Departamento de Cincia da Computao Polticas de Segurana da Informao: Recomendaes para Reduo de Riscos e Vulnerabilidades Humanas. Luciano Silva Tadeu Monografia apresentada como requisito parcial para concluso do Curso de Computao Licenciatura Orientadora Profa. Maria de Ftima Ramos Brando Braslia 2006 Segurana da Informao 2 Universidade de Braslia UnB Instituto de Cincias Exatas Departamento de Cincia da Computao Curso de Computao Licenciatura Coordenadora: Profa Dra Maria Emlia Banca examinadora composta por: Prof Maria de Fti ma Ramos Brando ( Orie ntadora) CIC/UnB Prof Marco Aurlio de Carvalho CIC/UnB Prof Pe dro de Azeve do Be rge r CIC/ UnB CIP Catalogao Internacional na Publicao Luciano Silva Tadeu Recomendaes para Polticas de Reduo de Riscos e Vulnerabilidades Humanas em Ambientes Coorporativos./ Luciano Silva Tadeu. Braslia : UnB,2006 Monografia (Graduao) Universidade de Braslia, Braslia, 2006. Endereo Universidade de Braslia Campus Universitrio Darcy Ribeiro Asa Norte CEP 70910-900 Braslia - DF - Brasil Segurana da Informao 3 Universidade de Braslia Instituto de Cincias Exatas Departamento de Cincia da Computao Polticas de Segurana da Informao: Recomendaes para Reduo de Riscos e Vulnerabilidades Humanas. Luciano Silva Tadeu Monografia apresentada como requisito parcial para concluso do Curso de Computao Licenciatura Prof Maria de Fti ma Ramos Brando(Orientadora) CIC/UnB Prof Dr Marco Aurlio de Carvalho Prof Dr Pe dro de Azeve do Be rge r CIC/UnB CIC/UnB Prof . Dra. Maria Emlia Coordenadora do Curso de Computao Licenciatura Braslia, 21 de Dezembro de 2006 Segurana da Informao 4 Agradecimento Agradeo a Deus, a quem devo minha vida, a minha esposa Zenaide e aos meus filhos, Lucas, Masa e Amanda que so a razo de tudo pra mim. Agradeo tambm a minha orientadora Professora Maria de Ftima Ramos Brando, que se dedicou para a realizao desta monografia. Segurana da Informao 5 Resumo A informao , na atualidade, uma das mais valiosas ferramentas de uma corporao. Logo, se no houver mecanismos de proteo, cedo ou tarde, haver prejuzo, moral ou material para a corporao. Portanto, a questo que se apresenta de como promover nas corporaes aes para conscientizao, esclarecimento e informao de seus colaboradores quanto aos riscos existentes, s vulnerabilidades e aos aspectos de segurana da informao, de maneira a garantir que a Poltica de Segurana da Informao de uma corporao seja efetiva do ponto de vista do fator humano? A pesquisa apresenta uma anlise dos problemas levantados em trs estudos de caso de corporaes militares e fornece recomendaes para a reduo dos riscos e vulnerabilidades humanas nas corporaes. A anlise identificou que os problemas esto concentrados nas reas de acesso Internet via rede corporativa; na engenharia social que vulnerabiliza o sistema e na invaso do sistema por cdigo malicioso do tipo vrus e cavalo de tria. Esses problemas apresentam o colaborador, o funcionrio e o militar como aspecto comum de fragilidade. As recomendaes partem do princpio de que os gestores priorizem os aspectos humanos e comportamentais dos sistemas de segurana. Um quadro com recomendaes prticas proposto com o objetivo de apoiar as aes dos gestores nos contextos de suas corporaes. Palavras-chave: Tecnologia da Informao. Segurana. Segurana da Informao 6 Abstract Information is, nowadays, one of the most valuable tools of a corporation. Consequently, without protection mechanisms, sooner or later, there will be moral or material losses to the corporation. The question that appears is how to promote in corporations actions to create awareness and provide information to its collaborators about the risks, vulnerabilities and information security aspects, in a way to assure that the Information Security Policy of a corporation is effective in the point of view of the human factor? The research presents an analysis of the problems found in three case studies of military corporations e provides recommendations for the reduction of risks and human vulnerabilities in corporations. The analysis identified that the problems are concentrated in the Internet access area through corporative net; in the social engineering that turns vulnerable the system and in the invasion of the system by malicious virus-like and trojan-like codes. These problems show the collaborator, the employee and the military as common aspects of fragility. The recommendations consider that the managers prioritize the human and behavior aspects of the security system. A graph with practical recommendations is proposed with the objective to support the actions of managers considering their corporations context. Keywords: Information Technology. Security. Segurana da Informao 7 Sumrio Glossrio......................................................................................................... 8 Lista de Abreviaturas...................................................................................... 10 Lista de Figuras.............................................................................................. 11 Lista de Quadros............................................................................................ 12 Captulo 1 Introduo.................................................................................. 13 Captulo 2 Normas e Padres de Segurana da Informao..................... 16 Captulo 3 Segurana da Informao em Ambientes Corporativos ............ 26 Captulo 4 Segurana da Informao e Vulnerabilidades........................... 39 Captulo 5 Metodologia do Estudo de Casos.............................................. 43 5.1 Instrumentos de Coleta de Dados............................................. 43 5.2 Estratgia de Aplicao ............................................................ 45 5.3 Desafios Inerentes ao planejamento do estudo......................... 45 5.4 Desafios inerentes a operacionalizao do estudo.................... 45 Captulo 6 Dos Dados Coletados ................................................................ 46 6.1 Perfil das Organizaes Militares Pesquisadas......................... 46 6.2 Conscincia sobre Segurana................................................... 46 6.3 Anlise dos dados obtidos nas pesquisas aplicadas nas OM 47 6.4 Tecnologias e Falhas de Segurana.......................................... 48 Captulo 7 Recomendaes......................................................................... 53 7.1 Recomendaes para gestores.................................................. 53 7.2 Recomendaes para o usurio final.......................................... 55 7.3 Conscientizao.......................................................................... 61 Captulo 8 Concluses................................................................................. 62 Referncias Bibliogrficas............................................................................... 64 Anexo A........................................................................................................... 66 Segurana da Informao 8 Glossrio 1. Cavalo de Troia:Programa que finge realizar uma certa tarefa, e secretamante realiza uma outra tarefa maliciosa; 2. Classificao de Informaes: de acordo com o grau de sigilo as informaes so classificadas em: ultra-secreto, secreto, confidencial, reservado e ostensivo; 3. Confidencialidade:garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso; 4. Crackers: So aqueles que invadem computadores atravs da quebra de cdigos; 5. Detector de Intruso: Dispositivo que verifica e monitora tentativa de intruso no sistema; 6. Disponibilidade: garantia de que os usurios autorizados obtenham acesso informaes e aos ativos correspondentes sempre que necessrio; 7. Engenharia Social: Tcnica de influenciar pessoas pelo poder da persuaso; 8. Hackers: Hacker o termo originrio do ingls usado para designar um especialista em Informtica; 9. Hardware: Material ou Ferramental a parte fsica do computador, ou seja, o conjunto de componentes eletrnicos, circuitos integrados e placas, que se comunicam atravs de barramentos 10. Integridade: salvaguarda da exatido e completeza da informao e dos mtodos de processamento; 11. Keyloggers: um programa ou um dispositivo fsico desenvolvido para registar a sequncia de teclas digitadas por um utilizador; 12. Malware: Proveniente de "Malicious Software" um software designado a se infiltrar em um sistema de computador alheio de forma ilcita com o intito de causar algum dano ou roubo de informaes (confidnciais ou no). 13. Pathes: Correes de programas disponibilizados no site do fabricante; 14. Phishing Scam: um golpe no qual o autor distribui e-mails com aspecto legtimo, aparentemente vindos de alguns dos mais importantes sites da Web, com a inteno de roubar informaes particulares e obter acesso s contas bancrias ou aos servios por assinatura da vtima; Segurana da Informao 9 15. Phreacker - No incio dos anos 80, alguns crackers se especializaram enganar o sistema telefnico.O objetivo podia ser fazer ligaes de graa ou alterar as configuraes de uma linha, por exemplo.Estes crackers ficaram conhecidos como phreacker (de phone freak, algo como manaco por telefone); 16. Software: programa de computador, uma sequncia de instrues a serem seguidas e/ou executadas, na manipulao, redirecionamento ou modificao de um dado/informao ou acontecimento; 17. Spam:O spam uma mensagem de e-mail no-solicitada; 18. Spyware: Produto que utiliza uma conexo de internet sem que o usurio tome conhecimento e extrai/transmite informaes do mesmo; Palavra-Chave Tecnologia da Informao.Segurana Segurana da Informao 10 Lista de abreviaturas 1. BSI: British Standards Institute 2. Cobit: Control Objectives for Information and related Technology 3. IDS: (Intrusion detection system) sistema de software ou hardware que registra a tentativa de acesso no autorizado a um sistema; 4. IEC: International Eletrotechnical Comission 5. ISACF: Information Systems Audit and Control Foundation 6. ISO: International Organization for Standardization 7. ISMS: Information Security Management System 8. OM : Organizao Militar 9. PDCA: Plan-do-Check-Act ( Planejar, fazer, checar e agir) 10. SGSI: Sistema de Gesto da Segurana da Informao 11. SOA: Statement of Applicability declarao de aplicabilidade 12. TI: Sigla que significa Tecnologia da informao. Aqui citado como sendo o setor responsvel em manter a tecnologia utilizada na empresa de maneira a garantir que a informao esteja disponvel e segura para todos que possuem acesso mesma. Corresponde ao ento setor de informtica Segurana da Informao 11 Lista de Figuras Fig 1 PDCA Sistemas de Gesto de Segurana da Informao........ 23 Fig 2 Cobit (Control Objectives for Information and related Technology). 24 Segurana da Informao 12 Lista de quadros Quadro 6.1 Investimentos na rea de segurana em 2006............................ 47 Quadro 6.2 Principais obstculos para implementao de segurana........... 47 Quadro 6.3 Principais tpicos abordados na poltica de segurana............... 48 Quadro 6.4 Principais Ameaas...................................................................... 49 Quadro 6.5 Principais pontos de invaso........................................................ 49 Quadro 6.6 Responsveis por problemas de segurana registrados............. 50 Quadro 6.7 Providncias adotadas no caso de alguma falha de segurana.. 50 Quadro 6.8 Medidas de segurana j implementadas.................................... 51 Quadro 6.9 Uso corporativo da Internet........................................................ 51 Quadro 6.10 Principais aplicaes efetuadas na Internet............................... 52 Quadro 7.1 Recomendaes para o usurio final........................................... 57 Segurana da Informao 13 Captulo 1 Introduo O preo da liberdade a eterna vigilncia Thomas Jefferson Na era do conhecimento, a informao considerada um dos principais patrimnios das corporaes e deve ser protegida em seus aspectos de disponibilidade, integridade e confidencialidade, sendo a rea de Segurana da Informao o elemento chave dessa proteo (VASCONCELLOS, 2004). Por outro aspecto, com o uso das tecnologias em sistemas de comunicaes, tais como satlite, celulares, computadores, rdios, etc., ocorrem diariamente problemas de segurana. Os celulares e cartes de crdito so clonados, redes bancrias so invadidas pela Internet. Nas empresas, corporaes e reparties de trabalho, a situao no diferente, a segurana nos meios de comunicaes necessria, seja no computador, no telefone ou, at mesmo, na comunicao entre as pessoas. A definio, os procedimentos e os motivos para cada funcionrio ou grupo de funcionrios possuir qualquer tipo de acesso informao devem estar especificados num documento de definio da Poltica de Segurana da Informao da Corporao, alm disso, devem ser especificados todas as regras de controle de acesso, treinamento, conscientizao e os procedimentos para a classificao das informaes. Esse esforo visa controlar e evitar os acessos no autorizados aos recursos de TI (Tecnologia da Informao). A segurana da informao tema de debate para as corporaes que esto em busca de solues prticas e efetivas para otimizar suas atividades e, ao mesmo tempo, garantir segurana nos seus mecanismos de trabalho. A forma como as corporaes devem gerir este desafio, se apresenta sob dois aspectos de ordem tecnolgica e de ordem humana. O aspecto tecnolgico trata da comunicao atravs de ativos e dispositivos de software e hardware. Por outro lado, o aspecto humano tem a funo de gerenciar, operar, desenvolver, organizar e coordenar os aspectos tecnolgicos da segurana nas corporaes. Segurana da Informao 14 A As s c co or rp po or ra a e es s p pr re eo oc cu up pa am m- -s se e q qu ua as se e q qu ue e e ex xc cl lu us si iv va am me en nt te e c co om m a a t te ec cn no ol lo og gi ia a e e t to od da a a a e es s t tr ru ut tu ur ra a f f s s i ic c a a e em mp pr re eg ga ad da a. . E Em m s se eg gu un nd do o p pl la an no o p po os si ic c i io on na ad do o o o a as sp pe ec ct to o h hu um ma an no o q qu ue e, , e em m g ge er ra al l, , o o e el lo o m ma ai is s f fr ra ac c o o q qu ue e r re eg ge e a as s c co or rp po or ra a e es s d de e q qu ua al lq qu ue er r s se et to or r. . A As s p pe es ss s o oa as s s s o o i im mp pr re ev vi is s v ve ei is s e e p pa as ss s v ve ei is s d de e s se er re em m i in nf fl lu ue en nc c i ia ad da as s , , o o q qu ue e t to or rn na a e es ss se e a as sp pe ec ct to o u um m e el le em me en nt to o i im mp po or rt ta an nt te e e e c c r r t ti ic co o e em m q qu ua al lq qu ue er r s s i is st te em ma a d de e s se eg gu ur ra an n a a. . Atualmente, a al l m m d do os s h ha ac ck ke er rs s e e v v r ru us s, , o o f fu un nc ci io on n r ri io o i in ns sa at ti is s f fe ei it to o e e o o v va az za am me en nt to o d de e i in nf fo or rm ma a e es s i in nd de ev vi id da as s , , p pa as ss sa am m a a f fa az ze er r p pa ar rt te e d do o r ro ol l d de e p pr re eo oc cu up pa a e es s d da as s c co or rp po or ra a e es s. . Dessa forma, necessrio que os responsveis pela rea de Segurana da Informao nas corporaes tenham suas atenes voltadas tambm para os aspectos humanos nas questes de segurana da informao. Deve-se procurar conscientizar, esclarecer e informar os seus funcionrios e colaboradores, sobre os riscos existentes tornando-os parte importante da Poltica de Segurana da Informao na corporao. A questo que se apresenta de como promover nas corporaes aes para conscientizar, esclarecer e informar seus colaboradores no que diz respeito aos riscos existentes sobre Segurana da Informao e garantir que a Poltica de Segurana da Informao seja efetiva? Nesse contexto, o objetivo da pesquisa propor recomendaes sobre fatores humanos em Segurana da Informao que possam ser adotados em ambientes corporativos. A abordagem metodolgica apresenta-se do seguinte modo: A An n l li is se e d de e n no or rm ma as s e e p pa ad dr r e es s e ex xi is s t te en nt te es s n na a l li it te er ra at tu ur ra a e e i id de en nt ti if fi ic ca a o o d do os s r re eq qu ui is si it to os s d de e s se eg gu ur ra an n a a; ; E El la ab bo or ra a o o d de e r ro ot te ei ir ro os s d de e i in nv ve es st ti ig ga a o o p pa ar ra a E Es st tu ud do o d de e C Ca as so o; ; Realizao de pesquisa sobre Segurana da Informao em trs Organizaes Militares A An n l li is se e d do os s d da ad do os s o ob bt ti id do os s E El la ab bo or ra a o o d de e R Re ec co om me en nd da a e es s p pa ar ra a P Po ol l t ti ic ca as s d de e R Re ed du u o o d de e R Ri is sc co os s e e V Vu ul ln ne er ra ab bi il li id da ad de es s H Hu um ma an na as s n no os s A Am mb bi ie en nt te es s a av va al li ia ad do os s . . Espera-se que as recomendaes inseridas no contexto das corporaes possam contribuir para a conscientizao sobre os benefcios de uma Poltica de Segurana da Informao que priorize o fator humano. O documento apresenta no captulo 2 as normas e padres que orientam a rea de Segurana da Informao. No captulo 3 abordada a temtica Segurana da Informao 15 de segurana da informao em ambientes corporativos. O captulo 4 ressalta as vulnerabilidades na rea de Segurana da Informao. O captulo 5 apresenta o estudo de caso realizado nas trs Organizaes Militares. O captulo 6 apresenta as anlises sobre os dados levantados. O captulo 7 apresenta as recomendaes propostas para polticas de reduo de riscos e vulnerabilidades humanas em ambientes corporativos. E, por fim, no captulo 8 so apresentadas as concluses e recomendaes para trabalhos futuros. MAIORES INFORMAES: a) Segurana da Informao: http://modulo.com.br b) Poltica de Segurana da Informao: NBR ISO/IEC 17799 Tecnologia da Informao Cdigo de prtica para a gesto da segurana da informao. c) Poltica de Reduo de Riscos: ISO Guide 73 d) Engenharia Social: (MITNICK, Kevin D.), A arte de enganar, ed. Makron Book Segurana da Informao 16 Captulo 2 Normas e Padres de Segurana da Informao A segurana no um produto, mas um processo. Voc no pode simplesmente inclu-la em um sistema aps um fato Solues perfeitas no so exigidas, mas sistemas que possam ser totalmente invadidos so inaceitveis Bruce Schneier [Segurana.com] A engenharia definida como a arte de aplicar conhecimentos cientficos e empricos e certas habilitaes especficas criao de estruturas, dispositivos e processos que se utilizam para converter recursos naturais em formas adequadas ao atendimento das necessidades humanas. E ainda, o aspecto social da sociedade ou relativo a ela (PRIBERAM,2006). Portanto, a Engenharia Social a cincia que estuda como o conhecimento do comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo. No se trata de hipnose ou controle da mente. As tcnicas de Engenharia Social so amplamente utilizadas por detetives para obter informao ou por e magistrados para comprovar se um declarante fala a verdade. Tambm utilizada para lograr todo tipo de fraudes, inclusive invaso de sistemas eletrnicos.(Diponvel em :<http:// www.konsultex.com.br > Acesso em: 20 nov. 2005) Perfil do Engenheiro Social Geralmente o engenheiro social um tipo de pessoa agradvel, ou seja, uma pessoa educada, simptica, carismtica, mas sobretudo criativa, flexvel e dinmica, possuindo uma conversa bastante envolvente (PEIXOTO, 2002). Segurana da Informao 17 As origens da Norma ISO/IEC 17799 (International Standards Organization) Por mais de 100 anos, o British Standards Institute (BSI) e a International Organization for Standardization (ISO) fornecem referncias globais para padres operacionais, de fabricao e de desempenho. Uma coisa que o BSI e o ISO no tinham ainda proposto era um padro para a Segurana de Informao Finalmente em 1995, o BSI lanou seu primeiro padro de segurana, BS 7799 (British Standards). A BS 7799 foi criada com a inteno de abranger assuntos de segurana relacionados ao e-commerce (comrcio eletrnico). No incio, a BS 7799 foi considerada inflexvel e no foi adotada globalmente. O momento no era correto e questes de segurana no despertavam grande interesse naquele tempo. Avancemos para quatro anos mais tarde. Em maio de 1999, o BSI tentou novamente, lanando a segunda verso da BS 7799, uma enorme reviso da verso anterior. Essa edio continha vrios aperfeioamentos e melhoras. Foi nessa poca que a ISO identificou a oportunidade e comeou a trabalhar na reviso da BS 7799. Em dezembro de 2000, o International Standards Organization (ISO) adotou e publicou a primeira parte da BS7799 como seu prprio padro, chamando-a ISO/IEC 17799. Nessa mesma poca, uma maneira formal de credenciamento e certificao de compatibilidade com os padres foram adotadas. A adoo da BS 7799 Parte 1 (o critrio padro) pela ISO foi mais aceitvel nternacionalmente, e foi nessa poca que um conjunto de padres de segurana finalmente recebeu reconhecimento global Uma estrutura de recomendaes Especialistas da rea reconhecem a ISO/IEC 17799 como uma compilao de recomendaes para melhores prticas de segurana, que podem ser aplicadas por empresas, independentemente do seu porte ou setor. Ela foi criada com a inteno de ser um padro flexvel, nunca guiando seus usurios a seguir uma soluo de segurana especfica em vez de outra. ___________________ Disponvel em: <http://www.symantec.com> Acesso em:14 Dez 2005 Segurana da Informao 18 As recomendaes da ISO/IEC 17799 continuam neutras com relao tecnologia e no fornecem nenhuma ajuda na avaliao ou entendimento de medidas de segurana j existentes. Por exemplo, discute a necessidade de firewall, mas no aprofunda nos tipos de Sistemas de firewall e como devem ser usados. Isso leva alguns opositores a dizer que a ISO/IEC 17799 muito vaga e pouco estruturada para ter seu valor realmente reconhecido. A flexibilidade e impreciso da ISO/IEC 17799 so intencionais, pois muito difcil criar um padro que funcione para todos os variados ambientes de TI e que seja capaz de crescer com a mutante paisagem tecnolgica atual. Ela simplesmente fornece um conjunto de regras, em uma Corporao onde elas no existiam. As dez reas de controle do ISO/IEC 17799: A flexibilidade e impreciso da ISO 17799 so intencionais, pois muito difcil criar um padro que funcione para todos os variados ambientes de TI e que seja capaz de crescer com a mutante paisagem tecnolgica atual. Ela simplesmente fornece um conjunto de regras, em uma indstria onde elas no existam (Symantec, 2004). A norma ISO/IEC 17799, 2001 dividida nas seguintes reas: 1) Poltica de Segurana necessrio uma poltica para determinar as expectativas para segurana, o que fornece direo e suporte ao gerenciamento. A poltica deve tambm ser usada como uma base para revises e avaliaes regulares. 2) Corporao da Segurana Sugere que uma estrutura de gerenciamento seja determinada dentro da empresa, explicando quais os grupos so responsveis por certas reas de segurana e um processo para o gerenciamento de respostas a incidentes. 3) Classificao e Controle do Patrimnio Exige um inventrio do patrimnio de informaes da empresa e, com esse conhecimento, garante que o nvel de proteo apropriado seja aplicado. 4) Segurana dos Funcionrios Indica a necessidade de educar e informar os funcionrios atuais ou potenciais sobre a expectativa da empresa para com eles, com relao a assuntos confidenciais e de segurana, e como sua funo na segurana se enquadra na operao geral da empresa. Tenha um plano de relatrios de incidentes. Segurana da Informao 19 5) Segurana Fsica e Ambiental Aborda a necessidade de proteger reas, equipamentos de segurana e controles gerais. 6) Gerenciamento de Operaes e Comunicaes Os objetivos dessa seo incluem: - Garantir instalaes para a operao correta e segura do processamento de informaes; - Minimizar o risco de falhas dos sistemas; - Proteger a integridade do software e/ou das informaes; - Manter a integridade e disponibilidade do processamento de informaes e comunicaes; - Garantir a proteo das informaes em redes e da infra-estrutura de suporte; - Evitar danos ao patrimnio e interrupes nas atividades da empresa; - Prevenir perdas, modificaes ou uso inadequado das informaes trocadas entre empresas. 7) Controle de Acesso Identifica a importncia da monitorao e controle do acesso a recursos da rede e de aplicativos, para proteger contra abusos internos e intruses externas. 8) Manuteno e Desenvolvimento de Sistemas Refora que com todos os esforos de TI, tudo deve ser implementado e mantido com a segurana em mente, usando os controles de segurana em todas as etapas do processo. 9) Gerenciamento da Continuidade dos Negcios Recomenda que as empresas se preparem com maneiras de neutralizar as interrupes s atividades comerciais, e protejam os processos comerciais cruciais, no evento de uma falha ou desastre. 10) Compatibilidade Instrui as empresas a observar como a sua compatibilidade com o ISO/IEC 17799 se integra ou no com outros requisitos legais como o European Unions Directive on Privacy (Diretivas da Unio Europia sobre Privacidade), Health Insurance Portability and Accountability Act (Decreto de Responsabilidade e Portabilidade de Seguro de Sade, HIPAA) e o Gramm-Leach- Bliley Act (GLBA). Essa seo exige tambm uma reviso da poltica de segurana e compatibilidade tcnica, alm de consideraes a serem feitas com relao ao sistema do processo de auditoria, para garantir que cada empresa se beneficie o mximo possvel. Segurana da Informao 20 Status da ISO/IEC 17799 A ISO (International Organization for Standardization) est atualmente revisando a norma 17799 para torn-lo mais aceitvel pelo seu pblico global. A ISO/IEC 17799 determinou o primeiro padro e suas recomendaes principais e idias sero criadas e expandidas de acordo com as necessidades futuras. Se a Corporao no possui um programa de proteo de informaes, a ISO 17779 pode fornecer as diretrizes para a criao de um. A norma pode servir como um guia para a criao da postura de segurana da Corporao ou como uma boa diretriz de segurana a ser usada pela Corporao.(NBR/IEC 17799, 2002). ISO 27001:2005 A norma ISO 27001:2005 a evoluo natural da norma BS7799- 2:2002 um padro britnico que trata da definio de requisitos para um Sistema Gesto de Segurana da Informao. O padro foi incorporado pela The International Organization for Standardization (ISO), instituio internacional com sede na Sua que cuida do estabelecimento de padres internacionais de certificao em diversas reas. A norma ISO 27001:2005 a norma BS7799-2:2002 revisada, com melhorias e adaptaes. A reviso foi feita por um comit tcnico de mbito internacional, formado pela ISO e pelo IEC (The International Eletrotechnical Comission) o ISO/IEC JTC 1, sub-comit SC 27, que atravs de um trabalho conjunto que ocorreu desde 2000 efetuou as alteraes que so a compilao de diversas sugestes que os membros deste comit apresentaram ao longo do trabalho, cujas reunies de discusso e apresentao dos resultados ocorreram em diversos pases at o primeiro semestre de 2005. Um breve histrico da evoluo da norma at chegar a ISO 27001:2005 Os Gerentes de segurana h muito tempo esperam por algum que produza um conjunto razovel de padres de Segurana da Informao, reconhecidos globalmente. Muitos acreditam que um cdigo de prtica ajudaria a suportar os esforos dos gerentes de TI e tambm a influenciar decises, aumentar a cooperao Segurana da Informao 21 entre os vrios departamentos em nome do interesse comum pela segurana e ajudar a tornar a Segurana em uma das prioridades organizacionais (Symantec, 2004). - 1995: publicada a primeira verso da BS 7799-1 (BS 7799-1:1995 Tecnologia da Informao Cdigo de prtica para gesto da Segurana da Informao) - 1998: publicada a primeira verso da BS 7799-2 (BS 7799-2:1998 Sistema de gesto da Segurana da Informao Especificaes e guia para uso) - 1999: publicada uma reviso da BS 7799-1 (BS 7799-1:1999 Tecnologia da Informao Cdigo de prtica para gesto da Segurana da Informao) - 2000: publicada a primeira verso da norma ISO/IEC 17799 (ISO/IEC 17799:2000 Tecnologia da Informao Cdigo de prtica para gesto da Segurana da Informao tambm referenciada como BS ISO/IEC 17799:2000) - 2001: publicada a primeira verso da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2001 Tecnologia da Informao Cdigo de prtica para gesto da Segurana da Informao) - 2002: publicada reviso da norma BS 7799 parte 2 (BS7799-2:2002 Sistema de gesto da Segurana da Informao Especificaes e guia para uso). - Agosto/2005: publicada a segunda verso da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2005 Tecnologia da Informao Cdigo de prtica para gesto da Segurana da Informao); - Outubro/2005: publicada a norma ISO 27001 (ISO/IEC 27001:2005 Tecnologia da Informao Tcnicas de segurana Sistema de gesto da Segurana da Informao Requisitos). Acompanhando o processo de evoluo histrica apresentado acima, pode-se observar que a norma ISO/IEC 17799, que a evoluo da BS7799-1, incorporada pela ISO em 2000, tambm foi revisada, e ambas as normas, a ISO/IEC 27001 e a ISO/IEC 17799, j esto alinhadas. A publicao da ISO/IEC 27001:2005 representa no apenas um grande e ansiosamente aguardado acontecimento no mundo da Segurana da Informao, mas trata-se de uma norma internacional que toda corporao ciente da importncia da segurana deve procurar implementar e tentar obter sua certificao (DE CICCO, 2005). A ISO 27001 uma especificao para Sistemas de Gesto da Segurana da Informao (SGSI) e pode ser adotadas por corporaes pequenas, mdias e grandes de diferentes setores industriais e de servios, como manufatura, Segurana da Informao 22 finanas, seguros, telecomunicaes, utilidades, varejo, transportes, governos e muitos outros. A adoo da ISO 27001, reafirmar, para clientes e fornecedores, o fato de que a Segurana da Informao est sendo levada a srio pelas corporaes com as quais eles fazem negcio, j que empregam processos de ltima gerao para lidar com as ameaas e os riscos segurana, a informao, a exemplo de outros importantes valores empresariais, um ativo que agrega riqueza corporao e como tal precisa ser protegida (DE CICCO, 2005). Quanto ao comportamento dos mercados perante a introduo da nova norma, De Cicco avalia que a ISO 27001 estava sendo ansiosamente aguardada, pois havia algumas restries certificao de empresas segundo a BS 7799-2, que uma norma nacional da Gr-Bretanha. Agora que foi publicada a ISO 27001, a BS 7799-2 deixou de existir, diz. Mas ele acha importante frisar que ainda existe no mercado uma certa confuso em relao a outra norma internacional a ISO/IEC 17799:2005 que no para ser utilizada para fins de certificao, pois trata-se de documento mais amplo, que d as diretrizes e princpios gerais para melhorar a gesto da Segurana da Informao nas corporaes. A ISO/IEC 17799 , portanto, um cdigo de boas prticas que se complementa de forma excelente com a nova ISO 27001, afirma. Em relao ao ranking atual das empresas que j se certificaram, De Cicco diz que esta informao ainda no est disponvel, tendo em vista que muitas empresas que estavam certificadas pela BS7799-2 devero ainda fazer a transio para a ISO 27001. Comparativamente, a ISO/IEC 27001:2005 substituiu integralmente a norma britnica BS 7799 parte 2, que existia desde 1998 e que tinha sido revisada em 2002. Em termos estritos, a nova ISO 27001 uma especificao (documento que utilizado para a realizao de auditorias e conseqente certificao) de um Sistema de Gesto da Segurana da Informao (SGSI). A ISO 27001:2005 contm as seguintes sees: 0) Introduo 1) Objetivo e Campo de Aplicao 2) Referncias Normativas 3) Termos e Definies 4) Sistema de Gesto da Segurana da Informao 5) Responsabilidades da Direo Segurana da Informao 23 6) Anlise Crtica do SGSI 7) Melhoria do SGSI Alm disso, a ISO 27001 estabelece um processo de seis etapas para a implementao da SGSI, adotando a abordagem baseada em processos (a mesma utilizada nas normas ISO 9001 Gesto da Qualidade e ISO 14001 Gesto Ambiental), incluindo o ciclo PDCA (Plan-do-Check-Act - Planejar, fazer, checar e agir) (fig1) de melhoria contnua (planejamento, execuo, verificao, ao). O processo de seis etapas compreende: I) Definir a poltica de Segurana da Informao da corporao. II) Definir o escopo do SGSI. III) Identificar, analisar e avaliar riscos. IV) Tratar os riscos avaliados. V) Selecionar os controles que sero implementados VI) Preparar uma SoA (Statement of Applicability declarao de aplicabilidade). O ciclo PDCA (Plan-Do-Check-Act) de melhoria contnua pode ser assim visualizado: (ISMS - Information Security Management System) Figura 1 PDCA -Sistemas de Gesto da Segurana da Informao Fonte: http://pt.wikipedia.org/wiki/Ciclo_PDCA CobiT (Control Objectives for Information and related Technology) uma ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativas de TI nas empresas; um guia para a gesto de TI recomendado pelo ISACF (Information Systems Audit and Control PLANEJAR AGIR FAZER CHECAR Segurana da Informao 24 Foundation, www.isaca.org). O CobiT (Fig2) inclui recursos tais como um sumrio executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementao e um guia com tcnicas de gerenciamento. As prticas de gesto do CobiT so recomendadas pelos peritos em gesto de TI que ajudam a otimizar os investimentos de TI e fornecem mtricas para avaliao dos resultados. O CobiT independe das plataformas de TI adotadas nas empresas. (FAGUNDES, Eduardo Mayer, 2005). Engenheiro, Mestre e Professor da Universidade Mackenzie. Figura 2 - Cobit - (Control Objectives for Information and related Technology) Fonte: http://www.modulo.com. br/checkuptool/artigo_08.htm Poltica e gesto de Segurana da Informao Nossa atual realidade presa informao como sendo o bem de maior valia para as corporaes independentemente do ramo de atuao desta, sendo ela comrcio, indstria ou financeira, a informao nos abre novos horizontes e mercados para que possamos expandir nossos anseios em busca de maiores lucros e perspectivas. Segurana da Informao 25 Para garantir sua sobrevivncia, essas corporaes necessitam essencialmente de informaes. Poltica de Segurana da Informao basicamente um manual de procedimentos que descreve como os recursos de que manipulam as informaes da empresa devem ser protegidos e utilizados e o pilar da eficcia da Segurana da Informao, estabelecendo investimentos em recursos humanos e tecnolgicos (CASTRO, 2002). Muitos Sistemas de informao no foram projetados para serem seguros. A segurana que pode ser alcanada por meios tcnicos limitada e convm que seja apoiada por gesto e procedimentos apropriados. A identificao de quais controles convm que sejam implantados, requer, planejamento cuidadoso e ateno aos detalhes. A Gesto da Segurana da Informao necessita, pelo menos , da participao de todos os funcionrios da Corporao. (NBR ISO/IEC 17799, 2002). As aes de Segurana da Informao podem: 1) Viabilizar aplicaes e processos que otimizem as atividades da empresa, reduzindo custos; 2) Viabilizar novos produtos e servios, aumentando a receita da empresa; 3) Reduzir e administrar os riscos do negcio; 4) Fortalecer a image m da Corporao; 5) Criar valor para a empresa e para o acionista (BASTOS, 2005). Segurana da Informao 26 Captulo 3 Segurana da Informao em Ambientes Corporativos Risco a incerteza inerente a um conjunto de possveis conseqncias (ganhos e perdas), as quais ocorrem como resultado de escolhas e decises exigidas por toda corporao. Risco est relacionado escolha, no ao acaso. Ives P. Mulle. A complexidade dos ambientes corporativos se d devido aos diferentes tipos de comunicao existentes entre as redes integradas, cada qual com sua tecnologia, seus usurios, sua cultura e sua poltica interna. A integralizao de todos estes fatores tarefa importantssima na segurana. Por se tratar de diversas redes, o acesso que uma poder ter na outra deve ser restrito apenas aquela. A ligao entre matrizes, filiais, fornecedores e clientes proporcionam uma abertura de comunicao entre elas onde, se no fiscalizada, uma poder estar acessando informaes confidenciais da outra. A segurana neste ambiente se torna muito complexa e deve ser planejada detalhadamente a fim de disponibilizar apenas recursos necessrios para cada uma das empresas envolvidas, evitando que uma empresa acesse a rede de outra por intermdio de uma terceira empresa, fato chamado de triangulao (NAKAMURA, 2002). Neste captulo abordaremos fatores e termos que envolvem Segurana da Informao em ambientes Corporativos. 3.1 Certificao Digital A certificao digital est se proliferando devido necessidade da implantao de servios on-line que possibiltem opes geis e confiveis quando de uma transao efetuada pela Internet, envolvendo questes de extrema importncia e sigilo. Ela nos garantir que as operaes possam ser efetuadas de modo que a integridade e a autenticidade das informaes permaneam intactas. A Certificao Digital pode ser definida como um processo eletrnico que visa garantir a integridade e a autenticidade de um determinado processo ou documento. Tecnicamente, o Certificado Digital um arquivo de computador que faz a identificao de uma pessoa. Ele um documento emitido por uma Autoridade Certificadora e serve para garantir a autenticidade e a inviolabilidade de mensagens Segurana da Informao 27 trafegadas pela Internet. Ainda permite enviar e-mails assinados digitalmente e/ou criptografados. O certificado consiste de um par de senhas, uma de conhecimento pblico (chave pblica), outra de conhecimento exclusivo da pessoa a ser certificada (chave privada). O Certificado Digital realiza 4 itens bsicos: a identificao das partes envolvidas em uma transao, garante a integridade, o sigilo e a impossibilidade de repdio. 3.2 Criptografia A criptografia o ato da transformao de informao numa forma aparentemente ilegvel, com o propsito de garantir a privacidade, ocultando informao de pessoas no autorizadas. Atravs da criptografia os dados so codificados e decodificados, para que os mesmos sejam transmitidos e armazenados sem que haja alteraes realizadas por terceiros no autorizados. Como a Certificao Digital o principal objetivo da criptografia prover uma comunicao segura, garantindo confidencialidade, autenticidade, integridade e a no-repudiao (NAKAMURA, 2002). Existem duas possibilidades de encriptao de mensagens por cdigos ou cifras. Por cdigos, o contedo das mensagens escondido atravs de cdigos predefinidos entre duas partes. Este tipo de soluo tem dois grandes problemas: a facilidade de deciframento devido ao intenso uso dos cdigos e o envio de apenas mensagens predefinidas. Existe um outro mtodo, a cifra, onde o contedo da mensagem cifrado atravs da mistura e/ou substituio das letras da mensagem original. A mensagem decifrada fazendo-se o processo inverso ao ciframento. As cifras consistem na implementao de longas seqncias de nmeros e/ou letras que determinaro o formato do texto cifrado atravs de algoritmos associados a chaves. Este tipo de criptografia se baseia na classificao quanto ao nmero de chaves utilizadas, simtrica e assimtrica. Na criptografia simtrica, o poder da cifra medido pelo tamanho da chave, geralmente as chaves de 40 bits so consideradas fracas e as de 128 bits ou mais, as mais fortes (GRAFF, 2000). Exemplos de algoritmos: DES, Triple DES, Segurana da Informao 28 RC4 e IDEA. Neste caso, utilizada uma nica chave secreta que compartilhada pelo emissor e pelo receptor. Na criptografia assimtrica so utilizados dois tipos de chaves, chave pblica e chave privada, onde a criptografia da mensagem feita utilizando a chave pblica e a decriptografia realizada com a chave privada, ou vice-versa. Os algoritmos utilizam mtodos baseados na fatorao de nmeros primos, como por exemplo, o RSA. 3.3 Hackers A definio correta de hacker : uma pessoa que, por fins prprios, se interessa exageradamente por assuntos relacionados informtica (sistemas operacionais, redes e afins). Utiliza seu conhecimento avanado para descobrir falhas e vulnerabilidades de segurana (OTILIO, 2000). Erroneamente, o termo hacker passou a ser usado para qualquer pessoa que efetuasse algum tipo de crime ciberntico. O termo cracker o correto nome para algum que utiliza seus conhecimentos para quebrar a segurana, ganhar acesso a sistemas de outras pessoas, sem a devida permisso e cometer estragos no mesmo. Ou seja, ocracker um hacker atuando negativamente. Com a evoluo das tecnologias, ocorreu uma mudana no perfil dos crackers e dos hackers. Antes, eles eram pessoas com alto grau de conhecimento em informtica (sistemas operacionais, redes e tecnologia em geral). Devido a grande facilidade de troca de informaes pela Internet, qualquer pessoa passou a ter acesso a informaes sobre segurana. Outro fator muito importante foram as ferramentas (de console ou grficas) criadas por hackers mais experientes que trouxeram aos usurios comuns a possibilidade de invaso a sistemas particulares. Os motivos de pessoas infringirem leis invadindo sistemas e computadores so os mais variados possveis. Abaixo segue alguns deles: Lazer; Supremacia de grupos rivais; Roubo de informaes; Protestos; Desafios propostos por sites e empresas de informtica. Segurana da Informao 29 Nesta monografia, o termo hacker ser utilizado como sendo aquela pessoa que infiltra em sistemas sem a permisso dos responsveis para qualquer fim, seja ele positivo ou negativo. 3.4 Firewall Firewalls so mecanismos de proteo de redes de computadores, que forma uma barreira interposta entre uma rede privada de qualquer organizao e uma rede externa (por exemplo: Internet). Existem na forma de hardware, ou software, ou uma combinao de ambos (NAKAMURA, 2002). Sua principal funo analisar o trfego entre a rede interna e a rede externa em tempo real, permitindo ou bloqueando o trfego de acordo com regras pr- definidas. Atualmente, o principal instrumento de defesa de redes corporativas, controlando e monitorando o acesso aos sistemas e aos hosts da organizao e a filtragem de trfego entre duas redes. Com ele pode-se dispensar a instalao de softwares adicionais nos hosts, centralizando a administrao e a configurao de toda a rede. 3.4.1 Algumas funes dos Firewalls: Filtragem de servios consiste em filtrar servios que no so considerados seguros, aumentado a segurana da rede e dos hosts, podendo rejeitar pacotes de uma determinada origem. Controle de acesso a servios e hosts consiste na definio de regras de acesso externo para hosts da rede interna e para servios especficos, fixando permisses de acessos a servios e hosts, evitando assim invases externas. Bloqueio de servios permite bloquear servios considerados inseguros e servios que forneam informaes utilizadas em intruses. Registro e estatsticas de utilizao da rede permite monitorar todo o sistema, registrando os acessos, e permite tambm fornecer estatsticas do sistema atravs de logs de utilizao, sendo possvel fornecer detalhes que identifiquem possveis tentativas de ataque rede. Imposio da Poltica de acesso Internet a filtragem e a permisso Segurana da Informao 30 a qualquer tipo de acesso Internet monitorada atravs do firewall. Com isso, possvel forar o cumprimento de uma poltica de acessos, sem ter que depender da cooperao dos usurios. O firewall no a nica soluo de segurana disponvel em ambientes corporativos. uma das principais, porm ele no resolve todos os problemas. necessrio complementar a segurana com alguns dos sistemas descritos nos prximos tpicos. Abaixo so listadas algumas das limitaes que o firewall nos fornece: Ataques internos e usurios mal intencionados; Proteo antivrus; Portas abertas ou Backdoors; Bugs e falhas no equipamento; Colises da rede interna e externa. 3.5 Pragas Virtuais Atualmente existem muitos tipos de pragas virtuais que danificam as informaes contidas em computadores. Para usurios leigos, qualquer cdigo que acarrete problemas aos computadores, chamado vrus. Porm existem diferenas entre estas pragas virtuais, pelo mesmo motivo que pessoas diferem doenas virais de bactrias. Abaixo segue uma descrio de cada uma delas. 3.6 Vrus Vrus um programa malicioso que possui a habilidade de auto-replicar e infectar partes do sistema operacional ou de programas de aplicao, com o intuito de causar a perda ou dano nos dados. O nome, vrus, se d devido semelhana das aes e proliferaes que o mesmo efetua, com um vrus real que domina o mecanismo de clulas normais. Ele normalmente se disfara em outros arquivos de programa. A infeco acontece quando o programa infectado executado, juntamente o cdigo do vrus tambm executado. A ao do trecho de programa procura e infecta novos arquivos de programas. A proliferao realizada quando o usurio envia o arquivo contaminado a outras pessoas. Segurana da Informao 31 A seguir mostrada uma lista de tipos de vrus: Vrus de arquivos ou programas Vrus que normalmente ficam alojados em arquivos com extenses: .COM, .EXE, .DLL, .SYS, .BIN e .BAT. Exemplos de vrus de programa conhecidos so Jerusalm e Cascade; Vrus de setor de boot Vrus que ficam armazenados na inicializao do sistema. Exemplos de vrus de setor de boot so: Form, Disk Killer, Michelangelo e Stoned; Vrus de macro Vrus que infectam arquivos dos programas Microsoft Office (Word, Excel, PowerPoint e Access); Vrus Multipartite Vrus que infectam setores de boot, disquetes e arquivos executveis. Exemplo: Dead.Boot.488, Pieck.4444.A, Delwin.1759; Vrus Stealth Vrus que utiliza tcnicas para ocultar as alteraes executadas e enganar o antivrus. Exemplo: AntiCNTE Boot, Natas.4988, Bleah; Vrus Polimrficos Vrus que se auto modificam a cada nova disseminao. De forma que um nico vrus pode ter inmeras formas diferentes. Exempo: Satan Bug, Spanska.4250, W95/HPS. Alguns vrus so desenvolvidos para danificar o computador corrompendo programas, excluindo arquivos ou reformatando o disco rgido. Outros no cometem estragos, simplesmente se reproduzem e chamam a ateno sobre a sua presena com mensagens de texto, vdeo e udio. 3.7 Worm(Verme) Os worms so parecidos com os vrus, porm se diferenciam na forma de infeco. Eles somente fazem cpias deles prprios e as propagam. Exemplo: LittleDavinia, Navidad. Worm (COFFEE, 2000) um cdigo de programa auto-replicante que se duplica por meio de redes de computadores. A percepo da contaminao por worms se d quando sua replicao descontrolada consome recursos do sistema, atrasando ou interrompendo outras tarefas. Porm existem alguns worms que alm das caractersticas normais tambm danificam o sistema. _______________________ Disponvel em: http://www.scua.net > Acessado em: 5 nov. 2005 Segurana da Informao 32 3.8 Trojan Horse (Cavalos de Tria) O termo "Cavalo de Tria" vem de uma lenda antiga, onde os gregos deram aos troianos um grande cavalo de madeira como sinal de que estavam desistindo da guerra, desejando a paz. Tal cavalo escondia no seu interior um grupo de soldados gregos, que abririam os portes da cidade para o exrcito grego, depois que os troianos levassem o cavalo para dentro da cidadela. Esse tipo de programa parece fazer algo til, ou pelo menos divertido, como ativar um protetor de tela atraente. Entretanto, como seu homnimo legendrio, um programa Cavalo de Tria oculta um propsito destrutivo: ao ser executado, pode destruir arquivos ou criar uma entrada pela "porta dos fundos" que permita ao intruso acessar seu sistema (GALVO, 2002). Ele no se propaga sozinho de um computador para outro. A auto-replicao o que caracteriza as outras duas principais famlias de cdigo malicioso, os vermes e os vrus. Definio da RFC 2828 (Request for Coments n 2828): programa que aparenta ter uma funo til, mas possui alguma funo maliciosa que burla os mecanismos de segurana. No possui a capacidade de se auto replicar. Como exemplo pode-se citar um jogo puxado pela Internet, que na verdade, ao ser executado, tira a ateno do usurio enquanto executa algum dano ao computador em segundo plano. Este tipo de programa est sendo muito utilizado como forma de ataques. Por meio de qualquer disfarce ele se instala na mquina hospedeira. A partir da, o computador hospedeiro passa a ser controlado por outra pessoa. Com isso, o hacker poder monitorar e realizar qualquer operao que estar sendo feita neste computador. A destruio de arquivos bem como o roubo de senhas tarefa simples de se executar atravs desta tcnica de invaso. 3.9 Sistema de Deteco de Intrusos IDS Os sistemas de deteco de intrusos (IDS) so sistemas de monitoramento de trfego de redes de computadores a procura de situaes ilegais. Eles funcionam analisando trfego ou eventos suspeitos, caso encontre algo estranho dos padres estabelecidos, enviado um aviso ou gerada uma rotina de correo Segurana da Informao 33 (NAKAMURA, 2002). A deteco de intrusos pode ser realizada de dois modos: Sensores procuram por assinaturas de ataques, que so os mtodos utilizados por invasores e catalogados no IDS; Sensores detectam alguma atividade suspeita, seja por eventos no esperados ou diferentes do perfil normal de um usurio ou aplicao. Os IDS de rede tm a vantagem de proteger todo um segmento de rede, embora sejam limitados por no poder ver o que acontece dentro dos servidores. Os IDS de rede examinam os tipos e o contedo dos pacotes trafegados. IDS baseados em servidores examinam as trilhas de auditoria e log de atividades. Uma implementao completa de IDS dever utilizar ambos os tipos de IDS. Para a perfeita monitorao do sistema, um IDS deve seguir alguns aspectos bsicos (PELISSARI, 2002): Funcionamento constante em segundo plano sem interao; Base de dados no pode ser perdida em caso de falhas do sistema operacional; Monitorao de si prprio; Funcionamento imperceptvel no sistema; Deteco de alteraes no funcionamento normal; Difcil de ser enganado; Deteco de poucos falsos positivos; No-deteco de falsos negativos; No permisso de subverso. As principais funes do IDS so: Alarmar o administrador de rede ou do sistema, em tempo real, sobre uma possvel invaso; Disparar automaticamente mecanismos de segurana contra essa suspeita. 3.10 VPN Virtual Private Network Atualmente, a troca eletrnica de informaes um bem comum entre os indivduos. A comunicao e a troca de dados entre os ambientes corporativos ocorre constantemente sendo necessrio um meio de comunicao seguro e confivel. Os meios de comunicaes dedicados so bastante utilizados, porm com Segurana da Informao 34 alto valor de aquisio e manuteno. A soluo encontrada para diminuir o custo da comunicao foi utilizar uma rede pblica (Internet) como meio de comunicao. Mas a segurana, a confiabilidade e a integridade neste tipo de comunicao so pontos que comprometem o servio devido ao contedo trafegado por ela ser acessvel a todos, podendo ser interceptado e capturado (PELISSARI, 2002). A VPN utiliza exatamente este conceito de comunicao, todavia com os quesitos mnimos de segurana, integridade e confiabilidade nos seus servios (NAKAMURA, 2002). Alm disso, a Internet sendo de alcance mundial facilita a comunicao em lugares onde a situao irregular, possibilitando assim uma total abrangncia de comunicao. Para que a abordagem de VPN se torne efetiva, ela deve prover um conjunto de funes que garanta Confidencialidade, Integridade e Autenticidade. Existem muitas tcnicas que podem ser usadas na implementao de VPN, abaixo so listadas algumas: Modo Transmisso somente os dados so criptografados, no havendo mudana no tamanho dos pacotes; Modo Transporte somente os dados so criptografados, podendo haver mudana no tamanho dos pacotes; Modo Tnel Criptografado os dados e o cabealho dos pacotes so criptografados, sendo empacotados e transmitidos segundo um novo endereamento IP, em um tnel estabelecido entre o ponto de origem e de destino. Modo Tnel No Criptografado tanto os dados quanto o cabealho so empacotados e transmitidos segundo um novo endereamento IP, em um tnel estabelecido entre o ponto de origem e destino. 3.11 Smartcard O termo ingls Smartcard significa carto inteligente. Ele tem formato e tamanho de um carto convencional, como por exemplo, o carto de crdito. A diferena fica por conta de um chip embutido, que pode processar e armazenar dados eletrnicos protegidos por caractersticas avanadas de segurana. Geralmente, ele pode existir em trs verses diferentes: Carto de memria armazena dados e necessita de um Segurana da Informao 35 processador externo para acessar e manipular os dados; Carto processador processa e armazena dados independentemente atravs de um microprocessador embutido com sistema operacional; Carto de encriptao obtm caractersticas adicionais de segurana atravs de um co-processador de encriptao. Os smartcards so usados com diferentes propsitos cada qual com seu mecanismo de segurana. Alguns menos sofisticados, cartes de memria, e outros mais sofisticados, cartes processadores. Os smartcards podem ser usados como cartes comuns, onde somente o proprietrio tem acesso s informaes (Exemplos: cartes de crdito), ou como carto de identificao onde qualquer um pode ter acesso s informaes (Exemplos: identificao de nome, RG, tipo sangneo, endereo). Muitos testes j foram realizados com esta tecnologia. Sendo esta aprovada e causando grande expectativa na rea de segurana para o futuro. Algumas vantagens so descritas abaixo em relao a este novo conceito de carto: A flexibilidade e a capacidade para armazenar grandes quantidades de dados e potencial de acomodar vrias aplicaes tarifrias vista como um dos grandes benefcios da tecnologia. Cartes inteligentes no so muito caros. A relao custo/benefcio dos smartcards prova que esta tecnologia em breve estar no mercado sendo usada como uma das principais formas de armazenagem de dados pessoais. Testes esto sendo elaborados e executados em grande escala. As padronizaes dos cartes ainda esto sendo desenvolvidas, preocupando-se em assegurar a interoperacionalidade do seu funcionamento. 3.12 Biometria A biometria tem se tornado uma forma de segurana bastante efetiva na autenticao de usurio. Pode-se definir biometria como sendo uma forma de verificao de identidade de pessoas por meio de caracterstica fsica e nica. Dentre muitas formas de biometria, pode-se destacar a impresso digital, scanner de ris e projeo facial. Mesmo com o pequeno avano, a biometria j obtm sucesso, baixando o ndice de Segurana da Informao 36 fraudes. O funcionamento do sistema consiste em verificar uma certa identificao em algum registro. Para isso, cada usurio configura uma caracterstica fsica, biolgica ou comportamental junto ao sistema, a fim de que seja utilizada na verificao da identidade do usurio. A verificao consiste na captura da caracterstica do usurio atravs de sensores e comparao da mesma com o modelo biomtrico armazenado no banco de dados do sistema. Abaixo esto relacionadas algumas formas de biometria: Identificao de ris; Impresso digital; Reconhecimento de voz; Reconhecimento da dinmica da digitao; Reconhecimento da face; Identificao da retina; Geometria da mo; Reconhecimento da assinatura. 3.13 Engenharia Social Parece ser um assunto menos tcnico se comparado com os outros, mas esse pode ser o assunto mais importante em toda a rea de Segurana da Informao. Um ataque complicado em um computador em uma rede pode se tornar muito simples com a correta utilizao dessa tcnica. Com isso, ao invs tentar solues puramente tecnolgicas, muitos invasores procuram se aproximar das pessoas que te m acesso aquele siste ma ou meio de informao para atravs da persuaso, influncia e manipulao conseguir os dados almejados. Portanto ao final deste captulo espero que o leitor compreenda um pouco mais sobre Segurana da Informao e suas vulnerabilidades. 3.13.1 Tipos De Ataque Ataque Direto Caracterizados pelo contato pessoal. So geralmente feitos por Segurana da Informao 37 fax ou telefone e exigem planejamento antecipado e detalhado.(Della Valle-Ulbrich, 2003) Ataque Indireto Consiste na utilizao de ferramentas de invaso (cavalos de tria, falsos e-mails, sites falsos com aparncia de verdadeiros, etc). Os usurios individuais de quem o hacker extrai os dados so apenas vetores para a coleta de Informaes de uma entidade maior empresa,corporao ou governo. Sua inteno no atacar cada um desses usurios e sim o organismo maior ao qual eles pertencem. (Della Valle-Ulbrich, 2003) 3.13.2 Ferramentas As principais ferramentas utilizadas pelo praticante da engenharia social so as seguintes: Telefone (se passar por algum que no , seria um dos tpicos ataques de engenharia social, como na personificao help-desk, Suporte Tcnico); Internet (coleta de informaes como, por exemplo, sites que fornecem id e passwords default , sites clonados, etc.); E-mail (Fakemail, e-mails falsos); Pessoalmente In Person Social Engineering (poder de persuaso, habilidade em saber conversar, tipo de ataque mais raro); Chats (bate papo) Assim como no telefone, fazer-se passar por algum que na verdade no , fica muito mais fcil pelos canais de bate-papo. Pois alm de tudo, mandar fotos fica bem mais atrativo e seduz mais facilmente a conseguir informaes que deseja; Cartas/correspondncia No o meio mais moderno sem dvida, mas acredite um recurso poderoso que faz como uma das maiores vtimas, pessoas mais velhas. No somente idosos , mas principalmente aquelas que tem uma certa resistncia tecnologia. muito fcil hoje elaborar cartas documentos com logomarcas e tudo mais, dando-se a impresso de que se trata realmente daquela origem; Spyware Software especializado usado para monitorar de modo oculto as atividades do computador de um alvo. Mergulho no lixo Dumpster diving (Vrias coisas que so descartadas para o lixo, muita das vezes contem informaes essenciais ao suposto Segurana da Informao 38 engenheiro social); Surfar sobre os ombros - o ato de observar uma pessoa digitando no teclado do computador para descobrir e roubar sua senha ou outras informaes de usurio (PEIXOTO, 2002). 3.14 O que scam O scam (ou golpe) qualquer esquema ou ao enganosa e/ou fraudulenta que, normalmente, tem como finalidade obter vantagens financeiras. 3.15 O que phishing Phishing, tambm conhecido como phishing scam ou phishing/scam, foi um termo originalmente criado para descrever o tipo de fraude que se d atravs do envio de mensagem no solicitada, que se passa por comunicao de uma instituio conhecida, como um banco, empresa ou site popular, e que procura induzir o acesso a pginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usurios. A palavra phishing (de fishing) vem de uma analogia criada pelos fraudadores, onde iscas (e-mails) so usadas para pescar senhas e dados financeiros de usurios da Internet. Atualmente, este termo vem sendo utilizado tambm para se referir aos seguintes casos: mensagem que procura induzir o usurio a instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros; mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros de usurios. 3.16 Boatos Boatos (hoaxes) so e-mails que possuem contedos alarmantes ou falsos e que, geralmente, tem como remetente ou apontam como autora da mensagem alguma instituio, empresa importante ou rgo governamental. Atravs de uma leitura minuciosa deste tipo de e-mail, normalmente, possvel identificar em seu contedo mensagens absurdas e muitas vezes sem sentido. Dentre os diversos boatos tpicos, que chegam as caixas postais de usurios conectados a Internet, podem-se citar as correntes, pirmides, mensagens sobre pessoas que esto prestes a morrer de cncer, entre outras. Histrias deste tipo so criadas no s para espalhar desinformao pela Internet, mas tambm para outros fins maliciosos. _________________________ Disponvel em: <http://www.cert.br> Acessado em: 10 Jan 2006 Segurana da Informao 39 Captulo 4 Segurana da Informao e Vulnerabilidades Risco a incerteza inerente a um conjunto de possveis conseqncias (ganhos e perdas), as quais ocorrem como resultado de escolhas e decises exigidas por toda corporao. Risco est relacionado escolha, no ao acaso. Ives P. Mulle. A ISO17799, considerada como referncia para prticas em gesto de SI, pouco fala sobre o processo de conscientizao de usurios. A necessidade est descrita, mas falta detalhamento e direcionamento sobre como isso deve ser feito (RAMOS, 2004). Essa questo no chega a ser um problema, sendo at considerado por muitos como uma caracterstica, no especificar detalhes sobre como as aes devem ser tomadas, permite aos gestores criar e adaptar estratgias da forma que melhor se adaptem a sua corporao. Na maioria das corporaes, a unidade responsvel pela Segurana da Informao apresenta uma postura reativa, em que as conseqncias das decises a respeito de mudanas no ambiente de SI/TI (sistemas de informao e tecnologia da informao) so analisadas a posteriori, e muitas vezes ignoradas at que algum impacto negativo causado por essas alteraes passe a exigir uma interveno no sentido de minimizar os riscos de novos incidentes (BEAL, 2004). Em qualquer tipo de corporao, o ambiente de SI/TI est em constante mutao, o que significa que as ameaas e vulnerabilidades a que se sujeita tambm se modificam o tempo todo. Qualquer alterao na estrutura organizacional, nos processos de trabalho ou nas solues tecnolgicas adotadas, por mais irrelevante que possa parecer para o processo de gesto da Segurana da Informao, pode vir a causar uma alterao importante nas ameaas e vulnerabilidades a que esto expostos os ativos informacionais. A tarefa de gerir a Segurana da Informao dentro de uma corporao complexa e abrangente. O assunto, at pouco tempo desconhecido fora das grandes empresas e do crculo de profissionais especializados, tem vindo a tona com maior freqncia, provavelmente impulsionado por uma mudana gradual e constante pela qual vem passando o universo da Segurana da Informao como um todo. O clima de guerra e os mais observadores percebero, inclusive, que a ttica de guerrilha: em vez de se expor atacando diretamente as redes das corporaes, Segurana da Informao 40 queimando cartucho onde os crackers sabem que muitos mecanismos de proteo e deteco esto implementados, a estratgia atacar o famoso elo fraco da segurana, conhecido pelo nome genrico de Usurio (RAMOS, 2004). No mundo atual, a informao uma das mais valiosas ferramentas que uma corporao pode possuir. Logo, se no houver uma proteo para estas informaes em sua Corporao, cedo ou tarde, haver um prejuzo, seja ele moral ou material. Recente pesquisa da Mdulo Security Solutions com 682 profissionais ligados as reas de Tecnologia e Segurana da Informao de diferentes ramos de empresas, revelou que 77% das empresas j sofreu invaso em seus sistemas, enquanto 16% no souberam dizer se foram alvo de ataque aos seus dados e 7% negaram qualquer tipo de ocorrncia. Estes nmeros, embora assustadores, podem ser ainda maiores, uma vez que as empresas no tm interesse em assumir este tipo de violao aos seus dados. Cerca de 8% das companhias pesquisadas calcularam seus prejuzos entre cinquenta mil e quinhentos mil reais. Uma anlise nos dados divulgados revela um quadro que, embora bastante conhecido, continua a ser desconsiderado pela grande maioria dos empresrios: mais da metade dos ataques aos sistemas ocorrem dentro das prprias empresas e so praticados por empregados insatisfeitos ou simplesmente infiis. Os to temidos "hackers" so responsveis por 32% das ocorrncias, se coibir a ao dos "hackers" parece um trabalho rduo e muito longo, a criao de polticas de segurana de dados pode eliminar mais da metade das ameaas, pois mesmo os hackers se utilizam, em geral, de uma falha interna das empresas para agir 4.1 Ambientes Corporativos Com a disseminao da utilizao dos computadores pessoais e do surgimento da Internet, o mundo dos negcios passou a convergir para um modelo diferente do convencional, onde cada vez mais a computao torna-se pea fundamental. O mundo moderno e globalizado passou a impor s empresas um alto grau de competitividade fazendo com que as mesmas buscassem modelos de negcios com maior rapidez, eficincia e qualidade nos servios prestados e nos produtos, melhorando o relacionamento com clientes e fornecedores. A infra-estrutura das organizaes passou a ser um diferencial entre as concorrentes, mostrando aos clientes a preocupao com seus produtos. Segurana da Informao 41 O alto ndice de fuses de empresas de grande porte e o rpido avano tecnolgico implicou no aumento de investimentos em infra-estrutura computacional demonstrando ao mercado a sua preocupao com a segurana dos negcios. A rede de computadores com o propsito de trocar informaes e economizar recursos d lugar a um novo ambiente muito mais complexo. A importncia da Internet nos negcios e a globalizao resultam em trocas de informaes tcnicas, comerciais e financeiras por meio de redes integradas entre empresas matrizes, filiais, fornecedores e parceiros comerciais (NAKAMURA, 2002). As informaes agora so primordiais para o sucesso das negociaes. Com isso o grau de proteo e preocupao com estas informaes cresceu consideravelmente dentro deste ambiente integrado. Medidas e cuidados de segurana devem ser tomados e sempre verificados. A informtica deixa de ser uma ferramenta para se tornar um dos elementos principais na organizao e metodologia dos negcios, definindo modelos e caractersticas de organizaes, fluxo e segurana de informaes e tecnologias aplicveis na gesto dos negcios. Como qualquer cidade que comea a crescer e passa a ter problemas com o aumento da violncia, uma rede de computadores tambm sofre com esses inconvenientes. Em ambientes corporativos que tratam de diferentes culturas humanas, tecnolgicas e sociais, a preocupao com a segurana se torna fato primordial para que a organizao tenha uma imagem firme e segura. A segurana da informao em ambientes complexos deve seguir padres pr-estabelecidos, incluindo todos os envolventes no assunto, tanto pessoas como processos. 4.2 Segurana da Informao O compartilhamento de recursos e informaes atravs das redes de computadores no uma tarefa simples. Em uma rede podem existir muitos computadores cada qual com sua funo determinada. As informaes trocadas entre eles nem sempre podem ser vistas e compartilhadas por todos, muitas delas so confidenciais e devem ser compartilhadas por apenas algumas pessoas. Para o controle da rede devem existir funes especficas a cada usurio da rede, definindo quem, onde e o que pode-se acessar, delimitando o espao de cada Segurana da Informao 42 um dentro do sistema inteiro. Como pode ser visto uma rede de computadores no apenas conectar um ou mais computadores para trocar informaes. Estas informaes devem ser gerenciadas com todo o cuidado, se preocupando com os trs principais tpicos de redes: integridade, confidencialidade e disponibilidade. Com o surgimento da Internet novas preocupaes passaram a ocupar os responsveis pela rea. Como a Internet a ligao de muitas redes de computadores, necessita-se existir mecanismos de proteo de redes que demarcam o territrio onde as informaes podem trafegar livremente e com acesso restrito. Porm existem pessoas que utilizam a Internet para descobrir falhas na segurana das redes, roubar e danificar informaes de redes privadas. O responsvel pela segurana de redes deve se preocupar com os acessos, dando direitos e permisses aos usurios conforme a sua necessidade. O alto investimento das empresas de TI, no que se refere segurana, esta relacionado preocupao em se proteger cada vez mais dos ataques por hackers, vrus e worms que surgem. O crescimento da incluso digital facilitou o acesso informao. O reflexo deste novo panorama traduz-se em episdios cada vez mais freqentes de saques eletrnicos indevidos, clonagem de cartes de crdito, acesso a bases de dados confidenciais, phishing scan, dentre inmeras outras ameaas. Se associarmos a Segurana da Informao a uma corrente o elo mais fraco sem dvida o usurio. Portanto a elaborao e implementao de polticas e treinamento em Segurana da Informao se tornam de fundamental importncia (SANTOS, 2004). Promover nas corporaes aes para conscientizar, esclarecer e informar seus colaboradores no que diz respeito aos riscos existentes sobre Segurana da Informao uma questo ainda no completa e solucionada nos ambientes corporativos, as tentativas de fraudes eletrnicas reportadas ao grupo de resposta a incidentes de segurana mantido pelo comit gestor da internet no Brasil (CGIBr) cresceram 74% no ltimo trimestre, reforando o alarme de que os ataques s redes esto se tornando cada vez mais perigosos (Faulhaber, 2004), portanto como garantir que a poltica de Segurana da Informao seja efetiva ? Com a finalidade de tratar essa questo a abordagem do trabalho se faz sob a perspectiva humana das polticas de Segurana da Informao em ambientes corporativos. O captulo 5 apresenta a metodologia adotada para o levantamento de informaes sobre Segurana da Informao em trs corporaes Militares. Segurana da Informao 43 Captulo 5 Metodologia do Estudo de Casos "Esta obra, eu no a ornei nem a enchi de perodos longos ou de palavras empoladas e magnificentes, ou de qualquer outro artifcio de arte ou ornamento extrnseco, com os quais muita gente costuma descrever e ornar as suas coisas; porque no quis que artifcio algum lhe valesse, mas, sim, que apenas a variedade do assunto e a gravidade do tema a tornassem agradvel." Niccol Machiavelli O objetivo do trabalho identificar comportamentos humanos adotados nas organizaes, que possam comprometer a implementao de polticas de Segurana da Informao em ambientes corporativos. A pesquisa envolveu o estudo de trs corporaes Militares respectivamente, pequeno, mdio e grande porte. A escolha de Organizaes Militares do Exrcito deu-se devido ao fato da facilidade maior em pesquisar, uma vez que sou militar, e a vontade de trazer a 9 a . Pesquisa Nacional de Segurana da Informao(Modulo Security, 2003), que foi aplicada em empresas civis, para dentro das OM do Exrcito Brasileiro. A Metodologia adaptada envolveu a anlise de normas e padres para identificao dos requisitos de segurana, elaborao de roteiro de pesquisa, investigao de estudo de caso corporativo, realizao de pesquisa sobre Segurana da Informao em trs Organizaes Militares, anlise comparativa dos dados obtidos e a elaborao de Recomendaes para Polticas de Reduo de Riscos e Vulnerabilidades Humanas nos Ambientes avaliados. 5.1 Instrumentos de Coleta de Dados Um questionrio sobre Segurana da Informao em Ambientes Corporativos foi elaborado a partir do instrumento utilizado na 9 Pesquisa Nacional de Segurana em Tecnologia da informao, (MDULO, 2003). O Instrumento contm vinte e sete questes dis tribudas em trs tpic os , que s o des c ritos a s eguir: Segurana da Informao 44 a)Perfil das organizaes entrevistadas Este tpico tem a finalidade de demonstrar as diferenas em efetivos nas Organizaes Militares(OM) entrevistadas, se a organizao de pequeno, mdio ou grande porte, bem como verificar como as OM tratam seus departamentos de Segurana da Informao no que diz respeito a efetivo e terceirizao. Dados importantes para que se inicie uma poltica de segurana ou se reestruture. Nesta pesquisa as OM so classificadas em pequeno mdio e grande porte quanto ao nmero de militares e/ou funcionrios do seguinte modo: at 499 militares/funcionrio OM de pequeno porte ou Companhia, de 500 a 999 militares/funcionrios OM de mdio porte ou Batalho e acima de 1000 militares/funcionrios OM de grande porte ou Brigada. b)Conscincia dos funcionrios e responsveis pela rea Conscientizao muito importante, saber como a poltica de Segurana da Informao vista pelos funcionrios e responsveis pela rea reflete a verdadeira situao da Segurana da Informao da organizao. Com os objetivos em mente e o apoio garantido, o prximo passo escolher as mdias que sero utilizadas para transportar suas idias e desenvolv-las. Algumas organizaes preferem palestras, outras material impresso. Algumas preferem pirmides nas mesas, outras avisos pendurados no teto. Combinar diversas mdias costuma ser a melhor e mais eficaz idia (RAMOS, 2004). Este tpico trata principalmente sobre o oramento destinado ao setor de segurana nas OM e como acontece a aplicao destes recursos. verificado tambm atravs deste tpico, como a poltica de segurana vem sendo vista pelos funcionrios e quais so os principais itens desta poltica de segurana. c)Falhas e tecnologias de segurana. Este tpico trata principalmente de vulnerabilidades e que tipo de procedimento adotado pelos responsveis nas reas de segurana das OM. Trata tambm do uso corporativo da internet e as solues adotadas para proteo de documentos na internet. Foram feitas questes de mltiplas escolhas a fim de facilitar as respostas e a tabulao das mesmas. O questionrio pode ser visto no Anexo A. Dessa forma Segurana da Informao 45 foi possvel coletar informaes a respeito de vulnerabilidades humanas nas polticas de segurana das trs Organizaes Militares avaliadas. 5.2 Estratgia de Aplicao As trs Organizaes Militares (OM) pesquisadas, podem ser classificadas como de pequeno, mdio e g ra nde porte das seguintes reas de atuao: comunicaes, telemtica e eletrnica, respectivamente. Foi concedida autorizao para a pesquisa, em resposta a solicitao desde que fosse garantido o sigilo da identificao das Organizaes Militares. Os contatos iniciais foram feitos por telefone e e-mail. As entrevistas (levantamento dos dados) foram re a l i z a d a s pessoalmente, junto s O M divulgando o trabalho e objetivando respostas srias e corretas. A pesquisa foi aplicada na forma de entrevistas pessoais com os responsveis pela rea de segurana dos ambientes corporativos. Como questionrio base para a comparao ao estudo de caso foi escolhido a 9 Pesquisa Nacional de Segurana em Tecnologia da Informao (Mdulo Security, 2003). Atravs das informaes colhidas, foi possvel estudar o perfil das diferentes OM, o grau de conscincia e responsabilidade dos envolvidos e a segurana propriamente dita, falhas, tecnologias e ameaas. 5.3 Desafios Inerentes ao planejamento do estudo Durante o planejamento as maiores dificuldades foram encontradas na escolha de quais Organizaes Militares iriam compor o estudo, quais dessas representariam melhor a corporao. Outra dificuldade encontrada foi na elaborao do questionrio, pois a 9 Pesquisa Nacional de Segurana da Informao (Modulo Security,2003) trata de corporaes civis e no Militares. O interesse no tema justificava a anlise do problema numa grande corporao: o Exrcito Brasileiro. 5.4 Desafios inerentes a operacionalizao do estudo O desafio deste estudo depende de mudanas comportamentais e de cultura dos usurios bem como na maneira de abordar a poltica de segurana da OM. Inclui mudanas por parte dos responsveis e gestores da rea de segurana nas OM, bem como os usurios. Certamente um objetivo para ser alcanado a longo prazo. Segurana da Informao 46 Captulo 6 Dos Dados Coletados So as prticas, os procedimentos e os mecanismos usados para a proteo da informao e seus ativos, que podem impedir que ameaas explorem vulnerabilidades... Marcos Smola O objetivo da anlise dos dados coletados tem como alvo verificar as diferenas entre as polticas de segurana das Organizaes Militares pesquisadas, no que diz respeito ao porte, bem como verificar as diferenas existentes entre as corporaes avaliadas na pesquisa da Modulo Security e as Organizaes Militares pesquisadas. Os dados coletados nas pesquisas sero vistos em quadros comparativos, apresentados nas pginas seguintes. Os dados coletados, so questes retiradas do questionrio que foi aplicado s Organizaes Militares, este questionrio pode ser visto na ntegra no Anexo A 6.1 Perfil das Organizaes Militares Pesquisadas Notou-se que nas trs Organizaes Militares pes quis adas o setor de segurana est integrado ao setor da informtica em geral, s vezes sendo at imperceptvel. Apenas uma pessoa responsvel pela Segurana da Informao e administrao da rede. Percebeu-se ainda que as OM preferem ter o seu prprio funcionrio responsvel pela segurana recebendo suporte de empresas especializadas. 6.2 Conscincia sobre Segurana O oramento destinado ao setor de segurana foi uma das respostas mais difceis de serem respondidas pelos responsveis pelas reas de segurana das OM pesquisadas, por se tratar de revelar valores. Percebeu-se que as OM no tm verbas especficas para segurana. As verbas de segurana esto juntamente com as verbas de informtica em geral. Segundo a 9 Pesquisa Nacional de Segurana da Informao (Mdulo Security,. 2003), 73 % das corporaes avaliadas nesta pesquisa possuem Segurana da Informao 47 oramento especfico para a rea de Tecnologia da Informao, deste total 24,5% alocam menos de 1% em recursos de segurana. 6.3 Anlise dos dados obtidos nas pesquisas aplicadas nas OM Parte da verba de Informtica que foi aplicada em segurana ocorreu como pode ser visto no Quadro 5.1. A implementao de firewall, segurana e m ac e s s o re moto, s e g uran a na Internet, poltica de segurana e c ri ptog raf i a f oram as mai s apli c a das , de mons tra ndo uma g rande pre oc upa o c om os me i os de hardware e s of tware na prote o dos dados da re de , mas o te m c a pac i ta o da e qui pe tc ni c a n o f oi apontado por ne nhuma OM, o que de mons tra uma pre oc upa o mui to g rande c om o as pe c to te c nolg i c o e um e s que c i me nto do f ator humano. Quadro 6.1: Investimentos em segurana ano 2006. Porte OM Item Pesquisado Pequeno Mdio Grande a) Criptografia b) Implementao de Firewall c) Poltica de Segurana d) Segurana em Acesso Remoto e) Segurana em Internet f) Anlise de Riscos g) Autoridade Certificadora h) Certificado Digital i) Contratao de Empresas Especializadas j) Sistemas de Deteco de Intrusos Legenda: OM respondeu sim ao tem pesquisado OM respondeu no ao tem pesquisado A segurana, como a maioria das verbas de informtica, ainda tem sido barrada por diversos motivos, sendo os principais o oramento e conscincia dos funcionrios (Ver Quadro 5.2). Quadro 6.2: Principais obstculos para implementao de segurana. Porte OM tem Pesquisado Pequeno Mdio Grande a) Conscincia dos Funcionrios b) Falta de Apoio Especializado c) Oramento d) Recursos Humanos Legenda: OM respondeu sim ao tem pesquisado OM respondeu no ao tem pesquisado Segurana da Informao 48 O responsvel da rea de re de s e segurana de cada OM relatou estar preocupado com o nvel de ameaas e vulnerabilidades existentes, e que, com isso os problemas de segurana iro aumentar nos prximos anos. A poltica de segurana est sendo bem vista, considerada um dos principais fatores do combate aos inimigos da OM. Os tpicos abordados na poltica de segurana esto sendo devidamente analisados, para que as melhores formas de combate sejam encontradas e aplicadas. A grande difuso da Internet trouxe os seus pontos positivos e negativos tona. Como principais preocupaes da poltica de segurana das empresas esto os tpicos que tem a Internet como forma de acesso, vrus, o uso em geral da Internet e senhas, apesar de outros itens tambm terem sido mencionados como Segurana Fsica e classificao de informaes. (Ver Quadro 5.3). Quadro 6.3: Principais tpicos abordados na poltica de segurana. Porte OM Item Pesquisado Pequeno Mdio Grande a) Classificao de Informaes b) Acesso Remoto c) Cadastro de Usurios d) Segurana Fsica e) Uso da Internet f) Uso da Intranet g) Uso de Senhas h) Vrus i) Uso de Notebooks j) Uso de Software Legenda: OM respondeu sim ao tem pesquisado OM respondeu no ao tem pesquisado 6.4 Tecnologias e Falhas de Segurana As principais ameaas relatadas pelas OM so os acessos de fora para dentro como, os vrus e o vazamento de informaes. Porm a divulgao de senhas, acessos indevidos e acessos remotos indevidos seguem com ndices ainda elevados, como pode ser visto no Quadro 5.4. Atravs desta anlise vemos que apesar de toda a preocupao com os aspectos tecnolgicos as principais ameaas esto relacionadas ao comportamento do usurio no que diz respeito a vrus e vazamento de informaes. Segurana da Informao 49 Quadro 6.4: Principais Ameaas. Porte OM Item pesquisado Pequeno Mdio Grande a) Vrus b) Vazamento de Informaes c) Divulgao de Senhas d) Acessos Indevidos e) Acessos Remotos Indevidos f) Alterao Indevida g) Falhas na Segurana Fsica h) Funcionrios Insatisfeitos i) Incndio/Desastre j) Lixo Informtico k) Uso de Notebooks Legenda: OM respondeu sim ao tem pesquisado OM respondeu no ao tem pesquisado Como j dito anteriormente, a Internet a maior preocupao como ponto de invaso. (Ver Quadro 5.5). Quadro 6.5 Principais pontos de invaso. Porte OM tem Pesquisado Pequeno Mdio Grande a) Internet b) Acesso Remoto c) Invaso Fsica d) Engenharia Social Legenda: OM respondeu sim ao tem pesquisado OM respondeu no ao tem pesquisado Outra questo que foi muito discutida se refere aos ataques sofridos pelas OM, duas das trs OM pesquisadas j sofreu algum tipo de ataque e os ataques sofridos pelas OM so bastante recentes, na faixa de 1 a 2 anos. Os resultados das duas prximas questes (Quadros 5.6 e 5.7) so bastante interessantes. Nota-se que a maioria dos ataques registrados foram externos, nota-se tambm que e ntre os principais responsveis apare c e o ataque por v rus e c avalo de tri a. Segurana da Informao 50 Quadro 6.6: Responsveis por problemas de segurana registrados. Porte OM tem Pesquisado Pequeno Mdio Grande a) Vrus b) Cavalo de tria Legenda: OM respondeu sim ao tem pesquisado OM respondeu no ao tem pesquisado Apesar das OM estarem preocupadas com a segurana, elas esto receosas em divulgar as informaes, como pode ser visto no tpico 19 do que s ti onri o di s tri bu do as OM ( Ane xo A), no te m providncias internas. As empresas que examinam a fundo os ataques, descobrindo os culpados e lutando por indenizaes de perdas e danos, so ainda a minoria, alm de muitas apenas corrigirem e atualizarem seus sistemas quanto s falhas encontradas . Quadro 6.7: Providncias adotadas no caso de alguma falha de segurana. Porte OM tem Pesquisado Pequeno Mdio Grande a) Providncias Internas b) Apenas a Correo dos Problemas c) Providncias Legais Legenda: OM respondeu sim ao tem pesquisado OM respondeu no ao tem pesquisado Como a poltica de segurana, o tpico Plano de continuidade um dos itens que est em bastante evidncia, sendo que as OM esto comeando a desenvolv-lo. As medidas de segurana j implementadas pelas OM so as mais comuns na rea de Segurana da Informao, preveno contra vrus, segurana em Internet e sistemas de backup, medidas de aspectos apenas tecnologicos. Ape na s o de s ta que pa ra c las s i f i c a o das i nf orma e s (Ver Quadro 5.8). Segurana da Informao 51 Quadro 6.8: Medidas de segurana j implementadas. Porte OM Item Pesquisado Pequeno Mdio Grande a) Classificao das Informaes b) Preveno contra Vrus c) Sistemas de Backup d) Certificao Digital e) Firewall f) Poltica de Segurana g) Proxy Server h) Segurana em Acesso Remoto i) Assinatura Digital j) Autoridade Certificadora k) Capacitao e Treinamento l) Controle de Contedo m) Criptografia n) Monitorao de Log o) Palestras para Usurios p) Segurana em Internet q) Segurana na Sala dos Servidores r) Sistemas de Deteco de Intrusos s) Software de Controle de Acesso t) Termo de Responsabilidade Legenda: OM respondeu sim ao item pesquisado OM respondeu no ao tem pesquisado O uso das aplicaes computacionais est cada vez mais tomando conta dos ambientes corporativos. As intranets das OM esto servindo de verdadeiros depsitos de informaes. O uso da Internet ainda causa desconfortos aos responsveis pela segurana devido aos muitos problemas que ela traz conjuntamente aos benefcios. Porm o acesso est aumentando muito dentro das OM. Este tpico ainda nos mostra que as OM esto mantendo suas informaes atualizadas nos sites e que o Internet Banking muito utilizado. (Ver Quadro 5.9) Quadro 6.9: Uso corporativo da Internet. Porte OM Item da Pesquisa Pequeno Mdio Grande a) Acesso atravs da rede da empresa b) permitido comprar via internet c) Utiliza internet Banking d) A empresa possui pgina na Web Legenda: OM respondeu sim ao tem pesquisado OM respondeu no ao tem pesquisado Segurana da Informao 52 Atravs do tpico a seguir fica bem claro que as OM esto migrando suas aplicaes para Internet fazendo muito bem o uso das tecnologias. Dentre as aplicaes mais efetuadas na intranet est a consulta banco de dados e documentos como mostra o Quadro 5.10. A documentao de procedimentos e relatrios est sendo, aos poucos, informatizada, percebeu-se na maioria dos casos a utilizao de protoc olo eletrnico de doc umentos, eliminando des sa forma o us o de papis (paperless). Quadro 6.10: Principais aplicaes efetuadas na Intranet. Porte OM Item Pesquisado Pequeno Mdio Grande a) Consultas a Cadastro/Banco de Dados b) Certificao Digital c) Corporativos com Manuais e Procedimentos d) Divulgao de Documentos e Informativos e) Funes Administrativas f) RH g) Diagnstico Remoto h) Sistema de Gesto Empresarial Legenda: OM respondeu sim ao item pesquisado OM respondeu no ao tem pesquisado A Internet est se disseminando rapidamente devida a sua facilidade de aprendizado e a facilidade em obter informaes. Com isso a maioria das OM disponibilizam o acesso a ela sem restries aos cargos. Dentre as tecnologias mais utilizadas para a segurana das informaes de documentos na Internet esto a criptografia, a SSL e a VPN. Segurana da Informao 53 Captulo 7 Recomendaes "No mundo de hoje a informtica cada vez mais importante para assegurar a manuteno e a competitividade dos nossos negcios, por consequncia a nossa sobrevivncia a longo prazo." Luis Kauffmann, Diretor Presidente da Aracruz Celulose. 7.1 Recomendaes para gestores Partindo do pressuposto que Segurana da Informao requer investimentos, deve ser estimado o valor da informao a ser protegida, de forma que seja maximizado o retorno dos investimentos. um jogo que no pra, a cada novo investimento as corporaes devem tornar os resultados palpveis, expressando-os em nmeros. preciso conhecimento do negcio para definir o modelo que melhor se adapte a cada situao, este o ponto chave de qualquer Gerenciamento de Riscos. Estamos trabalhando com hipteses: a probabilidade de ocorrncia de uma situao e o grau do dano (severidade) decorrente de sua concretizao. Mas vamos questes mais prticas: uma vez quantificado o valor de uma informao, devem ser levantados os meios em que esta se encontra, tanto armazenada quanto em trnsito, e delimitado o escopo de atuao. Escopos infinitos caracterizam um dos erros mais comuns cometidos durante um Gerenciamento de Riscos. Cabe aqui a ressalva de que nosso objetivo proteger a informao, no o ativo que a contm. De que adianta investir na proteo de um servidor de rede, por exemplo, que no armazena nenhuma informao crtica ao negcio? Os esforos devem ser concentrados no que realmente significativo para a corporao. Agora sim, chegamos sistemtica de Gerenciamento de Riscos. No pretendo definir uma metodologia ideal, mas apresentar uma seqncia de etapas que possam ser seguidas para que este processo seja bem sucedido. Inicialmente, faz-se necessrio a definio do Gerenciamento de Riscos no contexto corporativo, este um processo que objetiva identificar os riscos do negcio na corporao e os critrios de priorizao, que possam apoiar as decises e aes tomadas e que minimizem seus efeitos. caracterizado, sobretudo, por ter uma abordagem estruturada e Segurana da Informao 54 metodolgica que pode ser dividida em em 4 (quatro) etapas bsicas: Identificao dos riscos, quantificao dos riscos, tratamento dos riscos e monitorao dos riscos. a. Identificao dos Riscos: Como o prprio nome j diz, nessa etapa so identificados os riscos a que o ambiente est sujeito. O primeiro passo a realizao de uma Anlise de Riscos, que pode ser tanto quantitativa baseada em estatsticas, numa anlise histrica dos registros de incidentes de segurana, quanto qualitativa baseada em know-how, geralmente realizada por especialistas, que tm profundos conhecimentos sobre o assunto. De acordo com a 9 Pesquisa Nacional de Segurana da Informao,2003, devido a sua agilidade, geralmente as corporaes tendem a adotar o modelo qualitativo, que no requer clculos complexos. Independentemente do mtodo adotado, uma Anlise de Riscos deve contemplar algumas atividades, como o levantamento de ativos a serem analisados, definio de uma lista de ameaas e identificao de vulnerabilidades nos ativos. b. Quantificao dos Riscos: Nessa etapa mensurado o impacto que um determinado risco pode causar ao negcio. Como praticamente impossvel oferecer proteo total contra todas as ameaas existentes, preciso identificar os ativos e as vulnerabilidades mais crticas, possibilitando a priorizao dos esforos e os gastos com segurana. Voc capaz de responder qual prejuzo sua corporao teria caso um sistema estivesse indisponvel durante 2 horas? c. Tratamento dos Riscos: Uma vez que os riscos foram identificados e a corporao definiu quais sero tratados, as medidas de segurana devem ser de fato implementadas. d. Monitorao dos Riscos O Gerenciamento de Riscos um processo contnuo, que no termina com a implementao de uma medida de segurana. Atravs de uma monitorao constante, possvel identificar quais reas foram bem sucedidas e quais precisam de revises e ajustes. Mas como realizar uma monitorao de segurana? O ideal que este trabalho seja norteado por um modelo de Gesto de Segurana, que defina atribuies, responsabilidades e fluxos de comunicao interdepartamentais. S que a realidade costuma ser bem diferente, Conforme pode ser visto no resultado dos questionrios aplicados s Organizaes Militares, no so todas as corporaes que possuem uma estrutura prpria para tratar a segurana de suas informaes. Ento a monitorao de riscos pode ocorrer numa forma mais light, digamos. No Segurana da Informao 55 necessrio todo o formalismo de uma estrutura especfica, mas devem ser realizadas algumas atividades importantes, tais como: - Elaborao de uma poltica de segurana, composta por diretrizes, normas, procedimentos e instrues, indicando como deve ser realizado o trabalho; - Auditoria de segurana, a fim de assegurar o cumprimento dos padres definidos e, consequentemente, medir a eficcia da estratgia de segurana adotada (PRADO, Larissa 2002). Definio dos riscos Alguns riscos podem ser eliminados, outros reduzidos ou at mesmo aceitos pela OM, tendo sempre a situao escolhida documentada. S no permitido ignor-los. Nessa etapa ainda podem ser definidas medidas adicionais de segurana, como os Planos de Continuidade que visam manter em funcionamento os servios de misso-crtica, essenciais para a corporao, em situaes emergenciais e Response Teams que possibilitam a deteco e avaliao dos riscos em tempo real, permitindo que as providncias cabveis sejam tomadas rapidamente (PRADO, Larissa 2002). 7.2 Recomendaes para o usurio final Acesso a sites de comrcio eletrnico ou Internet Banking Conforme a cartilha de Segurana para a Internet do Cert.br ( Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil) existem diversos cuidados que um usurio deve ter ao acessar sites de comrcio eletrnico ou Internet Banking. Dentre eles, podem-se citar: a) realizar transaes somente em sites de instituies que voc considere confiveis; b) procurar sempre digitar em seu browser o endereo desejado. c) No utilize links em pginas de terceiros ou recebidos por e-mail; d) certificar-se de que o endereo apresentado em seu browser corresponde ao site que voc realmente quer acessar, antes de realizar qualquer ao; e) certificar-se que o site faz uso de conexo segura (ou seja, que os dados transmitidos entre seu browser e o site sero criptografados) e utiliza um tamanho de chave considerado seguro; Segurana da Informao 56 f) no acessar sites de comrcio eletrnico ou Internet Banking atravs de computadores de terceiros; g) desligar sua Webcam (caso voc possua alguma), ao acessar um site de comrcio eletrnico ou Internet Banking. h) manter o seu browser sempre atualizado e com todas as correes (patches) aplicadas; i) alterar a configurao do seu browser para restringir a execuo de JavaScript e de programas Java ou ActiveX, exceto para casos especficos; j) configurar seu browser para bloquear pop-up windows e permiti-las apenas para sites conhecidos e confiveis, onde forem realmente necessrias; k) configurar seu programa leitor de e-mails para no abrir arquivos ou executar programas automaticamente; no executar programas obtidos pela Internet, ou recebidos por e-mail. Com estes cuidados pode-se evitar que o browser contenha alguma vulnerabilidade, e que programas maliciosos (como os cavalos de tria e outros tipos de malware) sejam instalados no computador para, dentre outras finalidades, furtar dados sensveis e fraudar acessos a sites de comrcio eletrnico ou Internet Banking. Como diminuir a ao do Engenheiro Social. Em casos de engenharia social o bom senso essencial. Fique atento para qualquer abordagem, seja via telefone, seja atravs de um e-mail, onde uma pessoa (em muitos casos falando em nome de uma instituio) solicita informaes (principalmente confidenciais) a seu respeito. Procure no fornecer muita informao e no fornea, sob hiptese alguma, informaes sensveis, como senhas ou nmeros de cartes de crdito. Nestes casos e nos casos em que receber mensagens, procurando lhe induzir a executar programas ou clicar em um link contido em um e- mail ou pgina Web, extremamente importante que voc, antes de realizar qualquer ao, procure identificar e entrar em contato com a instituio envolvida, para certificar-se sobre o caso. Com base na Cartilha de Segurana para Internet v.3 set. 2005, (CERT.BR, 2005) foi formulada a seguinte tabela de recomendaes para usurios (Quadro 7.1): Segurana da Informao 57 Quadro 7.1: Recomendaes para o usurio final. Elaborar sempre uma senha que contenha pelo menos oito caracteres, compostos de letras, numeros e smbolos Jamais utilizar como senha seu nome, sobrenomes, numeros de documentos, placas de carros, numeros de telefones, datas que possam ser relacionadas com voce ou palavras que facam parte de dicionarios Utilizar uma senha diferente para cada servico Alterar a senha com frequencia Criar tantos usuarios com privilegios normais, quantas forem as pessoas que utilizam seu computador Contas e Senhas Utilizar o usuario Administrator (ou root) somente quando for estritamente necessario Instalar e manter atualizado um bom programa antivrus Atualizar as assinaturas do antiv rus, de preferencia diariamente Configurar o antiv rus para verificar os arquivos obtidos pela Internet, discos r gidos (HDs), flexveis (disquetes) e unidades removveis, como CDs, DVDs e pen drives Desabilitar no seu programa leitor de e-mails a auto-execucao de arquivos anexados `as mensagens No executar ou abrir arquivos recebidos por e-mail ou por outras fontes, mesmo que venham de pessoas conhecidas. Caso seja necessario abrir o arquivo, certifique-se que ele foi verificado pelo programa antiv rus Utilizar na elaborac ao de documentos formatos menos suscetvei s `a propagac ao de vrus, tais como RTF, PDF ou PostScript Vrus No utilizar, no caso de arquivos comprimidos, o formato executavel. Utilize o prprio formato compactado, como por exemplo Zip ou Gzip Seguir todas as recomendac oes para prevenc ao contra v rus Manter o sistema operacional e demais softwares sempre atualizados Aplicar todas as correc oes de seguranca (patches) disponibilizadas pelos fabricantes, para corrigir eventuais vulnerabilidades existentes nos softwares utilizados Worms, bots e botnets Instalar um firewall pessoal, que em alguns casos pode evitar que uma vulnerabilidade existente seja explorada ou que um worm ou bot se propague Segurana da Informao 58 Continuao quadro 7.1 Seguir todas as recomendac oes para prevenc ao contra v rus, worms e bots Instalar um firewall pessoal, que em alguns casos pode evitar o acesso a um backdoor ja instalado em seu computador, bloquear o recebimento de umcavalo de tria, etc Cavalos de tria, backdoors, keyloggers e spywares Utilizar pelo menos uma ferramenta anti-spyware e mante-la sempre atualizada Manter seu programa leitor de e-mails sempre atualizado No clicar em links no conteudo do e-mail. Se voce realmente quiser acessar a pagina do link, digite o endereco diretamente no seu browser Desligar as opcoes que permtem abrir ou executar automaticamente arquivos ou programas anexados `as mensagens No abrir arquivos ou executar programas anexados aos e-mails, sem antes verifica-los com umantivrus Desconfiar sempre dos arquivos anexados `a mensagem, mesmo que tenham sido enviados por pessoas ou instituicoes conhecidas. O endereco do remetente pode ter sido forjado e o arquivo anexo pode ser, por exemplo, um v rus ou umcavalo de tria Fazer o download de programas diretamente do site do fabricante Programas leitores de e-mails Evitar utilizar o seu programa leitor de e-mails como um browser, desligando as opc oes de execuc ao de JavaScript, Java e o modo de visualizac ao de e-mails no formato HTML Manter o seu browser sempre atualizado Desativar a execucao de programas Java na configuracao de se u browser, a menos que seja estritamente necessario Desativar a execuao de JavaScripts antes de entrar em uma pagina desconhecida e, entao, ativa-la ao sair Permitir que programas ActiveX sejam executados em seu computador apenas quando vieremde sites conhecidos e confiaveis Manter maior controle sobre o uso de cookies, caso voce queira ter maiorprivacidade ao navegar na Internet Bloquear pop-up windows e permit-las apenas para sites conhecidos e confiaveis, onde foremrealmente nec essarias Certificar-se da procedencia do site e da utilizacao de coneoes seguras ao realizar transacoes via Web Browsers Somente acessar sites de instituicoes financeiras e de comercio eletrnico digitando o endereco diretamente no seu browser, nunca clicando em um link existente em uma pagina ou em ume- mail Segurana da Informao 59 Continuao quadro 7.1 Manter seu programa de troca de mensagens sempre atualizado; No aceitar arquivos de pessoas desconhecidas, principalmente programas de computadores; Utilizar um bom antivrus, sempre atualizado, para verificar todo e qualquer arquivo ou software obtido, mesmo que venha de pessoas conhecidas Evitar fornecer muita informao, principalmente a pessoas que voc acabou de conhecer No fornecer, em hiptese alguma, informaes sensveis, tais como senhas ou nmeros de cartes de crdito Programas de troca de mensagens Configurar o programa para ocultar o seu endereo IP Manter seu programa de distribuicao de arquivos sempre atualizado e bem configurado Ter um bom antivrus instalado em seu computador, mante-lo atualizado e utiliza-lo para verificar qualquer arquivo obtido, pois eles podem conter v rus, cavalos de tria, entre outros tipos de malware Programas de distribuio de arquivos Certificar-se que os arquivos obtidos ou distribudos sao livres, ou seja, nao violam as leis de direitos autorais Ter um bom antiv rus instalado em seu computador, mante-lo atualizado e utiliza-lo para verificar qualquer arquivo ou programa compartilhado, pois eles podem conter v rus, cavalos de tria, entre outros tipos de malware Compartilhamento de recursos Estabelecer senhas para os compartilhamentos, caso seja estritamente nec essario compartilhar recursos do seu computador Fazer cpias dos dados do computador regularmente Criptografar dados sens veis Armazenar as cpias em local acondicionado, de acesso restrito e com seguranca fsica Cpias de Segurana Considerar a necessidade de armazenar as c pi as em um local diferente daquele onde est o computador No fornecer dados pessoais, numeros de cartoes e senhas atraves de contato telef onico Ficar atento a e-mails ou telefonemas solicitando informacoes pessoais No acessar sites ou seguir links recebidos por e-mail ou presentes em paginas sobre as quais nao se saiba a procedencia Engenharia Social Sempre que houver d uvida sobre a real identidade do autor de uma mensagem ou ligac ao telef onica, entrar em contato com a instituicao, provedor ou empresa para verificar a veracidade dos fatos Segurana da Informao 60 Continuao quadro 7.1 Estar atento e prevenir-se dos ataques de engenharia social Procurar sempre digitar em seu browser o endereco desejado. ao utilize links em paginas de terceiros ou recebidos por e-mail Realizar transacoes somente em sites de instituic oes que voce considere confiaveis Certificar-se de que o endereco apresentado em seu browser corresponde ao site que voce realmente quer acessar, antes de realizar qualquer acao Certificar-se que o site faz uso de coneao segura (ou seja, que os dados transmitidos entre seu browser e o site serao criptografados) e utiliza umtamanho de chave considerado seguro Antes de aceitar um novo certificado, verificar junto `a instituic ao que mantem o site sobre sua emissao e quais sao os dados nele contidos. Entao, verificar o certificado do site antes de iniciar qualquer transacao, para assegurar-se que ele foi emitido para a instituicao que se deseja acessar e esta dentro do prazo de validade No acessar sites de comercio eletronico ou Internet Banking atrav es de computadores de terceiros Cuidados ao realizar transaes bancrias ou comerciais Desligar sua Webcam (caso voce possua alguma), ao acessar um site de comrcio eletrnico ou Internet banking Utilizar criptografia sempre que precisar enviar um e-mail com informac oes sensveis e-mails Certificar-se que seu programa leitor de e-mails grava as mensagens criptografadas, para garantir a seguranca das mensagens armazenadas no disco Desabilitar cookies, exceto para sites confiaveis e onde sejam realmente nec essarios Cookies Considerar o uso de softwares que permtem controlar o envio e recebimento de informacoes entre o browser e o site visitado Evitar disponibilizar seus dados pessoais ou de familiares e amigos (e-mail, telefone, endereco, data de aniversario, etc) Evitar disponibilizar dados sobre o seu computador ou sobre os softwares que utiliza Evitar fornecer informacoes sobre o seu cotidiano (como, por exemplo, hora que saiu e voltou para casa, data de uma viagem programada, horario que foi ao caixa eletronico, etc) Cuidados com dados pessoais em p aginas Web, blogs e sites de redes de relacionamentos Nunca fornecer informacoes sensveis (como senhas e numeros de cartao de credito), a menos que esteja sendo realizada uma transacao (comercial ou financeira) e se tenha certeza da idoneidade da instituic ao que mantm o site Quadro 7.1: Recomendaes para o usurio final Segurana da Informao 61 7.3 Conscientizao Com o objetivo em mente, no possvel iniciar uma campanha de conscientizao sem algumas tarefas preliminares bsicas como, por exemplo, o desenvolvimento de uma Poltica de Segurana da Informao, nem que ela seja pequena e superficial. A corporao tem que ter bem claro quais os pontos a serem abordados, quais os mais importantes e mais urgentes. Convm que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao da Segurana da Informao dentro da corporao. Fruns apropriados de gerenciamento com liderana da direo deve m ser estabelecidos para aprovar a poltica de Segurana da Informao, atribuir funes de segurana e coordenar a implementao da segurana atravs da corporao. Se necessrio, convm que uma fonte especializada em Segurana da Informao seja estabelecida e disponibilizada dentro da corporao. Contatos com especialistas de segurana externos devem ser feitos para se manter atualizado com as tendncias do mercado, monitorar normas e mtodos de avaliao, alm de fornecer o principal apoio durante os incidentes de segurana. Um enfoque multidisciplinar na Segurana da Informao deve ser incentivado, tal como o envolvimento, cooperao e colaborao de gestores, usurios, administradores, projetistas de aplicaes, auditores, equipes de segurana e especialistas em reas como seguro e gerenciamento de risco. A eficincia do trabalho como profissional de Segurana da Informao depende diretamente do tempo investido nos seus funcionrios, conscientizando, treinando e apoiando. Segurana da Informao 62 Captulo 8 Concluses Segurana tem incio e termina com as pessoas llen Frisch [Essential System Administration] A questo de como as corporaes podem conscientizar, esclarecer e informar seus colaboradores sobre os riscos existentes na rea de Segurana da Informao, foi abordada a partir dos estudos de caso em trs corporaes militares. A anlise dos dados evidenciou que os problemas de Segurana da Informao esto concentrados em trs elementos de vulnerabilidade : no acesso Internet via rede da OM; na engenharia social que vulnerabiliza o sistema e na Invaso do sistema por cdigo malicioso do tipo vrus e cavalo de tria. Esses problemas apresentaram um ponto em comum em seu tratamento: o colaborador da corporao, o funcionrio e o militar da OM. Portanto, podemos afirmar que ao transformar usurios simples e desinformados em sensores de segurana, como os detectores de intruso, gerenciadores de antivrus, distribuidores de patches e outros como simplesmente multiplicadores, estaremos reforando as polticas de segurana da Informao da corporao. Essas aes, no entanto, implicam em mudanas culturais, comportamentais, que em geral, sofrem resistncias pela maioria das pessoas. necessrio, portanto, sensibilizar usurios e gestores para que se possa realizar um trabalho efetivo. Dessa forma as recomendaes partem do ponto de vista de que os gestores priorizem os aspectos humanos e comportamentais dos sistemas de segurana. Um quadro com recomendaes para o usurio foi proposto com o objetivo de apoiar os gestores em suas corporaes. A rea de Segurana da Informao nova e para muitos o investimento em treinamento para todos os nveis da organizao uma das melhores e mais efetivas formas de se aplicar o oramento disponvel. Nesse sentido, evidencia-se ser necessrio cada vez mais aes educacionais e de capacitao para gestores, Segurana da Informao 63 tcnicos e usurios (RAMOS, 2004). As recomendaes apesar de no serem exclusivas para as corporaes militares, necessitam, serem validadas em outros ambientes corporativos o que poder ser objeto de trabalhos futuros. Segurana da Informao 64 REFERNCIAS BIBLIOGRFICAS ABNT, Associao Brasileira de Normas e Tcnicas.NBR ISO/ IEC 17799/2000- Tecnologia da Informao.RJ,2002. ASSUNO, Marcos Flvio Guia do Hacker Brasileiro.1.ed.SC: Visual books, 2002 B BE EA AL L, , A Ad dr ri ia an na a S Sa ai in nd do o d da a p po os st tu ur ra a r re ea at ti iv va a p pa ar ra a u um ma a p po os si i o o d de e p pr ro oa at ti iv vi id da ad de e e e i in nf fl lu u n nc ci ia a n na as s e es st tr ra at t g gi ia as s d de e n ne eg g c ci io os s e e d de e T TI I. . S Se ec cu ur ri it ty y M Ma ag ga az zi in ne e D DA AT TA A - - 0 07 7 J Ju un n 2 20 00 04 4. . C CE ER RT T, , C Ce en nt tr ro o d de e E Es st tu ud do os s, , R Re es sp po os st ta as s e e t tr ra at ta am me en nt to o d de e I In nc ci id de en nt te es s d de e S Se eg gu ur ra an n a a n no o B Br ra as si il l. .2 20 00 05 5 V V. .3 3. . 1 13 3/ /2 2/ /2 20 00 06 6. . D Di is sp po on n v ve el l e em m < <h ht tt tp p: :/ // /c ca ar rt ti il lh ha a. .c c e er rt t. .b br r> >A Ac ce es ss s o o e em m 1 10 0 m ma ai i 2 20 00 06 6. . F FA AU UL LH HA AB BE ER R; ; H He en nr ri iq qu ue e I In ns se eg gu ur ra an n a a a am me ea a a a a a i in nt te er rn ne et t, , n no ov v. . 2 20 00 04 4. . D Di is sp po on n v ve el l e em m h ht tt tp p: :/ // /w ww ww w. .c ce er rt t. .b br r/ /d do oc cs s/ /r re ep po or rt ta ag ge en ns s/ /2 20 00 04 4/ /2 20 00 04 4- -1 11 1- -2 24 4. .h ht tm ml l > >A Ac c e es ss so o e em m 2 22 2 d de e a ag go o. . 2 20 00 06 6. . FOCO SECURITY. Foco Security So Paulo, 2005 v.1. Disponvel em <http://www.focosecurity.com.br/> Acesso em: 10 jul. 2005. GALVO, M. Diferenas entre vrus, worm e trojan. 20 mai 2002. Disponvel em: <http://www.modulo.com.br/index.jsp> Acesso em 12 de jun. 2005. ISO GUIDE 73, Norma de gesto de riscos, 26 set 2005. Disponvel em: <http:// http://www.modulo.com.br/checkuptool/artigo_09.htm> Acesso em 10 fev 2006. MODULO SECURITY 9 a. Pesquisa Nacional de Segurana da Informao, 2003. Disponvel em<http://www.modulo.com.br/pdf/nona_pesquisa_modulo.pdf> Acessado em 25 Fev 2005. NAKAMURA, Emlio Tissato Segurana de Redes em Ambientes Corporativos. Berkeley, 2002. N NO OR RT TH HC CU UT TT T , , J Ju ud dy y e e D Do on na al ld d, , S St te ep ph he en n S Se eg gu ur ra an n a a e e p pr re ev ve en n o o e em mr re ed de es s. . 1 1. .e ed d. .S SP P: : B Be er rk ke el le ey y, , 2 20 00 01 1. . OTILIO, C. Hackers Conceitos Bsicos. 9 out 2000. Disponvel em <http://www.modulo.com.br/index.jsp>. Acesso em 10 out 2005 PEIXOTO, Mrio Csar Pintaudi Engenharia social e Segurana da Informao 1.ed.SP: Brasport, 2006. Segurana da Informao 65 PELISSARI, F. A. B. Segurana de Redes e Anlise sobre Conscientizao das Empresas da cidade de Bauru(SP) quanto ao problema. Bauru, 2002. Curso de especializao em informtica UNESP, 2002. 112f. Disponvel em: <www.modulo.com.br/index.jsp> Acesso em: 30 Julho 2005. PRADO, Larissa Quatro Passos no Gerenciamento de Riscos, Braslia, mar. 2002. Disponvel em < http://www.securenet.com.br/artigo.php?artigo=114> Acesso em: 18 out. 2005. RAMOS, Anderson Conscientizao de usurios e Segurana da Informao, 18 Out 2004. Disponvel em <http://www.modulo.com.br/comum/docs_iii_pv.jsp>Acesso em 10 de jul 2006. SANTOS, Rafael Cardoso dos Engenharia Social: Fortalecendo o elo mais fraco parte 2,13 dez 2004. Disponvel em <http://www.modolo.com.br/docs_iii_pv.jsp> Acesso em 20 Mar 2006. S SY YS SL LO OG G, , A Am mb bi ie en nt te e d de e R Re eg gi is st tr ro o d de e E Ev ve en nt to os s C Ce en nt tr ra al li iz za ad do o e e S Si is st te em ma a d de e D De et te ec c o o d de e I In nr ru us s o o S Sn no or rt t. . A Ap po os s t ti il la a d de e T Tr re ei in na am me en nt to o d de e I ID DS S M M d du ul lo o S Se ec cu ur ri it ty y. . V V. .1 1, , n n. . 1 1, ,m ma ar r. . 2 20 00 05 5. . E Ed di i o o E Es s p pe ec c i ia al l. . T TA AN NE EN NB BA AU UM M, , A An nd dr re ew w S S. . R Re ed de es s d de e C Co om mp pu ut ta ad do or re es s. . 3 3. . e ed d. . R RJ J: : C Ca am mp pu us s, , 1 19 99 97 7. . Segurana da Informao 66 Anexo A Pesquisa sobre a Segurana da Informao em Ambientes Corporativos PARTE 1: INFORMAES DA OM 1 . Nome da OM: 2 . Cidade Onde se Localiza: 3 . Ano de criao: / / 4 . Nmero de Militares/Funcionrios: ( ) at 19 ( ) de 20 a 99 ( ) de 100 a 499 ( ) de 500 a 999 ( ) mais de 1000 5 . O departamento de segurana da OM : ( ) Prprio da Empresa ( ) Terceirizado ( ) No Existe 6 . No caso de ser prprio, o nmero de funcionrios do departamento : ( ) At 5 ( ) De 6 a 10 ( ) De 11 a 20 ( ) Mais de 20 PARTE 2: INFORMAES SOBRE A CONSCINCIA DA OM SOBRE SEGURANA 7 . O oramento destinado rea de segurana em 2006 /foi: (em milhares de Reais) ( ) Proporcional aos Lucros ( ) At 50 ( ) De 51 a 100 ( ) De 101 a 250 ( ) De 251 a 500 ( ) De 501 a 1000 ( ) Acima de 1000 Segurana da Informao 67 ( ) Informao No Disponvel 8 . Investimentos na rea de segurana em 2006 : ( ) Anlise de Riscos ( ) Autoridade Certificadora ( ) Biometria ( ) Capacitao da Equipe Tcnica ( ) Certificado Digital ( ) Contratao de Empresas Especializadas ( ) Controle de Contedo ( ) Criptografia ( ) Implementao de Firewall ( ) Poltica de Segurana ( ) Sala Cofre/Contra Incndio ( ) Segurana em Acesso Remoto ( ) Segurana em Internet ( ) Sistemas de Deteco de Intrusos ( ) Sistemas de Gesto de Segurana Centralizada ( ) Smartcard ( ) Software de Controle de Acesso ( ) Testes de Invaso ( ) Virtual Private Network (VPN) ( ) Outros: Segurana da Informao 68 9 . Principais obstculos para implementao de segurana: ( ) Conscincia dos Funcionrios ( ) Falta de Apoio Especializado ( ) Ferramentas ( ) Gerncia/Diretoria ( ) Oramento ( ) Recursos Humanos ( ) Outros: 10 . Expectativas quanto aos problemas de segurana para 2007: ( ) Aumentaro ( ) Diminuiro ( ) Permanecero os Mesmos 11 . Poltica de segurana: ( ) Existe e est atualizada ( ) Existe, mas est desatualizada ( ) No existe 12 . Se existe uma poltica de segurana, quais os principais tpicos abordados nela: ( ) Acesso Remoto ( ) Anlise de Riscos ( ) Cadastro de Usurios ( ) Classificao de Informaes ( ) Conceitos Gerais ( ) Cultura de Segurana ( ) Recuperao no caso de Contingncias ( ) Segurana Fsica ( ) Uso da Internet ( ) Uso da Intranet ( ) Uso de Notebooks ( ) Uso de Senhas ( ) Uso de Software ( ) Vrus ( ) Outros: Segurana da Informao 69 PARTE 3: INFORMAES SOBRE FALHAS DE SEGURANA 13 . Principais Ameaas: ( ) Acessos Indevidos ( ) Acessos Remotos Indevidos ( ) Alterao Indevida ( ) Alterao Indevida de Configuraes ( ) Divulgao de Senhas ( ) Divulgao Indevida ( ) Falhas na Segurana Fsica ( ) Fraudes, Erros e Acidentes ( ) Fraudes em E-mails ( ) Funcionrios Insatisfeitos ( ) Hackers ( ) Incndio/Desastre ( ) Lixo Informtico ( ) Pirataria ( ) Roubo de Senhas ( ) Roubo/Furto ( ) Sabotagens ( ) Super Poderes de Acesso ( ) Uso de Notebooks ( ) Uso Indevido de Recursos ( ) Vazamento de Informaes ( ) Vrus ( ) Outras: 14 . Principais pontos de invaso: ( ) Acesso Remoto ( ) Internet ( ) Invaso Fsica ( ) Sistemas Internos ( ) Engenharia Social ( ) Outros: 15 . Ataques ( ) J Sofreu Algum ( ) Nunca Sofreu ( ) No Sabe se Sofreu Segurana da Informao 70 16 . Se j sofreu algumtipo de ataque, qual o ltimo registro: ( ) Menos de 1 Ms ( ) De 1 a 6 Meses ( ) De 7 a 12 Meses ( ) De 1 a 2 Anos ( ) Mais de 2 Anos 17 . Responsveis por problemas de segurana registrados: ( ) Internos ( ) Externos 18 . Responsveis por problemas de segurana registrados: ( ) Causa Desconhecida ( ) Vrus ( ) Cavalo de tria ( ) Funcionrios ( ) Hackers ( ) Prestadores de Servios ( ) Outros: 19 . Providncias adotadas no caso de alguma falha de segurana: ( ) Apenas a Correo dos Problemas ( ) Nenhuma Providncia ( ) Providncias Internas ( ) Providncias Legais 20 . Plano de continuidade em caso de falhas de segurana: ( ) Existe ( ) No Existe ( ) No Sabe Se Existe Segurana da Informao 71 21 . Medidas de segurana j implementadas: ( ) Anlise Ataques Real Time ( ) Anlise de Riscos ( ) Assinatura Digital ( ) Autoridade Certificadora ( ) Biomtrica ( ) Capacitao e Treinamento ( ) Certificao Digital ( ) Classificao das Informaes ( ) Cofre Anti-Incndio ( ) Contratao de Empresas Especializadas ( ) Controle de Contedo ( ) Criptografia ( ) Firewall ( ) Monitorao de Log ( ) Palestras para Usurios ( ) Plano de Continuidade de Negcios ( ) Poltica de Segurana ( ) Preveno contra Cavalos-de-Tria ( ) Preveno contra Pirataria ( ) Preveno contra Vrus ( ) Procedimentos Formalizados ( ) Proxy Server ( ) Scanner de Redes ( ) Segurana em Acesso Remoto ( ) Segurana em Internet ( ) Segurana na Sala dos Servidores ( ) Sistemas de Backup ( ) Sistemas de Deteco de Intrusos ( ) Sistemas de Gesto de Segurana Centralizada ( ) Smartcard ( ) Software de Auditoria ( ) Software de Controle de Acesso ( ) Software de Segurana de Estao ( ) Termo de Responsabilidade ( ) Testes de Invaso ( ) Virtual Private Network (VPN) 22 . Uso de aplicaes: ( ) Extranet ( ) Intranet ( ) Internet Segurana da Informao 72 23 . Uso corporativo da Internet: ( ) Acesso atravs da rede da empresa ( ) Acesso via modem na empresa ( ) Acesso via modem na residncia ( ) A empresa possui pgina na Web ( ) permitido comprar via Internet ( ) No permitido usar na empresa ( ) Permite acesso externo de terceiros (Extranet) ( ) Usa apenas correio eletrnico ( ) Utiliza VPN ( ) Utiliza Internet Banking 24 . A OM utiliza a Internet para transaes eletrnicas: ( ) No ( ) Sim 25 . Principais aplicaes efetuadas na Intranet: ( ) Biblioteca ( ) Certificao Digital ( ) Consultas a Cadastro/Banco de Dados ( ) Corporativos com Manuais e Procedimentos ( ) Diagnstico Remoto ( ) Divulgao de Documentos e Informativos ( ) Funes Administrativas ( ) HelpDesk ( ) Projetos ( ) Relatrios Internos ( ) RH ( ) Segurana Patrimonial ( ) Sistema de Gesto Empresarial ( ) Sistema de Informaes e Controles ( ) Outras: 26 . A empresa permite o uso de Internet: ( ) No permite ( ) Para todos funcionrios ( ) Para todos funcionrios em determinados horrios ( ) Somente para cargos de chefias 27 . Solues para proteo de documentos na Internet: ( ) Criptografia Integrada a Aplicaes ( ) Criptografia Integrada a Servios de Rede ( ) Produtos Especficos ( ) SSL- Secure Sockets Layer ( ) Tecnologia Proprietria ( ) VPN - Virtual Private Network ( ) Outras: Segurana da Informao 73 PARTE 4: COMENTRIOS ADICIONAIS Respondido por: Entrevistado por