Escolar Documentos
Profissional Documentos
Cultura Documentos
Apostila - Versao - 20 - Segurança Da Informação PDF
Apostila - Versao - 20 - Segurança Da Informação PDF
Responsabilidades .................................................................................................. 62
Uso adequado ......................................................................................................... 63
Conseqncias ........................................................................................................ 64
Penalidades ............................................................................................................. 64
Para relaxar e refletir .................................................................................................. 64
Estudo de Caso ........................................................................................................... 64
CAPTULO VIII ............................................................................................................ 66
Barreiras de Segurana ................................................................................................... 66
Cenrio 1 .................................................................................................................... 68
Cenrio 2 .................................................................................................................... 69
Estudo de Caso ........................................................................................................... 69
CAPTULO IX ............................................................................................................... 70
Gerenciamento de Risco................................................................................................. 70
Conceitos Bsicos....................................................................................................... 70
Importncia da Informao......................................................................................... 71
Vale a pena proteger tudo ? ........................................................................................ 73
Proteger contra o qu ? ............................................................................................... 73
Mas como proteger uma informao ? ....................................................................... 74
A Anlise .................................................................................................................... 77
Estudo de Caso ........................................................................................................... 80
CAPTULO X ................................................................................................................ 82
Contingncia ou Plano de Continuidade de Negcios.................................................... 82
Definies................................................................................................................... 82
Conceitos .................................................................................................................... 82
Justificando................................................................................................................. 84
Estratgias de Contingncia........................................................................................ 84
Planos de Contingncia .............................................................................................. 86
Principais fases de elaborao do Plano de Contingncia Corporativo...................... 87
Riscos Envolvidos ...................................................................................................... 87
Mais Informaes ....................................................................................................... 88
Estudo de Caso ........................................................................................................... 88
Caso Tylenol:estudo de caso. ................................................................................. 89
Western Petroleum Transportation Inc. :Estudo de Caso....................................... 93
CAPTULO XI ............................................................................................................... 96
Auditoria em Informtica ............................................................................................... 96
Introduo................................................................................................................... 96
Perfil do Profissional Auditor em Informtica ........................................................... 97
Posicionamento da Auditoria dentro da organizao ................................................. 97
Importncia da Auditoria e suas fases ........................................................................ 97
Pr-Auditoria .......................................................................................................... 98
Auditoria................................................................................................................. 98
Ps-Auditoria.......................................................................................................... 98
Inter-Relao entre auditoria e segurana em informtica ......................................... 99
A atividade de auditoria em segurana de informao............................................... 99
CAPTULO XII............................................................................................................ 102
Legislao..................................................................................................................... 102
Legislao Brasileira e Instituies Padronizadoras ................................................ 102
Consideraes........................................................................................................... 103
Crime digital ............................................................................................................. 104
Gesto de Segurana da Informao 3
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
CAPTULO I
A importncia da Informao
A informao o dado com uma interpretao lgica ou natural dada a
ele por seu usurio (Rezende e Abreu, 2000). A informao tem um valor
altamente significativo e pode representar grande poder para quem a possui. A
informao contm valor, pois est integrada com os processos, pessoas e
tecnologias. A prxima figura demonstra, do ponto de vista estratgico, o
relacionamento dos processos, tecnologias e pessoas.
Objetivos
Estratgico
PROCESSOS PESSOAS
Ttico
Desafios Metas
Operacional
TECNOLOGIAS
Sistema de Informao1
Um sistema de informao pode ser definido tecnicamente como um
conjunto de componentes inter-relacionados que coleta (ou recupera),
processa, armazena e distribui informaes destinadas a apoiar a tomada de
decises, a coordenao e o controle de uma organizao. Alm de dar
suporte tomada de decises, coordenao e ao controle, esses sistemas
tambm auxiliam os gerentes e trabalhadores a analisar problemas, visualizar
assuntos complexos e criar novos produtos.
1
Baseado em (Laudon e Laudon, 2004)
Gesto de Segurana da Informao 6
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
2
Baseado em (Smola, 2003)
Gesto de Segurana da Informao 10
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
CAPTULO II
Confidencialidade Integridade
Integridade Confidencialidade
Disponibilidade Auditoria
SEGURANA
3
Publicao de Steve Bellovin, na lista de distribuio de firewalls em 10 de dezembro de 1992
Gesto de Segurana da Informao 15
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
CAPTULO III
Outros Conceitos
Ameaas
Ataques
Um ataque pode ser ativo, tendo por resultado a alterao dos dados;
passivo, tendo por resultado a liberao dos dados; ou destrutivo visando
negao do acesso aos dados ou servios (Wadlow, 2000).
Vulnerabilidades
A vulnerabilidade o ponto onde qualquer sistema suscetvel a um
ataque, ou seja, uma condio encontrada em determinados recursos,
processos, configuraes, etc.
Ambiente Vulnerabilidade
Computacional
n n
Afeta
Clientes
Impacta Negcio
Imagem
negativamente
Produto
CAPTULO IV
Autenticao e autorizao
A autorizao o processo de conceder ou negar direitos a usurios ou
sistemas, por meio das chamadas listas de controle de acessos (Acess Control
Lists ACL), definindo quais atividades podero ser realizadas, desta forma
gerando os chamados perfis de acesso.
Firewall5
Um firewall um sistema (ou grupo de sistemas) que reforam a norma
de segurana entre uma rede interna segura e uma rede no-confivel como a
Internet. Os firewalls tendem a serem vistos como uma proteo entre a
Internet e a rede privada. Mas em geral, um firewall deveria ser considerado
como um meio de dividir o mundo em duas ou mais redes: uma ou mais redes
seguras e uma ou mais redes no-seguras
5
(Laureano, 2002).
Gesto de Segurana da Informao 22
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Workstation
Workstation Workstation
INTRANET
Pginas WEB
Workstation Workstation
Gesto de Segurana da Informao 24
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Detector de Intrusos6
A maneira mais comum para descobrir intruses a utilizao dos
dados das auditorias gerados pelos sistemas operacionais e ordenados em
ordem cronolgica de acontecimento, sendo possvel inspeo manual
destes registros, o que no uma prtica vivel, pois estes arquivos de logs
apresentam tamanhos considerveis.
Nos ltimos anos, a tecnologia de deteco de intruso (Intrusion
Detection System IDS) tem se mostrado uma grande aliada dos
administradores de segurana. Basicamente, o que tais sistemas fazem
tentar reconhecer um comportamento ou uma ao intrusiva, atravs da
anlise das informaes disponveis em um sistema de computao ou rede,
para alertar um administrador e / ou automaticamente disparar contra-medidas.
Para realizar a deteco, vrias tecnologias esto sendo empregadas em
produtos comerciais ou em projetos de pesquisas, as tecnologias utilizadas
incluem anlise estatstica, inferncia, inteligncia artificial, data mining, redes
neurais e diversas outras.
Um IDS automatiza a tarefa de analisar dados da auditoria. Estes dados
so extremamente teis, pois podem ser usados para estabelecer a
culpabilidade do atacante e na maioria das vezes o nico modo de descobrir
uma atividade sem autorizao, detectar a extenso dos danos e prevenir tal
ataque no futuro, tornando desta forma o IDS uma ferramenta extremamente
valiosa para anlises em tempo real e tambm aps a ocorrncia de um
ataque.
Criptografia
A palavra criptografia tem origem grega (kriptos = escondido, oculto e
grifo = grafia,escrita) e define a arte ou cincia de escrever em cifras ou em
cdigos, utilizando um conjunto de tcnicas que torna uma mensagem
incompreensvel, chamada comumente de texto cifrado, atravs de um
processo chamado cifragem, permitindo que apenas o destinatrio desejado
consiga decodificar e ler a mensagem com clareza, no processo inverso, a
decifragem.
Gesto de Segurana da Informao 26
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Assinatura Digital
Outra grande vantagem dos algoritmos assimtricos, particularmente o
RSA, que o mais conhecido e utilizado atualmente, que o processo
funciona tambm na criptografia no outro sentido, da chave secreta para a
chave pblica, o que possibilita implementar o que se denomina assinatura
digital.
O conceito de assinatura o de um processo que apenas o signatrio
possa realizar, garantindo dessa maneira sua participao pessoal no
processo. Como a chave secreta de posse e uso exclusivo de seu detentor,
um processo de cifragem usando a chave privada do signatrio se encaixa
nesse conceito, permitindo, assim, a gerao de uma assinatura por um
processo digital.
No caso da assinatura digital, inadequado cifrar toda a mensagem ou
documento a ser assinado digitalmente devido ao tempo gasto na criptografia
de um documento utilizando chaves assimtricas. A criptografia aplicada
apenas sobre um identificador unvoco do mesmo. Normalmente utilizado
como identificador o resultado da aplicao de uma funo tipo HASH, que
mapeia um documento digital de tamanho qualquer num conjunto de bits de
tamanho fixo. Ao valor do HASH podem ainda ser anexados a data/hora,
nmero de seqncia e outros dados identificadores, e este conjunto ento
cifrado com a chave secreta do signatrio constituindo a assinatura digital do
documento. A funo de HASH ser explicada em seguida.
Qualquer participante pode verificar a autenticidade de uma assinatura
digital, bastando decifr-la com a chave pblica do signatrio, o qual todos
podem ter acesso. Se o resultado significativo, est garantido o uso da chave
secreta correspondente na assinatura, e portanto sua autenticidade. Resta
ainda comprovar a associao da assinatura ao documento, o que feito
recalculando o HASH do documento recebido e comparando-o com o valor
includo na assinatura. Se forem iguais, prova-se ainda a ligao com o
documento, assim como a integridade (no alterao) do mesmo. Uma vez que
a verificao realizada utilizando a chave pblica, sua validao pode ser
realizada por terceiros, tais como rbitros e auditores.
Gesto de Segurana da Informao 31
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
7
Retirado de (Chin, 1998).
Gesto de Segurana da Informao 32
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Tunelamento
As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja
existncia anterior as VPNs. Ele pode ser definido como processo de
encapsular um protocolo dentro de outro. O uso do tunelamento nas VPNs
incorpora um novo componente a esta tcnica: antes de encapsular o pacote
que ser transportado, este criptografado de forma a ficar ilegvel caso seja
interceptado durante o seu transporte. O pacote criptografado e encapsulado
viaja atravs da Internet at alcanar seu destino onde desencapsulado e
Gesto de Segurana da Informao 34
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Esteganografia8
Do grego "escrita coberta". Ramo particular da criptologia que consiste,
no em fazer com que uma mensagem seja ininteligvel, mas em camufl-la,
mascarando a sua presena. Ao contrrio da criptografia, que procura
esconder a informao da mensagem, a esteganografia procura esconder a
EXISTNCIA da mensagem.
8
Retirado de http://www.numaboa.com.br/criptologia/stegano/index.php em 16/10/2004.
Gesto de Segurana da Informao 37
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
fazia uma bolinha que era envolvida por cera. Em seguida, o mensageiro
engolia a bolinha.
A srie atual de notas foi emitida pelo Banco Nacional Suio - BNS entre
1995 e 1998. Abaixo est a srie completa que esconde uma poro de
"truques" esteganogrficos:
Processos de Segurana
CAPTULO V
Leis Fundamentais
So 10 as leis fundamentais da segurana da informao (Ahmad e
Russel, 2002). Todas as vezes que for necessrio participar de um novo
projeto de software ou infra-estrutura em sua empresa, se preocupe em
respeitar as leis abaixo:
saem;
Ataques sucessivos so possveis como resultado de regras e
polticas incorretas, e de problemas de manuteno.
CAPTULO VI
Processo de Segurana
Segurana no tecnologia, no possvel comprar um dispositivo que
torne a sua empresa segura, assim como no possvel comprar ou criar um
software capaz de tornar seu computador seguro (Wadlow, 2000).
Este processo deve ser feito continuamente, como num crculo vicioso.
Plan (planejar)
Estabelecer Contexto
ISMS e Avaliao de Risco
Partes Partes
Interessadas Interessadas
Expectativas e Gerenciamento
requisies da da Segurana
segurana da Projeto e Implementao Aperfeioamento da Informao.
Do (fazer) Act (agir)
informao. do ISMS ISMS
Monitorao e
Reviso do ISMS
Check (checar)
Gesto de Segurana da Informao 52
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Am eaas
Segurana
Fs
ica
Vulnerabilidades
F
sic
Negcio as
Processos
Vid de Manuseio
clo
a
Ci
Autenticidade
Co
Am eaas
Arm azenam ento
Tecnolgica
nf
ide
e
Am eaas
ad
Tecnologias
Descarte
nc
rid
ial
eg
ida
Int
Inform ao de
Disponibilidade
Legalidade
Transporte
as
Ativos
an
m
Hu
na
uma
H
Am eaas
Plano
Diretor de
Segurana Planejar
realimentao
Percepo de
mudanas
Analisar Monitorar fsicas,
tecnolgicas e
humanas
realimentao
Implementar
realimentao
Situao
Atual
Incio/startup
Gesto de Segurana da Informao 55
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
CAPTULO VII
Polticas de Segurana9
Existe uma antiga piada, contada mais ou menos assim:
9
Captulo baseado em (Wadlow, 2000)
Gesto de Segurana da Informao 56
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Define Poltica de
Plano estratgico
segurana
de informtica
de informaes
Armadilhas
Se uma boa poltica de segurana o recurso mais importante que se
pode criar para tornar uma rede segura, por que a maioria das empresas
considera to difcil criar uma poltica eficiente? Existem vrias razes
principais.
Uma poltica fraca, mas bem-distribuda, melhor do que uma poltica forte
que ningum leu;
Uma poltica simples e facilmente compreendida melhor do que uma
poltica confusa e complicada que ningum se d o trabalho de ler;
Uma poltica cujos detalhes esto ligeiramente errados muito melhor do
que uma poltica sem quaisquer detalhes;
Uma poltica dinmica que atualizada constantemente melhor do que
uma poltica que se torna obsoleta com o passar do tempo;
Costuma ser melhor se desculpar do que pedir permisso.
Divises da Poltica
Vamos a um exemplo:
A frase no disse muito para aqueles que esto procurando "po, po;
queijo, queijo", mas, em compensao, disse tudo para aquele indivduo que se
encontra na seguinte situao:
Gesto de Segurana da Informao 60
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
O telefone toca:
- Preciso que voc libere uma regra do firewall para que eu possa
realizar uma operao.
O que fazer ?
Contedo da Poltica
Algumas questes cuja incluso em uma poltica de segurana dever
ser levada em considerao:
Mtodos de proteo
Descrever as prioridades para a proteo da rede. Por exemplo, as
prioridades organizacionais podero ser as seguintes:
1. Sade e segurana humana;
2. Conformidade com a legislao aplicvel local, estadual e federal;
3. Preservao dos interesses da empresa;
4. Preservao dos interesses dos parceiros da empresa;
5. Disseminao gratuita e aberta de informaes no-sensveis.
Responsabilidades
Descrever as responsabilidades (e, em alguns casos, os privilgios) de
cada classe de usurios do sistema.
Geral
o Conhecimento dessa poltica;
o Todas as aes de acordo com essa poltica;
o Informar segurana qualquer violao conhecida a essa poltica;
o Informar segurana qualquer suspeita de problemas com essa
poltica.
Administrador de segurana
Gesto de Segurana da Informao 63
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Contratado
o Acesso a mquinas especificamente autorizadas na forma
especificamente autorizada;
o Solicitar autorizao prvia por escrito para qualquer ao que
possa ser interpretada como uma questo de segurana.
Convidado
o Nenhum acesso a recursos de computao, a menos que haja
notificao prvia por escrito segurana.
Uso adequado
Como os funcionrios devero ou no usar a rede.
Geral
o Uso pessoal mnimo durante o horrio comercial normal;
o Nenhuma utilizao da rede para atividades comerciais externas;
o Acesso a recursos de Internet consistentes com as polticas de
RH.
Administrador de sistemas
o Acesso responsvel a informaes sensveis ou pessoais na
rede;
o Todo acesso especial justificado por operaes comerciais.
Segurana
o Acesso responsvel a informaes sensveis ou pessoais na
rede;
o Todo acesso especial justificado por operaes comerciais ou
segurana;
o Uso de ferramentas de segurana apenas para objetivos
comerciais legtimos.
Contratado
o Nenhum acesso pessoal a qualquer tempo;
o Uso mnimo da rede e apenas por motivos especficos relativos a
determinados contratos.
Convidado
o Nenhum uso da rede a qualquer tempo
Gesto de Segurana da Informao 64
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Conseqncias
Descrever como determinada a importncia de uma violao da
poltica e as categorias de conseqncias.
Penalidades
Descrever quais as penalidades de acordo com o nvel do
descumprimento de um item da poltica de segurana.
Crtica
o Recomendao para demisso;
o Recomendao para abertura de ao legal
Sria
o Recomendao para demisso;
o Recomendao para desconto de salrio
Limitada
o Recomendao para desconto de salrio
o Repreenso formal por escrito
o Suspenso no-remunerada
Estudo de Caso
Como avaliao parcial da disciplina, vamos analisar o estudo de caso.
QUESTO
1) Escreva polticas de segurana para resolver os problemas
detectados / apontados no texto. Para cada poltica escrita, voc deve justificar
a sua utilizao e ilustrar / descrever uma possvel falha de segurana que
seria evitada se a sua poltica fosse seguida risca. Lembre-se de escrever
uma poltica no nvel estratgico, ttico e operacional.
Gesto de Segurana da Informao 66
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
CAPTULO VIII
Barreiras de Segurana
Conceitualmente, diante da amplitude e complexidade do papel da
segurana, comum estudarmos os desafios em camadas ou fases,
particionando todo o trabalho para tornar mais claro o entendimento de cada
uma delas. Chamamos esta diviso de barreiras.
DIAGNOSTICAR
DISCRIMINAR
DIFICULTAR
NEGCIO
DETECTAR
DETER
Ameaas Ativos
Controles
Crescimento do Impacto
DETECTAR
NEGCIO
DISCRIMINAR
Ameaas Ativos
DIFICULTAR
DIAGNOSTICAR
DETER
Crescimento do Impacto
Cenrio 1
Tome como exemplo uma grande loja de departamentos e 10 possveis
assaltantes (daqueles bem simples, que roubam somente roupas / perfumes /
etc).
Cenrio 2
Num cenrio bancrio, a porta giratria com identificao de metais,
pode ser classificado como um mtodo de desencorajamento, dificuldade (no
fcil passar uma arma), discriminao (identifica uma arma) , deteco e
deteo (pois o suspeito fica preso na porta).
Estudo de Caso
Rever as polticas de segurana criadas por vocs e verificar se as
barreiras esto sendo aplicadas nas polticas;
Gesto de Segurana da Informao 70
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
CAPTULO IX
Gerenciamento de Risco
O risco no um novo problema ou uma nova terminologia; os seres
humanos sempre tiveram de enfrentar (ou encarar) os riscos no seu meio
ambiente, embora seu significado tenha mudado, como tem mudado a
sociedade e o prprio meio onde vive. No passado, a grande preocupao
estava centrada nos desastres naturais (geolgicos e climatolgicos) na forma
de inundaes, secas, terremotos e tempestades.
Conceitos Bsicos
Risco
o Uma expectativa de perda expressada como a probabilidade de que
uma ameaa em particular poder explorar uma vulnerabilidade com
um possvel prejuzo;
o Risco pode se definido como uma medida da incerteza associada
aos retornos esperados de investimentos (Duarte Jnior, 2004);
o Subentende-se por risco, o nvel do perigo combinado com: (1) a
probabilidade de o perigo levar a um acidente e, (2) a exposio ou
durao ao perigo (algumas vezes denominado de latente); algumas
vezes, o risco limitado ao relacionamento entre o perigo e o
acidente, ou seja, a probabilidade do perigo conduzir a um acidente,
mas no da probabilidade do perigo ocorrer (Leveson et al, 1997);
o Conforme (Scoy, 1992), risco no ruim por definio, o risco
essencial para o progresso e as falhas decorrentes so parte de um
processo de aprendizado.
RISCO
Nvel do perigo
Importncia da Informao
Para que o processo de classificao possa ser guiado com xito, no
dependendo exclusivamente da avaliao do consultor de segurana, faz-se
Gesto de Segurana da Informao 72
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Proteger contra o qu ?
O objetivo da segurana da informao proteg-la contra riscos. Em
linhas gerais, riscos so eventos ou condies que podem ocorrer e, caso
realmente ocorram, podem trazer impactos negativos para um determinado
ativo (no caso, a informao).
um Gerenciamento de Riscos.
Riscos da Riscos da
Informao NEGCIO Cadeia Produtiva
Riscos de Riscos de
Pessoal Riscos Jurdicos crdito
Importncia para o negcio Cada objetivo deve ser avaliado sobre a sua
importncia para o negcio da organizao.
Probabilidade de ocorrncia Os riscos devem ser analisados sob a
probabilidade de sua ocorrncia. Impacto no negcio Cada ocorrncia de
risco traz impactos diferentes para o negcio da organizao. Identificar o
grau desse impacto ser um dado importante para a priorizao desse
processo.
Grau de minimizao do risco As aes definidas para minimizar um risco
possuem um grau de eficcia. Quanto mais eficazes forem, maior o poder
de minimizao do risco.
Esforo a ser gasto O esforo associado para que a ao possua uma
boa eficcia um parmetro a ser considerado. Muito esforo em aes
que minimizem riscos de pequeno impacto no negcio significa um ponto de
ateno.
A Anlise
A anlise de risco consiste em um processo de identificao e avaliao
dos fatores de risco presentes e de forma antecipada no Ambiente
Organizacional, possibilitando uma viso do impacto negativo causado aos
negcios.
Probabilidade Conseqncia
RISCO = X
De um evento do evento
Ameaas Vulnerabilidades Danos Materiais
Interrupes
Imagem
Multas
SIM Existe
Projeto
Projetode Falha
SIM Existeuma
uma
de Falhaou
ou Pode
Podeser
ser vulnerabilidade
Sistema Fraqueza vulnerabilidade
Sistema Fraqueza?? explorado
explorado?? para
paraum
umataque
ataque
NO NO
No
Noexiste
existerisco
risco No
Noexiste
existerisco
risco
Custo
Custodo
do SIM Perda
Perda>> SIM
Ataque
Ataque<< Custo
Custoda
da RISCO
RISCOINACEITVEL
INACEITVEL
Ganho
Ganho defesa
defesa
NO NO
Risco
Riscoaceitvel
aceitvel Risco
Riscoaceitvel
aceitvel
Gesto de Segurana da Informao 80
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
SIM Existe
Existeuma
uma
Projeto SIM
Projetode
de Falha
Falhaou
ou Crtico
Crticopara
para vulnerabilidade
vulnerabilidade
Sistema Fraqueza
Sistema Fraqueza?? Segurana?
Segurana? explorar
exploraraa
fraqueza
fraqueza
NO NO
No
Noexiste
existerisco
risco No
Noexiste
existerisco
risco
Existe
ExisteAmeaa
Ameaa! !
Perda
Perda>> SIM
Custo
Custoda
da RISCO
RISCOINACEITVEL
INACEITVEL
defesa
defesa
NO
Risco
Riscoaceitvel
aceitvel
Estudo de Caso
Descrio:
O desenho acima mostra o site de uma empresa que abrigar um novo CPD.
O terreno cercado por grades ( aprox. 2 metros), com 4 portes:
Porto A: entrada para o bloco A
Porto B: entrada de funcionrios e de caminhes para carga e descarga
Porto C: atualmente desativado (porto grande)
Porto D: entrada de pedestres(porto pequeno)
Gesto de Segurana da Informao 81
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Bloco A:
No subsolo, h 3 depsitos distintos:
1. papelaria e material de expediente;
2. mveis usados;
3. equipamentos de informtica reutilizvel.
Existem 2 entradas para o CPD. A principal, pelo porto A e uma outra pela
rea de carga e descarga.
CAPTULO X
Definies
Plano de Contingncia Um plano para a resposta de emergncia,
operaes backup, e recuperao de aps um desastre em um sistema
como a parte de um programa da segurana para assegurar a
disponibilidade de recursos de sistema crticos e para facilitar a
continuidade das operaes durante uma crise.
Conceitos10
Diferentemente do que se pensava h alguns anos sobre definio de
Continuidade de Negcio, quando o conceito estava associado sobrevivncia
das empresas principalmente atravs das suas estratgias comerciais,
reduo de custos com produtividade e fortalecimento da marca , observa-se
atualmente uma mudana que cria um novo conceito associado a um modelo
de gesto mais abrangente, onde todos os componentes e processos
essenciais ao negcio tenham os seus risco de inoperncia ou paralisao
minimizadas por Planos de Continuidade de Negcios atualizados,
10
(Plachta, 2001)
Gesto de Segurana da Informao 83
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Justificando
Mesmo sem ter planos formais de contingncia, atravs dos
questionamentos abaixo um alto executivo pode saber se a sua organizao
est preparada para o inevitvel:
Estratgias de Contingncia11
Estratgia de Contingncia Host-site Recebe este nome por ser uma
estratgia quente ou pronta para entrar em operao assim que uma
situao de risco ocorrer. O tempo de operacionalizao desta estratgia
est diretamente ligado ao tempo de tolerncia a falhas do objeto. Se a
aplicssemos em um equipamento tecnolgico, um servidor de banco de
dados, por exemplo, estaramos falando de milessegundos de tolerncia
para garantir a disponibilidade do servio mantido pelo equipamento.
11
(Smola, 2003)
Gesto de Segurana da Informao 85
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Planos de Contingncia
So desenvolvidos para cada ameaa considerada em cada um dos
processos do negcio pertencentes ao escopo, definindo em detalhes os
procedimentos a serem executados em estado de contingncia.
acertadamente subdividido em trs mdulos distintos e complementares que
tratam especificamente de cada momento vivido pela empresa.
Riscos Envolvidos
So vrios os riscos envolvidos na criao e anlise de um Plano de
Contingncia. Observe a figura abaixo.
Gesto de Segurana da Informao 88
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Mais Informaes
O NIST National Institute of Standards and Technology
(http://www.nist.gov/) criou um documento intitulado Contingency Planning
Guide for Information Technology Systems que demonstra os conceitos j
explicados aqui e mtodos / exemplos de como aplicar e realizar um Plano de
Continuidade de Negcios.
Estudo de Caso
Os desastres acontecidos no envolvem computao. Entretanto, eles
testaram o gerenciamento e ambos os negcios teriam se convertido em
grandes perdas caso os mesmos no tivessem sido administrados
efetivamente.
Gesto de Segurana da Informao 89
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
A nica coisa necessria para que o mal triunfe a de que homens de bem no faam nada.
Edmund Burke
CAPTULO XI
Auditoria em Informtica
Introduo
O crescente uso dos computadores nas empresas bem como a sua
importncia estratgica, vem fazendo com que as empresas se preocupem em
aumentar o controle sobre os departamentos de processamento de dados, j
que estes controlam informaes vitais empresa.
Coordenao de Problemas
Coordenao de Mudanas
Sistemas em Processamento Batch (em srie)
Recuperao de desastre
Capacidade dos Sistemas
Desempenho dos Sistemas
Desenvolvimento de Sistemas
Sistemas em Processamento On-Line (linha por linha)
Sistemas Financeiros
Rede de Telecomunicaes
Segurana de informao
Centro de computao
Microcomputador
Distribuio dos Custos
Gesto de Segurana da Informao 97
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Pr-Auditoria
Nesta fase enviado ao departamento a ser auditado um anncio,
atravs de um notificao formal do setor de auditoria ou pelo setor de Controle
Interno da empresa. Este anncio deve ser feito com at duas semanas de
antecedncia e dever especificar quais sero as reas a ser auditadas, com
seus respectivos planos de trabalho.
Ainda destro desta fase, sero feitas as primeiras reunies da alta
administrao com os auditores visando esclarecer os pontos e planos de
trabalho.
Nesta fase o grupo Auditor deve preparar as atividades administrativas
necessrias para a realizao da auditoria, definir as reas a auditar, orientar o
grupo de auditores quanto a estratgia a ser adotada, preparar o documento de
anncio e anunciar o setor da Auditoria.
O setor a ser auditado deve preparar as atividades administrativas de
apoio ao Grupo Auditor, educar o pessoal do setor quanto ao processo que
ser utilizado, deliberar (resolver aps examinar) quais informaes so
necessrias ao processo e fazer uma reviso final no setor.
Auditoria
Terminadas as reunies iniciais e aps definir as aes que sero
tomadas, inicia-se a auditoria. O Auditor-chefe far as solicitaes por escrito e
com data de retorno do representante do setor auditado.
De acordo com as datas preestabelecidas (na pr-auditoria) sero feitas
reunies onde os fatos identificados sero expostos e entregue um relatrio
destes fatos ao representante do setor auditado para que este emita, por meio
de outro relatrio as razes de estar em desacordo.
Se tais razes no forem aceitas pelo grupo Auditor, elas faro parte do
relatrio denominado Sumrio Executivo, que apresentado alta diretoria da
empresa. Dentro deste mesmo relatrio constar uma Avaliao Global da
situao da rea de informtica que est sendo auditada. Geralmente a
auditoria dura cerca de seis semanas.
Nesta fase, o Grupo Auditor deve avaliar os Controles (ou seja, como a
rea auditada funciona); documentar os desvios encontrados (falhas); validar
as solues, preparar o relatrio final e apresent-lo para a Presidncia.
O Setor auditado deve prover as informaes necessrias ao trabalho da
auditoria, analisar a exposio dos desvios encontrados, entender os desvios
encontrados, desenvolver planos de ao que solucionaro os desvios
encontrados, corrigir as exposies e revisar o Sumrio Executivo.
Ps-Auditoria
Terminada a auditoria, o grupo auditor emite um relatrio final
detalhando as suas atividades. Este relatrio conter o objetivo da Auditoria, as
Gesto de Segurana da Informao 99
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Com isso, conclumos que para que uma empresa continue competitiva
no mercado, ela deve manter um controle efetivo sobre as suas reas e isso
feito atravs do processo de auditoria.
CAPTULO XII
Legislao
Consideraes12
A Internet a mdia mais segura, e a mais insegura, que existe. J ,
estatisticamente, onde ocorre a maioria das fraudes, invases de privacidade, e
outros ilcitos cveis e criminais. Por outro lado, tecnicamente, a que oferece
maiores condies de garantia de integridade, procedncia e autenticidade nas
comunicaes. Como se situa a lei, entre esses dois plos ?
12
(Almeida, 2001)
Gesto de Segurana da Informao 104
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Lgico, as leis que esto vindo para regular a Internet, nas reas de
privacidade (cookies e spam), assinatura digital, concorrncia, consumidor,
e outras, reforaro as protees asseguradas pelo Direito. Mas como o ritmo
do Legislativo, em qualquer pas, mais lento que a evoluo contnua da
Internet, sempre haver dficit legislativo, portanto os princpios tradicionais do
Direito continuaro necessrios.
Crime digital13
O crime digital em todas as suas formas um Crime de Meio, um crime
corriqueiro que cometido atravs do uso do computador, e no uma nova
modalidade de crime nunca visto antes. Logo, a questo de se punir os
criminosos digitais no tanto pela falta de leis que o permitam, mas tambm
pelo despreparo do poder de polcia em lidar contra os atos ilegais com as
ferramentas que se encontram disponveis na jurisdio brasileira.
13
Fonte: (Ravanello, Hijazi e Mazzorana, 2004)
Gesto de Segurana da Informao 105
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
14
Fonte: (Ravanello, Hijazi e Mazzorana, 2004)
15
Fonte: (Ravanello, Hijazi e Mazzorana, 2004)
Gesto de Segurana da Informao 108
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
de um crime a uma pessoa que o tenha cometido. Esta ligao pode ser
efetuada por testemunhos, por anlises forenses laboratoriais ou por provas
materiais como fotos e filmagens, por exemplo.
CAPTULO XIII
Introduo
Um dos muitos itens que constam na norma a segregao de funo.
A segregao de funo pode ser explicada com um exemplo simples: um DBA
cria a base dados, um programador ir criar os programas que trabalham com
esta base, mas ser o usurio que ir popular a base. Nem o DBA e nem o
programador poder ter permisses para alterar as informaes cadastradas
pelo usurio do sistema.
Segregao de Funes
A segregao de funes um mtodo para reduo do risco de mau
uso acidental ou deliberado dos sistemas. Convm que a separao da
administrao ou execuo de certas funes, ou reas de responsabilidade, a
fim de reduzir oportunidades para modificao no autorizada ou mau uso das
informaes ou dos servios, seja considerada.
difcil de ser implantado, mas o seu princpio deve ser aplicado to logo quanto
possvel e praticvel. Onde for difcil a segregao, convm que outros
controles, como a monitorao das atividades, trilhas de auditoria e o
acompanhamento gerencial sejam considerados. importante que a auditoria
da segurana permanea como uma atividade independente.
Convm que sejam tomados certos cuidados para que as reas nas
quais a responsabilidade seja apenas de uma pessoa no venha a ser alvo de
fraudes que no possam ser detectadas. Recomenda-se que o incio de um
evento seja separado de sua autorizao. Recomenda-se que os seguintes
controles sejam considerados:
CAPTULO XIV
Pessoas
Processo Tecnologia
Comportamento Firewall
Polticas
Estrutura Cultura PKI
Papeis IDS
Estratgia
Conscientizao
Estratgico
Ttico
Operacional Tcnicos ou
Usurios Pessoal de
segurana
CAPTULO XV
Transaes
TransaesPrivadas
Privadas Preveno
No
Recuperao
Norepdio
repdio
Autenticao
Autenticao Suporte
Usurio
Usurio Auditoria
Auditoria
ou
ou Autorizao
Autorizao
Processo
Processo
Verificador
Verificadorde
de
Integridade
Integridade Recurso
Controle
Controlede
deAcesso
Acesso Recurso
Deteco
Detecode
deIntrusos
Intrusos Retorno
eeConfinamento Retornoaaum
um
Confinamento Estado
EstadoSeguro
Seguro
Proteo
Proteodas
dasComunicaes
Comunicaes
(visualizao,
(visualizao, substituio,modificao
substituio, modificaoeere-envio)
re-envio)
Identificao
Identificao
Gerenciamento
Gerenciamentode
deChaves
Chavesde
deCriptografia
Criptografia
Administrao
AdministraodadaSegurana
Segurana
Sistemas de Proteo
Sistemas de Proteo
(privilgios,
(privilgios,reuso
reusode
deobjetos,
objetos,separao
separaode
deprocessos,
processos,etc)
etc)
Gesto de Segurana da Informao 117
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Preveno
Recuperao
Suporte
Usurio
Usurio
ou
ou Autorizao
Autorizao
Processo
Processo
Verificador
Verificadorde
de
Integridade
Integridade Recurso
Controle
Controlede
deAcesso
Acesso Recurso
Deteco
Detecode
deIntrusos
Intrusos Retorno
eeConfinamento Retornoaaum
um
Confinamento Estado
EstadoSeguro
Seguro
Proteo
Proteodas
dasComunicaes
Comunicaes
(visualizao,
(visualizao, substituio,modificao
substituio, modificaoeere-envio)
re-envio)
Identificao
Identificao
Gerenciamento
Gerenciamentode
deChaves
Chavesde
deCriptografia
Criptografia
Transaes
TransaesPrivadas
Privadas Preveno
Recuperao
Suporte
Usurio
Usurio
ou
ou Autorizao
Autorizao
Processo
Processo
Controle Recurso
Recurso
Controlede
deAcesso
Acesso
Proteo
Proteodas
dasComunicaes
Comunicaes
(visualizao,
(visualizao, substituio,modificao
substituio, modificaoeere-envio)
re-envio)
Identificao
Identificao
Gerenciamento
Gerenciamentode
deChaves
Chavesde
deCriptografia
Criptografia
Preveno
No
Recuperao
Norepdio
repdio
Suporte
Usurio
Usurio Auditoria
Auditoria
ou
ou
Processo
Processo
Controle Recurso
Recurso
Controlede
deAcesso
Acesso
Identificao
Identificao
Gerenciamento
Gerenciamentode
deChaves
Chavesde
deCriptografia
Criptografia
Preveno
Recuperao
Autenticao
Autenticao Suporte
Usurio
Usurio Auditoria
Auditoria
ou
ou
Processo
Processo
Verificador
Verificadorde
de
Integridade
Integridade Recurso
Controle
Controlede
deAcesso
Acesso Recurso
Deteco
Detecode
deIntrusos
Intrusos Retorno
eeConfinamento Retornoaaum
um
Confinamento Estado
EstadoSeguro
Seguro
Proteo
Proteodas
dasComunicaes
Comunicaes
(visualizao,
(visualizao, substituio,modificao
substituio, modificaoeere-envio)
re-envio)
Identificao
Identificao
Sistemas
SistemasdedeProteo
Proteo
(privilgios,
(privilgios, reuso de objetos, separaode
reuso de objetos, separao deprocessos,
processos,etc)
etc)
Gesto de Segurana da Informao 123
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
CAPTULO XVI
16
(Gonalves, 2003)
Gesto de Segurana da Informao 124
Marcos Aurelio Pchek Laureano
laureano@ppgia.pucpr.br
01/06/2005
Uma das primeiras normas definidas foi a BS7799 - Code of Practice for
Information Security Management. Aps um trabalho intenso de consulta
pblica e internacionalizao, em primeiro de dezembro de 2000 a norma foi
aceita como um padro internacional ISO/IEC 17799:2000.
avaliao.
1 Poltica de Segurana;
2 Organizao da Segurana;
3 Gesto de Ativos;
4 Segurana de Pessoal;
5 Gesto da Segurana Fsica;
6 Procedimentos de Operao de Processamento de Dados e de Rede;
7 Controle de Acesso;
8 Procedimentos de Desenvolvimento e Manuteno de Sistemas;
9 Gesto da Continuidade de Negcios;
10 Aderncia Legislao.
COBIT
O CobiT (Control Objectives for Information and related Technology)
pode ser traduzido como Objetivos de Controle para a Informao e Tecnologia
relacionada. Publicado pela ISACA (Information Systems Audit and Control
Foundation) em 1996, o CobiT est em sua terceira edio, marcando sua
transferncia para o IT Governance Institute, e acrescentando em sua estrutura
as guias de gerenciamento requeridas pela governana corporativa.
TESTES E EXERCCIOS
QUESTES A CONSIDERAR
Referncias Bibliogrficas
REZENDE, Denis Alcides e ABREU, Aline Frana. Tecnologia da Informao
Aplicada a Sistemas de Informao Empresariais. Editora Atlas. So Paulo,
2000.
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=2&objid=287&pagecou
nter=0&idiom=0. Acessado em: 21/09/2004
LAUDON, Kenneth C. e LAUDON, Jane P. Sistemas de Informao
Gerenciais. Prentice Hall; So Paulo, 2004.
ALMEIDA, Gilberto Martins de. Internet, segurana e leis Como o Direito lida
com questes de informtica ?, 2001. Disponvel em:
http://www.radiobras.gov.br/ct/artigos/2001/artigo_220601.htm. Acessado em:
30/09/2004.
CHIN, Liou Kuo. Rede Privada Virtual - VPN, 1998. Boletim bimestral sobre
tecnologia de redes. RNP Rede Nacional de Ensino e Pesquisa, 1998. Vol. 2,
N 8. Disponvel em: http://www.rnp.br/newsgen/9811/vpn.html. Acessado em:
16/10/2004.