Escolar Documentos
Profissional Documentos
Cultura Documentos
Pequenas Empresas
Aumente hoje a
segurança de
sua rede
Página 1
Caro Pequeno Empresário:
Hoje, mais do que nunca, as redes e a Internet são ferramentas vitais para os
negócios de muitas pequenas empresas. Apesar de a conectividade ser
indispensável para o sucesso comercial, estar mais conectado significa também
estar mais vulnerável para ameaças externas. Grandes empresas possuem
especialistas em segurança à sua disposição, mas é o próprio proprietário da
pequena empresa quem toma as decisões sobre como proteger sua rede.
Atenciosamente,
Donald Wilson
Presidente & CEO
Association of Small Business Development Centers
Página 2
Do Microsoft Small Business Team
O Guia de Segurança para Small Business explica o que você precisa fazer para
melhorar a segurança de sua empresa. O guia foi feito especialmente para o
proprietário, não para um especialista na área, e explica detalhadamente as
principais ameaças na segurança que a sua empresa enfrenta. Apesar de este
assunto envolver detalhes técnicos, abordamos as questões em linguagem
simples, e fornecemos detalhes adicionais para descobertas mais a fundo.
Atenciosamente,
Cindy Bates
Gerente Geral, US Small Business
Microsoft Corporation
Página 3
Conteúdo
70 Informações Online
Página 4
Este é o Guia Certo para Você?
Página 5
O que Você Precisa Saber sobre Segurança
Para compreender asameaças que existem e como mitigá-las, é preciso ter algum conhecimento técnico. Não se
preocupe–seráomíniimonecessário.
É uma questão de bom senso. Você não sairia do escritório sem trancar as portas.
O mesmo vale para informações de segurança, e algumas medidas simples
podem tornar o seu sistema muito menos vulnerável. Os especialistas em
tecnologia transformam a segurança num bicho de sete cabeças. Felizmente,
proteger sua empresa é muito mais fácil do que você imagina.
Página 6
No entanto, você pode alcançar um alto nível de segurança e estar preparado para o
caso de brechas. Avaliar adequadamente os riscos e as conseqüências em relação aos
custos de prevenção é um bom ponto de partida. Esta seção oferece uma visão geral
de alguns termos comuns relacionados à segurança e às redes para ajudar a
desmistificar o mundo da segurança computacional.
Uma internet (com “i” minusculo) é uma rede de redes. As informações de qualquer
computador de qualquer rede podem viajar pela internet para qualquer computador
em qualquer outra rede, como se a Internet fosse uma espécie de transportadora.
Pense na internet como um sistema de rodovias que ligam estradas locais.
A Internet (com “I” maiúsculo) é uma Internet global. Todos os computadores na Internet
se comunicam usando protocolos padrão para que as informações de qualquer
computador possam alcançar um outro computador qualquer na Internet. Aqui é
onde mora o perigo. Até conectar-se com uma rede pública, você estava
razoavelmente protegido de ameaças externas. Conectar-se à Internet pública é
como publicar seu nome, endereço e telefone e dizer: “Olha só, nós temos
computadores.”
Você sabia?
Página 7
Pacotes
As informações geralmente viajam através das redes em pacotes. Um pacote é
um aglomerado de dados mais um endereço e outras informações que indicam
à rede onde entregar aqueles dados. Tudo que viaja através da Internet é
dividido em pacotes: páginas da web, mensagens de e-mail, downloads, etc.
Pense no pacote como um circo na estrada. Você não pode colocar o circo
inteiro num caminhão. É preciso desmontá-lo, empacotar tudo, colocar em
veículos separados, informar todos os veículos para onde estão indo, e
montar tudo novamente assim que chegarem ao destino.
O envio de dados através de uma rede é similar. Dados muito grandes são quebrados em
séries de pacotes e remontados no destino. Conforme os pacotes viajam pela Internet, são
devidamente expostos a escutas.
Portas e Endereços
Página 8
(que hospedam os sites que explora com o seu navegador), e a porta 25 é
usada para enviar e-mail. Os pacotes são endereçados para uma porta específica
num endereço de IP específico.
Firewalls
Um firewall separa uma
porção de uma rede de
outra e permite a
passagem apenas de
tráfego autorizado. Na
rede de uma pequena
empresa, um firewall
geralmente separa a rede
privada local da Internet.
Alguns firewalls examinam
os pacotes que fluem
para dentro e muitas
vezes também para fora Figura 1. Um firewall permite que o tráfego
de rede de usuários válidos (linha verde) passe
da rede para checarem através da sua rede, mas bloqueia o tráfego de
sua legitimidade; intrusos (linha vermelha).
Servidores
Um servidor nada mais é do que outro computador ligado à rede, e
projetado para desempenhar algumas funções especiais, como o
compartilhamento de impressoras e armazenamento de arquivos. Lembre-se
que se o seu laptop ou desktop estiver conectado à Internet, ele também é
um tipo de servidor, e sem um firewall, é capaz de receber trafego
indesejado da Internet.
Página 9
Ameaças Comuns Contra a Segurança das Redes
Os agressores têm motivações diferentes – lucro, molecagem, glória – mas todos
agem de maneira similar. Existem diversas ameaças básicas, todas capazes de
variações infinitas.
Página 10
A maioria das mensagens
traz conteúdo pornográfico,
em alguns casos podem criar
um ambiente de trabalho fabricantes, incluindo a
desconfortável e até mesmo Microsoft, desenvolveram em
de responsabilidade legal se parceria uma tecnologia
as empresas não tentar chamada Sender ID Framework
bloqueá-lo. (SIDF) que ajuda a conter e-mail
spoofing e phishing ao validar a
Spoofing. Existem dois tipos de origem real da mensagem.
spoofing. IP spoofing significa a
criação de pacotes que
parecem ter vindo de um
endereço de IP diferente. Esta
técnica é usada principalmente
em ataques num só sentido
(como a negação de um
serviço, ou ataques DoS). Se os
pacotes parecem vir de um
computador da rede local, eles
podem passar pela segurança
do firewall (projetada para
proteção contra ameaças
externas). Os ataques do IP
spoofing são difíceis de serem
detectados e exigem a
habilidade e os meios para
monitorar e analisar pacotes de
dados. E-mail spoofing
significa a falsificação de uma
mensagem de e-mail para que
o endereço do remetente não
indique o endereço verdadeiro
de quem está enviando. Por
exemplo, e-mails de trote
circularam na Internet no final
de 2003 e pareciam trazer um
aviso sobre atualizações oficiais
da Microsoft, pois usavam um
endereço de e-mail falsificado
da Microsoft. Dezenas de
Página 11
Voce sabia?
Vírus. Vírus são programas criados para se replicarem e causar danos. Eles
geralmente estão escondidos em programas inócuos. O vírus em e-mails
muitas vezes está mascarado como um jogo ou imagem e usa assuntos
atraentes (como “Minha namorada nua”) para fazer com que usuários o abram
e o executem. O vírus se replica ao infeccionar outros programas em seu
computador.
Worms. Worms são como o Vírus, pois também tentam se replicar, mas
muitas vezes são capazes de fazê-lo ao enviarem mensagens de e-mail ao
invés de simplesmente infectar os programas de um único computador.
Página 12
Cavalos de Tróia. Estes programas maléficos fingem ser aplicações benignas.
Eles não se replicam como o Vírus ou worms, mas mesmo assim podem causar
dano considerável. Muitas vezes, vírus ou worms são transportados dentro de
um Cavalo de Tróia.
Página 13
Spyware. Spyware se refere a
Você sabia? pequenos programas escondidos
De acordo com a National Cyber que são executados em seu
SecurityAlliance, 62 % dos usuários computador e são usados para
de computador não atualizaram seu rastrear suas atividades online para
software antivírus, e 91% dos
entrevistados possuem spyware em permitir que invasores monitorem e
seus computadores que possam causar tenham acesso ao seu computador.
desempenho lento, excesso de pop- Você pode ser o alvo de spyware ou
ups, ou seqüestro de homepages.
de outro software indesejado se
fizer download de músicas de
programas de arquivos
compartilhados, de jogos
gratuitos de sites não confiáveis, ou de outros softwares de origem
desconhecida.
Página 14
Elevação de privilégio. Trata-se de um processo no qual um usuário engana
um sistema fazendo com que ele conceda direitos não autorizados,
geralmente com o propósito de comprometê-lo ou destruí-lo. Por exemplo,
um agressor pode registrar-se numa rede usando uma conta de visitante, e
então explorar uma fraqueza no software que permite ao agressor mudar os
privilégios de visitante para privilégios administrativos.
Página 15
Por exemplo, induzir membros de sua equipe a revelarem informações
confidenciais, esvaziar o lixo em busca de alguma informação reveladora, ou
simplesmente procurar senhas escritas em bilhetes ao lado do monitor.
Então temos os bandidos. O ladrão de bancos Willie Sutton disse certa vez:
“Eu roubo bancos porque é lá que o dinheiro está”. O mesmo acontece
com softwares. Quanto mais sucesso e utilização tiverem um software,
maior será o risco de que vire alvo de criminosos. Existe uma batalha
contínua entre os criminosos que exploram as fraquezas e os
desenvolvedores que tentam eliminá-las. É o mesmo caso dos chaveiros e
arrombadores, dos fabricantes de alarmes e ladrões de carros. É por isso
que os desenvolvedores de software lançam atualizações que corrigem
vulnerabilidades, e é por isso que elas devem ser instaladas. (Para mais
informações sobre proteção de computadores, veja a seção, “Microsoft
Windows XP Service Pack 2.”)
Página 16
Encontrando o Consultor Certo
Onde Começar?
Pergunte a colegas e
fornecedores quem eles estão
contratando.
Página 17
Experiência
• A equipe de consultoria possui um engenheiro com Certificado
Profissional em Segurança de Sistemas de Informação (CISSP)? Se a
equipe tiver um CISSP, você pode ficar tranqüilo quanto ao nível de
especialização em segurança do consultor.
Página 18
Serviços
• Quais dos seguintes serviços de segurança o grupo de
consultoria pode oferecer?
a) Instalação e suporte antivirus
b) Fortalecimento de servidores (garantem que todas as configurações do sistema
estão no nível adequado de segurança)
c) Fortalecimento de desktops
d) Instalação, configuração e suporte de firewall e detecção
de invasores
Página 19
Abordagem
• O consultor utiliza padrões e práticas consistentes em suas operações?
Peça para ver uma descrição do processo.
• Eles podem se comprometer com uma programação ou orçamento
específico para um determinado projeto?
• Eles serão capazes de trabalhar com sua própria equipe, ou terão que
fazer contratações temporárias?
• Qual é a estrutura de preços? Dependendo do projeto, é possível fechar um
preço único, uma taxa diária ou por hora, ou por prestação de serviços
contínuos. Eles podem desmontar sua estrutura de custo e determinar os
custos para as diferentes atividades ou etapas? Você quer informações
exatas e precisas antes que qualquer trabalho seja delegado.
Página 20
10 Perguntas para Ajudar a Proteger sua Empresa
a. Senha
b. J*p2le04>F
c. Meu cachorro tem pulgas!
d. Seunome verdadeiro, nome de usuário ou da empresa
5. Se você programar o software antivírus para auto-atualização, você não precisa habilitar
o Windows Automatic Updates.
a. Verdadeiro
b. Falso
Página 21
6. Pequenas empresas não são alvos de hackers
a. Verdadeiro
b. Falso
7. O que é phishing?
a. Mensagens de e-mail de “trote” e sites que enganam quem as
recebe para que divulgue informações pessoais.
b. Um tipo de vírus de computador
c. Um exemplo de senha forte
a. Diariamente
b. A cada dois dias c.
Semanalmente
d. Mensalmente
Página 22
As respostas para o questionário de segurança estão abaixo. Se você não respondeu
todas as perguntas corretamente, veja a seção “Sete Passos para Maior Segurança”
para saber mais sobre questões relacionadas à segurança das pequenas empresas.
Página 23
Microsoft Windows XP Service Pack 2
Automatic Updates
Para que o Windows XP fique protegido é importante mantê-lo atualizado
com as ultimas atualizações do software lançadas pela Microsoft. O Automatic
Updates pode localizar, fazer o download e instalar automaticamente
atualizações críticas e de segurança. O SP2 traz diversas melhorias para o
recurso Automatic Updates no Windows XP, incluindo habilidade para fazer o
download de mais categorias de atualizações, melhor gerenciamento da
largura de banda, e consolidação das atualizações para facilitar a vida do
usuário.
Windows Firewall
No lançamento original do Windows XP, o firewall baseado no software incluído
no sistema operacional chamava-se Internet Connection Firewall. Com o
lançamento do SP2, este firewall foi rebatizado de Windows Firewall e foram
acrescentados diversos recursos novos.
Página 24
As atualizações incluem a habilitação do Windows Firewall por padrão em todas as conexões
da rede, interface do usuário aperfeiçoada, melhor compatibilidade para aplicações quando
o Windows Firewall está acionado, e a possibilidade de alterar as configurações globais para
todas as conexões.
Internet Explorer
As melhorias em segurança do Microsoft Internet Explorer oferecem maior
proteção contra conteúdos mal-intencionados na Web bem como uma
interface aperfeiçoada que facilita a configuração da segurança. Uma nova
Barra de Informações consolida muitas das caixas de diálogo que o Internet
Explorer utiliza para fornecer informações aos usuários. O Internet Explorer
agora inclui um bloqueador de janelas pop-up bem como um recurso chamado
Manage Add-ons que permite a você inabilitar as capacidades de encriptação
que possibilitam aos sites inescrupulosos seqüestrarem o Internet Explorer e
forçá-lo a ir até eles.
Outlook Express
O SP2 também fornece melhorias na segurança para os usuários do programa
de e-mail Microsoft Outlook® Express. Você pode evitar que conteúdos externos sejam
“baixados” e exibidos em mensagens com formato HTML e mesmo configurar
o Outlook Express para exiba mensagens apenas no formato de texto simples.
Também é possível bloquear anexos potencialmente perigosos que são enviados
através de mensagens de e-mail, e mensagens instantâneas são isoladas para que
não possam afetar outras partes do sistema.
Página 25
Security Center
O Security Center é um novo recurso que oferece uma interface central exibindo
o status das configurações de segurança em um computador, incluindo
configurações para Automatic Updates, Windows Firewall, e alguns softwares
antivírus não pertencentes a Microsoft. O Security Center também é executado
como serviço de bastidores e fornece alertas em tempo real quanto certas
condições de segurança são detectadas. Equipado com tecnologias de
segurança aperfeiçoadas o oferecidas pelo SP2, você vivenciará um ambiente de
desktop muito mais seguro. Para mais informações e para descobrir como obter
o Windows XP SP2 gratuitamente, visite a página
http://www.microsoft.com/brasil/windowsxp/sp2/default.mspx
Página 26
Sete Passos para Maior Segurança
Esta seção descreve medidas básicas de segurança que toda empresa deveria
tomar para se proteger. Veja a seção “O que Você Precisa Saber Sobre
Segurança” para se informar sobre qualquer item que parece técnico demais,
ou conversar com um consultor de segurança ou de tecnologia da informação
(TI). Os passos presumem que você já tenha criado uma política e um plano de
segurança. Para um exemplo de plano e política de segurança, veja a seção
“Exemplo de Plano de Segurança : Adventure Works.”
Se você tomar apenas três precauções para proteger os computadores usados em sua
empresa, que sejam elas:
Página 27
Por exemplo, o Microsoft Windows XP Professional é inerentemente mais seguro
do que o Microsoft Windows 95. O Windows XP Professional com SP2 oferece
configurações de segurança ainda mais fortes para ajudar a evitar vírus, hackers, e
worms. Mas isto não diminui a importância do download e da instalação de
atualizações apropriadas assim que são lançadas.
• Windows XP Professional:
Vá até o site Windows Qual Versão do Windows eu Possuo?
Update (http:// Se não tiver certeza sobre qual versão do
windowsupdate.microsoft. com), e Windows está executando, é fácil
clique em Verificar por Atualizações. descobrir. A Microsoft fornece uma
O website automaticamente analisa ferramenta online que pode determinar
seu computador, determina quais sua versão do Windows (incluindo
atualizações são necessárias e as qualquer Service Packs instalado). Siga
disponibiliza para download. Para estes passos:
facilitar o processo, habilite o 1. Vá até
www.microsoft.com/brasil/proteja
Automatic Updates. Com este
2. Clique no link “Descubra qual
recurso, o Windows XP Professional versão do Windows seu
pode monitorar o download, e computador está usando.” na parte
instalar atualizações de baixo de página.
automaticamente Você também pode determinar sua versão do
Windows manualmente (e offline)
(dependendo das seguindo estes passos:
configurações que você 1. Clique em Iniciar, e então clique em
selecionar). Executar.
2. Na caixa de diálogo Executar
digite winver, e clique em OK.
3. Na caixa de diálogo Sobre o
Windows que surgir, procure a
versão instalada do Windows de
qualquer Service Packs que
estiverem instalados.
• Windows 2000:
Se você estiver executando o
Microsoft Windows 2000 como parte de um domínio ou como um
computador autônomo, visite o site do Windows Update
(http://windowsupdate.microsoft.com), onde você encontrará os últimos
service packs, drivers de dispositivos, informações sobre compatibilidade de
aplicações, e atualizações de segurança do sistema. Em um ambiente do
domínio, os computadores do servidor executando o Microsoft Windows
2000 Server ou Windows Server 2003 gerenciam a segurança de todos os
recursos da rede.
Página 28
• O Windows Me, Windows 98, Windows NT®, e Windows 95: Versões
anteriores do Windows, como o Microsoft Windows Me ou Windows 98, são
muito menos seguras do que as novas versões. A Microsoft aconselha a
atualização para as novas versões do Windows para garantir o alto nível de
segurança.
Página 29
Os vírus, bem como os worms e os cavalos de Tróia, são programas maliciosos
executados em seu computador. Alguns Vírus deletam ou alteram arquivos.
Outros consomem recursos do computador. Alguns permitem que intrusos
acessem seus arquivos. Os Vírus podem se replicar, ou copiar a si mesmos, e
até enviar mensagens de e-mail para os contatos de sua lista. Os
computadores infectados por vírus podem espalhá-los através de sua
empresa e causar sérios danos à produtividade e a perda de dados. Você
também corre o risco de infectar os computadores de seus clientes ao se
comunicar com eles via e-mail.
Centenas de Vírus são lançados a cada mês, e por isso um software antivírus
deve ser atualizado regularmente com as últimas definições de assinaturas
para que possa pegar os últimos vírus. Procure por um software que faça
downloads automáticos das últimas definições e programas diretamente da
Internet. (Se a sua empresa usa laptops, veja a seção “Tomando Cuidados
Especiais com Laptops” na página 26.) Aqui vão alguns links para programas
antivírus de alguns dos melhores fabricantes de software de segurança:
• AVG Anti-Virus: www.grisoft.com/
• Norton AntiVirus: www.symantec.com/smallbiz/nav/
• McAfee VirusScan: www.mcafee.com/
• Panda Titanium Antivirus: www.pandasoftware.com/
• BitDefender: www.bitdefender.com/
• Microsoft Malicious Software Removal Tool:
Visite www.microsoft.com/downloads/ e digite
“Malicious Software Removal Tool” na caixa de busca
Página 30
Nunca abra arquivos suspeitos
Certifique-se de que todos em sua empresa saibam que devem deletar – sem
abrir – quaisquer anexos de e-mail de uma fonte desconhecida ou suspeita.
Para configurar opções de junk e-mail no Office Outlook 2003, siga estes passos:
1. No Office Outlook
2003, clique no
menu Ações.
2. Selecione Lixo
Eletrônico, e então
clique em Opções de
Lixo Eletrônico.
3. Na caixa de
diálogo Opções de
Lixo Eletrônico,
selecione o nível
de proteção
contra e-mail que
você deseja
(Figura 3).
4. Clique em
Aplicar, e então
clique em OK.
Página 31
O Office Outlook 2003 disponibiliza (gratuitamente) atualizações mensais para o
seu filtro de junk e-mail. Os usuários são aconselhados a fazerem o download
destas atualizações regularmente para ajudar a conter novas táticas
enganadoras de e-mails. Para saber mais sobre os recursos de segurança e de
bloqueio de spam no Office Outlook 2003, visite a página:
www.microsoft.com/office/editions/prodinfo/junkmail.mspx (em inglês)
Para saber mais sobre vírus, leia o artigo “7 things to know about virus writers”
na página www.microsoft.com/smallbusiness/
issues/technology/security/7_things_to_know_about_virus_ writers.mspx (em
inglês)
Instale Firewalls
Se você possui uma conexão de banda larga, a rede de sua empresa tem
grandes chances de ser sondada ao acaso por hackers criminosos. Quando os
invasores dão de cara com um endereço de computador válido, eles tentam
explorar as vulnerabilidades do software para ganhar acesso a sua rede—e às
maquinas individuais também.
Página 32
Os firewalls também podem esconder os endereços dos computadores atrás
de si, tornando computadores individuais invisíveis para o exterior. Um
firewall pode ser integrado a um roteador DSL / cable modem ou um
software como o Microsoft Internet Security e o Acceleration (ISA) Server.
Página 33
Se os seus computadores não estiverem executando o Windows XP, você
pode adquirir um firewall local comercial. Os seguintes fornecedores
comercializam softwares de firewall:
• ZoneLabs (www.zonelabs.com)
• McAfee (www.mcafee.com)
• Symantec (www.symantec.com)
Página 34
que conseguem sobreviver às épocas difíceis sejam justamente aquelas que
minimizam seus riscos tomando precauções básicas. Uma delas é a proteção
dos dados empresárias chaves.
Imagine chegar um dia no seu escritório e descobrir que todos os seus registros
de venda, informações de clientes e histórico de pedidos desapareceram.
Quanto tempo demoraria para se recuperar? Quantos estragos e atrasos isso
não causaria? Quanto isso custaria?
Fazer o backup de dados cruciais significa fazer uma cópia destes dados
em outro meio. Por exemplo, você pode copiar todos os seus arquivos
importantes em um CD-ROM, num segundo disco rígido, ou numa pasta
compartilhada de sua rede. Existem dois tipos básicos de backup: backup
total e backup incremental. Um backup total faz uma cópia completa dos
dados selecionados em outro meio. Um backup incremental faz apenas o
backup dos dados que foram adicionados ou alterados desde o último backup
total. Você deve manter cópias dos backups em locais seguros fora do
escritório.
Página 35
e depois cada backup incremental. Se tal processo for um empecilho, uma
outra opção é executar um backup total noturno. Basta programá-lo para
ser executado fora do horário comercial.
(Figura 4).
Estabeleça permissões
Página 36
Com o Windows XP e Windows 2000—bem como o Microsoft
Windows Small Business Server (SBS) 2003, o Windows Server 2003, e o
Windows 2000 Server—é possível designar diferentes níveis de permissão aos
usuários com base nas suas funções e responsabilidades dentro da organização.
Ao invés de fornecer a todos os usuários acesso de Administrador – o que
não é a melhor prática para a segurança do seu ambiente—institua uma
política de “privilégio mínimo” ao configurar seus servidores para dar aos
usuários individuais apenas acesso a programas específicos e privilégios de
usuário especificamente definidos.
“Sem problemas,” pensou Erik, “nosso responsável pelo suporte tem um backup,
então, podemos restaurar os dados a partir dele.” De fato, a empresa havia
elaborado uma biblioteca de fitas e mantinha as cópias dos backups cruciais em
local separado. Foi somente após um dia de tentativas de restauração do sistema
de e-mail com as fitas de backup que eles perceberam que o backup dos dados
não havia sido feito adequadamente. Nunca haviam notado o problema e nunca
haviam testado para verificar se os dados restaurados funcionavam devidamente.
Não tinham nenhum tipo de plano B para a recuperação de desastres.
Página 37
Leia Mais a Respeito
Se a sua empresa ainda não possui uma política sobre o uso da Internet, prepare
uma. Apesar de a Web ser uma ferramenta de trabalho incrivelmente útil, ela
também pode causar estragos significativos no local de trabalho que podem
resultar em perda de produtividade. O estabelecimento de regras protege sua
empresa e seus funcionários.
As páginas da Web contêm programas que geralmente são inocentes e muitas vezes
úteis – por exemplo, animações e menus pop-up. Mas existem sites duvidosos, até
mesmo mal-intencionados, que possuem seus próprios interesses, e não é
aconselhável navegá-los. Quando você estiver surfando na Web, os operadores de
sites podem identificar seu computador na Internet, saber qual página você visitou,
usar os cookies para traçar seu perfil, e instalar spyware em seu computador— tudo
sem o seu conhecimento. Worms destrutivos também podem invadir seu sistema
através do seu navegador da Web.
Página 38
O que Sua Política de Internet Deve Incluir
Ao criar uma política da empresa para o uso da Internet, lembre –se de focar as
seguintes questões:
• Se os funcionários têm permissão para navegação na Web para uso pessoal bem como
para propósitos profissionais
• Quando os funcionários podem usar a Web para uso pessoal (por exemplo, horário
de almoço, após o expediente)
• Se e como a empresa monitora o uso da Web e qual nível de privacidade os
funcionários podem esperar
• A atividade na Web que não é permitida. Deixe claro que não é permitido. Esclareça
detalhadamente o que é inaceitável. Em muitas empresas este comportamento
inclui atividades como:
- Download de conteúdo ofensivo ou violento
- Comportamento violento ou ameaçador
- Solicitações comerciais (não relacionadas a trabalho)
- Outras atividades ilegais
Forneça duas cópias da política para seus funcionários — uma delas deverá ser assinada e
devolvida para você. (Para mais informações, veja a seção “Criando uma Política de
Segurança,” ainda neste guia.)
O acesso remoto a sua rede pode ser uma necessidade empresarial, mas é
também um risco de segurança quer precisa ser monitorado atentamente. Use
senhas fortes e seja especialmente cuidadoso em relação às redes sem fio.
Temos aqui quatro medidas básicas que podem ajudar a reduzir sua
apreensão em relação à segurança da rede.
Instale firewalls
Página 40
privada e controlando o que os seus funcionários podem acessar fora da rede.
Firewalls de perímetro protegem todos os computadores na sua rede. Eles
também oferecem uma camada de defesa adicional assim podem tornar
todos os computadores de sua rede “invisíveis” para o mundo exterior.
A maioria das pequenas empresas usa senhas para autenticar identidade, seja
em computadores, caixa registradoras, ou sistemas de alarme. Apesar de
existirem sistemas de autenticação mais sofisticados, como smart cards e scan
de digitais ou íris, as senhas são mais comuns porque são fáceis de serem usadas.
Infelizmente, elas são muitas vezes usadas inadequadamente. Os hackers possuem
ferramentas que os ajudam a descobrir senhas simples em minutos. Criminosos
também utilizam fraude para fazer com funcionários divulguem suas senhas.
Informar sua equipe sobre a importância das senhas é o primeiro passo para
torná-las uma ferramenta de segurança de rede valiosa.
Os funcionários devem encarar suas senhas da mesma maneira que a chave do escritório. Em
outras palavras, não devem deixá-la em qualquer lugar nem compartilhá-la com ninguém.
Os funcionários também devem evitar senhas fáceis de serem adivinhadas que incluem:
Página 41
• O nome real, o nome de usuário, ou o nome da empresa
• Uma palavra comum que os tornem vulneráveis a “ataques de
dicionário,” nos quais um programa tenta usar as palavras
encontradas num dicionário parta tentar entrar no sistema
• Senhas comuns, como “senha,” ou “1234”
• Substituições de letras bastante conhecidas, como trocar o “i”
por “!” ou “s” por “$”
• Uma senha que mais alguém conheça
• Não usar senha alguma, o que facilita ainda mais o uso do sistema por
outros funcionários
• Qualquer senha anotada num papel
É claro que uma senha que você não consegue memorizar não serve para
nada. Existem alguns truques que podem ajudá-lo a criar senhas mais fortes
que possam ser memorizadas:
• No Windows 2000 e Windows XP, é possível usar uma frase como “Eu
comi 5 coxinhas no almoço.”
• Você também pode escolher uma frase, e usar apenas a primeira letra
de cada palavra, como Mft5anos! (Meu filho tem 5 anos!).
• Outro truque é usar palavras curtas e simples e juntá-las com números e
símbolos (por exemplo, Tree+34+Pond).
Página 42
Use recursos de segurança sem fio
Redes sem fio usam conexões de rádio ao invés de cabos para conectar
computadores. Como resultado, qualquer um dentro do alcance da transmissão
pode teoricamente escutar ou transmitir dados através da rede. Ferramentas
disponíveis gratuitamente permitem aos invasores “rastrearem” redes inseguras.
Enquanto aumenta a vulnerabilidade numa rede sem fio, criminosos com
conhecimento de informática possuem ferramentas para invadir qualquer tipo de
sistema computacional.
• Restrinja o acesso à rede sem fio (se sua rede sem fio tiver este recurso) para
horários comerciais ou para quando for usá-la.
• Filtre invasores casuais estabelecendo pontos restritos de acesso à rede para
computadores específicos.
• Use a encriptação embutida em seu ponto de acesso sem fio para codificar
informações conforme elas viajam através da rede e evitar que qualquer
parte não autorizada leia ou manipule os dados.
“War Driving”
Página 43
Feche portas da rede desnecessárias
• Para ler artigos da Microsoft sobre como proteger sua rede visite,
http://www.microsoft.com/brasil/security/smb.mspx
• Para configurar uma política de senha no Windows Server 2003
(ou Small Business Server 2003), vá até www.microsoft.
com/technet/prodtechnol/windowsserver2003/proddocs/
standard/password_grouppolicy.asp
• Para mais informações sobre como mobilizar usa empresa, visite www.
microsoft.com/smallbusiness/gtm/mobilize/hub.mspx
Se voce possui uma pequena empresa, talvez voce não tenha mais do que
um ou dois servidores. Mas não importa o número, sua rede depende deles.
Eles servem as aplicações, páginas da web,
Página 44
ou e-mail que seus funcionários precisam para trabalhar. Eles armazenam
recursos de informações confidenciais e valiosas. Eles oferecem aos seus
clientes meios para se comunicarem com você, ou mesmo contratar serviços
e comprar produtos de sua empresa.
Página 45
Ao invés de dar a todos os usuários o acesso de Administrador — o que não é
a melhor prática para manter um ambiente seguro para seus servidores e
estações de trabalho—use seus servidores para gerenciar os computadores
clientes. Os servidores Windows podem ser configurados para dar aos usuários
individuais acesso a programas específicos e para definir quais privilégios de
usuário serão permitidos no servidor. Desta forma, você garante que os
usuários não farão mudanças em áreas cruciais para o servidor ou para as
operações nas estações de trabalho. Também evita que os usuários instalem
softwares que podem introduzir um vírus ou spyware nos computadores, e
assim comprometer a integridade de toda a rede.
Página 46
Passo 6 Proteja Aplicações Line-of-Business
Não importa que tipo de empresa voce dirige, é importante que voce tome as
precauções abordadas neste guia. Em algumas empresas, no entanto,
regulamentações governamentais, diretrizes de seguros e acordos especiais exigem
que sejam tomadas precauções extras.
Página 47
Por exemplo, um vendedor poderia usar o programa para graver os
números das vendas, enquanto o gerente cria um relatório
financeiro customizado.
Página 48
• Faça backup de arquivos. Desastres acontecem, e se você não tiver
salvado seus arquivos e informações importantes num sistema de
armazenamento separado, todos os seus dados de aplicações críticas
podem ser perdidos. O Small Business Server 2003 inclui um recurso de
backup que é fácil de ser usado.
• Atualize seu software. As atualizações de software geralmente incluem
os últimos recursos de segurança. As atualizações dos produtos da
Microsoft estão disponíveis no Windows Update e no Centro de
Download da Microsoft.
Nem todos devem ter acesso a tudo no local de trabalho. Se a sua empresa
executa um sistema operacional do Windows Server, você pode restringir o
acesso de funcionários a documentos, planilhas ou outros arquivos
empresariais. Você também pode determinar se um usuário pode apenas
ler um documento ou alterá-lo. Siga estas dicas para regulamentar o
acesso:
Página 50
Leia Mais a Respeito
Como se sabe, é preciso muito empenho para proteger sua empresa das ameaças
externas. Se você iniciou este processo atualizando seu software e antivírus e instalando
um firewall, significa que já foram investidas quantidades significativas de tempo e
dinheiro.
Página 51
• Atualizações na hora certa. Você pode implantar correções de segurança e
atualizações com as novas versões do software, do servidor para os
computadores dos usuários. Desta forma, você saberá que as atualizações
foram feitas adequadamente e oportunamente, e não terá que depender dos
usuários para lembrar de fazê-as. Também é possível testar as atualizações
antes da implantação e certificar-se de que os computadores na rede aplicam
suas próprias atualizações.
• Configurações especiais. Se a sua organização possui preferência por
configurações para o sistema operacional ou para as aplicações usadas por
todos, estas podem ser gerenciadas, atualizadas e impostas para toda a
organização a partir do seu servidor. Além disso, você pode evitar que
usuários instalem programas não autorizados ao restringir suas a
habilidades para executar programas de CD-ROMs e outros drives
removíveis ou mesmo impedir que façam download de programas da
Internet.
• Monitoramento. Se ocorrer um acesso não autorizado ou uma falha no
sistema, tal situação pode ser detectada imediatamente através das
capacidades de monitoramento disponível num ambiente gerenciado –
uma rede baseada num servidor cujo software de monitoramento está
sendo usado.
Página 52
Criando uma Política de Segurança
• Objetivos. Esta seção estabelece claramente a razão pela qual existe uma política de
segurança.
• Escopo. Esta seção identifica as pessoas e sistemas afetados pela política .
• Bens Protegidos. Esta seção identifica quais bens a política protege. Servidores de
mail, bancos de dados e websites são bens empresariais comuns que precisam ser
protegidos. Pense nesta seção como um desenvolvimento dos objetivos.
• Responsabilidades. Esta seção da política identifica os grupos ou indivíduos
responsáveis pela implementação das condições da política .
• Cumprimento. Esta seção da política discute as conseqüências para a violação da
política. Algumas autoridades recomendam recorrer ao local apropriado no manual
do funcionário ao invés de trazê-lo diretamente na política de segurança para assim
evitar questões legais.
Página 53
Esclareça Seus Funcionários Sobre Questões de Segurança
Acima de tudo, converse com seus funcionários sobre segurança. Este deve ser
um assunto discutido freqüentemente para que as boas técnicas de segurança
façam parte dos hábitos e da rotina.
Página 54
• Política de Acesso Remoto. Descreve os métodos aceitáveis para a conexão
remota com a rede interna, como, por exemplo, se os funcionários
podem se conectar à rede a partir do computador de suas casas.
• Política de Proteção de Informações . Fornece diretrizes para os funcionários sobre o
processamento, armazenamento e transmissões de informações confidenciais.
• Política de Proteção contra Vírus . Fornece requisitos básicos para o uso
de software antivírus software bem como diretrizes para o trato de
infecções por vírus.
• Política de Senha. Fornece diretrizes sobre como as senhas de
funcionários e do sistema são gerenciadas e alteradas.
• Política de Segurança do Firewall. Descreve, em geral, como os
firewalls são configurados e mantidos, e por quem.
Página 55
Criando um Plano de Segurança
Você precisa de um plano. A Segurança não é uma tarefa única e isolada, mas
sim um emaranhado de tecnologias, pessoas, políticas e processos. Um plano
coordena todos os esforços de segurança para atender às políticas de segurança
de sua empresa sem deixar brechas.
Avalie
Página 56
• Identifique bens que precisam ser protegidos, como hardware, software,
dados, documentação e pessoas. Identifique também informações contábeis,
procedimentos administrativos e conformidade legal.
• Categorize suas informações de acordo com o grau de confidencialidade. Use
a seguinte escala: público (dados do website), interno (dados de marketing),
confidencial (folha de pagamento) e secreto (patentes).
• Identifique os serviços exigidos. Inclua serviços como acesso remoto e e-
mail.
• Preveja ameaças. Inclua ameaças como spoofing, alteração, repúdio,
revelação de informações, DoS, e elevação de privilégios. Considere o
uso de terceiros confiáveis para testar a exposição.
• Calcule a exposição para cada bem e serviço em relação a cada ameaça. Use a
fórmula: probabilidade x impacto = exposição para gerar uma lista das
prioridades de segurança.
Planeje
• Lembre-se que o objetivo não é eliminar todos os riscos não importa o custo,
mas minimizar os riscos o máximo possível. Estes são os três fatores
principais:
- Funcionalidade versus segurança necessária
- Facilidade de uso versus segurança
- Custo da segurança versus risco de perda
• Para cada risco, planeje como transferir, evitar, mitigar ou (na pior das
hipóteses) conviver com ele.
• Crie um plano de segurança que:
- .Inclui uma política definindo os requisitos de segurança da organização e
os usos aceitáveis
- Tenha procedimentos para a prevenção, detecção, e reação aos
incidentes de segurança
- Fornece uma estrutura de trabalho que reforce a conformidade
- Reflita a cultura da organização e os recursos disponíveis para
implementação
Página 57
- Quais são as metas e objetivos ao lidar com um incidente?
- Quem deve ser notificado em caso de incidente?
- Como identificar um incidente e determinar sua seriedade?
- O que deve acontecer quando ocorre um incidente?
Execute
Monitore
• Pesquise novas ameaças, e inclua novos riscos assim que tomar conhecimento
deles:
- Faça assinaturas de boletins de segurança.
- Treine usuários.
Página 58
Exemplo de Plano de Segurança: Adventure Works
Página 59
Seção 1: Introdução
Este plano foi desenvolvido por Matthew, Diretor de Gerenciamento da
Adventure Works, com a cooperação de outros membros-chave da
equipe da Adventure Works.
Objetivos
Circulação
Página 60
Você deve mantê-lo em gaveta com fechadura quando não estiver
realmente usando-o e, por favor, não faça fotocópias nem perca de
vista. Nós não mandaremos este documento por e-mail nem o teremos
gravados no servidor—cópias no papel apenas, por favor. As seguintes
pessoas terão acesso autorizado a este documento :
Equipe de Projeto
Habilidade e Conhecimento
Página 61
Cada membro do time de projeto leu os guias de planos de segurança
da Microsoft e o Internet Engineering Task Force (IETF) como
preparação. Toda a empresa como um todo entende razoavelmente o
básico, mas (com algumas exceções) tende a enxergar os computadores
apenas como uma ferramenta para facilitar o trabalho, e não sabe
muito sobre o seu funcionamento.
Segurança
Página 62
• Atualizações: Todos os sistemas do Windows XP Professional estão
atualizados porque foram automaticamente checando e fazendo
o download das atualizações. Porém, várias instalações do
Microsoft Office precisam ser feitas e os computadores Windows
98 estão desatualizados.
Página 63
Capital
Riscos
Página 64
Prioridades
1. Detenção de Invasores:
• Instalação de firewalls
• Instalação e atualização de proteção antivírus
• Fortalecer a rede sem fio
• Substituir quatro computadores operando em Windows 98
por computadores com Windows XP Professional com SP2
• Assegurar que todos os computadores estejam configurados para
atualizações automáticas
• Aprimorar as políticas e a educação dos usuários
2. Prevenção contra Roubo :
• Segurança dos computadores laptop
• Anotação e inventário dos bens
• Transferência do servidor para uma sala segura e com chave
• Travas de segurança para computadores desktop e laptop
3. Prevenção contra Desastres:
• Backups mais freqüentes com armazenagem em outro local
• Garantia do backup dos dados locais dos usuários
• Backup de documentos impressos críticos em outro local
• Testes regulares de backup, efetuando restauração
4. Segurança Interna e Confidencial:
• Criação de uma política de senhas reforçada
• Proteção de Impressoras para clientes, RH, e diretores
• Revisão da segurança para armários de arquivos e
documentos oficiais
Itens de Ação
Página 65
4. Configurar os computadores que executam Office Outlook 2003
a usar o filtro Junk E-mail. Selecionar, comprar e instalar um
software de filtro de spam no servidor de e-mail se necessário.
5. Nas redes sem fio, desabilitar o serviço de ajuste de
identificador de emissão (service set identifier (SSID)
broadcasting,) escolher e configurar uma SSID confidencial,
habilitar criptografia WPC, habilitar filtro MAC, e configurar o
ponto de acesso para permitir trafego apenas entre os
computadores desktop e laptop dentro do escritório.
6. Substituir os quatro computadores executando Windows 98
por computadores executando o Windows XP Professional com
SP2.
7. Revisar todas as máquinas para assegurar que elas
estejam atualizadas, e ajustá-las para renovar
automaticamente as atualizações.
8. Comprar pastas de laptop novas, sem marca conhecida e
com cadeados.
9. Fazer marcas de segurança em todos os computadores
laptop, desktop e seus componentes.
10. Registrar todos os números de série.
11. Comprar e instalar cadeados nas mesas para os desktops.
12. Encontrar uma sala viável, com chaves, para o servidor e
transferi-lo para lá.
13.Revisar os procedimentos de backup e restauração . Assegurar
que as informações do usuário sejam guardadas no servidor ou que
uma cópia seja mandada antes dos backups. Implementar backups
diários. Assegurar que um backup total seja enviado a outro local
uma vez por semana. Assegurar que a senha do backup seja
protegida e criptografada. Revisar documentos em papel, e fazer
cópias de documentos críticos para armazenar em outro local.
14. Configurar o Small Business Server 2003 e as máquinas
individuais para reforçar uso de senhas. Discutir com os
usuários o que seria um equilíbrio de conveniência e
segurança (Não queremos que eles escrevam suas novas
senhas.)
15. Configurar as estações de trabalho para que o registro de
usuário se desfaça, e que uma senha seja necessária para o
registro, se a estação estiver sem uso por mais de 5
minutos.
16. Comprar impressoras baratas para a contabilidade, RH e os dois
diretores, para que eles possam ter seus documentos privados
impressos com segurança.
Página 66
Mudanças nas Políticas
Kim irá atualizar o manual dos funcionários para incluir novas políticas em:
Educação do Usuário
• A importância da segurança
• Senhas
• Segurança do computador e laptop
• Prevenção contra vírus
• Navegação segura na Internet
• Atualização de software e sistemas operacionais de um servidor
• Introdução às novas políticas da equipe
• Assegurar que os funcionários entendam as conseqüências ao
não concordar com as políticas
• Avaliar o entendimento das novas políticas pelos funcionários
• Periodicamente revisar a prática das novas políticas
Página 67
Planejamento da Reação
Steve será responsável pela segurança no dia a dia, com Denise tendo a
responsabilidade completa. Steve continuará a se informar sobre o
assunto, a assinar boletins de segurança da Microsoft e do nosso
software antivírus, e a se comunicar com Jeremy regularmente para
verificar a compatibilidade com as novas políticas.
Software e Hardware
Página 68
Ajuda Profissional
Recursos Internos
Página 69
Informações Online
Informações Online
Considere este guia como um ponto de partida para a proteção de sua empresa. Os
seguintes sites oferecem informações técnicas e orientações sobre segurança
adicionais.
Página 71
www.microsoft.com/brasil/pequenasempresas
© 2005 Microsoft Corporation. Todos os direitos reservados. Microsoft, MSN, Windows, Outlook, Exchange Server,
Windows Server, SmartScreen e o logotipo da Microsoft são marcas ou marcas registradas da Microsoft Corporation nos
Estados Unidos e/ou em outros países.
Página 72