Escolar Documentos
Profissional Documentos
Cultura Documentos
Gestão de Segurança Da Informação PDF
Gestão de Segurança Da Informação PDF
Responsabilidades .................................................................................................. 62
Uso adequado ......................................................................................................... 63
Conseqncias ........................................................................................................ 64
Penalidades ............................................................................................................. 64
Para relaxar e refletir .................................................................................................. 64
Estudo de Caso ........................................................................................................... 64
CAPTULO VIII ............................................................................................................ 66
Barreiras de Segurana ................................................................................................... 66
Cenrio 1 .................................................................................................................... 68
Cenrio 2 .................................................................................................................... 69
Estudo de Caso ........................................................................................................... 69
CAPTULO IX ............................................................................................................... 70
Gerenciamento de Risco................................................................................................. 70
Conceitos Bsicos....................................................................................................... 70
Importncia da Informao......................................................................................... 71
Vale a pena proteger tudo ? ........................................................................................ 73
Proteger contra o qu ? ............................................................................................... 73
Mas como proteger uma informao ? ....................................................................... 74
A Anlise .................................................................................................................... 77
Estudo de Caso ........................................................................................................... 80
CAPTULO X ................................................................................................................ 82
Contingncia ou Plano de Continuidade de Negcios.................................................... 82
Definies................................................................................................................... 82
Conceitos .................................................................................................................... 82
Justificando................................................................................................................. 84
Estratgias de Contingncia........................................................................................ 84
Planos de Contingncia .............................................................................................. 86
Principais fases de elaborao do Plano de Contingncia Corporativo...................... 87
Riscos Envolvidos ...................................................................................................... 87
Mais Informaes ....................................................................................................... 88
Estudo de Caso ........................................................................................................... 88
Caso Tylenol:estudo de caso. ................................................................................. 89
Western Petroleum Transportation Inc. :Estudo de Caso....................................... 93
CAPTULO XI ............................................................................................................... 96
Auditoria em Informtica ............................................................................................... 96
Introduo................................................................................................................... 96
Perfil do Profissional Auditor em Informtica ........................................................... 97
Posicionamento da Auditoria dentro da organizao ................................................. 97
Importncia da Auditoria e suas fases ........................................................................ 97
Pr-Auditoria .......................................................................................................... 98
Auditoria................................................................................................................. 98
Ps-Auditoria.......................................................................................................... 98
Inter-Relao entre auditoria e segurana em informtica ......................................... 99
A atividade de auditoria em segurana de informao............................................... 99
CAPTULO XII............................................................................................................ 102
Legislao..................................................................................................................... 102
Legislao Brasileira e Instituies Padronizadoras ................................................ 102
Consideraes........................................................................................................... 103
Crime digital ............................................................................................................. 104
CAPTULO I
A importncia da Informao
A informao o dado com uma interpretao lgica ou natural dada a
ele por seu usurio (Rezende e Abreu, 2000). A informao tem um valor
altamente significativo e pode representar grande poder para quem a possui. A
informao contm valor, pois est integrada com os processos, pessoas e
tecnologias. A prxima figura demonstra, do ponto de vista estratgico, o
relacionamento dos processos, tecnologias e pessoas.
Objetivos
Estratgico
PROCESSOS
PESSOAS
Ttico
Desafios
Metas
Operacional
TECNOLOGIAS
Sistema de Informao1
Um sistema de informao pode ser definido tecnicamente como um
conjunto de componentes inter-relacionados que coleta (ou recupera),
processa, armazena e distribui informaes destinadas a apoiar a tomada de
decises, a coordenao e o controle de uma organizao. Alm de dar
suporte tomada de decises, coordenao e ao controle, esses sistemas
tambm auxiliam os gerentes e trabalhadores a analisar problemas, visualizar
assuntos complexos e criar novos produtos.
Os sistemas de informao contm informaes sobre pessoas, locais e
coisas significativas para a organizao ou para o ambiente que a cerca. Trs
atividades em um sistema de informao produzem as informaes de que as
organizaes necessitam para tomar decises, controlar operaes, analisar
problemas e criar novos produtos ou servios. Essas atividades so a entrada,
o processamento e a sada (veja a prxima figura).
10
11
CAPTULO II
Segurana da Informao e seus Critrios
Com a dependncia do negcio aos sistemas de informao e o
surgimento de novas tecnologias e formas de trabalho, como o comrcio
eletrnico, as redes virtuais privadas e os funcionrios mveis, as empresas
comearam a despertar para a necessidade de segurana, uma vez que se
tornaram vulnerveis a um nmero maior de ameaas.
As redes de computadores, e conseqentemente a Internet mudaram as
formas como se usam sistemas de informao. As possibilidades e
oportunidades de utilizao so muito mais amplas que em sistemas fechados,
assim como os riscos privacidade e integridade da informao. Portanto,
muito importante que mecanismos de segurana de sistemas de informao
sejam projetados de maneira a prevenir acessos no autorizados aos recursos
e dados destes sistemas (Laureano, 2004).
A segurana da informao a proteo dos sistemas de informao
contra a negao de servio a usurios autorizados, assim como contra a
intruso, e a modificao no-autorizada de dados ou informaes,
armazenados, em processamento ou em trnsito, abrangendo a segurana dos
recursos humanos, da documentao e do material, das reas e instalaes
das comunicaes e computacional, assim como as destinadas a prevenir,
detectar, deter e documentar eventuais ameaas a seu desenvolvimento (NBR
17999, 2003; Dias, 2000; Wadlow, 2000; Krause e Tipton, 1999).
Segurana a base para dar s empresas a possibilidade e a liberdade
necessria para a criao de novas oportunidades de negcio. evidente que
os negcios esto cada vez mais dependentes das tecnologias e estas
precisam estar de tal forma a proporcionar confidencialidade, integridade e
disponibilidade que conforme (NBR 17999, 2003; Krause e Tipton, 1999;
Albuquerque e Ribeiro, 2002), so os princpios bsicos para garantir a
segurana da informao das informaes:
12
13
Confidencialidade
Integridade
Integridade
Confidencialidade
Disponibilidade
Confidencialidade
Auditoria
Integridade
Confidencialidade
Integridade
SEGURANA
14
15
CAPTULO III
Outros Conceitos
Ameaas
Em ingls, utilizado utilizamos o termo threat para definir ameaa. E
temos vrios tipos de threat (Shirey, 2000):
16
Ataques
Em ingls, utilizado o termo attack para definir ataque. E existem
vrios tipos de ataques. Ataque pode ser definido como um assalto ao sistema
de segurana que deriva de uma ameaa inteligente, isto , um ato inteligente
que seja uma tentativa deliberada (especial no sentido de um mtodo ou
tcnica) para invadir servios de segurana e violar as polticas do sistema
(Shirey, 2000).
O ataque ato de tentar desviar dos controles de segurana de um
sistema de forma a quebrar os princpios citados anteriormente.
Um ataque pode ser ativo, tendo por resultado a alterao dos dados;
passivo, tendo por resultado a liberao dos dados; ou destrutivo visando
negao do acesso aos dados ou servios (Wadlow, 2000).
O fato de um ataque estar acontecendo no significa necessariamente
que ele ter sucesso. O nvel de sucesso depende da vulnerabilidade do
sistema ou da atividade e da eficcia de contramedidas existentes.
Para implementar mecanismos de segurana faz-se necessrio
classificar as formas possveis de ataques em sistemas:
17
Vulnerabilidades
A vulnerabilidade o ponto onde qualquer sistema suscetvel a um
ataque, ou seja, uma condio encontrada em determinados recursos,
processos, configuraes, etc.
Todos os ambientes so vulnerveis, partindo do principio de que no
existem ambientes totalmente seguros. Muitas vezes encontramos
vulnerabilidades nas medidas implementadas pela empresa.
Identificar as vulnerabilidades que podem contribuir para as ocorrncias
de incidentes de segurana um aspecto importante na identificao de
medidas adequadas de segurana.
As vulnerabilidades esto presentes no dia-a-dia das empresas e se
apresentam nas mais diversas reas de uma organizao.
No existe uma nica causa para surgimento de vulnerabilidades. A
negligncia por parte dos administradores de rede e a falta de conhecimento
tcnico so exemplos tpicos, porm esta relao pode ser entendida como
sendo de n para n, ou seja, cada vulnerabilidade pode estar presente em
diversos ambientes computacionais, conforme demonstra a prxima figura.
18
Ambiente
Vulnerabilidade
Computacional
n
Possibilita
Incidente de Segurana
Afeta
Clientes
Imagem
Impacta
Negcio
negativamente
Produto
19
20
CAPTULO IV
Mecanismos para Controles de Segurana
Autenticao e autorizao
A autorizao o processo de conceder ou negar direitos a usurios ou
sistemas, por meio das chamadas listas de controle de acessos (Acess Control
Lists ACL), definindo quais atividades podero ser realizadas, desta forma
gerando os chamados perfis de acesso.
A autenticao o meio para obter a certeza de que o usurio ou o
objeto remoto realmente quem est afirmando ser. um servio essencial de
segurana, pois uma autenticao confivel assegura o controle de acesso,
determina que est autorizado a ter acesso informao, permite trilhas de
auditoria e assegura a legitimidade do acesso.
Atualmente os processos de autenticao esto baseados em trs
mtodos distintos:
21
Firewall5
Um firewall um sistema (ou grupo de sistemas) que reforam a norma
de segurana entre uma rede interna segura e uma rede no-confivel como a
Internet. Os firewalls tendem a serem vistos como uma proteo entre a
Internet e a rede privada. Mas em geral, um firewall deveria ser considerado
como um meio de dividir o mundo em duas ou mais redes: uma ou mais redes
seguras e uma ou mais redes no-seguras
Um firewall pode ser um PC, um roteador, um computador de tamanho
intermedirio, um mainframe, uma estao de trabalho UNIX ou a combinao
destes que determine qual informao ou servios podem ser acessados de
fora e a quem permitido usar a informao e os servios de fora. Geralmente,
um firewall instalado no ponto onde a rede interne segura e a rede externa
no-confivel se encontram, ponto que tambm conhecido como ponto de
estrangulamento.
A fim de entender como um firewall funciona, considere que a rede seja
um edifcio onde o acesso deva ser controlado. O edifcio tem uma sala de
5
(Laureano, 2002).
22
23
Workstation
INTERNET
INTERNET
Ethernet da Empresa
Workstation
Workstation
INTRANET
Workstation
FIREWALL PROXY
INTERNET
INTERNET
Ethernet da Empresa
Pginas WEB
Workstation
Workstation
24
Detector de Intrusos6
A maneira mais comum para descobrir intruses a utilizao dos
dados das auditorias gerados pelos sistemas operacionais e ordenados em
ordem cronolgica de acontecimento, sendo possvel inspeo manual
destes registros, o que no uma prtica vivel, pois estes arquivos de logs
apresentam tamanhos considerveis.
Nos ltimos anos, a tecnologia de deteco de intruso (Intrusion
Detection System IDS) tem se mostrado uma grande aliada dos
administradores de segurana. Basicamente, o que tais sistemas fazem
tentar reconhecer um comportamento ou uma ao intrusiva, atravs da
anlise das informaes disponveis em um sistema de computao ou rede,
para alertar um administrador e / ou automaticamente disparar contra-medidas.
Para realizar a deteco, vrias tecnologias esto sendo empregadas em
produtos comerciais ou em projetos de pesquisas, as tecnologias utilizadas
incluem anlise estatstica, inferncia, inteligncia artificial, data mining, redes
neurais e diversas outras.
Um IDS automatiza a tarefa de analisar dados da auditoria. Estes dados
so extremamente teis, pois podem ser usados para estabelecer a
culpabilidade do atacante e na maioria das vezes o nico modo de descobrir
uma atividade sem autorizao, detectar a extenso dos danos e prevenir tal
ataque no futuro, tornando desta forma o IDS uma ferramenta extremamente
valiosa para anlises em tempo real e tambm aps a ocorrncia de um
ataque.
Classificao de Detectores de Intruso
O IDS tem como principal objetivo detectar se algum est tentando
entrar em um sistema ou se algum usurio legtimo est fazendo mau uso do
mesmo. Esta ferramenta executada constantemente em background e
somente gera uma notificao quando detecta
alguma ocorrncia que seja suspeita ou ilegal. Os sistemas em uso podem ser
classificados com relao a sua forma de monitorao (origem dos dados) e
aos mecanismos (algoritmos) de deteco utilizados.
Quanto Origem dos Dados
Existem basicamente dois tipos de implementao de ferramentas IDS:
Host Based IDS (HIDS) so instalados em servidores para alertar e
identificar ataques e tentativas de acesso indevido prpria mquina,
sendo mais empregados nos casos em que a segurana est focada em
informaes contidas em um servidor;
Network Based IDS (NIDS) so instalados em mquinas responsveis
por identificar ataques direcionados a toda a rede, monitorando o contedo
dos pacotes de rede e seus detalhes como informaes de cabealhos e
protocolos.
Os sistemas NIDS podem monitorar diversos computadores
simultaneamente. Todavia, sua eficcia diminui na medida em que o tamanho e
6
(Laureano, 2004).
25
26
27
28
29
30
Assinatura Digital
Outra grande vantagem dos algoritmos assimtricos, particularmente o
RSA, que o mais conhecido e utilizado atualmente, que o processo
funciona tambm na criptografia no outro sentido, da chave secreta para a
chave pblica, o que possibilita implementar o que se denomina assinatura
digital.
O conceito de assinatura o de um processo que apenas o signatrio
possa realizar, garantindo dessa maneira sua participao pessoal no
processo. Como a chave secreta de posse e uso exclusivo de seu detentor,
um processo de cifragem usando a chave privada do signatrio se encaixa
nesse conceito, permitindo, assim, a gerao de uma assinatura por um
processo digital.
No caso da assinatura digital, inadequado cifrar toda a mensagem ou
documento a ser assinado digitalmente devido ao tempo gasto na criptografia
de um documento utilizando chaves assimtricas. A criptografia aplicada
apenas sobre um identificador unvoco do mesmo. Normalmente utilizado
como identificador o resultado da aplicao de uma funo tipo HASH, que
mapeia um documento digital de tamanho qualquer num conjunto de bits de
tamanho fixo. Ao valor do HASH podem ainda ser anexados a data/hora,
nmero de seqncia e outros dados identificadores, e este conjunto ento
cifrado com a chave secreta do signatrio constituindo a assinatura digital do
documento. A funo de HASH ser explicada em seguida.
Qualquer participante pode verificar a autenticidade de uma assinatura
digital, bastando decifr-la com a chave pblica do signatrio, o qual todos
podem ter acesso. Se o resultado significativo, est garantido o uso da chave
secreta correspondente na assinatura, e portanto sua autenticidade. Resta
ainda comprovar a associao da assinatura ao documento, o que feito
recalculando o HASH do documento recebido e comparando-o com o valor
includo na assinatura. Se forem iguais, prova-se ainda a ligao com o
documento, assim como a integridade (no alterao) do mesmo. Uma vez que
a verificao realizada utilizando a chave pblica, sua validao pode ser
realizada por terceiros, tais como rbitros e auditores.
31
32
33
Tunelamento
As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja
existncia anterior as VPNs. Ele pode ser definido como processo de
encapsular um protocolo dentro de outro. O uso do tunelamento nas VPNs
incorpora um novo componente a esta tcnica: antes de encapsular o pacote
que ser transportado, este criptografado de forma a ficar ilegvel caso seja
interceptado durante o seu transporte. O pacote criptografado e encapsulado
viaja atravs da Internet at alcanar seu destino onde desencapsulado e
34
35
36
Esteganografia8
Do grego "escrita coberta". Ramo particular da criptologia que consiste,
no em fazer com que uma mensagem seja ininteligvel, mas em camufl-la,
mascarando a sua presena. Ao contrrio da criptografia, que procura
esconder a informao da mensagem, a esteganografia procura esconder a
EXISTNCIA da mensagem.
Contrariamente criptografia, que cifra as mensagens de modo a tornlas incompreensveis, a esteganografia esconde as mensagens atravs de
artifcios, por exemplo imagens ou um texto que tenha sentido mas que sirva
apenas de suporte (como o alfabeto biliteral de Francis Bacon ou as famosas
cartas de George Sand). A idia a mesma das grelhas de Cardano e o "barn
code": mesclar a mensagem numa outra e onde apenas determinadas palavras
devem ser lidas para descobrir o texto camuflado.
O primeiro uso confirmado da esteganografia est em "As Histrias" de
Herdoto e remonta ao sculo V a.C.: um certo Histio, querendo fazer contato
secreto com seu superior, o tirano Aristgoras de Mileto, escolheu um escravo
fiel, raspou sua cabea e escreveu na pele a mensagem que queria enviar.
Esperou que os cabelos crescessem e mandou o escravo ao encontro de
Aristgoras com a instruo de que deveriam raspar seus cabelos.
Ainda nas "As Histrias" de Herdoto, consta que, para informar os
espartanos de um ataque iminente dos persas, o rei Demaratos utilizou um
estratagema muito elegante: pegou tabletes, retirou-lhes a cera, gravou na
madeira a mensagem secreta e recobriu-os novamente com cera. Deste modo,
os tabletes, aparentemente virgens, no chamaram a ateno. O problema era
que os gregos no sabiam do que se tratava quando Gorgo, mulher de
Lenidas, teve a idia de raspar a cera.
Na China antiga, escrevia-se mensagens sobre seda fina. Depois se
8
37
fazia uma bolinha que era envolvida por cera. Em seguida, o mensageiro
engolia a bolinha.
No sculo XVI, o cientista italiano Giovanni Porta descobriu como
esconder uma mensagem num ovo cozido: escrever sobre a casca com uma
tinta contendo uma ona de alume ( 29 g) diludo em cerca de meio litro de
vinagre. A soluo penetra a casca e se deposita sobre a superfcie branca do
ovo. Depois, basta abrir o ovo para ler a mensagem.
O historiador da Grcia antiga, Enias, o Ttico, tem a idia de enviar
uma mensagem secreta fazendo minsculos furos em certas letras de um texto
qualquer. A sucesso destas letras marcadas fornecia o texto secreto. Dois mil
anos mais tarde, remetentes ingleses empregaram o mesmo mtodo, no para
garantir o segredo de suas cartas, mas para evitar o pagamento de taxas muito
caras. Na realidade, antes da reforma do servio postal ao redor de 1850,
enviar uma carta custava cerca de um shilling para cada cem milhas de
distncia. Os jornais, no entanto, eram isentos de taxas. Graas a furinhos de
agulha, os ingleses espertos enviavam suas mensagens gratuitamente. Este
procedimento foi at utilizado pelos alemes durante a Primeira Guerra
Mundial. Durante a Segunda Guerra, eles aperfeioaram o mtodo marcando
letras de jornais com tintas "invisveis".
Os espies alemes da Segunda Guerra utilizavam micropontos para
fazer com que suas mensagens viajassem discretamente. Eram fotografias do
tamanho de um ponto (.) que depois eram ampliadas para que a mensagem
aparecesse claramente. Era uma espcie de microfilme colocado numa letra,
num timbre, etc.
Em 1999, Catherine Taylor Clelland, Viviana Risca e Carter Bancroft
publicaram na revista Nature o artigo "Hiding messages in DNA microdots"
(escondendo mensagens em micropontos de DNA). Na verdade, qualquer
material gentico formado por cadeias de quatro nucleotdeos (Adenina,
Citosina, Guanina e Timina) que podemos comparar a um alfabeto de quatro
letras: A, C, G e T. Alm disso, os cientistas atualmente so capazes de
fabricar cadeias de DNA com um conjunto predeterminado de nucleotdeos.
Nada impede de atribuir a um grupo de trs nucleotdeos uma letra do alfabeto,
um nmero ou sinais de pontuao (por exemplo, "A"=CGA, "B"=CCA, etc) e
compor uma "mensagem gentica". Para disfarar as pistas, poder-se-ia
misturar algumas outras seqncias aleatrias de nucleotdeos. O resultado
apenas visvel ao microscpio eletrnico. Como possvel aplicao, pode-se
imaginar que uma empresa que produza uma nova espcie de tomate poder
incluir sua marca de fbrica nas molculas do tomate a fim de evitar as
imitaes.
Exemplo: Segurana Monetria Suia
Para quem estiver pensando que a esteganografia obsoleta ou apenas
uma brincadeira de criana, um alerta: a idade ou a simplicidade dos mtodos
no invalidam sua aplicao.
38
39
40
41
Processos de Segurana
Service Level Agreement ou Acordo de Nvel de Servio
A rea de tecnologia da informao (TI) vem adotando ao longo dos
anos a estratgia de contratao de servios terceirizados, tambm conhecida
como body shop. Nesta relao o importante a questo da qualidade dos
servios prestados, bem como a segurana associada, uma vez que o trabalho
com profissionais terceirizados traz tambm seus riscos.
A questo da qualidade dos servios prestados passa a ser
fundamental, e justamente a que entra o SLA (abreviao do termo Service
Level Agreement) ou simplesmente Acordo de Nvel de Servio.
42
43
44
CAPTULO V
Algumas Leis da Segurana
Leis Fundamentais
So 10 as leis fundamentais da segurana da informao (Ahmad e
Russel, 2002). Todas as vezes que for necessrio participar de um novo
projeto de software ou infra-estrutura em sua empresa, se preocupe em
respeitar as leis abaixo:
1. Segurana do lado do Cliente no funciona
Segurana do lado do cliente segurana implementada unicamente
no cliente;
O usurio sempre tem a oportunidade de quebrar a segurana, pois
ele est no controle da mquina;
A segurana no lado do cliente no fornecer segurana se tempo e
recursos estiverem disponveis ao atacante.
2. Voc no pode trocar chaves de criptografia com segurana sem
uma informao compartilhada.
As informaes compartilhadas so usadas para validar mquinas
antes da criao da sesso;
Voc pode trocar chaves privadas compartilhadas ou usar SSL
(Secure Socket Layer) atravs do seu navegador;
As trocas de chaves so vulnerveis a ataques do tipo man-in-themiddle (homem no meio).
3. No existe proteo total contra cdigo malicioso.
Os produtos de software no so perfeitos;
Os programas de deteco de vrus e cavalo de tria se baseiam em
arquivos de assinatura;
Pequenas mudanas na assinatura de cdigo podem produzir uma
variao no detectvel (at que a nova assinatura seja publicada).
4. Qualquer cdigo malicioso pode ser completamente modificado
para evitar deteco de assinatura.
Os atacantes podem mudar a identidade ou assinatura de um
arquivo rapidamente;
Os atacantes podem usar compactao, criptografia e senhas para
mudar a aparncia do cdigo;
Voc no tem como se proteger contra cada modificao possvel.
5. Os firewalls no podem proteg-lo cem por cento contra ataques.
Os firewalls podem ser software ou hardware, ou ambos;
A principal funo de um firewall filtrar pacotes que chegam e
45
saem;
Ataques sucessivos so possveis como resultado de regras e
polticas incorretas, e de problemas de manuteno.
46
47
48
49
50
CAPTULO VI
Processo de Segurana
Segurana no tecnologia, no possvel comprar um dispositivo que
torne a sua empresa segura, assim como no possvel comprar ou criar um
software capaz de tornar seu computador seguro (Wadlow, 2000).
Como trabalho, a segurana tambm se constitui de um processo. Podese fazer uma analogia com o trabalho de uma analista de sistemas, mas o
trabalho de um profissional de segurana, deve-se resumir no mnimo em:
Este processo deve ser feito continuamente, como num crculo vicioso.
O mtodo PDCA (Plan, Do, Check e Action Planejar, Executar,
Verificar e Agir), hoje o principal mtodo da Administrao pela Qualidade
Total, tendo sido criado na dcada de 1920 por Shewhart. Ele se baseia no
controle processos, mas pode ser adaptado para ser utilizando num ciclo de
verificao da informao num processo de segurana, conforme proposto em
(BS 7799-2, 2002).
Neste sentido a anlise e medio dos processos so relevantes para a
manuteno e melhoria dos mesmos, contemplando inclusive o planejamento,
padronizao e a documentao destes.
51
Partes
Interessadas
Interessadas
Expectativas e
Gerenciamento
requisies da
segurana da
informao.
da Segurana
Do (fazer)
Projeto e Implementao
Aperfeioamento
do ISMS
ISMS
Monitorao e
Reviso do ISMS
Check (checar)
Act (agir)
da Informao.
52
Segurana
Fs
ica
F
sic
as
Negcio
Vulnerabilidades
Int
eg
rid
ad
e
Descarte
Inform ao
Disponibilidade
Am eaas
Tecnologias
Autenticidade
Arm azenam ento
Tecnolgica
Manuseio
de
ida
ial
nc
ide
nf
Co
Am eaas
Ci
clo
Vid de
a
Processos
Legalidade
Hu
m
Ativos
an
as
Transporte
na
ma
u
H
Am eaas
Nvel
Executivo
53
Analisar
Monitorar
Implementar
Percepo de
mudanas
no negcio
Planejar
Planejar
Planejar
Planejar
Planejar
Planejar
Planejar
Planejar
Analisar
Analisar
Analisar
Analisar
Monitorar
Monitorar
Monitorar
Monitorar
Implementar
Implementar
Implementar
Implementar
Percepo de
mudanas nos
indicadores dos
sistema de
gesto
Nvel
Operacional
Percepo de
mudanas
fsicas,
tecnolgicas e
humanas
Plano
Diretor de
Segurana
54
Planejar
realimentao
Analisar
Monitorar
Percepo de
mudanas
fsicas,
tecnolgicas e
humanas
realimentao
Implementar
Situao
Atual
Incio/startup
realimentao
55
CAPTULO VII
Polticas de Segurana9
Existe uma antiga piada, contada mais ou menos assim:
Um guarda de segurana que trabalha no turno da noite em uma
fbrica v um homem baixinho sair do prdio, empurrando um
carrinho de mo vazio. O guarda, com uma suspeita repentina,
pra o homem, que pergunta por que est sendo parado. Apenas
quero ter certeza de que voc no est roubando nada, diz o
guarda, forma grosseira. Confira tudo o que quiser, responde o
homem, e o guarda procura, mas no encontra nada suspeito e
permite que o homem v embora. Na noite seguinte, acontece
mesma coisa. Isso se repete por algumas semanas e ento o
baixinho no aparece mais no porto.
Passam vinte anos e o guarda, j aposentado, est
sentado em um bar, quando o baixinho entra. Reconhecendo-o, o
guarda aposentado se aproxima, explica quem e oferece pagar
uma bebida, se o baixinho responder a uma pergunta. O homem
concorda e o guarda diz: Tenho certeza de que voc estava
levando algo, mas nunca consegui descobrir o que voc estava
roubando. O baixinho pegou a bebida e, enquanto levava o copo
boca, disse: Eu estava roubando carrinhos de mo.
A idia dessa piada sugere, claro, que as medidas de segurana nada
representaro se os guardas no souberem o que devero proteger.
Experimente perguntar ao executivo de uma empresa quais so os
objetivos das equipes de segurana e provavelmente receber respostas
parecidas com so eles que nos mantm seguros l. Se pressionadas,
muitas pessoas podero ir um pouco adiante, descrevendo o lado da
segurana fsica: no permitir a entrada de visitas sem autorizao, verificar
se esto trancadas as portas que devem permanecer trancadas e ajudar em
qualquer emergncia. bem pouco provvel que as mesmas pessoas
compreendam para que existe a equipe de segurana dos computadores.
Na melhor das hipteses, provavelmente voc ouvir manter os hackers
fora de nossa rede. Cabe equipe de segurana da rede partir dessa
descrio vaga e mostrar que seu trabalho mais amplo, at o ponto em
que possa fixar prioridades e merecer estar includo nos oramentos.
Se voc perguntar a profissionais de segurana o que poder fazer de
mais importante para proteger sua rede, eles respondero, sem hesitar, que
escrever uma boa poltica de segurana.
56
57
Estabelece
Plano estratgico
de informtica
Especifica
Define
Poltica de
segurana
de informaes
Gera impactos
sobre
Armadilhas
Se uma boa poltica de segurana o recurso mais importante que se
pode criar para tornar uma rede segura, por que a maioria das empresas
considera to difcil criar uma poltica eficiente? Existem vrias razes
principais.
58
Uma poltica fraca, mas bem-distribuda, melhor do que uma poltica forte
que ningum leu;
Uma poltica simples e facilmente compreendida melhor do que uma
poltica confusa e complicada que ningum se d o trabalho de ler;
Uma poltica cujos detalhes esto ligeiramente errados muito melhor do
que uma poltica sem quaisquer detalhes;
Uma poltica dinmica que atualizada constantemente melhor do que
uma poltica que se torna obsoleta com o passar do tempo;
Costuma ser melhor se desculpar do que pedir permisso.
59
Divises da Poltica
Podemos dividir essa documentao em trs tipos de texto a serem
elaborados. So eles (Abreu, 2002):
60
O telefone toca:
- Preciso que voc libere uma regra do firewall para que eu possa
realizar uma operao.
Se ele liberar o acesso ao equipamento, pode ser punido porque tomou
uma deciso que, para todos, obviamente errada. Todos sabem que liberar
aquele acesso abrir uma vulnerabilidade no sistema, mas, se ele no liberar
esse acesso, a empresa deixar de executar uma operao crucial para a
continuidade de um projeto que precisa necessariamente ser terminado hoje.
O que fazer ?
Lendo a frase escrita acima, o funcionrio pode tomar sua deciso
(liberar o acesso, apesar de expor momentaneamente a empresa) com a
conscincia limpa, sabendo que ser parabenizado pela sua competncia e
alinhamento com os valores da empresa. Ento, chegamos palavra chave
quando falamos em nvel estratgico: valores, ou seja, um RUMO a ser
seguido.
61
Contedo da Poltica
Algumas questes cuja incluso em uma poltica de segurana dever
ser levada em considerao:
62
Mtodos de proteo
Descrever as prioridades para a proteo da rede. Por exemplo, as
prioridades organizacionais podero ser as seguintes:
1. Sade e segurana humana;
2. Conformidade com a legislao aplicvel local, estadual e federal;
3. Preservao dos interesses da empresa;
4. Preservao dos interesses dos parceiros da empresa;
5. Disseminao gratuita e aberta de informaes no-sensveis.
Descrever qualquer poltica de carter geral para o acesso de cada
categoria do sistema, e ainda criar um ciclo de qualificao que ir descrever
com que freqncia uma mquina de determinado tipo de usurio dever ser
examinada para verificar se ainda est configurada corretamente de acordo
com seu status de segurana.
Responsabilidades
Descrever as responsabilidades (e, em alguns casos, os privilgios) de
cada classe de usurios do sistema.
Geral
o Conhecimento dessa poltica;
o Todas as aes de acordo com essa poltica;
o Informar segurana qualquer violao conhecida a essa poltica;
o Informar segurana qualquer suspeita de problemas com essa
poltica.
Administrador de segurana
63
Contratado
o Acesso a mquinas especificamente autorizadas na forma
especificamente autorizada;
o Solicitar autorizao prvia por escrito para qualquer ao que
possa ser interpretada como uma questo de segurana.
Convidado
o Nenhum acesso a recursos de computao, a menos que haja
notificao prvia por escrito segurana.
Uso adequado
Como os funcionrios devero ou no usar a rede.
Geral
o Uso pessoal mnimo durante o horrio comercial normal;
o Nenhuma utilizao da rede para atividades comerciais externas;
o Acesso a recursos de Internet consistentes com as polticas de
RH.
Administrador de sistemas
o Acesso responsvel a informaes sensveis ou pessoais na
rede;
o Todo acesso especial justificado por operaes comerciais.
Segurana
o Acesso responsvel a informaes sensveis ou pessoais na
rede;
o Todo acesso especial justificado por operaes comerciais ou
segurana;
o Uso de ferramentas de segurana apenas para objetivos
comerciais legtimos.
Contratado
o Nenhum acesso pessoal a qualquer tempo;
o Uso mnimo da rede e apenas por motivos especficos relativos a
determinados contratos.
Convidado
o Nenhum uso da rede a qualquer tempo
64
Conseqncias
Descrever como determinada a importncia de uma violao da
poltica e as categorias de conseqncias.
Penalidades
Descrever quais as penalidades de acordo
descumprimento de um item da poltica de segurana.
Crtica
o Recomendao para demisso;
o Recomendao para abertura de ao legal
Sria
o Recomendao para demisso;
o Recomendao para desconto de salrio
Limitada
o Recomendao para desconto de salrio
o Repreenso formal por escrito
o Suspenso no-remunerada
com
nvel
do
Estudo de Caso
Como avaliao parcial da disciplina, vamos analisar o estudo de caso.
Quais so as atitudes que sua empresa deve evitar na rea de
informtica.
H menos de uma dcada, bastavam um cadeado,
correntes reforadas no porto e um cachorro feroz para manter a
empresa e seus dados protegidos dos gatunos. Hoje, com a maior
parte das informaes digitalizadas, preciso ir alm. No d
para deixar de investir em softwares de segurana e no
treinamento dos funcionrios para preservar os segredos da
empresa. E no so poucas as ocorrncias de espionagem
industrial. A maioria dos 'piratas' conta com a ajuda dos
funcionrios da rea de informtica. Com bons conhecimentos
tcnicos, facilitam a vida da concorrncia por meio da entrega de
dados confidenciais da casa.
Vejam abaixo quais so os sete pecados capitais da rea
65
66
CAPTULO VIII
Barreiras de Segurana
Conceitualmente, diante da amplitude e complexidade do papel da
segurana, comum estudarmos os desafios em camadas ou fases,
particionando todo o trabalho para tornar mais claro o entendimento de cada
uma delas. Chamamos esta diviso de barreiras.
DIAGNOSTICAR
DETER
DETECTAR
DISCRIMINAR
DIFICULTAR
Ameaas
DESENCORAJAR
NEGCIO
Ativos
Controles
Crescimento do Impacto
67
68
DETECTAR
NEGCIO
Ativos
DIAGNOSTICAR
DIFICULTAR
Ameaas
DETER
DISCRIMINAR
DESENCORAJAR
Crescimento do Impacto
Cenrio 1
Tome como exemplo uma grande loja de departamentos e 10 possveis
assaltantes (daqueles bem simples, que roubam somente roupas / perfumes /
etc).
Vamos ver como funcionaria cada barreira. As 5 primeiras barreiras (se
corretamente organizadas), poderia funcionar da seguinte forma:
69
na barreira
software de
da polcia, a
para a loja e
Cenrio 2
Num cenrio bancrio, a porta giratria com identificao de metais,
pode ser classificado como um mtodo de desencorajamento, dificuldade (no
fcil passar uma arma), discriminao (identifica uma arma) , deteco e
deteo (pois o suspeito fica preso na porta).
Estudo de Caso
Rever as polticas de segurana criadas por vocs e verificar se as
barreiras esto sendo aplicadas nas polticas;
70
CAPTULO IX
Gerenciamento de Risco
O risco no um novo problema ou uma nova terminologia; os seres
humanos sempre tiveram de enfrentar (ou encarar) os riscos no seu meio
ambiente, embora seu significado tenha mudado, como tem mudado a
sociedade e o prprio meio onde vive. No passado, a grande preocupao
estava centrada nos desastres naturais (geolgicos e climatolgicos) na forma
de inundaes, secas, terremotos e tempestades.
Aps a revoluo industrial, os riscos naturais foram substitudos por
aqueles gerados pelo prprio homem; nos Estados Unidos, os acidentes
originados dos perigos tecnolgicos, representam de 15 a 20% da mortalidade
humana e tem ultrapassado significativamente daqueles naturais, em termos
do impacto perante a sociedade, custo e importncia (Leveson et al, 1997).
Uma das ferramentas mais poderosas no gerenciamento de riscos o
conhecimento. Na era do conhecimento, onde a informao considerada um
dos principais patrimnios de grande parte das organizaes, esta deve ser
tratada como tal, sendo protegida nos seus aspectos de disponibilidade,
integridade, confidencialidade e autenticidade, seguindo a linha adotada pelo
Governo Federal. Neste contexto, o gerenciamento de risco indica os caminhos
e as informaes que devem ser protegidas.
Conceitos Bsicos
Risco
o Uma expectativa de perda expressada como a probabilidade de que
uma ameaa em particular poder explorar uma vulnerabilidade com
um possvel prejuzo;
o Risco pode se definido como uma medida da incerteza associada
aos retornos esperados de investimentos (Duarte Jnior, 2004);
o Subentende-se por risco, o nvel do perigo combinado com: (1) a
probabilidade de o perigo levar a um acidente e, (2) a exposio ou
durao ao perigo (algumas vezes denominado de latente); algumas
vezes, o risco limitado ao relacionamento entre o perigo e o
acidente, ou seja, a probabilidade do perigo conduzir a um acidente,
mas no da probabilidade do perigo ocorrer (Leveson et al, 1997);
o Conforme (Scoy, 1992), risco no ruim por definio, o risco
essencial para o progresso e as falhas decorrentes so parte de um
processo de aprendizado.
71
Nvel do perigo
Gravidade
Propabilidade de
Exposio
Probabilidade do perigo
do perigo
ocorrncia do perigo
ao perigo
conduzir a um acidente.
Importncia da Informao
Para que o processo de classificao possa ser guiado com xito, no
dependendo exclusivamente da avaliao do consultor de segurana, faz-se
72
73
Proteger contra o qu ?
O objetivo da segurana da informao proteg-la contra riscos. Em
linhas gerais, riscos so eventos ou condies que podem ocorrer e, caso
realmente ocorram, podem trazer impactos negativos para um determinado
ativo (no caso, a informao).
Como pode ser percebida atravs da leitura da afirmao acima, a
incerteza a questo central do risco. Estamos trabalhando com hipteses: a
probabilidade de ocorrncia de uma situao e o grau do dano (severidade)
decorrente de sua concretizao.
Mas vamos a questes mais prticas: uma vez quantificado o valor de
uma informao, devem ser levantados os meios em que esta se encontra,
tanto armazenado quanto em trnsito, e delimitado o escopo de atuao.
Escopos infinitos caracterizam um dos erros mais comuns cometidos durante
74
um Gerenciamento de Riscos.
Cabe aqui a ressalva de que nosso objetivo proteger a informao,
no o ativo que a contm. De que adianta investir na proteo de um servidor
de rede, por exemplo, que no armazena nenhuma informao crtica ao
negcio? Os esforos devem ser concentrados no que realmente significativo
para a empresa.
Riscos Financeiros
Riscos da
Informao
Riscos de
Pessoal
Riscos Fiscais
NEGCIO
Riscos Jurdicos
Riscos de Incidente
Riscos da
Cadeia Produtiva
Riscos de
crdito
75
76
77
Importncia para o negcio Cada objetivo deve ser avaliado sobre a sua
importncia para o negcio da organizao.
Probabilidade de ocorrncia Os riscos devem ser analisados sob a
probabilidade de sua ocorrncia. Impacto no negcio Cada ocorrncia de
risco traz impactos diferentes para o negcio da organizao. Identificar o
grau desse impacto ser um dado importante para a priorizao desse
processo.
Grau de minimizao do risco As aes definidas para minimizar um risco
possuem um grau de eficcia. Quanto mais eficazes forem, maior o poder
de minimizao do risco.
Esforo a ser gasto O esforo associado para que a ao possua uma
boa eficcia um parmetro a ser considerado. Muito esforo em aes
que minimizem riscos de pequeno impacto no negcio significa um ponto de
ateno.
A Anlise
A anlise de risco consiste em um processo de identificao e avaliao
dos fatores de risco presentes e de forma antecipada no Ambiente
Organizacional, possibilitando uma viso do impacto negativo causado aos
negcios.
Atravs da aplicao deste processo, possvel determinar as
prioridades de ao em funo do risco identificado, para que seja atingido o
nvel de segurana desejado pela organizao. Proporciona tambm
informaes para que se possa identificar o tamanho e o tipo de investimento
necessrio de forma antecipada aos impactos na Organizao causados pela
perda ou indisponibilidade dos recursos fundamentais para o negcio. Sem um
processo como este no so possveis identificar a origem das
vulnerabilidades, nem visualizar os riscos.
Utiliza-se como mtrica as melhores prticas de segurana da
78
RISCO =
Probabilidade
De um evento
Ameaas
Vulnerabilidades
Conseqncia
do evento
Danos Materiais
Interrupes
Imagem
Multas
79
Projeto
Projetode
de
Sistema
Sistema
Falha
Falhaou
ou
Fraqueza
Fraqueza??
SIM
No
Noexiste
existerisco
risco
No
Noexiste
existerisco
risco
&&
Existe
ExisteAmeaa
Ameaa! !
NO
Risco
Riscoaceitvel
aceitvel
Existe
Existeuma
uma
vulnerabilidade
vulnerabilidade
para
paraum
umataque
ataque
NO
NO
Custo
Custodo
do
Ataque
Ataque<<
Ganho
Ganho
SIM
Pode
Podeser
ser
explorado
explorado??
SIM
Perda
Perda>>
Custo
Custoda
da
defesa
defesa
NO
Risco
Riscoaceitvel
aceitvel
SIM
RISCO
RISCOINACEITVEL
INACEITVEL
Inteno
Inteno
Projeto
Projetode
de
Sistema
Sistema
Falha
Falhaou
ou
Fraqueza
Fraqueza??
80
SIM
Crtico
Crticopara
para
Segurana?
Segurana?
SIM
Existe
Existeuma
uma
vulnerabilidade
vulnerabilidade
explorar
exploraraa
fraqueza
fraqueza
NO
NO
No
Noexiste
existerisco
risco
No
Noexiste
existerisco
risco
Existe
ExisteAmeaa
Ameaa! !
Perda
Perda>>
Custo
Custoda
da
defesa
defesa
SIM
RISCO
RISCOINACEITVEL
INACEITVEL
NO
Risco
Riscoaceitvel
aceitvel
Estudo de Caso
Descrio:
O desenho acima mostra o site de uma empresa que abrigar um novo CPD.
O terreno cercado por grades ( aprox. 2 metros), com 4 portes:
Porto A: entrada para o bloco A
Porto B: entrada de funcionrios e de caminhes para carga e descarga
Porto C: atualmente desativado (porto grande)
Porto D: entrada de pedestres(porto pequeno)
81
82
CAPTULO X
Contingncia ou Plano de Continuidade de Negcios
Num mundo de negcios competitivo como o de hoje, as empresas
simplesmente no podem mais ficar indisponvel para seus clientes mesmo que
tenham problemas com seus processos de negcios, recursos e / ou dados e
informaes. Velocidade de processamento e de decises, altssima
disponibilidade, flexibilidade e foco em produtos de acordo com o mercado so
requisitos fundamentais para "sobrevivncia e sucesso". Porm, se no houver
Planejamento para Segurana e Contingncia adequados, alguns ou at todos
requisitos estaro ameaados e, conseqentemente, a empresa ameaada.
Definies
Conceitos10
Diferentemente do que se pensava h alguns anos sobre definio de
Continuidade de Negcio, quando o conceito estava associado sobrevivncia
das empresas principalmente atravs das suas estratgias comerciais,
reduo de custos com produtividade e fortalecimento da marca , observa-se
atualmente uma mudana que cria um novo conceito associado a um modelo
de gesto mais abrangente, onde todos os componentes e processos
essenciais ao negcio tenham os seus risco de inoperncia ou paralisao
minimizadas por Planos de Continuidade de Negcios atualizados,
10
(Plachta, 2001)
83
84
Justificando
Mesmo sem ter planos formais de contingncia, atravs dos
questionamentos abaixo um alto executivo pode saber se a sua organizao
est preparada para o inevitvel:
Estratgias de Contingncia11
11
(Smola, 2003)
85
86
Planos de Contingncia
So desenvolvidos para cada ameaa considerada em cada um dos
processos do negcio pertencentes ao escopo, definindo em detalhes os
procedimentos a serem executados em estado de contingncia.
acertadamente subdividido em trs mdulos distintos e complementares que
tratam especificamente de cada momento vivido pela empresa.
87
Riscos Envolvidos
So vrios os riscos envolvidos na criao e anlise de um Plano de
Contingncia. Observe a figura abaixo.
88
Mais Informaes
O NIST National Institute of Standards and Technology
(http://www.nist.gov/) criou um documento intitulado Contingency Planning
Guide for Information Technology Systems que demonstra os conceitos j
explicados aqui e mtodos / exemplos de como aplicar e realizar um Plano de
Continuidade de Negcios.
Estudo de Caso
Os desastres acontecidos no envolvem computao. Entretanto, eles
testaram o gerenciamento e ambos os negcios teriam se convertido em
grandes perdas caso os mesmos no tivessem sido administrados
efetivamente.
89
90
91
92
93
94
95
96
CAPTULO XI
Auditoria em Informtica
Introduo
O crescente uso dos computadores nas empresas bem como a sua
importncia estratgica, vem fazendo com que as empresas se preocupem em
aumentar o controle sobre os departamentos de processamento de dados, j
que estes controlam informaes vitais empresa.
Este controle feito atravs de um processo de Auditoria, que visa
descobrir as irregularidades em tais departamentos (caso seja feito em
microcomputadores) ou nos centros de processamento da empresa. A
Auditoria tambm identifica os pontos que iro desagradar a alta administrao
para que estes possam ser corrigidos.
Como no passado, a base da investigao era restrita ao setor da
finanas, as empresas no viam o porqu de manter um departamento
somente de auditores, preferindo contratar empresas prestadoras deste
servio. Atualmente com a proliferao do comutador, j necessrio manter
um departamento de auditoria interna.
A prtica deste tipo de auditoria iniciou-se nos Estados Unidos e na
Europa na dcada de 80. Como as tcnicas de processamentos e as maneiras
de burlar os controles vem evoluindo de maneira rpida, os auditores devem
estar sempre atentos a tais mudanas.
A Auditoria de processamento de dados deve abranger todas as reas
de um departamento de processamento de dados:
Coordenao de Problemas
Coordenao de Mudanas
Sistemas em Processamento Batch (em srie)
Recuperao de desastre
Capacidade dos Sistemas
Desempenho dos Sistemas
Desenvolvimento de Sistemas
Sistemas em Processamento On-Line (linha por linha)
Sistemas Financeiros
Rede de Telecomunicaes
Segurana de informao
Centro de computao
Microcomputador
Distribuio dos Custos
97
98
Pr-Auditoria
Nesta fase enviado ao departamento a ser auditado um anncio,
atravs de um notificao formal do setor de auditoria ou pelo setor de Controle
Interno da empresa. Este anncio deve ser feito com at duas semanas de
antecedncia e dever especificar quais sero as reas a ser auditadas, com
seus respectivos planos de trabalho.
Ainda destro desta fase, sero feitas as primeiras reunies da alta
administrao com os auditores visando esclarecer os pontos e planos de
trabalho.
Nesta fase o grupo Auditor deve preparar as atividades administrativas
necessrias para a realizao da auditoria, definir as reas a auditar, orientar o
grupo de auditores quanto a estratgia a ser adotada, preparar o documento de
anncio e anunciar o setor da Auditoria.
O setor a ser auditado deve preparar as atividades administrativas de
apoio ao Grupo Auditor, educar o pessoal do setor quanto ao processo que
ser utilizado, deliberar (resolver aps examinar) quais informaes so
necessrias ao processo e fazer uma reviso final no setor.
Auditoria
Terminadas as reunies iniciais e aps definir as aes que sero
tomadas, inicia-se a auditoria. O Auditor-chefe far as solicitaes por escrito e
com data de retorno do representante do setor auditado.
De acordo com as datas preestabelecidas (na pr-auditoria) sero feitas
reunies onde os fatos identificados sero expostos e entregue um relatrio
destes fatos ao representante do setor auditado para que este emita, por meio
de outro relatrio as razes de estar em desacordo.
Se tais razes no forem aceitas pelo grupo Auditor, elas faro parte do
relatrio denominado Sumrio Executivo, que apresentado alta diretoria da
empresa. Dentro deste mesmo relatrio constar uma Avaliao Global da
situao da rea de informtica que est sendo auditada. Geralmente a
auditoria dura cerca de seis semanas.
Nesta fase, o Grupo Auditor deve avaliar os Controles (ou seja, como a
rea auditada funciona); documentar os desvios encontrados (falhas); validar
as solues, preparar o relatrio final e apresent-lo para a Presidncia.
O Setor auditado deve prover as informaes necessrias ao trabalho da
auditoria, analisar a exposio dos desvios encontrados, entender os desvios
encontrados, desenvolver planos de ao que solucionaro os desvios
encontrados, corrigir as exposies e revisar o Sumrio Executivo.
Ps-Auditoria
Terminada a auditoria, o grupo auditor emite um relatrio final
detalhando as suas atividades. Este relatrio conter o objetivo da Auditoria, as
99
100
101
102
CAPTULO XII
Legislao
Legislao Brasileira e Instituies Padronizadoras
A segurana de informaes, em funo de sua grande importncia para
a sociedade modera, deu origem a diversos grupos de pesquisa, cujos
trabalhos muitas vezes so traduzidos em padres de segurana, e a projetos
legislativos que visam tratar do assunto sob o aspecto legal, protegendo os
direitos da sociedade em relao a suas informaes e prevendo sanes
legais aos infratores.
Em geral, os padres de segurana so utilizados no mbito
internacional, enquanto as leis e normas so normalmente estabelecidas em
carter nacional, podendo haver, entretanto, similaridade entre as legislaes
de pases diferentes.
Para implantar segurana de informaes, recomendvel, portanto,
que a instituio pesquise e sempre se mantenha atualizada quanto
legislao aplicvel e aos padres de segurana estabelecida por organismos
nacionais e internacionais.
A nossa legislao, com relao segurana de informaes, no est
to consolidada como a legislao americana, porm j existem alguns
dispositivos legais sobre assuntos relativos informtica, direitos autorais e
sigilo de informaes:
103
Consideraes12
A Internet a mdia mais segura, e a mais insegura, que existe. J ,
estatisticamente, onde ocorre a maioria das fraudes, invases de privacidade, e
outros ilcitos cveis e criminais. Por outro lado, tecnicamente, a que oferece
maiores condies de garantia de integridade, procedncia e autenticidade nas
comunicaes. Como se situa a lei, entre esses dois plos ?
Em primeiro lugar, cabe lembrar que bem antes da Internet, essa
questo j se apresentava, em face da armazenagem eletrnica, das
transmisses de dados em redes fechadas, do intercmbio eletrnico de dados
(EDI), etc., sem que existissem leis de assinatura digital, contratos eletrnicos,
e semelhantes. Como, ento, o Direito dava conta dessas situaes ?
Simples: fazendo uso de dois princpios fundamentais, o da autonomia
da vontade ("o contrato lei entre as partes") e o da responsabilidade civil
("quem causa um dano ilicitamente, deve repar-lo"). Por exemplo, em
contratos de EDI se estipulava obrigao de sigilo em relao a senhas, e
reconhecimento da validade de mensagens eletrnicas para fins de prova
documental. E o fabricante de computadores ficava sujeito a consertar ou
indenizar qualquer defeito.
Porm, havia, e continua a haver, um detalhe. que a alta sofisticao
da informtica, e a dependncia que ela gera, so associadas as maiores
responsabilidades, tanto para os fornecedores de solues de informtica,
quanto para os que dela se utilizam para oferecer bens ou servios a terceiros.
Nos EUA, chegaram at a tentar criar a expresso computer malpractice,
para elevar o nvel de responsabilidade do setor equiparando-o severidade
dos erros mdicos, denominados medical malpractice. No mundo inteiro, os
prejuzos da informtica geram indenizaes maiores, e o uso de
computadores costuma ser classificado como agravante no julgamento de
crimes.
12
(Almeida, 2001)
104
Crime digital13
O crime digital em todas as suas formas um Crime de Meio, um crime
corriqueiro que cometido atravs do uso do computador, e no uma nova
modalidade de crime nunca visto antes. Logo, a questo de se punir os
criminosos digitais no tanto pela falta de leis que o permitam, mas tambm
pelo despreparo do poder de polcia em lidar contra os atos ilegais com as
ferramentas que se encontram disponveis na jurisdio brasileira.
um fato conhecido de que a justia brasileira lenta tanto em
processar quanto legislar, porm com a existncia da tipificao dos crimes j
na legislao, e apenas a necessidade de se utilizar os ditos tipos de crimes no
mbito da informtica ajuda a agilizar eventuais processos contra criminosos
digitais.
Os crimes que podemos analisar ento so aqueles cujo fim est
coberto pelo mbito da legislao j vigente, divididos entre crimes contra a
pessoa, crimes contra o patrimnio, crimes contra a propriedade imaterial,
crime contra os costumes, crimes contra a incolumidade pblica, crimes contra
a paz pblica e outros crimes menos comuns. Ser exemplificado, a seguir,
formas digitais da ocorrncia destes crimes.
13
105
106
107
108
de um crime a uma pessoa que o tenha cometido. Esta ligao pode ser
efetuada por testemunhos, por anlises forenses laboratoriais ou por provas
materiais como fotos e filmagens, por exemplo.
No mundo digital, no entanto, h uma complicao a isso: como garantir
que uma pessoa realmente utilizou tal computador para efetuar um crime? As
tcnicas forenses so utilizadas para determinar com exatido qual computador
foi utilizado e quais as aes do criminoso digital, porm difcil de se ligar
uma pessoa ao ato criminoso. Esta exatamente a maior dificuldade em se
reprimir o crime digital. Para poder autuar um criminoso digital, necessrio
um conjunto muito grande de provas circunstanciais ou ento de uma autuao
em flagrante delito; dadas s dimenses da Internet, onde o crime pode ser
cometido em qualquer lugar do mundo e a partir de qualquer outro lugar do
mundo, o flagrante instantneo de mostra difcil de se obter, logo necessria
sempre uma investigao profunda na qual se permite que o delito seja
praticado s vezes at mais de uma vez, para que se possa obter uma
autuao em flagrante.
109
CAPTULO XIII
Segregao de Ambiente e Funes
Introduo
Um dos muitos itens que constam na norma a segregao de funo.
A segregao de funo pode ser explicada com um exemplo simples: um DBA
cria a base dados, um programador ir criar os programas que trabalham com
esta base, mas ser o usurio que ir popular a base. Nem o DBA e nem o
programador poder ter permisses para alterar as informaes cadastradas
pelo usurio do sistema.
A segregao de ambientes, consiste em trabalhar com pelo menos 3
ambientes idnticos em termos de configurao de mquina (ou no mnimo, em
termos de funcionalidade) e software, estes ambientes so chamados
popularmente de Desenvolvimento, Homologao e Produo. Teoricamente, o
programador somente tem acesso total no ambiente de desenvolvimento. O
processo de transferncia de software de um ambiente para outro, deve ser
realizada por uma pessoa ou rea especfica e deve estar o mais bem
documentado possvel.
A proteo destes ambientes simples, o desenvolvedor somente tem
acesso ao ambiente de desenvolvimento (baseando em autenticao do
prprio sistema operacional, com login e senha) e ele no pode ter o domnio
de nenhuma chave de acesso aos ambientes de homologao e produo (no
pode ter acesso ao sistema operacional e nem ao banco de dados destes
ambientes). Caso exista a necessidade de um acesso, deve ser criada uma
chave temporria de acesso e todas as informaes (comandos de sistema
operacional e banco de dados) devem ser registradas.
A empresa deve ter uma norma rgida para tentativas de acesso
indevidas e detectadas. Deve-se estabelecer uma poltica clara e que deve ser
cumprida. Uma sugesto de punio uma multa para o funcionrio infrator
com possvel demisso no caso de re-incidncia.
Vamos ver os conceitos a seguir, extrados diretamente da norma.
Segregao de Funes
A segregao de funes um mtodo para reduo do risco de mau
uso acidental ou deliberado dos sistemas. Convm que a separao da
administrao ou execuo de certas funes, ou reas de responsabilidade, a
fim de reduzir oportunidades para modificao no autorizada ou mau uso das
informaes ou dos servios, seja considerada.
As pequenas organizaes podem considerar esse mtodo de controle
110
difcil de ser implantado, mas o seu princpio deve ser aplicado to logo quanto
possvel e praticvel. Onde for difcil a segregao, convm que outros
controles, como a monitorao das atividades, trilhas de auditoria e o
acompanhamento gerencial sejam considerados. importante que a auditoria
da segurana permanea como uma atividade independente.
Convm que sejam tomados certos cuidados para que as reas nas
quais a responsabilidade seja apenas de uma pessoa no venha a ser alvo de
fraudes que no possam ser detectadas. Recomenda-se que o incio de um
evento seja separado de sua autorizao. Recomenda-se que os seguintes
controles sejam considerados:
111
112
CAPTULO XIV
A Questo Humana na Segurana da Informao
Os avanos tecnolgicos, principalmente na rea dos computadores,
tm permitido a automao de muitos processos e trabalhos antes manuais,
em uma variedade de aplicaes, em geral com foco no aspecto econmico e
relacionado ao aumento da produtividade, na reduo dos custos, alm de
outros objetivos como a reduo da fadiga e de tempo em processos
repetitivos, preciso no manuseio de informaes, etc. Contudo, os
equipamentos de automao agregam um alto valor monetrio no processo,
como os custos dos equipamentos, dos custos decorrentes da prpria
operao, manuteno e de treinamento aos operadores; por outro lado, em
determinadas aplicaes, necessrio aplicao da redundncia nos
equipamentos para que os nveis de confiabilidade sejam garantidos (Leveson
et al, 1997).
113
Processo
Pessoas
Tecnologia
Comportamento Firewall
Polticas
PKI
Cultura
Estrutura
IDS
Papeis
Estratgia
Conscientizao
Relao dos componentes de uma empresa.
114
Ttico
Operacional
Tcnicos ou
Usurios
Pessoal de
segurana
115
116
CAPTULO XV
Um modelo para Implantao da Segurana
Conforme (Stoneburner, 2001), o modelo de segurana descrito na
prxima figura que mostra os servios preliminares e os elementos usados
para suportar e executar a segurana da tecnologia de informao, junto com
seus relacionamentos preliminares. O modelo classifica tambm os servios
de acordo com sua finalidade preliminar como segue:
Transaes
TransaesPrivadas
Privadas
Preveno
No
Norepdio
repdio
Autenticao
Autenticao
Usurio
Usurio
ou
ou
Processo
Processo
Autorizao
Autorizao
Controle
Controlede
deAcesso
Acesso
Deteco
Detecode
deIntrusos
Intrusos
eeConfinamento
Confinamento
Recuperao
Suporte
Auditoria
Auditoria
Verificador
Verificadorde
de
Integridade
Integridade
Retorno
Retornoaaum
um
Estado
EstadoSeguro
Seguro
Proteo
Proteodas
dasComunicaes
Comunicaes
(visualizao,
substituio,
(visualizao, substituio,modificao
modificaoeere-envio)
re-envio)
Identificao
Identificao
Gerenciamento
Gerenciamentode
deChaves
Chavesde
deCriptografia
Criptografia
Administrao
Administraoda
daSegurana
Segurana
Sistemas
de
Proteo
Sistemas de Proteo
(privilgios,
(privilgios,reuso
reusode
deobjetos,
objetos,separao
separaode
deprocessos,
processos,etc)
etc)
Recurso
Recurso
117
118
119
Preveno
Recuperao
Suporte
Usurio
Usurio
ou
ou
Processo
Processo
Autorizao
Autorizao
Controle
Controlede
deAcesso
Acesso
Deteco
Detecode
deIntrusos
Intrusos
eeConfinamento
Confinamento
Verificador
Verificadorde
de
Integridade
Integridade
Recurso
Recurso
Retorno
Retornoaaum
um
Estado
EstadoSeguro
Seguro
Proteo
Proteodas
dasComunicaes
Comunicaes
(visualizao,
substituio,
(visualizao, substituio,modificao
modificaoeere-envio)
re-envio)
Identificao
Identificao
Gerenciamento
Gerenciamentode
deChaves
Chavesde
deCriptografia
Criptografia
Transaes
TransaesPrivadas
Privadas
120
Preveno
Recuperao
Suporte
Usurio
Usurio
ou
ou
Processo
Processo
Autorizao
Autorizao
Controle
Controlede
deAcesso
Acesso
Recurso
Recurso
Proteo
Proteodas
dasComunicaes
Comunicaes
(visualizao,
substituio,
(visualizao, substituio,modificao
modificaoeere-envio)
re-envio)
Identificao
Identificao
Gerenciamento
Gerenciamentode
deChaves
Chavesde
deCriptografia
Criptografia
121
Preveno
No
Norepdio
repdio
Recuperao
Suporte
Usurio
Usurio
ou
ou
Processo
Processo
Auditoria
Auditoria
Recurso
Recurso
Controle
Controlede
deAcesso
Acesso
Identificao
Identificao
Gerenciamento
Gerenciamentode
deChaves
Chavesde
deCriptografia
Criptografia
122
Preveno
Recuperao
Autenticao
Autenticao
Usurio
Usurio
ou
ou
Processo
Processo
Suporte
Auditoria
Auditoria
Controle
Controlede
deAcesso
Acesso
Deteco
Detecode
deIntrusos
Intrusos
eeConfinamento
Confinamento
Verificador
Verificadorde
de
Integridade
Integridade
Retorno
Retornoaaum
um
Estado
EstadoSeguro
Seguro
Proteo
Proteodas
dasComunicaes
Comunicaes
(visualizao,
substituio,
(visualizao, substituio,modificao
modificaoeere-envio)
re-envio)
Identificao
Identificao
Sistemas
Sistemasde
deProteo
Proteo
(privilgios,
reuso
de
objetos,
separao
(privilgios, reuso de objetos, separaode
deprocessos,
processos,etc)
etc)
Recurso
Recurso
123
CAPTULO XVI
Instituies Padronizadoras e Normas de Segurana
Pequeno histrico sobre o surgimento das Normas de
Segurana16
Desde o incio da civilizao humana h uma preocupao com as
informaes e com os conhecimentos atrelados a elas. Inicialmente, esta
ateno especial pode ser observada no processo de escrita de alguns povos,
como o caso da antiga civilizao egpcia, na qual somente as castas
"superiores" da sociedade tinham acesso aos manuscritos da poca, e menos
pessoas ainda ao processo de escrita dos mesmos. Assim a escrita, por meio
de hierglifos do Egito antigo, representa uma das vrias formas utilizadas
pelos antigos de protegerem e, ao mesmo tempo, perpetuarem o seu
conhecimento.
Contudo, somente na sociedade moderna, com o advento do surgimento
dos primeiros computadores, houve uma maior ateno para a questo da
segurana das informaes. De incio, esta preocupao era ainda muito
rudimentar, porm com o passar do tempo este processo mudou.
A questo da segurana no mbito dos computadores ganhou fora com
o surgimento das mquinas de tempo compartilhado, tambm conhecidas
como computadores "time-sharing", ou seja, que permitiam que mais de uma
pessoa, ou usurio, fizesse uso do computador ao mesmo tempo, processo
comum na atualidade, mas que at ento no era possvel.
O "time-sharing" permitiu que vrios usurios pudessem acessar as
mesmas informaes, contudo este acesso no gerenciado poderia gerar
efeitos indesejveis, tal como: um estagirio pode ter acesso aos dados do
presidente da firma. Logo, nasce necessidade da implementao de
ferramentas que implementem o fornecimento de mecanismos para minimizar o
problema do compartilhamento de recursos e informaes de forma insegura.
Neste perodo foi ento caracterizado o que ficara conhecido como o
"problema clssico de computadores", o qual pode ser resumido na seguinte
questo: "Como fazer com que usurios autorizados possam ter acesso a
determinadas informaes, ao mesmo tempo em que os usurios no
autorizados no possam acess-las ?".
Todavia, a resposta para a pergunta acima no era, e ainda no ,
trivial. A primeira resposta, sugerida na poca para solucionar o problema foi
construo de um Sistema Operacional (S.O.) melhor, mais aprimorado.
16
(Gonalves, 2003)
124
125
126
127
avaliao.
Em 1998 esse documento foi publicado como BS7799-2:1998. Nesse
ano, a lei britnica, denominada Ato de Proteo de Dados, recomendou a
aplicao da norma na Inglaterra, o que viria a ser efetivado em 1o de maro
de 2000.
Em maio de 2000 o BSI homologou a primeira parte da BS7799. Em
outubro do mesmo ano, na reunio do comit da ISO em Tquio, a norma foi
votada e aprovada pela maioria dos representantes. Os representantes dos
pases ricos, excetuando a Inglaterra, foram todos contra a homologao, mas,
sob votao, venceu a maioria e a norma foi homologada em 1o. de dezembro
como ISO/IEC 17799:2000.
Em abril de 2001 a verso brasileira da norma ISO foi posta em consulta
pblica. Em setembro de 2001, a ABNT homologou a verso brasileira da
norma, denominada NBR ISO/IEC 17799.
A atual norma inglesa BS7799 no se limita a aspectos meramente
tcnicos de processamento, IT e redes, mas abrange todos os aspectos de
segurana da organizao. Os itens so:
1
2
3
4
5
6
7
8
9
10
Poltica de Segurana;
Organizao da Segurana;
Gesto de Ativos;
Segurana de Pessoal;
Gesto da Segurana Fsica;
Procedimentos de Operao de Processamento de Dados e de Rede;
Controle de Acesso;
Procedimentos de Desenvolvimento e Manuteno de Sistemas;
Gesto da Continuidade de Negcios;
Aderncia Legislao.
COBIT
O CobiT (Control Objectives for Information and related Technology)
pode ser traduzido como Objetivos de Controle para a Informao e Tecnologia
relacionada. Publicado pela ISACA (Information Systems Audit and Control
Foundation) em 1996, o CobiT est em sua terceira edio, marcando sua
transferncia para o IT Governance Institute, e acrescentando em sua estrutura
as guias de gerenciamento requeridas pela governana corporativa.
O CobiT foi desenvolvido com base no consenso de especialistas de
todo o mundo no que concerne as melhores prticas e metodologias, tais como
cdigos de conduta (Conselho Europeu, OECD, ISACA etc.) critrios de
qualificao para os sistemas e processos de TI (ITSEC, TCSEC, ISO 9000,
SPICE, TickIT, Common Criteria etc.), padres profissionais para controle
interno e auditoria (COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO etc.),
prticas de mercado e requerimentos legais, governamentais e especficos dos
128
129
TESTES E EXERCCIOS
Relacione os dez recursos de informtica mais importantes de sua
organizao e as dez ameaas de maior gravidade e justifique.
Estruture um check list, com as dez questes principais que, em sua
opinio, devam ser contempladas para auditoria da segurana de um sistema
aplicativo.
QUESTES A CONSIDERAR
Quais os eventos determinantes do ciclo administrativo (planejamento,
execuo, controle, auditoria), em cada nvel administrativo (operacional, ttico,
estratgico), da segurana em informtica de sua organizao ?
Por que segurana em informtica um elemento bsico da qualidade
em informtica ?
Quais as prticas de gesto estratgica e ttica vigentes em sua
organizao ?
130
Referncias Bibliogrficas
REZENDE, Denis Alcides e ABREU, Aline Frana. Tecnologia da Informao
Aplicada a Sistemas de Informao Empresariais. Editora Atlas. So Paulo,
2000.
-------. NBR ISO/IEC 17799 Tecnologia da Informao. Cdigo de Prtica
para Gesto da Segurana da Informao. Associao Brasileira de Normas
Tcnicas. Rio de Janeiro, 2003.
DIAS, Cludia. Segurana e Auditoria da Tecnologia da Informao. Axcel
Books. Rio de Janeiro, 2000.
WADLOW, Thomas. Segurana de Redes. Editora Campus. Rio de Janeiro,
2000.
ABREU, Dimitri. Melhores Prticas para Classificar as Informaes. Mdulo
e-Security Magazine. So Paulo, agosto 2001. Disponvel em
www.modulo.com.br. Acessado em: 17/03/2004.
DeMARCO, Tom e LISTER Timothy. Peopleware Como Gerenciar Equipes
e Projetos Tornados-os mais Produtivos. Editora McGraw-Hill. So Paulo,
1990.
SHIREY, R. RFC 2828 Internet Security Glossary. The Internet Society,
2000.
Disponvel
em:
http://www.ietf.org/rfc/rfc2828.txt?number=2828.
Acessado em: 08/04/2004.
KRAUSE, Micki e TIPTON, Harold F. Handbook of Information Security
Management. Auerbach Publications, 1999.
LAUREANO, Marcos Aurelio Pchek. Uma Abordagem Para a Proteo de
Detectores de Intruso Baseadas em Mquinas Virtuais. Dissertao de
Mestrado apresentado ao Programa de Ps-Graduao em Informtica
Aplicada da Pontifcia Universidade Catlica do Paran, 2004.
KATZAM JR, Harry. Segurana de em Computao. Editora LTC. Rio de
Janeiro, 1977.
MARTIN, James. Engenharia da Informao Introduo. Editora Campus.
Rio de Janeiro, 1991.
SYNNATT, William R. The Information Weapon Winning Customers and
Markets with Tecnhonology. Editora John Wiley & Sons, 1987.
FELICIANO NETO, Accio; FURLAN, Jos Davi e HIGO, Wilson. Engenharia
da Informao Metodologia, Tcnicas e Ferramentas. Editora McGrawHill. So Paulo, 1988.
131
Disponvel
em
132
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=2&objid=287&pagecou
nter=0&idiom=0. Acessado em: 21/09/2004
LAUDON, Kenneth C. e LAUDON, Jane P. Sistemas de Informao
Gerenciais. Prentice Hall; So Paulo, 2004.
LAUREANO, Marcos Aurelio Pchek. Firewall com IPTABLES no LINUX,
2002.
Disponvel
em:
http://www.ppgia.pucpr.br/~laureano/guias/GuiaFirewallIptables.htm. Acessado
em: 24/09/2004.
ALMEIDA, Gilberto Martins de. Internet, segurana e leis Como o Direito lida
com
questes
de
informtica
?,
2001.
Disponvel
em:
http://www.radiobras.gov.br/ct/artigos/2001/artigo_220601.htm. Acessado em:
30/09/2004.
RAVANELLO, Anderson Luiz; HIJAZI, Houssan Ali; MAZZORANA, Sidney
Miguel. Honeypots e Aspectos Legais, 2004. Dissertao de Especializao
em Redes e Segurana Pontifcia Universidade Catlica do Paran.
Programa de Ps-Graduao em Informtica Aplicada. Curitiba - PR.
PLACHTA, Claudio. Plano de Continuidade de Negcios - Garantindo a
sobrevivncia, 2001. Mdulo Security Magazine. Disponvel em:
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=2&objid=249&pagecou
nter=0&idiom=0. Acessado em: 01/02/2004.
GONALVES, Lus Rodrigo de Oliveira. Pequeno histrico sobre o
surgimento das Normas de Segurana, 2003. Mdulo Security Magazine.
Disponvel
em:
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=2&objid=344&pagenum
ber=0&idiom=0. Acessado em: 30/03/2004.
CHIN, Liou Kuo. Rede Privada Virtual - VPN, 1998. Boletim bimestral sobre
tecnologia de redes. RNP Rede Nacional de Ensino e Pesquisa, 1998. Vol. 2,
N 8. Disponvel em: http://www.rnp.br/newsgen/9811/vpn.html. Acessado em:
16/10/2004.