sites conhecidos e confiveis, onde forem realmente necessrias;
k) configurar seu programa leitor de e-mails para no abrir arquivos ou executar
programas automaticamente; no executar programas obtidos pela Internet, ou
recebidos por e-mail.
Com estes cuidados pode-se evitar que o browser contenha alguma
vulnerabilidade, e que programas maliciosos (como os cavalos de tria e outros tipos
de malware) sejam instalados no computador para, dentre outras finalidades, furtar
dados sensveis e fraudar acessos a sites de comrcio eletrnico ou Internet Banking.
Como diminuir a ao do Engenheiro Social.
Em casos de engenharia social o bom senso essencial. Fique atento
para qualquer abordagem, seja via telefone, seja atravs de um e-mail, onde uma
pessoa (em muitos casos falando em nome de uma instituio) solicita informaes
(principalmente confidenciais) a seu respeito. Procure no fornecer muita informao
e no fornea, sob hiptese alguma, informaes sensveis, como senhas ou nmeros
de cartes de crdito. Nestes casos e nos casos em que receber mensagens,
procurando lhe induzir a executar programas ou clicar em um link contido em um e-
mail ou pgina Web, extremamente importante que voc, antes de realizar qualquer
ao, procure identificar e entrar em contato com a instituio envolvida, para
certificar-se sobre o caso.
Com base na Cartilha de Segurana para Internet v.3 set. 2005,
(CERT.BR, 2005) foi formulada a seguinte tabela de recomendaes para usurios
(Quadro 7.1):
57
Quadro 7.1: Recomendaes para o usurio final.
Elaborar sempre uma senha que contenha pelo menos oito
caracteres, compostos de letras, numeros e smbolos
Jamais utilizar como senha seu nome, sobrenomes, numeros de
documentos, placas de carros, numeros de telefones, datas que
possam ser relacionadas com voce ou palavras que facam parte de
dicionarios
Utilizar uma senha diferente para cada servico
Alterar a senha com frequencia
Criar tantos usuarios com privilegios normais, quantas forem as
pessoas que utilizam seu computador
Contas e Senhas
Utilizar o usuario Administrator (ou root) somente quando for
estritamente necessario
Instalar e manter atualizado um bom programa antivrus
Atualizar as assinaturas do antiv rus, de preferencia diariamente
Configurar o antiv rus para verificar os arquivos obtidos pela
Internet, discos r gidos (HDs), flexveis (disquetes) e unidades
removveis, como CDs, DVDs e pen drives
Desabilitar no seu programa leitor de e-mails a auto-execucao de
arquivos anexados às mensagens
No executar ou abrir arquivos recebidos por e-mail ou por outras
fontes, mesmo que venham de pessoas conhecidas. Caso seja
necessario abrir o arquivo, certifique-se que ele foi verificado pelo
programa antiv rus
Utilizar na elaborac ao de documentos formatos menos suscetvei s
à propagac ao de vrus, tais como RTF, PDF ou PostScript
Vrus
No utilizar, no caso de arquivos comprimidos, o formato
executavel. Utilize o prprio formato compactado, como por
exemplo Zip ou Gzip
Seguir todas as recomendac oes para prevenc ao contra v rus
Manter o sistema operacional e demais softwares sempre
atualizados
Aplicar todas as correc oes de seguranca (patches) disponibilizadas
pelos fabricantes, para corrigir eventuais vulnerabilidades existentes
nos softwares utilizados
Worms, bots e botnets
Instalar um firewall pessoal, que em alguns casos pode evitar que
uma vulnerabilidade existente seja explorada ou que um worm ou
bot se propague
58
Continuao quadro 7.1
Seguir todas as recomendac oes para prevenc ao contra v rus, worms
e bots
Instalar um firewall pessoal, que em alguns casos pode evitar o
acesso a um backdoor ja instalado em seu computador, bloquear o
recebimento de umcavalo de tria, etc
Cavalos de tria,
backdoors, keyloggers e
spywares
Utilizar pelo menos uma ferramenta anti-spyware e mante-la sempre
atualizada
Manter seu programa leitor de e-mails sempre atualizado
No clicar em links no conteudo do e-mail. Se voce realmente
quiser acessar a pagina do link, digite o endereco diretamente no
seu browser
Desligar as opcoes que permtem abrir ou executar
automaticamente arquivos ou programas anexados às mensagens
No abrir arquivos ou executar programas anexados aos e-mails,
sem antes verifica-los com umantivrus
Desconfiar sempre dos arquivos anexados à mensagem, mesmo que
tenham sido enviados por pessoas ou instituicoes conhecidas. O
endereco do remetente pode ter sido forjado e o arquivo anexo pode
ser, por exemplo, um v rus ou umcavalo de tria
Fazer o download de programas diretamente do site do fabricante
Programas leitores de
e-mails
Evitar utilizar o seu programa leitor de e-mails como um
browser, desligando as opc oes de execuc ao de JavaScript, Java e o
modo de visualizac ao de e-mails no formato HTML
Manter o seu browser sempre atualizado
Desativar a execucao de programas Java na configuracao de se u
browser, a menos que seja estritamente necessario
Desativar a execuao de JavaScripts antes de entrar em uma
pagina desconhecida e, entao, ativa-la ao sair
Permitir que programas ActiveX sejam executados em seu
computador apenas quando vieremde sites conhecidos e confiaveis
Manter maior controle sobre o uso de cookies, caso voce queira ter
maiorprivacidade ao navegar na Internet
Bloquear pop-up windows e permit-las apenas para sites
conhecidos e confiaveis, onde foremrealmente nec essarias
Certificar-se da procedencia do site e da utilizacao de coneoes
seguras ao realizar transacoes via Web
Browsers
Somente acessar sites de instituicoes financeiras e de comercio
eletrnico digitando o endereco diretamente no seu browser,
nunca clicando em um link existente em uma pagina ou em ume-
mail
59
Manter seu programa de troca de mensagens sempre atualizado;
No aceitar arquivos de pessoas desconhecidas, principalmente
programas de computadores;
Utilizar um bom antivrus, sempre atualizado, para verificar todo e
qualquer arquivo ou software obtido, mesmo que venha de pessoas
conhecidas
Evitar fornecer muita informao, principalmente a pessoas que
voc acabou de conhecer
No fornecer, em hiptese alguma, informaes sensveis, tais
como senhas ou nmeros de cartes de crdito
Programas de troca de
mensagens
Configurar o programa para ocultar o seu endereo IP
Manter seu programa de distribuicao de arquivos sempre atualizado
e bem configurado
Ter um bom antivrus instalado em seu computador, mante-lo
atualizado e utiliza-lo para verificar qualquer arquivo obtido, pois
eles podem conter v rus, cavalos de tria, entre outros tipos de
malware
Programas de distribuio
de arquivos
Certificar-se que os arquivos obtidos ou distribudos sao livres, ou
seja, nao violam as leis de direitos autorais
Ter um bom antiv rus instalado em seu computador, mante-lo
atualizado e utiliza-lo para verificar qualquer arquivo ou programa
compartilhado, pois eles podem conter v rus, cavalos de tria, entre
outros tipos de malware
Compartilhamento de
recursos
Estabelecer senhas para os compartilhamentos, caso seja
estritamente nec essario compartilhar recursos do seu computador
Fazer cpias dos dados do computador regularmente
Criptografar dados sens veis
Armazenar as cpias em local acondicionado, de acesso restrito e
com seguranca fsica
Cpias de Segurana
Considerar a necessidade de armazenar as c pi as em um local
diferente daquele onde est o computador
No fornecer dados pessoais, numeros de cartoes e senhas atraves
de contato telef onico
Ficar atento a e-mails ou telefonemas solicitando informacoes
pessoais
No acessar sites ou seguir links recebidos por e-mail ou presentes
em paginas sobre as quais nao se saiba a procedencia
Engenharia Social
Sempre que houver d uvida sobre a real identidade do autor de
uma mensagem ou ligac ao telef onica, entrar em contato com a
instituicao, provedor ou empresa para verificar a veracidade dos
fatos
60
Estar atento e prevenir-se dos ataques de engenharia social
Procurar sempre digitar em seu browser o endereco desejado. ao
utilize links em paginas de terceiros ou recebidos por e-mail
Realizar transacoes somente em sites de instituic oes que voce
considere confiaveis
Certificar-se de que o endereco apresentado em seu browser
corresponde ao site que voce realmente quer acessar, antes de
realizar qualquer acao
Certificar-se que o site faz uso de coneao segura (ou seja, que os
dados transmitidos entre seu browser e o site serao criptografados)
e utiliza umtamanho de chave considerado seguro
Antes de aceitar um novo certificado, verificar junto à instituic ao
que mantem o site sobre sua emissao e quais sao os dados nele
contidos. Entao, verificar o certificado do site antes de iniciar
qualquer transacao, para assegurar-se que ele foi emitido para a
instituicao que se deseja acessar e esta dentro do prazo de validade
No acessar sites de comercio eletronico ou Internet Banking
atrav es de computadores de terceiros
Cuidados ao realizar
transaes bancrias ou
comerciais
Desligar sua Webcam (caso voce possua alguma), ao acessar um
site de comrcio eletrnico ou Internet banking
Utilizar criptografia sempre que precisar enviar um e-mail com
informac oes sensveis
e-mails Certificar-se que seu programa leitor de e-mails grava as mensagens
criptografadas, para garantir a seguranca das mensagens
armazenadas no disco
Desabilitar cookies, exceto para sites confiaveis e onde sejam
realmente nec essarios
Cookies Considerar o uso de softwares que permtem controlar o envio e
recebimento de informacoes entre o browser e o site visitado
Evitar disponibilizar seus dados pessoais ou de familiares e amigos
(e-mail, telefone, endereco, data de aniversario, etc)
Evitar disponibilizar dados sobre o seu computador ou sobre os
softwares que utiliza
Evitar fornecer informacoes sobre o seu cotidiano (como, por
exemplo, hora que saiu e voltou para casa, data de uma viagem
programada, horario que foi ao caixa eletronico, etc)
Cuidados com dados
pessoais em p aginas Web,
blogs e sites de redes de
relacionamentos
Nunca fornecer informacoes sensveis (como senhas e numeros
de cartao de credito), a menos que esteja sendo realizada uma
transacao (comercial ou financeira) e se tenha certeza da
idoneidade da instituic ao que mantm o site
Quadro 7.1: Recomendaes para o usurio final
61
7.3 Conscientizao
Com o objetivo em mente, no possvel iniciar uma campanha de
conscientizao sem algumas tarefas preliminares bsicas como, por exemplo, o
desenvolvimento de uma Poltica de Segurana da Informao, nem que ela seja
pequena e superficial. A corporao tem que ter bem claro quais os pontos a serem
abordados, quais os mais importantes e mais urgentes.
Convm que uma estrutura de gerenciamento seja estabelecida para
iniciar e controlar a implementao da Segurana da Informao dentro da
corporao.
Fruns apropriados de gerenciamento com liderana da direo deve m
ser estabelecidos para aprovar a poltica de Segurana da Informao, atribuir
funes de segurana e coordenar a implementao da segurana atravs da
corporao. Se necessrio, convm que uma fonte especializada em Segurana
da Informao seja estabelecida e disponibilizada dentro da corporao.
Contatos com especialistas de segurana externos devem ser feitos
para se manter atualizado com as tendncias do mercado, monitorar normas e
mtodos de avaliao, alm de fornecer o principal apoio durante os incidentes de
segurana.
Um enfoque multidisciplinar na Segurana da Informao deve ser
incentivado, tal como o envolvimento, cooperao e colaborao de gestores,
usurios, administradores, projetistas de aplicaes, auditores, equipes de
segurana e especialistas em reas como seguro e gerenciamento de risco. A
eficincia do trabalho como profissional de Segurana da Informao depende
diretamente do tempo investido nos seus funcionrios, conscientizando, treinando e
apoiando.
62
Captulo 8
Concluses
Segurana tem incio e termina com as pessoas
llen Frisch
[Essential System Administration]
A questo de como as corporaes podem conscientizar, esclarecer e
informar seus colaboradores sobre os riscos existentes na rea de Segurana da
Informao, foi abordada a partir dos estudos de caso em trs corporaes militares.
A anlise dos dados evidenciou que os problemas de Segurana da Informao esto
concentrados em trs elementos de vulnerabilidade : no acesso Internet via rede da
OM; na engenharia social que vulnerabiliza o sistema e na Invaso do sistema por
cdigo malicioso do tipo vrus e cavalo de tria.
Esses problemas apresentaram um ponto em comum em seu tratamento: o
colaborador da corporao, o funcionrio e o militar da OM.
Portanto, podemos afirmar que ao transformar usurios simples e
desinformados em sensores de segurana, como os detectores de intruso,
gerenciadores de antivrus, distribuidores de patches e outros como simplesmente
multiplicadores, estaremos reforando as polticas de segurana da Informao da
corporao.
Essas aes, no entanto, implicam em mudanas culturais,
comportamentais, que em geral, sofrem resistncias pela maioria das pessoas.
necessrio, portanto, sensibilizar usurios e gestores para que se possa realizar um
trabalho efetivo. Dessa forma as recomendaes partem do ponto de vista de que os
gestores priorizem os aspectos humanos e comportamentais dos sistemas de
segurana. Um quadro com recomendaes para o usurio foi proposto com o
objetivo de apoiar os gestores em suas corporaes.
A rea de Segurana da Informao nova e para muitos o investimento
em treinamento para todos os nveis da organizao uma das melhores e mais
efetivas formas de se aplicar o oramento disponvel. Nesse sentido, evidencia-se ser
necessrio cada vez mais aes educacionais e de capacitao para gestores,
63
tcnicos e usurios (RAMOS, 2004).
As recomendaes apesar de no serem exclusivas para as corporaes
militares, necessitam, serem validadas em outros ambientes corporativos o que
poder ser objeto de trabalhos futuros.
64
REFERNCIAS BIBLIOGRFICAS
ABNT, Associao Brasileira de Normas e Tcnicas.NBR ISO/ IEC 17799/2000-
Tecnologia da Informao.RJ,2002.
ASSUNO, Marcos Flvio Guia do Hacker Brasileiro.1.ed.SC: Visual books, 2002
B BE EA AL L, , A Ad dr ri ia an na a S Sa ai in nd do o d da a p po os st tu ur ra a r re ea at ti iv va a p pa ar ra a u um ma a p po os si i o o d de e p pr ro oa at ti iv vi id da ad de e e e
i in nf fl lu u n nc ci ia a n na as s e es st tr ra at t g gi ia as s d de e n ne eg g c ci io os s e e d de e T TI I. . S Se ec cu ur ri it ty y M Ma ag ga az zi in ne e D DA AT TA A - - 0 07 7 J Ju un n
2 20 00 04 4. .
C CE ER RT T, , C Ce en nt tr ro o d de e E Es st tu ud do os s, , R Re es sp po os st ta as s e e t tr ra at ta am me en nt to o d de e I In nc ci id de en nt te es s d de e S Se eg gu ur ra an n a a n no o
B Br ra as si il l. .2 20 00 05 5 V V. .3 3. . 1 13 3/ /2 2/ /2 20 00 06 6. . D Di is sp po on n v ve el l e em m < <h ht tt tp p: :/ // /c ca ar rt ti il lh ha a. .c c e er rt t. .b br r> >A Ac ce es ss s o o e em m 1 10 0 m ma ai i
2 20 00 06 6. .
F FA AU UL LH HA AB BE ER R; ; H He en nr ri iq qu ue e I In ns se eg gu ur ra an n a a a am me ea a a a a a i in nt te er rn ne et t, , n no ov v. . 2 20 00 04 4. . D Di is sp po on n v ve el l e em m
h ht tt tp p: :/ // /w ww ww w. .c ce er rt t. .b br r/ /d do oc cs s/ /r re ep po or rt ta ag ge en ns s/ /2 20 00 04 4/ /2 20 00 04 4- -1 11 1- -2 24 4. .h ht tm ml l > >A Ac c e es ss so o e em m 2 22 2 d de e a ag go o. .
2 20 00 06 6. .
FOCO SECURITY. Foco Security So Paulo, 2005 v.1. Disponvel em
<http://www.focosecurity.com.br/> Acesso em: 10 jul. 2005.
GALVO, M. Diferenas entre vrus, worm e trojan. 20 mai 2002. Disponvel em:
<http://www.modulo.com.br/index.jsp> Acesso em 12 de jun. 2005.
ISO GUIDE 73, Norma de gesto de riscos, 26 set 2005. Disponvel em: <http://
http://www.modulo.com.br/checkuptool/artigo_09.htm> Acesso em 10 fev 2006.
MODULO SECURITY 9 a. Pesquisa Nacional de Segurana da Informao, 2003.
Disponvel em<http://www.modulo.com.br/pdf/nona_pesquisa_modulo.pdf> Acessado
em 25 Fev 2005.
NAKAMURA, Emlio Tissato Segurana de Redes em Ambientes Corporativos.
Berkeley, 2002.
N NO OR RT TH HC CU UT TT T , , J Ju ud dy y e e D Do on na al ld d, , S St te ep ph he en n S Se eg gu ur ra an n a a e e p pr re ev ve en n o o e em mr re ed de es s. . 1 1. .e ed d. .S SP P: :
B Be er rk ke el le ey y, , 2 20 00 01 1. .
OTILIO, C. Hackers Conceitos Bsicos. 9 out 2000. Disponvel em
<http://www.modulo.com.br/index.jsp>. Acesso em 10 out 2005
PEIXOTO, Mrio Csar Pintaudi Engenharia social e Segurana da Informao
1.ed.SP: Brasport, 2006.
65
PELISSARI, F. A. B. Segurana de Redes e Anlise sobre Conscientizao das
Empresas da cidade de Bauru(SP) quanto ao problema. Bauru, 2002. Curso de
especializao em informtica UNESP, 2002. 112f. Disponvel em:
<www.modulo.com.br/index.jsp> Acesso em: 30 Julho 2005.
PRADO, Larissa Quatro Passos no Gerenciamento de Riscos, Braslia, mar. 2002.
Disponvel em < http://www.securenet.com.br/artigo.php?artigo=114> Acesso em: 18
out. 2005.
RAMOS, Anderson Conscientizao de usurios e Segurana da Informao, 18
Out 2004. Disponvel em <http://www.modulo.com.br/comum/docs_iii_pv.jsp>Acesso
em 10 de jul 2006.
SANTOS, Rafael Cardoso dos Engenharia Social: Fortalecendo o elo mais fraco
parte 2,13 dez 2004. Disponvel em <http://www.modolo.com.br/docs_iii_pv.jsp>
Acesso em 20 Mar 2006.
S SY YS SL LO OG G, , A Am mb bi ie en nt te e d de e R Re eg gi is st tr ro o d de e E Ev ve en nt to os s C Ce en nt tr ra al li iz za ad do o e e S Si is st te em ma a d de e D De et te ec c o o
d de e I In nr ru us s o o S Sn no or rt t. . A Ap po os s t ti il la a d de e T Tr re ei in na am me en nt to o d de e I ID DS S M M d du ul lo o S Se ec cu ur ri it ty y. . V V. .1 1, , n n. . 1 1, ,m ma ar r. .
2 20 00 05 5. . E Ed di i o o E Es s p pe ec c i ia al l. .
T TA AN NE EN NB BA AU UM M, , A An nd dr re ew w S S. . R Re ed de es s d de e C Co om mp pu ut ta ad do or re es s. . 3 3. . e ed d. . R RJ J: : C Ca am mp pu us s, , 1 19 99 97 7. .
66
Anexo A
Pesquisa sobre a Segurana da Informao
em Ambientes Corporativos
PARTE 1: INFORMAES DA OM
1 . Nome da OM:
2 . Cidade Onde se Localiza:
3 . Ano de criao: / /
4 . Nmero de Militares/Funcionrios:
( ) at 19
( ) de 20 a 99
( ) de 100 a 499
( ) de 500 a 999
( ) mais de 1000
5 . O departamento de segurana da OM :
( ) Prprio da Empresa
( ) Terceirizado
( ) No Existe
6 . No caso de ser prprio, o nmero de funcionrios do departamento :
( ) At 5
( ) De 6 a 10
( ) De 11 a 20
( ) Mais de 20
PARTE 2: INFORMAES SOBRE A CONSCINCIA DA OM SOBRE SEGURANA
7 . O oramento destinado rea de segurana em 2006 /foi:
(em milhares de Reais)
( ) Proporcional aos Lucros
( ) At 50
( ) De 51 a 100
( ) De 101 a 250
( ) De 251 a 500
( ) De 501 a 1000
( ) Acima de 1000
67
( ) Informao No Disponvel
8 . Investimentos na rea de segurana em 2006 :
( ) Anlise de Riscos
( ) Autoridade Certificadora
( ) Biometria
( ) Capacitao da Equipe Tcnica
( ) Certificado Digital
( ) Contratao de Empresas Especializadas
( ) Controle de Contedo
( ) Criptografia
( ) Implementao de Firewall
( ) Poltica de Segurana
( ) Sala Cofre/Contra Incndio
( ) Segurana em Acesso Remoto
( ) Segurana em Internet
( ) Sistemas de Deteco de Intrusos
( ) Sistemas de Gesto de Segurana Centralizada
( ) Smartcard
( ) Software de Controle de Acesso
( ) Testes de Invaso
( ) Virtual Private Network (VPN)
( ) Outros:
68
9 . Principais obstculos para implementao de segurana:
( ) Conscincia dos Funcionrios
( ) Falta de Apoio Especializado
( ) Ferramentas
( ) Gerncia/Diretoria
( ) Oramento
( ) Recursos Humanos
( ) Outros:
10 . Expectativas quanto aos problemas de segurana para 2007:
( ) Aumentaro
( ) Diminuiro
( ) Permanecero os Mesmos
11 . Poltica de segurana:
( ) Existe e est atualizada
( ) Existe, mas est desatualizada
( ) No existe
12 . Se existe uma poltica de segurana, quais os principais tpicos abordados nela:
( ) Acesso Remoto
( ) Cadastro de Usurios
( ) Classificao de Informaes
( ) Conceitos Gerais
( ) Cultura de Segurana
( ) Recuperao no caso de Contingncias
( ) Segurana Fsica
( ) Uso da Internet
( ) Uso da Intranet
( ) Uso de Notebooks
( ) Uso de Senhas
( ) Uso de Software
( ) Vrus
( ) Outros:
69
PARTE 3: INFORMAES SOBRE FALHAS DE SEGURANA
13 . Principais Ameaas:
( ) Acessos Indevidos
( ) Acessos Remotos Indevidos
( ) Alterao Indevida
( ) Alterao Indevida de Configuraes
( ) Divulgao de Senhas
( ) Divulgao Indevida
( ) Falhas na Segurana Fsica
( ) Fraudes, Erros e Acidentes
( ) Fraudes em E-mails
( ) Funcionrios Insatisfeitos
( ) Hackers
( ) Incndio/Desastre
( ) Lixo Informtico
( ) Pirataria
( ) Roubo de Senhas
( ) Roubo/Furto
( ) Sabotagens
( ) Super Poderes de Acesso
( ) Uso de Notebooks
( ) Uso Indevido de Recursos
( ) Vazamento de Informaes
( ) Vrus
( ) Outras:
14 . Principais pontos de invaso:
( ) Acesso Remoto
( ) Internet
( ) Invaso Fsica
( ) Sistemas Internos
( ) Engenharia Social
( ) Outros:
15 . Ataques
( ) J Sofreu Algum
( ) Nunca Sofreu
( ) No Sabe se Sofreu
70
16 . Se j sofreu algumtipo de ataque, qual o ltimo registro:
( ) Menos de 1 Ms
( ) De 1 a 6 Meses
( ) De 7 a 12 Meses
( ) De 1 a 2 Anos
( ) Mais de 2 Anos
17 . Responsveis por problemas de segurana registrados:
( ) Internos
( ) Externos
18 . Responsveis por problemas de segurana registrados:
( ) Causa Desconhecida
( ) Vrus
( ) Cavalo de tria
( ) Funcionrios
( ) Hackers
( ) Prestadores de Servios
( ) Outros:
19 . Providncias adotadas no caso de alguma falha de segurana:
( ) Apenas a Correo dos Problemas
( ) Nenhuma Providncia
( ) Providncias Internas
( ) Providncias Legais
20 . Plano de continuidade em caso de falhas de segurana:
( ) Existe
( ) No Existe
( ) No Sabe Se Existe
71
21 . Medidas de segurana j implementadas:
( ) Anlise Ataques Real Time
( ) Assinatura Digital
( ) Autoridade Certificadora
( ) Biomtrica
( ) Capacitao e Treinamento
( ) Certificao Digital
( ) Classificao das Informaes
( ) Cofre Anti-Incndio
( ) Contratao de Empresas Especializadas
( ) Controle de Contedo
( ) Criptografia
( ) Firewall
( ) Monitorao de Log
( ) Palestras para Usurios
( ) Plano de Continuidade de Negcios
( ) Poltica de Segurana
( ) Preveno contra Cavalos-de-Tria
( ) Preveno contra Pirataria
( ) Preveno contra Vrus
( ) Procedimentos Formalizados
( ) Proxy Server
( ) Scanner de Redes
( ) Segurana em Acesso Remoto
( ) Segurana em Internet
( ) Segurana na Sala dos Servidores
( ) Sistemas de Backup
( ) Sistemas de Deteco de Intrusos
( ) Sistemas de Gesto de Segurana Centralizada
( ) Smartcard
( ) Software de Auditoria
( ) Software de Controle de Acesso
( ) Software de Segurana de Estao
( ) Termo de Responsabilidade
( ) Testes de Invaso
( ) Virtual Private Network (VPN)
22 . Uso de aplicaes:
( ) Extranet
( ) Intranet
( ) Internet
72
23 . Uso corporativo da Internet:
( ) Acesso atravs da rede da empresa
( ) Acesso via modem na empresa
( ) Acesso via modem na residncia
( ) A empresa possui pgina na Web
( ) permitido comprar via Internet
( ) No permitido usar na empresa
( ) Permite acesso externo de terceiros (Extranet)
( ) Usa apenas correio eletrnico
( ) Utiliza VPN
( ) Utiliza Internet Banking
24 . A OM utiliza a Internet para transaes eletrnicas:
( ) No
( ) Sim
25 . Principais aplicaes efetuadas na Intranet:
( ) Biblioteca
( ) Certificao Digital
( ) Consultas a Cadastro/Banco de Dados
( ) Corporativos com Manuais e Procedimentos
( ) Diagnstico Remoto
( ) Divulgao de Documentos e Informativos
( ) Funes Administrativas
( ) HelpDesk
( ) Projetos
( ) Relatrios Internos
( ) RH
( ) Segurana Patrimonial
( ) Sistema de Gesto Empresarial
( ) Sistema de Informaes e Controles
( ) Outras:
26 . A empresa permite o uso de Internet:
( ) No permite
( ) Para todos funcionrios
( ) Para todos funcionrios em determinados horrios
( ) Somente para cargos de chefias
27 . Solues para proteo de documentos na Internet:
( ) Criptografia Integrada a Aplicaes
( ) Criptografia Integrada a Servios de Rede
( ) Produtos Especficos
( ) SSL- Secure Sockets Layer
( ) Tecnologia Proprietria
( ) VPN - Virtual Private Network
( ) Outras:
73
PARTE 4: COMENTRIOS ADICIONAIS
Respondido por:
Entrevistado por

Monografia 00-35297

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Monografia 00-35297

Enviado por

Direitos autorais:

Formatos disponíveis

Universidade de Braslia

Instituto de Cincias Exatas

Você também pode gostar