Guia de Segurança para Pequenas Empresas - Microsoft

Guia de Segurança para
Pequenas Empresas
Aumente hoje a
segurança de
sua rede
Página 1
Caro Pequeno Empresário:
Hoje, mais do que nunca, as redes e a Internet são ferramentas vitais para os
negócios de muitas pequenas empresas. Apesar de a conectividade ser
indispensável para o sucesso comercial, estar mais conectado significa também
estar mais vulnerável para ameaças externas. Grandes empresas possuem
especialistas em segurança à sua disposição, mas é o próprio proprietário da
pequena empresa quem toma as decisões sobre como proteger sua rede.
Portanto, é um prazer introduzir o Guia de Segurança para Pequenas

Empresas— um Guia de Segurança desenvolvido pelo Microsoft Small
Business Team. Este guia é excelente para demonstrar porque a segurança é
tão importante para sua empresa e para descrever os passos que podem ser
dados para aperfeiçoar a segurança de sua rede. Estes passos não são difíceis,
caros ou complexos demais para quem é capaz de dirigir seu próprio negócio.
Atenciosamente,
Donald Wilson
Presidente & CEO
Association of Small Business Development Centers
Small Business Development Centers

A rede de Small Business Development Center (SBDC) é um programa de parceria
unindo a iniciativa privada, o governo, instituições de ensino superior, e
organizações de desenvolvimento econômico sem fins lucrativos. A rede SBDC é
o maior programa de desenvolvimento econômico para Administração de
Pequenas Empresas nos Estados Unidos, utilizando fundos federais, estaduais e
privados para oferecer assistência técnica e gerencial para ajudar os americanos a
começarem, dirigirem e desenvolverem seus próprios negócios. Com quase 1000
centros em todo o país, o programa SBDC promove eventos presenciais para
atender as necessidades de treinamento e orientação de mais de 650,000
pequenas empresas anualmente. Os centros SBDCs em todo o país são
representados pela Association of Small Business Development Centers (ASBDC).
Para saber mais sobre a ASBDC, visite www.asbdc-us.org
Microsoft Small Business Center

O Microsoft Small Business Center é um recurso online criado para atender as
necessidades de pequenas empresas para desmistificar a tecnologia e ajudar os
proprietários a tirarem maior proveito de seus softwares. Para saber mais, visite
www.microsoft.com/smallbusiness/
Página 2
Do Microsoft Small Business Team
Caro Pequeno Empresário:
Novos problemas relacionados à segurança, como vírus, hackers, e worms vêm

sendo revelados em artigos todos os dias e destacam a importância das medidas
preventivas. Estas são sérias ameaças com sérias conseqüências. Mesmo assim,
muitas pequenas empresas ainda não tomaram medidas para proteger seus
negócios. Em muitos casos, os proprietários destas empresas simplesmente
desconhecem quais medidas tomarem ou por onde começar.
O Guia de Segurança para Small Business explica o que você precisa fazer para
melhorar a segurança de sua empresa. O guia foi feito especialmente para o
proprietário, não para um especialista na área, e explica detalhadamente as
principais ameaças na segurança que a sua empresa enfrenta. Apesar de este
assunto envolver detalhes técnicos, abordamos as questões em linguagem
simples, e fornecemos detalhes adicionais para descobertas mais a fundo.
O Microsoft Small Business Team, em parceria com a ASBDC, tem o prazer de

trazer a você o Guia de Segurança para Pequenas Empresas para ajudá-lo a
proteger o seu negócio. Comece ainda hoje a implantar algumas das melhores
práticas sugeridas aqui.
Atenciosamente,
Cindy Bates
Gerente Geral, US Small Business
Microsoft Corporation
Página 3
Conteúdo
5 Este é o Guia Certo para Você?
6 O que Você Precisa Saber Sobre Segurança
17 Encontrando o Consultor Certo
21 10 Perguntas para Ajudá-lo a Proteger sua Empresa
24 Microsoft Windows® XP Service Pack 2
27 Sete Passos para Maior Segurança
27 Passo 1: Proteja seus Desktops e Laptops
34 Passo 2: Mantenha seus Dados Protegidos
38 Passo 3: Use a Internet de Forma Segura
40 Passo 4: Proteja sua Rede
44 Passo 5: Proteja Seus Servidores
47 Passo 6: Proteja suas Aplicações Line-of-Business
51 Passo 7: Gerencie Computadores a partir de um Servidor
53 Criando uma Política de Segurança
56 Criando um Plano de Segurança
59 Exemplo de Plano de Segurança: Adventure Works
70 Informações Online
Página 4
Este é o Guia Certo para Você?
Segurança online e de computadores é uma preocupação crescente para

empresas de todos os tamanhos. Os problemas relacionados à segurança
variam de vírus a ataques automatizados à Internet, ao simples roubo,
resultando em perda de informações e de tempo. Os problemas relacionados
à segurança são freqüentemente abordados em artigos e reportagens, e a
maioria dos proprietários de pequenas empresas sabe que precisam tomar
medidas para proteger seus negócios da melhor forma possível. Aperfeiçoar a
segurança parece ser complicado, e é difícil saber por onde começar. Este guia
ajudará você a enfrentar estas questões.
Se você é proprietário ou responsável pelas políticas de segurança de uma

pequena empresa, este guia foi feito para você. Apesar do conteúdo técnico
de alguns tópicos, tentamos abordá-los usando uma linguagem simples e
indicamos onde encontrar mais informações técnicas caso necessite.
Este guia explica detalhadamente as ameaças de segurança enfrentadas pela

sua empresa e traz um questionário que introduz os conceitos que o ajudarão a
entender e definir suas próprias práticas de segurança. Você encontrará um
checklist que poderá seguir para aumentar a segurança (veja o quadro “Sete
Passos para Maior Segurança,” para um resumo dos passos, e leia a seção
“Sete Passos para Maior Segurança,” para um exame detalhado do checklist) e
conselhos para a criação de seu próprio plano detalhado de segurança.
Incluímos até um exemplo de plano para uma empresa fictícia chamada Adventure
Works.
Muitas das medidas explicadas Sete Passos para Maior Segurança

neste guia podem ser tomadas por 1. Proteja seu Desktops e Laptops
você mesmo. Entretanto, não hesite 2. Mantenha seus Dados Protegidos
em chamar um profissional caso 3. Use a Internet de Maneira Segura
4. Proteja sua Rede
precise de suporte. Existem 5. Proteja seus Servidores
consultores de segurança e de 6. Proteja suas Aplicações Line-of-
Business
tecnologia qualificados disponíveis
7. Gerencie Computadores a partir do
para ajudá-lo. Leia a seção, Servidor
“Encontrando o Consultor Certo”
para saber onde procurá-lo e o que
perguntar.
Página 5
O que Você Precisa Saber sobre Segurança
Para compreender asameaças que existem e como mitigá-las, é preciso ter algum conhecimento técnico. Não se
preocupe–seráomíniimonecessário.
Muitos proprietários de pequenas empresas acreditam que não precisam se

preocupar com a segurança de seus computadores e com a segurança online.
“Afinal de contas,” dizem, “quem iria querer afetar minha empresa quando existem
alvos muito maiores por aí?” Apesar de não serem atacadas tanto quanto as
grandes organizações, as pequenas empresas devem estar atentas existem três
fatores:
• Pequenas empresas freqüentemente são mais

afetadas por grandes ataques, como worms ou
buscas por números de cartões de crédito.
• A segurança está se tornando cada vez mais rígida
nas grandes corporações, portanto as pequenas
empresas estão se tornando um alvo tentador.
• Nem todas as ameaças para a segurança vêm de fora
da sua organização.
Independente de como ou porque sua empresa foi atacada, a recuperação geralmente

demanda tempo e esforço consideráveis. Imagine se os seus sistemas de computadores
estiverem indisponíveis por uma semana. Imagine que você tenha perdido todos os dados
armazenados em todos os computadores de sua empresa. Imagine se o seu maior
competidor obtiver uma lista de seus clientes junto com os números das vendas e outras
informações. Quanto tempo levaria até que você percebesse isso? Quanto estas brechas
custariam a sua empresa? Dá para correr este tipo de risco?
É uma questão de bom senso. Você não sairia do escritório sem trancar as portas.
O mesmo vale para informações de segurança, e algumas medidas simples
podem tornar o seu sistema muito menos vulnerável. Os especialistas em
tecnologia transformam a segurança num bicho de sete cabeças. Felizmente,
proteger sua empresa é muito mais fácil do que você imagina.
É claro, não existe nada que garanta 100% a segurança.
Página 6
No entanto, você pode alcançar um alto nível de segurança e estar preparado para o
caso de brechas. Avaliar adequadamente os riscos e as conseqüências em relação aos
custos de prevenção é um bom ponto de partida. Esta seção oferece uma visão geral
de alguns termos comuns relacionados à segurança e às redes para ajudar a
desmistificar o mundo da segurança computacional.
Um computador sozinho é uma coisa incrível – uma maravilha tecnológica. Mas é

ótimo para comunicação. Conecte dois ou mais computadores usando cartões de
rede e cabos (ou uma instalação sem fio), e você terá uma rede de área local (local
area network - LAN). Todos os computadores na rede podem compartilhar dados e
e-mails, bem como acessar recursos compartilhados como impressoras, modems e
conexões de Internet de banda larga. Conecte duas ou mais LANs, e você terá uma
rede de área ampliada (wide area network - WAN). Por exemplo, você pode
conectar dois escritórios em locais diferentes com uma linha dedicada para rápida
transferência de dados.
Uma internet (com “i” minusculo) é uma rede de redes. As informações de qualquer
computador de qualquer rede podem viajar pela internet para qualquer computador
em qualquer outra rede, como se a Internet fosse uma espécie de transportadora.
Pense na internet como um sistema de rodovias que ligam estradas locais.
A Internet (com “I” maiúsculo) é uma Internet global. Todos os computadores na Internet
se comunicam usando protocolos padrão para que as informações de qualquer
computador possam alcançar um outro computador qualquer na Internet. Aqui é
onde mora o perigo. Até conectar-se com uma rede pública, você estava
razoavelmente protegido de ameaças externas. Conectar-se à Internet pública é
como publicar seu nome, endereço e telefone e dizer: “Olha só, nós temos
computadores.”
Você sabia?
Fraudes relacionadas à Internet foram

responsáveis por 55% das mais de 500.000
reclamações feitas em 2003 e por 45% no ano
anterior, de acordo com a Federal Trade
Commission. O valor médio das perdas
das vítimas de fraudes pela Internet foi de
$195.
Página 7
Pacotes
As informações geralmente viajam através das redes em pacotes. Um pacote é
um aglomerado de dados mais um endereço e outras informações que indicam
à rede onde entregar aqueles dados. Tudo que viaja através da Internet é
dividido em pacotes: páginas da web, mensagens de e-mail, downloads, etc.
Pense no pacote como um circo na estrada. Você não pode colocar o circo
inteiro num caminhão. É preciso desmontá-lo, empacotar tudo, colocar em
veículos separados, informar todos os veículos para onde estão indo, e
montar tudo novamente assim que chegarem ao destino.
O envio de dados através de uma rede é similar. Dados muito grandes são quebrados em
séries de pacotes e remontados no destino. Conforme os pacotes viajam pela Internet, são
devidamente expostos a escutas.
Portas e Endereços
A cada computador numa rede é designado um número chamado de

endereço de IP. O endereço de IP define de maneira única aquele computador
na rede e fornece informações para que os pacotes cheguem aos seus destinos.
O endereço de IP é similar ao endereço de uma rua. Parte do endereço
identifica o segmento da rede do computador destino, e parte do endereço
define o computador em si.
Apesar de um endereço de IP se referir a um computador e a rede na qual está

o computador, as aplicações individuais naquele computador devem ser
identificáveis também. Pense nesta estrutura como um número de apartamento
associado ao endereço da rua: o endereço da rua indica o prédio, e o número
do apartamento indica o apartamento em si. O endereço de IP indica o
computador, e o número da porta indica o programa naquele computador.
Cada programa em um computador que envia e recebe dados através da
rede tem um número de porta especial. Quando os pacotes de informações
são recebidos numa determinada porta, o computador sabe qual aplicação
receberá o pacote. Por exemplo, a porta 80 é a porta para os servidores web
Página 8
(que hospedam os sites que explora com o seu navegador), e a porta 25 é
usada para enviar e-mail. Os pacotes são endereçados para uma porta específica
num endereço de IP específico.
Firewalls
Um firewall separa uma
porção de uma rede de
outra e permite a
passagem apenas de
tráfego autorizado. Na
rede de uma pequena
empresa, um firewall
geralmente separa a rede
privada local da Internet.
Alguns firewalls examinam
os pacotes que fluem
para dentro e muitas
vezes também para fora Figura 1. Um firewall permite que o tráfego
de rede de usuários válidos (linha verde) passe
da rede para checarem através da sua rede, mas bloqueia o tráfego de
sua legitimidade; intrusos (linha vermelha).
Os firewalls também podem filtrar pacotes suspeitos. Eles escondem as

identidades dos computadores dentro da rede privada para dificultar a
descoberta de computadores individuais por hackers criminais. (Figura 1)
Servidores
Um servidor nada mais é do que outro computador ligado à rede, e
projetado para desempenhar algumas funções especiais, como o
compartilhamento de impressoras e armazenamento de arquivos. Lembre-se
que se o seu laptop ou desktop estiver conectado à Internet, ele também é
um tipo de servidor, e sem um firewall, é capaz de receber trafego
indesejado da Internet.
Página 9
Ameaças Comuns Contra a Segurança das Redes
Os agressores têm motivações diferentes – lucro, molecagem, glória – mas todos
agem de maneira similar. Existem diversas ameaças básicas, todas capazes de
variações infinitas.
Spam. Spam, ou mensagens de

Voce sabia? e-mail não solicitadas, gastam
Todos os dias, a Microsoft filtra mais tempo e largura de banda. O
de 3 bilhões de mensagens spam e volume total do spam pode ser
protege as caixas de entrada de mais imenso, e ele pode ser também
de 200 milhões de usuários no mundo
todo. um veículo para vírus.
Página 10
A maioria das mensagens
traz conteúdo pornográfico,
em alguns casos podem criar
um ambiente de trabalho fabricantes, incluindo a
desconfortável e até mesmo Microsoft, desenvolveram em
de responsabilidade legal se parceria uma tecnologia
as empresas não tentar chamada Sender ID Framework
bloqueá-lo. (SIDF) que ajuda a conter e-mail
spoofing e phishing ao validar a
Spoofing. Existem dois tipos de origem real da mensagem.
spoofing. IP spoofing significa a
criação de pacotes que
parecem ter vindo de um
endereço de IP diferente. Esta
técnica é usada principalmente
em ataques num só sentido
(como a negação de um
serviço, ou ataques DoS). Se os
pacotes parecem vir de um
computador da rede local, eles
podem passar pela segurança
do firewall (projetada para
proteção contra ameaças
externas). Os ataques do IP
spoofing são difíceis de serem
detectados e exigem a
habilidade e os meios para
monitorar e analisar pacotes de
dados. E-mail spoofing
significa a falsificação de uma
mensagem de e-mail para que
o endereço do remetente não
indique o endereço verdadeiro
de quem está enviando. Por
exemplo, e-mails de trote
circularam na Internet no final
de 2003 e pareciam trazer um
aviso sobre atualizações oficiais
da Microsoft, pois usavam um
endereço de e-mail falsificado
da Microsoft. Dezenas de
Página 11
Voce sabia?
Em junho de 2004, o Grupo Gartner

relatou que as contas do banco online
haviam sido roubadas em $2.4 bilhões em
um período de apenas 12 meses. Estima-
se que 1.98 milhões de adultos tenham
sofrido perdas. Muitos dos problemas
foram causados por programas maléficos
que coletavam senhas e dados
confidenciais clandestinamente.
Esquemas de “Phishing” também eram usados.
Phishing. Phishing está cada vez
mais se tornando a tática
favorita dos hackers e do crime
As vitimas destes golpes não são apenas
organizado. Em geral, um
usuários que talvez divulguem informações
criminoso envia uma mensagem de e-
pessoais e confidenciais, mas também a
mail que se parece muito com a da reputação e marca da empresa enganada.
fonte original (como eBay ou
Microsoft). Links na mensagem
levam você a um site que
também se parece muito como
original. No entanto, o site é
apenas uma fachada, e o
objetivo do golpe é fazer com
que você forneça dados
pessoais, às vezes para listas de
spam, e às vezes para que os
criminosos possam roubar
informações sobre sua conta e
mesmo sua identidade.
Vírus. Vírus são programas criados para se replicarem e causar danos. Eles
geralmente estão escondidos em programas inócuos. O vírus em e-mails
muitas vezes está mascarado como um jogo ou imagem e usa assuntos
atraentes (como “Minha namorada nua”) para fazer com que usuários o abram
e o executem. O vírus se replica ao infeccionar outros programas em seu
computador.
Worms. Worms são como o Vírus, pois também tentam se replicar, mas
muitas vezes são capazes de fazê-lo ao enviarem mensagens de e-mail ao
invés de simplesmente infectar os programas de um único computador.
Página 12
Cavalos de Tróia. Estes programas maléficos fingem ser aplicações benignas.
Eles não se replicam como o Vírus ou worms, mas mesmo assim podem causar
dano considerável. Muitas vezes, vírus ou worms são transportados dentro de
um Cavalo de Tróia.
Página 13
Spyware. Spyware se refere a
Você sabia? pequenos programas escondidos
De acordo com a National Cyber que são executados em seu
SecurityAlliance, 62 % dos usuários computador e são usados para
de computador não atualizaram seu rastrear suas atividades online para
software antivírus, e 91% dos
entrevistados possuem spyware em permitir que invasores monitorem e
seus computadores que possam causar tenham acesso ao seu computador.
desempenho lento, excesso de pop- Você pode ser o alvo de spyware ou
ups, ou seqüestro de homepages.
de outro software indesejado se
fizer download de músicas de
programas de arquivos
compartilhados, de jogos
gratuitos de sites não confiáveis, ou de outros softwares de origem
desconhecida.
Tampering. Tampering consiste na alteração do conteúdo dos pacotes que viajam

pela Internet ou na alteração de dados nos discos do computador após uma rede
ter sido invadida. Por exemplo, um invasor pode colocar uma escuta numa linha da
rede para interceptar pacotes conforme eles deixam seu estabelecimento. O invasor
pode espionar ou alterar as informações, conforme elas deixam sua rede.
Repudio. Repudio refere-se à capacidade de um usuário de negar falsamente ter

desempenhado uma ação que os demais não podem refutar. Ou seja, um usuário pode
excluir um arquivo e negar ter feito isso se não houver mecanismo (como registros de
auditoria) que prove o contrário.
Revelação de informações. Consiste na exposição de informações para indivíduos

que normalmente não teriam acesso a elas. Por exemplo, um usuário pode tornar
certos arquivos que não deveriam ser compartilhados acessíveis através da rede.
Funcionários costumam compartilhar muitas informações importantes, como
senhas, com pessoas que não deveriam.
Negação de Serviço. Os ataques DoS são assaltos computadorizados lançados por

um criminoso na tentativa de sobrecarregar ou paralisar um serviço da rede, como
um servidor web ou arquivo. Por exemplo, um ataque pode fazer com que um
servidor fique tão atarefado tentando respondê-lo que irá ignorar as solicitações
legítimas para conexões.
Página 14
Elevação de privilégio. Trata-se de um processo no qual um usuário engana
um sistema fazendo com que ele conceda direitos não autorizados,
geralmente com o propósito de comprometê-lo ou destruí-lo. Por exemplo,
um agressor pode registrar-se numa rede usando uma conta de visitante, e
então explorar uma fraqueza no software que permite ao agressor mudar os
privilégios de visitante para privilégios administrativos.
Software Pirata. O uso de software falsificado está disseminado. Em algumas

partes da Ásia e na antiga União Soviética, pelo menos 90% do software
usado é falsificado. Mesmo nos Estados Unidos, estima-se que 25% seja
falsificado. Apesar de o preço baixo ser um atrativo, este tipo de software vem
com um preço potencialmente mais alto: pode conter bugs e vírus, além de
ser ilegal.
O software genuíno da Microsoft Voce sabia?
software fornece proteção atualizada
contra hackers e vírus de e-mails, além O Earthlink, Provedor de
Internet de Atlanta, disse em
de ferramentas aperfeiçoadas para Abril de 2004 que havia
recuperação do sistema. encontrado 370000 Cavalos de
Tróia e monitores de sistema em 1.6
milhões de computadores
pesquisados. Se os números da
Earthlink forem os mesmos para
todos os computadores, 35%
estão comprometidos.
Saiba mais acessando o site

www.microsoft.com/genuine/small_business.mspx?displaylang=pt-br.
A maioria dos agressores usa o poder de processamento dos computadores
como uma arma. Eles podem usar um vírus para espalhar um programa DoS
para milhares de computadores. Podem ainda utilizar um programa para
adivinhar senhas para tentar todas as palavras do dicionário. É claro que as
primeiras tentativas são sempre as mais óbvias, como “senha” e “abretesesamo”
e o próprio nome do usuário. Os invasores têm programas que experimentam
ao acaso todos os endereços de IP na Internet procurando por sistemas
desprotegidos e quando encontram um, possuem rastreadores para verificar
se existem portas abertas para o ataque. Se encontrarem uma porta aberta,
eles conhecem centenas de vulnerabilidades que podem ser usadas para
tentar ganhar acesso. Para ataques mais deliberados, como espionagem
industrial, uma combinação de tecnologia e engenharia industrial é mais
eficiente.
Página 15
Por exemplo, induzir membros de sua equipe a revelarem informações
confidenciais, esvaziar o lixo em busca de alguma informação reveladora, ou
simplesmente procurar senhas escritas em bilhetes ao lado do monitor.
Porque Softwares são Vulneráveis
Os desenvolvedores de software não têm a intenção de criarem programas

inseguros. Por exemplo, um sistema operacional típico é o produto de dezenas
de milhares de horas de trabalho e consiste em milhões de linhas de códigos.
Um simples bug ou descuido pode gerar uma porta inesperadamente aberta
para um sistema até então seguro. É impossível criar softwares sem qualquer
possibilidade de bug. É claro que isso não significa que os desenvolvedores não
irão tentar.
Então temos os bandidos. O ladrão de bancos Willie Sutton disse certa vez:
“Eu roubo bancos porque é lá que o dinheiro está”. O mesmo acontece
com softwares. Quanto mais sucesso e utilização tiverem um software,
maior será o risco de que vire alvo de criminosos. Existe uma batalha
contínua entre os criminosos que exploram as fraquezas e os
desenvolvedores que tentam eliminá-las. É o mesmo caso dos chaveiros e
arrombadores, dos fabricantes de alarmes e ladrões de carros. É por isso
que os desenvolvedores de software lançam atualizações que corrigem
vulnerabilidades, e é por isso que elas devem ser instaladas. (Para mais
informações sobre proteção de computadores, veja a seção, “Microsoft
Windows XP Service Pack 2.”)
A importância das Atualizações de Softwares
De acordo com o Relatório da Symantec sobre Ameaças de Segurança na Internet publicado

em Setembro de 2004, demora em média 5,8 dias após um fabricante de softwares ter
anunciado uma vulnerabilidade para que hackers tirem vantagem da descoberta. As
atualizações de softwares devem ser feitas o mais rápido possível. É recomendado o uso do
recurso Automatic Updates no Microsoft Windows XP para fazer o download e a instalação
automática das atualizações e para certificar-se de que seu software antivírus seja atualizado
regularmente. Considere a possibilidade de assinar os boletins da Microsoft Security Update,
um serviço gratuito via e-mail. Para mais informações, veja a página
http://www.microsoft.com/brasil/security/alertas.mspx.
Página 16
Encontrando o Consultor Certo
A maioria das pequenas empresas não possui uma equipe dedicada à

tecnologia. A contratação de um consultor pode ajudá-lo a determinar a
solução para segurança adequada para sua empresa. Encontrar o consultor
certo pode ser cansativo, mas um bom suporte facilita o gerenciamento da
tecnologia e garante que você terá as melhores orientações e a melhor
implementação.
Onde Começar?
Pergunte a colegas e
fornecedores quem eles estão
contratando.
O que Voce Está

Procurando?
Se você ainda não estiver
trabalhando em parceria com
alguém, procure um
profissional que possa ajudá-
lo hoje e no futuro. Tente
buscar evidências da
habilidade de crescimento e
desenvolvimento como
empresa e possibilidade de
suporte para empresas
maiores que a sua. Os
checklists abaixo podem
ajudá-lo a selecionar a
empresa certa.
Página 17
Experiência
• A equipe de consultoria possui um engenheiro com Certificado
Profissional em Segurança de Sistemas de Informação (CISSP)? Se a
equipe tiver um CISSP, você pode ficar tranqüilo quanto ao nível de
especialização em segurança do consultor.
• Eles possuem um Certificado CompTIA Security+?

O CompTIA Security+ mede o conhecimento padrão na indústria e as
competências para o gerenciamento de segurança de informação.
• A equipe de consultoria possui um Engenheiro de Sistemas

Certificado pela Microsoft (MCSE) ou um Administrador de Sistemas
Certificado pela Microsoft (MCSA)? Os MCSEs são especializados em
compreender como se projeta, implementa e administra a segurança de
uma rede baseada no Microsoft Windows Server™ 2003. Os MCSAs são
especialistas na administração de ambientes de rede.
• A quanto o grupo de consultoria está no mercado e quantos clientes

possuem? Eles estão dispostos a fornecer uma lista de clientes com os quais
você pode conversar a respeito do serviço prestado?
Página 18
Serviços
• Quais dos seguintes serviços de segurança o grupo de
consultoria pode oferecer?
a) Instalação e suporte antivirus
b) Fortalecimento de servidores (garantem que todas as configurações do sistema
estão no nível adequado de segurança)
c) Fortalecimento de desktops
d) Instalação, configuração e suporte de firewall e detecção
de invasores
• Eles oferecem auditorias de segurança? Em quais sistemas

operacionais?
• Eles oferecem suporte de segurança remoto ou on-site 24×7?

• Quais níveis de suporte são oferecidos? Procure um contrato de serviço que
estabeleça em quanto tempo os problemas serão solucionados e o nível
de suporte oferecido na pós-venda.
• Eles podem oferecer ou recomendar profissionais para dar treinamentos?
• Eles serão capazes de acompanhar o crescimento de sua empresa no futuro?
Página 19
Abordagem
• O consultor utiliza padrões e práticas consistentes em suas operações?
Peça para ver uma descrição do processo.
• Eles podem se comprometer com uma programação ou orçamento
específico para um determinado projeto?
• Eles serão capazes de trabalhar com sua própria equipe, ou terão que
fazer contratações temporárias?
• Qual é a estrutura de preços? Dependendo do projeto, é possível fechar um
preço único, uma taxa diária ou por hora, ou por prestação de serviços
contínuos. Eles podem desmontar sua estrutura de custo e determinar os
custos para as diferentes atividades ou etapas? Você quer informações
exatas e precisas antes que qualquer trabalho seja delegado.
• Como eles abordam a documentação? Eles devem oferecer a você uma

proposta de trabalho, incluindo um orçamento, uma programação, e as
especificações cabíveis. A proposta deve estar em linguagem clara.
• Se a proposta for satisfatória, você deve escrever um contrato especificando o
que será feito e por quem. Certifique-se de incluir datas, prazos, equipamentos
e custos. Mesmo que você não tenha um contrato formal feito por
advogados, certifique-se de que os detalhes do trabalho estão escritos e são
claros.
O que Fazer a Seguir

Para encontrarum parceiro Microsoft para pequenas empresas, siga estas instruções:
1. Visite o site de Busca do Microsoft Small Business Partner:

http://www.microsoft.com/brasil/comprar/default.aspx
2. Clique em Software ou Hardware Microsoft.
3. Selecione o estado, a cidade e clique em .
Página 20
10 Perguntas para Ajudar a Proteger sua Empresa
Faça nosso questionário de segurança e veja o quanto você sabe – ou não –

sobre questões importantes que podem causar impacto em sua empresa.
1. Qual das seguintes ações não ajudará a proteger seus computadores

desktop?
a. Acionar o Automatic Updates
b. Acionar o Windows Firewall

c. Instalar software antivirus
d. Abrir anexo de e-mail de remetente desconhecido
2. Qual destes é um exemplo de senha segura?
a. Senha
b. J*p2le04>F
c. Meu cachorro tem pulgas!
d. Seunome verdadeiro, nome de usuário ou da empresa
3. Se você tiver um firewall de perímetro em sua rede, você não precisa

acionar o Windows Firewall.
a. Verdadeiro
b. Falso
4. Como evitar que invasores acessem sua rede sem fio?
a. Encriptando o tráfego de rede com Wi-Fi Protected Access

(WPA) ou Wired Equivalent Privacy (WEP)
b. Restringindo o acesso aos endereços confiáveis do Media Access Control (MAC)
c. Ambos
5. Se você programar o software antivírus para auto-atualização, você não precisa habilitar
o Windows Automatic Updates.
a. Verdadeiro
b. Falso
Página 21
6. Pequenas empresas não são alvos de hackers
a. Verdadeiro
b. Falso
7. O que é phishing?
a. Mensagens de e-mail de “trote” e sites que enganam quem as
recebe para que divulgue informações pessoais.
b. Um tipo de vírus de computador
c. Um exemplo de senha forte
8. Que produto pode ser usado para atualizar todos os computadores

de sua rede?
a. Windows Update Services (WUS)

b. Microsoft Internet Information Services (IIS)
c. Bluetooth Networking
d. Microsoft Baseline SegurançaAnalyzer (MBSA)
9. Que método(s) pode ser usado

para proteger dados
importantes de predadores?
a. Senhas
b. Permissões de
arquivos
c. Encriptação
d. Todas as anteriores
10. Com que freqüência deve ser

feito backup incremental?
a. Diariamente
b. A cada dois dias c.
Semanalmente
d. Mensalmente
Página 22
As respostas para o questionário de segurança estão abaixo. Se você não respondeu
todas as perguntas corretamente, veja a seção “Sete Passos para Maior Segurança”
para saber mais sobre questões relacionadas à segurança das pequenas empresas.
1. d. Vocêdeve usar o Automatic Updates, o software antivírus, e o

Windows Firewall. Você não deve jamais abrir um anexo de e-mail de
um remetente desconhecido.
2. b e c. Uma senha forte é uma mistura de diferentes tipos de caracteres.

Frases também são senhas seguras.
3. b. Falso. Você deve usar um firewall de perímetro e um firewall loca,

como o Windows Firewall.
4. c. Ambos. Você deve encriptar sua rede e limitar o acesso.
5. b. Falso. A atualização automática do seu antivírus não atualiza

automaticamente o sistema operacional do Windows também. É
preciso habilitar também o Windows Automatic Updates.
6. b. Falso. Pequenas empresas são alvos freqüentes de ataques e também

podem ser afetadas pelos ataques nas grandes.
7. a. Mensagens de e-mail “trote” e sites fraudulentos são criados para

enganar os destinatários para que divulguem dados financeiros
pessoais, como números de cartão de crédito, e nomes de usuário de
contas e senhas.
8. a. WUS. O WUS oferece uma solução para o problema de

gerenciamento e distribuição de atualizações importantes do
Windows que solucionam vulnerabilidades de segurança e outras
questões de estabilidade em seus sistemas operacionais.
9. d. Todas as anteriores. Você pode proteger dados confidenciais usando

senhas fortes, designando permissões de arquivos e habilitando a
encriptação.
10. a. Diariamente. Um backup incremental inclui todos os dados que foram

alterados desde o último backup. O backup incremental deve ser diário se
você estiver usando este método como parte de sua solução de backup.
Página 23
Microsoft Windows XP Service Pack 2
O Microsoft Windows XP Service Pack 2 (SP2) é uma atualização gratuita para

computadores executando o Windows XP que inclui todas as atualizações de
segurança lançadas pela Microsoft para este sistema operacional e traz várias
melhorias significativas na segurança.
Como parte de um grande esforço para aumentar a segurança dos

computadores desktop, a Microsoft lançou uma atualização para o Windows XP
chamada Windows XP SP2. Como em todos os service packs, o SP2 inclui as
principais atualizações feitas para o Windows XP até hoje. O SP2 também inclui
um grande número de novas melhorias para
Pequena Empresa em destaque: W&E Baum:
“A instalação do Windows XP Service Pack 2 (SP2) foi rápida e fácil. Quando

fizemos o rollout do Windows XP SP 1, levamos cerca de 30 minutos, ou $75
por computador. O rollout do SP2 levou apenas 5 minutos por computador,
reduzindo nossos custos de implementação em cerca de 95 %.” · O Windows
XP—cujo intuito é aumentar o nível de segurança padrão para o seu sistema
operacional.
Automatic Updates
Para que o Windows XP fique protegido é importante mantê-lo atualizado
com as ultimas atualizações do software lançadas pela Microsoft. O Automatic
Updates pode localizar, fazer o download e instalar automaticamente
atualizações críticas e de segurança. O SP2 traz diversas melhorias para o
recurso Automatic Updates no Windows XP, incluindo habilidade para fazer o
download de mais categorias de atualizações, melhor gerenciamento da
largura de banda, e consolidação das atualizações para facilitar a vida do
usuário.
Windows Firewall
No lançamento original do Windows XP, o firewall baseado no software incluído
no sistema operacional chamava-se Internet Connection Firewall. Com o
lançamento do SP2, este firewall foi rebatizado de Windows Firewall e foram
acrescentados diversos recursos novos.
Página 24
As atualizações incluem a habilitação do Windows Firewall por padrão em todas as conexões
da rede, interface do usuário aperfeiçoada, melhor compatibilidade para aplicações quando
o Windows Firewall está acionado, e a possibilidade de alterar as configurações globais para
todas as conexões.
Internet Explorer
As melhorias em segurança do Microsoft Internet Explorer oferecem maior
proteção contra conteúdos mal-intencionados na Web bem como uma
interface aperfeiçoada que facilita a configuração da segurança. Uma nova
Barra de Informações consolida muitas das caixas de diálogo que o Internet
Explorer utiliza para fornecer informações aos usuários. O Internet Explorer
agora inclui um bloqueador de janelas pop-up bem como um recurso chamado
Manage Add-ons que permite a você inabilitar as capacidades de encriptação
que possibilitam aos sites inescrupulosos seqüestrarem o Internet Explorer e
forçá-lo a ir até eles.
Outlook Express
O SP2 também fornece melhorias na segurança para os usuários do programa
de e-mail Microsoft Outlook® Express. Você pode evitar que conteúdos externos sejam
“baixados” e exibidos em mensagens com formato HTML e mesmo configurar
o Outlook Express para exiba mensagens apenas no formato de texto simples.
Também é possível bloquear anexos potencialmente perigosos que são enviados
através de mensagens de e-mail, e mensagens instantâneas são isoladas para que
não possam afetar outras partes do sistema.
Suporte Sem Fio

Uma nova interface no SP2 facilita a localização de uma rede sem fio ao
informá-lo quais redes estão disponíveis, sua força e seu tipo de segurança.
Você pode facilmente mover entre as redes, se necessário. O Assistente de
Instalação da Rede Sem Fio facilita esta tarefa. Além disso, novos assistentes o
guiam na configuração dos recursos de segurança para usa rede sem fio,
independente do tipo de rede sem fio: a antiga WEP, ou a nova e muito mais
potente, WPA.
Página 25
Security Center
O Security Center é um novo recurso que oferece uma interface central exibindo
o status das configurações de segurança em um computador, incluindo
configurações para Automatic Updates, Windows Firewall, e alguns softwares
antivírus não pertencentes a Microsoft. O Security Center também é executado
como serviço de bastidores e fornece alertas em tempo real quanto certas
condições de segurança são detectadas. Equipado com tecnologias de
segurança aperfeiçoadas o oferecidas pelo SP2, você vivenciará um ambiente de
desktop muito mais seguro. Para mais informações e para descobrir como obter
o Windows XP SP2 gratuitamente, visite a página
http://www.microsoft.com/brasil/windowsxp/sp2/default.mspx
Página 26
Sete Passos para Maior Segurança
Esta seção descreve medidas básicas de segurança que toda empresa deveria
tomar para se proteger. Veja a seção “O que Você Precisa Saber Sobre
Segurança” para se informar sobre qualquer item que parece técnico demais,
ou conversar com um consultor de segurança ou de tecnologia da informação
(TI). Os passos presumem que você já tenha criado uma política e um plano de
segurança. Para um exemplo de plano e política de segurança, veja a seção
“Exemplo de Plano de Segurança : Adventure Works.”
Passo 1 Proteja Seus Desktops e Laptops
Se você tomar apenas três precauções para proteger os computadores usados em sua
empresa, que sejam elas:
• Atualize seu software.

• Ajude a proteger contra Vírus.
• Instale firewalls.
Atomada destas medidas não o protegerá completamente das ameaças de segurança

e da perda de produtividade, mas juntas darão a você uma linha de defesa
poderosa.
Atualize Seu Software
Hackers criminosos gostam de encontrar e explorar bugs e falhas em softwares

populares. Alguns fazem isso por dinheiro, outros para provar algo, e alguns
simplesmente para causar problemas. Muitos problemas: divulgação de números
de cartões de crédito de clientes e roubo de senhas de um computador. O impacto
em sua empresa pode ser fatal.
Passos básicos a serem dados
Quando a Microsoft ou qualquer outro fabricante de software encontra uma

vulnerabilidade em seus produtos, ela geralmente lança uma atualização que
pode ser obtida através download gratuito na Internet. A atualização
“conserta” a falha ou bug para evitar que os hackers causem problemas. Com o
passar do tempo, no entanto, os softwares têm se tornado mais seguros.
Página 27
Por exemplo, o Microsoft Windows XP Professional é inerentemente mais seguro
do que o Microsoft Windows 95. O Windows XP Professional com SP2 oferece
configurações de segurança ainda mais fortes para ajudar a evitar vírus, hackers, e
worms. Mas isto não diminui a importância do download e da instalação de
atualizações apropriadas assim que são lançadas.
Instalação manual de atualizações para o Windows
• Windows XP Professional:
Vá até o site Windows Qual Versão do Windows eu Possuo?
Update (http:// Se não tiver certeza sobre qual versão do
windowsupdate.microsoft. com), e Windows está executando, é fácil
clique em Verificar por Atualizações. descobrir. A Microsoft fornece uma
O website automaticamente analisa ferramenta online que pode determinar
seu computador, determina quais sua versão do Windows (incluindo
atualizações são necessárias e as qualquer Service Packs instalado). Siga
disponibiliza para download. Para estes passos:
facilitar o processo, habilite o 1. Vá até
www.microsoft.com/brasil/proteja
Automatic Updates. Com este
2. Clique no link “Descubra qual
recurso, o Windows XP Professional versão do Windows seu
pode monitorar o download, e computador está usando.” na parte
instalar atualizações de baixo de página.
automaticamente Você também pode determinar sua versão do
Windows manualmente (e offline)
(dependendo das seguindo estes passos:
configurações que você 1. Clique em Iniciar, e então clique em
selecionar). Executar.
2. Na caixa de diálogo Executar
digite winver, e clique em OK.
3. Na caixa de diálogo Sobre o
Windows que surgir, procure a
versão instalada do Windows de
qualquer Service Packs que
estiverem instalados.
• Windows 2000:
Se você estiver executando o
Microsoft Windows 2000 como parte de um domínio ou como um
computador autônomo, visite o site do Windows Update
(http://windowsupdate.microsoft.com), onde você encontrará os últimos
service packs, drivers de dispositivos, informações sobre compatibilidade de
aplicações, e atualizações de segurança do sistema. Em um ambiente do
domínio, os computadores do servidor executando o Microsoft Windows
2000 Server ou Windows Server 2003 gerenciam a segurança de todos os
recursos da rede.
Página 28
• O Windows Me, Windows 98, Windows NT®, e Windows 95: Versões
anteriores do Windows, como o Microsoft Windows Me ou Windows 98, são
muito menos seguras do que as novas versões. A Microsoft aconselha a
atualização para as novas versões do Windows para garantir o alto nível de
segurança.
Faça o download automático e a instalação de atualizações em um

computador executando o Windows XP Professional
1. Clique em Iniciar, and then clique em Painel de Controle.

2. No Painel de Controle, clique duas vezes em Sistema.
3. Na caixa de diálogo de propriedades do sistema, clique na guia Atualizações
Automáticas (Figura 2).
4. Selecione a opção Automática (recomendado).
5. Na caixa de seleção, selecione o dia e hora para fazer o download e a
instalação das atualizações.
6. Clique em Aplicar, e então clique em OK.
Você também pode ficar em dia

com as atualizações de
segurança para o Microsoft
Office. Estas atualizações e
outros suplementos obtidos
através de download estão
disponíveis no site Office
Update
(http://office.microsoft. com) e
clicando em Verificar por
Atualizações.
Procure se Proteger Contra

Vírus
Figura 2. Prepare seu computador para o download e a instalação automática de

atualizações.
Página 29
Os vírus, bem como os worms e os cavalos de Tróia, são programas maliciosos
executados em seu computador. Alguns Vírus deletam ou alteram arquivos.
Outros consomem recursos do computador. Alguns permitem que intrusos
acessem seus arquivos. Os Vírus podem se replicar, ou copiar a si mesmos, e
até enviar mensagens de e-mail para os contatos de sua lista. Os
computadores infectados por vírus podem espalhá-los através de sua
empresa e causar sérios danos à produtividade e a perda de dados. Você
também corre o risco de infectar os computadores de seus clientes ao se
comunicar com eles via e-mail.

Voce Sabia?
Você deve ter uma proteção antivírus
Uma pesquisa conduzida pela
em todos os seus computadores. America Online revelou que 20%
O software antivírus funciona dos computadores domésticos
rastreando o conteúdo das estavam infectados com um vírus
ou worm e que várias formas de
mensagens de e-mail (e arquivos programas de invasão estão em
já presentes em seu 80% dos computadores. Apesar
computador) para detectar disso, mais de 2/3 dos usuários
acham que estão a salvo de
assinaturas de vírus. Se o ameaças online.
software encontrar um vírus, ele
o deleta ou isola.
Instale um software antivirus
Centenas de Vírus são lançados a cada mês, e por isso um software antivírus
deve ser atualizado regularmente com as últimas definições de assinaturas
para que possa pegar os últimos vírus. Procure por um software que faça
downloads automáticos das últimas definições e programas diretamente da
Internet. (Se a sua empresa usa laptops, veja a seção “Tomando Cuidados
Especiais com Laptops” na página 26.) Aqui vão alguns links para programas
antivírus de alguns dos melhores fabricantes de software de segurança:
• AVG Anti-Virus: www.grisoft.com/
• Norton AntiVirus: www.symantec.com/smallbiz/nav/
• McAfee VirusScan: www.mcafee.com/
• Panda Titanium Antivirus: www.pandasoftware.com/
• BitDefender: www.bitdefender.com/
• Microsoft Malicious Software Removal Tool:
Visite www.microsoft.com/downloads/ e digite
“Malicious Software Removal Tool” na caixa de busca
Página 30
Nunca abra arquivos suspeitos
Certifique-se de que todos em sua empresa saibam que devem deletar – sem
abrir – quaisquer anexos de e-mail de uma fonte desconhecida ou suspeita.
Ajude a Proteger sua Caixa de Entrada
A Microsoft desenvolveu tecnologias SmartScreen™ que são integradas com muitos

produtos da Microsoft, incluindo o MSN® Hotmail, o Microsoft Exchange Server, e
o Microsoft Office Outlook® 2003. Estes produtos possuem configurações que
ajudam a detectar e eliminar e-mails indesejados. Pesquise nestes programas se
você já não os tiver usando.
Para configurar opções de junk e-mail no Office Outlook 2003, siga estes passos:
1. No Office Outlook
2003, clique no
menu Ações.
2. Selecione Lixo
Eletrônico, e então
clique em Opções de
Lixo Eletrônico.
3. Na caixa de
diálogo Opções de
Lixo Eletrônico,
selecione o nível
de proteção
contra e-mail que
você deseja
(Figura 3).
4. Clique em
Aplicar, e então
clique em OK.
Figura 3. Habilite o filtro de lixo eletrônico no Office

Outlook 2003.
Página 31
O Office Outlook 2003 disponibiliza (gratuitamente) atualizações mensais para o
seu filtro de junk e-mail. Os usuários são aconselhados a fazerem o download
destas atualizações regularmente para ajudar a conter novas táticas
enganadoras de e-mails. Para saber mais sobre os recursos de segurança e de
bloqueio de spam no Office Outlook 2003, visite a página:
www.microsoft.com/office/editions/prodinfo/junkmail.mspx (em inglês)
Para atualizações no filtro de lixo eletrônico, visite

http://office.microsoft.com/en-us/officeupdate/ e clique em
Downloads for Office 2003.
Para atualizar para o Outlook Express 6.0, faça o download e instale o

Internet Explorer 6.0 a partir da página de Downloads do Office 2003:
www.microsoft.com/windows/ie/enthusiast/videos/email.mspx
Para saber mais sobre vírus, leia o artigo “7 things to know about virus writers”
na página www.microsoft.com/smallbusiness/
issues/technology/security/7_things_to_know_about_virus_ writers.mspx (em
inglês)
Instale Firewalls
Se você possui uma conexão de banda larga, a rede de sua empresa tem
grandes chances de ser sondada ao acaso por hackers criminosos. Quando os
invasores dão de cara com um endereço de computador válido, eles tentam
explorar as vulnerabilidades do software para ganhar acesso a sua rede—e às
maquinas individuais também.
Como um fosso em volta de um castelo, um firewall pode evitar que invasores

acessem sua rede privada. Existem dois tipos básicos de firewalls:
• Firewalls de Perímetro. Estes firewalls bloqueiam todo o tráfego entre a

Internet e sua rede que não sejam explicitamente permitidos. Por exemplo,
você pode quere configurar o firewall para aceitar certos tipos de e-mail e
de tráfego da Web, mas rejeitar os demais tipos de tráfego.
Página 32
Os firewalls também podem esconder os endereços dos computadores atrás
de si, tornando computadores individuais invisíveis para o exterior. Um
firewall pode ser integrado a um roteador DSL / cable modem ou um
software como o Microsoft Internet Security e o Acceleration (ISA) Server.
• Firewalls locais. Devem ser instalados em cada computador. O Windows

Firewall no Windows XP SP2 é habilitado por padrão, o que significa que, por
padrão, todas as conexões – incluindo LAN (com ou sem fio), por discagem, e
Virtual Private Network (VPN)—estão protegidas.
Tomando Cuidados Especiais com Laptops

Os laptops são alvos tentadores porque são fáceis de roubar e de vender. Pense
nele como uma pilha de dinheiro equivalente ao seu preço. Além da inconveniência
e do custo para substituí-lo, existe o risco de que um laptop roubado contenha
informações confidenciais ou difíceis de serem substituídas. Se você usa um laptop,
considere tomar as seguintes precauções:
• Use uma senha forte. Certifique-se de manter o laptop desligado quando

não estiver sendo usado.
• Mantenha o laptop a vista, principalmente em lugares públicos cheios como

aeroportos, mas também em conferências e reuniões.
• Mantenha seu laptop numa mala de mão, e não o deixe em depósitos de
bagagens de hotéis. Não carregue seu laptop em bolsas com estampas de
fabricantes ou que se pareçam muito com uma típica bolsa de laptop.
• Mantenha um registro do número de série de seu laptop e de todos os
acessórios que você utiliza.
• Faça um backup de todo o trabalho armazenado em seu laptop antes de viajar
e, se possível, continue fazendo backups do trabalho que faz longe da empresa.
Enviar por e-mail os novos documentos é uma alternativa.
• Use o Encrypting File System (EFS) para proteger arquivos confidenciais.
Para orientações sobre este processo, veja o artigo de suporte da
Microsoft 223316, “Best Practices for the Encrypting File System,” na
página: http://support.microsoft.com/default.aspx?scid=kb;EN-
US;223316 (em inglês)
Página 33
Se os seus computadores não estiverem executando o Windows XP, você
pode adquirir um firewall local comercial. Os seguintes fornecedores
comercializam softwares de firewall:
• ZoneLabs (www.zonelabs.com)
• McAfee (www.mcafee.com)
• Symantec (www.symantec.com)
Leia Mais a Respeito
• Para artigos da Microsoft sobre segurança de desktops e laptops, visite o

site de Segurança da Microsoft:
http://www.microsoft.com/brasil/security/smb.mspx
• Se você não estiver usando o Windows XP Professional com SP2, você pode
obter informações sobre outros firewalls locais baseados em software nos
sites www.mcafee.com, www.symantec.com, ou www.zonelabs.com
• Para informações sobre os diferentes tipos de firewalls disponíveis e
para detalhes técnicos sobre como os firewalls funcionam, leia
mais no site Microsoft TechNet
www.microsoft.com/technet/security/topics/network/firewall.mspx
• Para informações sobre spyware, visite
http://www.microsoft.com/brasil/athome/security/spyware/default.mspx
• Para uma excelente introdução no mundo dos hackers criminosos,

incluindo entrevistas e leituras úteis, visite
www.pbs.org/wgbh/pages/frontline/shows/ hackers/
Passo 2 Mantenha os Seus Dados
Implementar um procedimento de backup regular é uma maneira simples para

ajudar a proteger os dados mais importantes de sua empresa. As permissões de
configurações e o uso de encriptação também ajudam. Muito das experiências
ruins que as pequenas empresas vivenciam podem ser culpa de forças externas,
como economia ruim, desastre natural, a saída de funcionário importante. Não é
surpresa que aquelas
Página 34
que conseguem sobreviver às épocas difíceis sejam justamente aquelas que
minimizam seus riscos tomando precauções básicas. Uma delas é a proteção
dos dados empresárias chaves.
Imagine chegar um dia no seu escritório e descobrir que todos os seus registros
de venda, informações de clientes e histórico de pedidos desapareceram.
Quanto tempo demoraria para se recuperar? Quantos estragos e atrasos isso
não causaria? Quanto isso custaria?
A perda de dados pode acontecer e acontece. Ela é resultado de falhas de

hardware, enchentes, incêndios, brechas na segurança, ou perda acidental
de um arquivo importante. Seja qual for a causa, a tomada de precauções
para reduzir o impacto é como uma apólice de seguro, permite a sua
empresa reagir rapidamente.
Passos Básicos a Serem Dados
Existem diversas maneiras para ajudar a proteger os dados cruciais de sua

empresa, mas estes três métodos são essências para quem está iniciando.
Implementar um procedimento para fazer o backup de dados cruciais
Fazer o backup de dados cruciais significa fazer uma cópia destes dados
em outro meio. Por exemplo, você pode copiar todos os seus arquivos
importantes em um CD-ROM, num segundo disco rígido, ou numa pasta
compartilhada de sua rede. Existem dois tipos básicos de backup: backup
total e backup incremental. Um backup total faz uma cópia completa dos
dados selecionados em outro meio. Um backup incremental faz apenas o
backup dos dados que foram adicionados ou alterados desde o último backup
total. Você deve manter cópias dos backups em locais seguros fora do
escritório.
Um backup total acrescido por um backup incremental é geralmente mais

rápido e ocupa menos espaço. Você pode considerar uma política de
execução de um backup total semanal seguido de backups incrementais
diários. No entanto, quando quiser restaurar dados após um travamento, este
método levará mais tempo porque você terá que restaurar o backup total
primeiro,
Página 35
e depois cada backup incremental. Se tal processo for um empecilho, uma
outra opção é executar um backup total noturno. Basta programá-lo para
ser executado fora do horário comercial.
(Figura 4).
Teste seus backups regularmente restaurando os dados em um local de teste.

Desta forma, você pode:
• Garantir que o meio e os dados do backup estão em bom estado
• Identificar problemas no processo de restauração.
• Proporcionar um nível de confiança que será útil durante num momento
de crise.
Estabeleça permissões
Tanto o sistema operacional de seu desktop quanto do seu servidor podem

oferecer proteção contra perda de dados resultante de atividades de
funcionários.
Figura 4. Faça o backup de dados cruciais e teste os backups restaurando-os.
Página 36
Com o Windows XP e Windows 2000—bem como o Microsoft
Windows Small Business Server (SBS) 2003, o Windows Server 2003, e o
Windows 2000 Server—é possível designar diferentes níveis de permissão aos
usuários com base nas suas funções e responsabilidades dentro da organização.
Ao invés de fornecer a todos os usuários acesso de Administrador – o que
não é a melhor prática para a segurança do seu ambiente—institua uma
política de “privilégio mínimo” ao configurar seus servidores para dar aos
usuários individuais apenas acesso a programas específicos e privilégios de
usuário especificamente definidos.
Faça a encriptação de dados confidenciais
A encriptação de dados significa que você pode convertê-los para um formato

que os camufla. A encriptação de dados é usada para garantira a
confidencialidade e a integridade dos dados quando estes são armazenados
ou movidos através da rede. Apenas usuários autorizados que possuem as
ferramentas para decriptação podem acessar estes arquivos. A encriptação
complementa outros métodos de controle de acesso e oferece um nível
acentuado de proteção para dados em computadores vulneráveis a roubo,
como laptops, ou compartilhamento de arquivos numa rede. O Windows XP e
o Small Business Server 2003 suportam o Encrypting File System (EFS) para
encriptar arquivos e pastas. Juntas, estas três práticas devem proporcionar o nível
de proteção que a maioria das empresas requer para manter seus dados seguros.
Porque Você Deve Testar Seus Backups
Erik era o diretor de uma empresa de arquitetura em crescimento. Com 30

funcionários e diversos clientes multinacionais, a empresa dependia de seu sistema
de e-mail para manter contato e acompanhar as solicitações de clientes. Então,
numa tarde, o servidor de e-mail sofreu uma falha catastrófica, e os dados foram
danificados.
“Sem problemas,” pensou Erik, “nosso responsável pelo suporte tem um backup,
então, podemos restaurar os dados a partir dele.” De fato, a empresa havia
elaborado uma biblioteca de fitas e mantinha as cópias dos backups cruciais em
local separado. Foi somente após um dia de tentativas de restauração do sistema
de e-mail com as fitas de backup que eles perceberam que o backup dos dados
não havia sido feito adequadamente. Nunca haviam notado o problema e nunca
haviam testado para verificar se os dados restaurados funcionavam devidamente.
Não tinham nenhum tipo de plano B para a recuperação de desastres.
Página 37
• Para artigos da Microsoft sobre como manter dados protegidos, visite

• Para mais informações sobre como usar o Microsoft Backup, viste
www.microsoft.com/windowsxp/home/using/howto/
maintain/backup.asp
Passo 3 Use a Internet de Forma Segura
Sites inescrupulosos, bem como pop-ups e animações, podem ser perigosos.

Estabeleça regras sobre o uso da Internet para proteger sua empresa – e seus
funcionários.
Se a sua empresa ainda não possui uma política sobre o uso da Internet, prepare
uma. Apesar de a Web ser uma ferramenta de trabalho incrivelmente útil, ela
também pode causar estragos significativos no local de trabalho que podem
resultar em perda de produtividade. O estabelecimento de regras protege sua
empresa e seus funcionários.
Por que Sua Empresa Corre Riscos
As páginas da Web contêm programas que geralmente são inocentes e muitas vezes
úteis – por exemplo, animações e menus pop-up. Mas existem sites duvidosos, até
mesmo mal-intencionados, que possuem seus próprios interesses, e não é
aconselhável navegá-los. Quando você estiver surfando na Web, os operadores de
sites podem identificar seu computador na Internet, saber qual página você visitou,
usar os cookies para traçar seu perfil, e instalar spyware em seu computador— tudo
sem o seu conhecimento. Worms destrutivos também podem invadir seu sistema
através do seu navegador da Web.
Além de atividades maléficas instigadas por pessoas de fora, funcionários podem

deixar as empresas em situações vulneráveis quando participam de atividades ilícitas
ou indesejadas na Web durante o expediente e usando os computadores de
propriedade da empresa.
Página 38
O que Sua Política de Internet Deve Incluir
Ao criar uma política da empresa para o uso da Internet, lembre –se de focar as
seguintes questões:
• Se os funcionários têm permissão para navegação na Web para uso pessoal bem como
para propósitos profissionais
• Quando os funcionários podem usar a Web para uso pessoal (por exemplo, horário
de almoço, após o expediente)
• Se e como a empresa monitora o uso da Web e qual nível de privacidade os
funcionários podem esperar
• A atividade na Web que não é permitida. Deixe claro que não é permitido. Esclareça
detalhadamente o que é inaceitável. Em muitas empresas este comportamento
inclui atividades como:
- Download de conteúdo ofensivo ou violento
- Comportamento violento ou ameaçador
- Solicitações comerciais (não relacionadas a trabalho)
- Outras atividades ilegais
Forneça duas cópias da política para seus funcionários — uma delas deverá ser assinada e
devolvida para você. (Para mais informações, veja a seção “Criando uma Política de
Segurança,” ainda neste guia.)
Dicas para uma Navegação Segura
Além da criação de uma política, as seguintes recomendações também podem ajudá-lo

a promover uma navegação segura na Web:
• Visite apenas sites confiáveis.

• Não use o computador de trabalho para navegação fútil.
• Nunca navegue em sites a partir de um servidor. Sempre use um computador desktop ou
laptop.
• Não permita que sites instalem programas a não ser que você confie no site e
tenha certeza sobre o que o programa faz.
• Use um firewall ou um roteador. Isto permite a você filtrar endereços da Web e
bloquear o tráfego de sites perigosos na Internet nos dois sentidos.
• Considere um software de filtragem da web. Empresas como Websense e Secure
Computing oferecem produtos que filtram o uso da Internet com base numa
variedade de critérios.
Página 39
• Para artigos da Microsoft sobre o uso seguro da Internet, visite

• Para software de filtragem da web, visite www.microsoft.com/spam,
www.microsoft.com/brasil/windowsserver2003/sbs/default.mspx,
www.securecomputing.com e www.websense.com
• Para pesquisar possíveis fraudes, visite
www.symantec.com/avcenter/hoax.html
• Para mais informações sobre o combate de spyware, visite
www.microsoft.com/spyware/
• Para implementar o Sender ID Framework para proteger o nome seu
domínio contra falsificações de e-mail, viste
www.microsoft.com/senderid/
Passo 4 Proteja Sua Rede
O acesso remoto a sua rede pode ser uma necessidade empresarial, mas é
também um risco de segurança quer precisa ser monitorado atentamente. Use
senhas fortes e seja especialmente cuidadoso em relação às redes sem fio.
Ninguém gosta de pensar no pior – que em cada esquina existe alguém de

olho nos seus negócios. Mas se a sua empresa opera uma rede com ou sem
fio e possui informações de caráter confidencial, um pouco de paranóia não
fará mal.
Temos aqui quatro medidas básicas que podem ajudar a reduzir sua
apreensão em relação à segurança da rede.
Instale firewalls
Um firewall controla o acesso para dentro e fora da sua rede ou computador,

impedindo que invasores tenham acesso à sua rede
Página 40
privada e controlando o que os seus funcionários podem acessar fora da rede.
Firewalls de perímetro protegem todos os computadores na sua rede. Eles
também oferecem uma camada de defesa adicional assim podem tornar
todos os computadores de sua rede “invisíveis” para o mundo exterior.
Use senhas fortes
A maioria das pequenas empresas usa senhas para autenticar identidade, seja
em computadores, caixa registradoras, ou sistemas de alarme. Apesar de
existirem sistemas de autenticação mais sofisticados, como smart cards e scan
de digitais ou íris, as senhas são mais comuns porque são fáceis de serem usadas.
Infelizmente, elas são muitas vezes usadas inadequadamente. Os hackers possuem
ferramentas que os ajudam a descobrir senhas simples em minutos. Criminosos
também utilizam fraude para fazer com funcionários divulguem suas senhas.
Com freqüência, as senhas não são

Voce sabia?
eficazes porque:
De acordo com estudos da
• Documentos confidenciais não
Michigan State University, até 70
foram protegidos com senhas,
permitindo que qualquer pessoa % dos roubos de identidade são
acesse um computador feitos por pessoas internas ou por
desprotegido e efetue login. pessoas se passando por tal. Senhas
fortes ajudam a se proteger contra
esse tipo de ameaça.
• As senhas são fracas ou nunca
são mudadas.
• As senhas são anotadas a vista de todos.
Informar sua equipe sobre a importância das senhas é o primeiro passo para
torná-las uma ferramenta de segurança de rede valiosa.
Os funcionários devem encarar suas senhas da mesma maneira que a chave do escritório. Em
outras palavras, não devem deixá-la em qualquer lugar nem compartilhá-la com ninguém.
Os funcionários também devem evitar senhas fáceis de serem adivinhadas que incluem:
Página 41
• O nome real, o nome de usuário, ou o nome da empresa
• Uma palavra comum que os tornem vulneráveis a “ataques de
dicionário,” nos quais um programa tenta usar as palavras
encontradas num dicionário parta tentar entrar no sistema
• Senhas comuns, como “senha,” ou “1234”
• Substituições de letras bastante conhecidas, como trocar o “i”
por “!” ou “s” por “$”
• Uma senha que mais alguém conheça
• Não usar senha alguma, o que facilita ainda mais o uso do sistema por
outros funcionários
• Qualquer senha anotada num papel
O que é uma senha forte? Ela deve possuir as seguintes características:
• Ter pelo menos 8 caracteres (quanto maior, melhor)

• Ter uma combinação de letras maiúsculas e minúsculas, números e
símbolos
• Ser alterada a cada 90 dias, e quando modificada, deve ser bastante
diferente da senha anterior
É claro que uma senha que você não consegue memorizar não serve para
nada. Existem alguns truques que podem ajudá-lo a criar senhas mais fortes
que possam ser memorizadas:
• No Windows 2000 e Windows XP, é possível usar uma frase como “Eu
comi 5 coxinhas no almoço.”
• Você também pode escolher uma frase, e usar apenas a primeira letra
de cada palavra, como Mft5anos! (Meu filho tem 5 anos!).
• Outro truque é usar palavras curtas e simples e juntá-las com números e
símbolos (por exemplo, Tree+34+Pond).
Página 42
Use recursos de segurança sem fio
Redes sem fio usam conexões de rádio ao invés de cabos para conectar
computadores. Como resultado, qualquer um dentro do alcance da transmissão
pode teoricamente escutar ou transmitir dados através da rede. Ferramentas
disponíveis gratuitamente permitem aos invasores “rastrearem” redes inseguras.
Enquanto aumenta a vulnerabilidade numa rede sem fio, criminosos com
conhecimento de informática possuem ferramentas para invadir qualquer tipo de
sistema computacional.
Recursos de segurança são embutidos em produtos Wi-Fi, mas os fabricantes

freqüentemente deixam os recursos desligados por padrão para facilitar a
instalação da rede. Se você usa redes sem fio, certifique-se de que os recursos de
segurança estejam acionados e use o acesso de segurança tornará sua rede mais
segura.
Além disso, siga estas dicas:
• Restrinja o acesso à rede sem fio (se sua rede sem fio tiver este recurso) para
horários comerciais ou para quando for usá-la.
• Filtre invasores casuais estabelecendo pontos restritos de acesso à rede para
computadores específicos.
• Use a encriptação embutida em seu ponto de acesso sem fio para codificar
informações conforme elas viajam através da rede e evitar que qualquer
parte não autorizada leia ou manipule os dados.
“War Driving”
Qualquer um com um laptop, um cartão de rede sem fio, um software baixado

gratuitamente, e uma antena feita com uma lata pode invadir redes sem fio.
A maioria das redes sem fio são completamnte desprotegidas. De fato,

muitos fabricantes de dispositivos sem fio não acionam a encriptação por padrão.
Os usuários não costumam habilitá-la ou usar qualquer outra medida de
segurança, facilitando a vida de qualquer um que tenha uma instalação
sem fio e queira encontrar e explorar uma conexão. “War driving” é
mais do que um trote. Alguns invasores buscam acessar arquivos e
danificar sistemas. Felizmente, proteger uma rede sem fio é
relativamente fácil, e a maioria dos “war drivers” pode ser detida ou
desviada com algumas medidas simples.
Página 43
Feche portas da rede desnecessárias
O tráfego da rede para várias aplicações é identificado através de portas

numeradas. Para que o tráfego de uma aplicação atravesse um firewall, o
firewall deve permitir o tráfego naquela porta. Para fortalecer a segurança
de sua rede contra o acesso não autorizado, feche as portas que não
estiverem sendo usadas ou que não sejam necessárias usando firewalls de
perímetro, firewalls locais, ou filtros do Internet Protocol Security (IPSec).
Mas cuidado: os produtos de servidores da Microsoft usam uma variedade
de protocolos e portas de rede numeradas para se comunicarem com
sistemas de clientes e servidores. O bloqueio de portas que o Microsoft
Windows Server System™ utiliza evitar que um servidor responda solicitações
legítimas de clientes, o que significa que o servidor não funcionará
adequadamente, ou simplesmente não funcionará.
• Para ler artigos da Microsoft sobre como proteger sua rede visite,
• Para configurar uma política de senha no Windows Server 2003
(ou Small Business Server 2003), vá até www.microsoft.
com/technet/prodtechnol/windowsserver2003/proddocs/
standard/password_grouppolicy.asp
• Para mais informações sobre como mobilizar usa empresa, visite www.
microsoft.com/smallbusiness/gtm/mobilize/hub.mspx
Passo 5 Proteja Seus Servidores
Se você pensar em seus servidores como os centros de comando de sua rede,

fica fácil entender porque é tão importante protegê-los de ataques. Se os seus
servidores são comprometidos, toda sua rede está risco. Apesar de alguns
ataques a servidores serem apenas irritantes, outros podem causar sérios danos.
Se voce possui uma pequena empresa, talvez voce não tenha mais do que
um ou dois servidores. Mas não importa o número, sua rede depende deles.
Eles servem as aplicações, páginas da web,
Página 44
ou e-mail que seus funcionários precisam para trabalhar. Eles armazenam
recursos de informações confidenciais e valiosas. Eles oferecem aos seus
clientes meios para se comunicarem com você, ou mesmo contratar serviços
e comprar produtos de sua empresa.
Portanto, se os seus servidores não estiverem operando, você perde

produtividade, coloca em risco o relacionamento com clientes, e pode até
sofrer um golpe econômico.
Muitos dos procedimentos já abordados ajudarão a proteger seus servidores

também. Caso você não tenha tomado as medidas descritas neste guia, torne-
as prioridade. Mesmo que você tenha lidado com as medidas de segurança
discutidas até agora, ainda existem algumas coisas a serem feitas para proteger
seus servidores.
Mantenha seus servidores num local seguro
As empresas devem se certificar de que seus servidores não estão vulneráveis a

calamidades físicas. Mantenha estas maquinas numa sala trancada e bem
ventilada, e não num corredor ou embaixo de uma mesa. Os servidores nunca
devem ser utilizados como estações de trabalho. A sua sala de servidores deve
ter apenas uma porta com chave e não deve ter janelas. Os gabinetes dos
servidores também devem ser trancados para impedir a interferência em seus
componentes internos. Saiba quais funcionários possuem a chave para a sala
dos servidores. Mantenha também um registro dos números de série de seus
servidores e marque as máquinas com informações sobre sua empresa para
que possam ser identificadas em caso de roubo.
Pratique o privilégio mínimo
O princípio do privilégio mínimo dita que o usuário deve receber as permissões

necessárias apenas para desempenhar seu trabalho, e não mais do que isso. Com o
Windows 2000 Server, Windows Server 2003, e Small Business Server 2003, é possível
designar aos usuários níveis de permissão diferentes recursos locais e da rede.
Página 45
Ao invés de dar a todos os usuários o acesso de Administrador — o que não é
a melhor prática para manter um ambiente seguro para seus servidores e
estações de trabalho—use seus servidores para gerenciar os computadores
clientes. Os servidores Windows podem ser configurados para dar aos usuários
individuais acesso a programas específicos e para definir quais privilégios de
usuário serão permitidos no servidor. Desta forma, você garante que os
usuários não farão mudanças em áreas cruciais para o servidor ou para as
operações nas estações de trabalho. Também evita que os usuários instalem
softwares que podem introduzir um vírus ou spyware nos computadores, e
assim comprometer a integridade de toda a rede.
Conheça suas opções de segurança
Os sistemas operacionais atuais estão mais seguros do que nunca, mas as

poderosas configurações de segurança encontradas nos produtos do
Windows Server System apenas surtirão efeito se forem usadas
apropriadamente e monitoradas atentamente. Se a sua equipe não possui
um especialista em TI ou em segurança, considere a possibilidade de
contratação de um consultor externo para ajudá-lo a proteger seus
servidores adequadamente.
• Para artigos sobre como proteger seus servidores, visite o Centro de

Orientações de Segurança para Pequenas Empresas na página
• Para informações sobre o Windows Server 2003 ou Small
Business Server 2003, visite www.microsoft.com/server/
Voce também pode encontrar informações sobre o uso de servidores
em sua rede no guia Networking Basics for Small Businesses, disponível
na página www.microsoft.com/smallbusiness/
gtm/encomm/freetrial.mspx
Página 46
Passo 6 Proteja Aplicações Line-of-Business
Certifique-se de que aquele software fundamental para suas operações empresariais

esteja totalmente protegido. Vulnerabilidades internas e externas podem causar perda
de produtividade—ou pior. Muitas empresas dependem de programas especializados
para tarefas de contabilidade, execução de sistemas de vendas, acompanhamento de
inventário, e gerenciamento da cadeia de fornecimento. Estes programas—às vezes
chamados de aplicações line-of-business (LOB)—geralmente são executados num
servidor e operam em conjunto com um banco de dados. Esta instalação integrada
oferece grandes vantagens. Diversos funcionários podem trabalhar com um programa
LOB e acessar o banco de dados – tudo ao mesmo tempo.
Entenda Seus Requisitos Empresariais
Não importa que tipo de empresa voce dirige, é importante que voce tome as
precauções abordadas neste guia. Em algumas empresas, no entanto,
regulamentações governamentais, diretrizes de seguros e acordos especiais exigem
que sejam tomadas precauções extras.
• Regulamentações governamentais podem exigir que medidas sejam tomadas

para proteger as informações coletadas pela sua empresa. Por exemplo,
provedores de assistência médica são regulados pelo Health Insurance
Portability and Accountability Act (HIPAA), que previne contra o uso indevido
de informações de saúde que possam ser identificadas pessoalmente e limita
o compartilhamento destas informações. A conformidade com o HIPAA é
cada vez mais importante já que dados dos pacientes são transmitidos entre
as instituições de saúde.
• Políticas de seguro, especialmente políticas de responsabilidade empresarial,

podem exigir procedimentos específicos para garantir a segurança dos dados em
seus computadores. Algumas políticas chegam a ditar quais equipamentos e
procedimentos devem ser usados.
• Acordos especiais incluem contratos como termos de serviço, que

freqüentemente abrangem garantias de privacidade para seus clientes, e
acordos de não revelação, que impedem o compartilhamento de informações
confidenciais de clientes.
Ao criar um plano e políticas de segurança para sua empresa, certifique-se de que

ler quaisquer regulamentos, políticas de seguros ou acordos que possam afetá-lo.
Página 47
Por exemplo, um vendedor poderia usar o programa para graver os
números das vendas, enquanto o gerente cria um relatório
financeiro customizado.
Mas também existem riscos de segurança para tais configurações. Informações

de clientes, números de vendas, declarações de lucro ou prejuízo e outros dados
vitais para sua empresa localizados num servidor de rede estão vulneráveis para
invasores. E talvez você não queira que todos os funcionários tenham acesso a
todos os tipos de dados.
O desafio é criar um plano de segurança que proteja a integridade e a

privacidade dos programas LOB e, no entanto, suporte também a
colaboração e o acesso de dados eficiente. Para mais informações, veja
“Conheça Seus Requisitos Empresariais.”
A proteção de seu banco de dados contra bisbilhoteiros indesejados e outras

ameaças começa com o estabelecimento de medidas básicas de segurança em seu
local de trabalho. Como já foi dito em outros artigos de segurança , você deve:
• Instale firewalls. O Small Business Server 2003, que muitas pequenas

empresas executam em combinação com suas aplicações, já vem com a
tecnologia do firewall. A edição Premium do software do servidor inclui
o ISA Server—uma solução avançada de firewall.
• Instale softwares antivírus em todos os computadores. A execução
de um antivírus em seu servidor é tão importante quanto nos
computadores desktop. Procure por um software antivírus que
detecte e desative vírus, e que possa ser atualizado regularmente para
filtrar novos vírus.
• Use senhas fortes. As senhas devem exigidas para o login em qualquer
computador e servidor do seu local de trabalho. Senhas fortes devem conter um
mix de maiúsculas e minúsculas, números e símbolos. Exija que os usuários
troquem suas senhas regularmente.
Página 48
• Faça backup de arquivos. Desastres acontecem, e se você não tiver
salvado seus arquivos e informações importantes num sistema de
armazenamento separado, todos os seus dados de aplicações críticas
podem ser perdidos. O Small Business Server 2003 inclui um recurso de
backup que é fácil de ser usado.
• Atualize seu software. As atualizações de software geralmente incluem
os últimos recursos de segurança. As atualizações dos produtos da
Microsoft estão disponíveis no Windows Update e no Centro de
Download da Microsoft.
Regulamente o acesso às informações
Nem todos devem ter acesso a tudo no local de trabalho. Se a sua empresa
executa um sistema operacional do Windows Server, você pode restringir o
acesso de funcionários a documentos, planilhas ou outros arquivos
empresariais. Você também pode determinar se um usuário pode apenas
ler um documento ou alterá-lo. Siga estas dicas para regulamentar o
acesso:
• Designe permissões e privilégios para grupos de usuários ao invés de

usuários individuais. Isto economiza tempo na administração dos
direitos de acesso.
• Crie seus grupos com base em funções, como Representantes de Vendas.
Então, estabeleça um conjunto de permissões que são relevantes para
o desempenho das tarefas desta função.
• Estabeleça para cada grupo níveis mínimos necessários de direitos de
acesso para que os usuários façam seu trabalho.
Preste atenção no banco de dados
Os programas empresariais específicos geralmente usam um banco de dados

para armazenar dados de aplicações, por isso lembre-se de tomar cuidados
especiais com a segurança dos bancos de dados. Algumas medidas podem
ser tomadas neste sentido:
• Instale os service packs para bancos de dados mais recentes. A edição

Premium do software do servidor já vem com o Microsoft SQL Server™
2000 ou superior. Ao usar estes programas de banco de dados junto
com seus programas empresariais, certifique-se de instalar as ultimas
Página 49
atualizações e service packs para maior segurança. O Centro de
Download da Microsoft tem as aplicações de servidor e atualizações
mais recentes.
• Avalie a segurança de seu servidor com o MBSA. O MBSA é uma
ferramenta gratuita que você pode obter através de download e usar para
rastrear seu computador autônomo ou sua rede de computadores em
busca de vulnerabilidades. Com o MBSA, você pode facilmente encontrar
atualizações de seguranças para os sistemas do Windows 2000, Windows
XP, e Windows Server 2003. O MBSA também trabalha com aplicações de
desktop como o Office e aplicações de servidor como o Microsoft
Exchange Server. Após rastrear sues computadores, o MBSA fornece
informações sobre a localização e a instalação das atualizações
necessárias.
• Sempre que possível, use as senhas e contas de usuário do domínio
existente para conexões com os bancos de dados do SQL Server ao
invés de criar novas contas. Os usuários não terão que memorizar
diversas senhas e esta técnica também ajuda a proteger contra a
maioria dos ataques com base na Internet contra o banco de dados
• Isole seu servidor e faça o backup dele regularmente. O isolamento físico
e lógico é o alicerce para a segurança do SQL Server. Os
computadores que hospedam um banco de dados deveriam estar
num local protegido fisicamente. Faça o backup dos dados
regularmente, e armazene algumas cópias em um local seguro fora
do escritório.
Microsoft Business Solutions Customer Relationship Management
Algumas aplicações LOB eliminam muito do trabalho envolvendo a configuração

de direito de acesso. Um exemplo é o Microsoft Business Solutions Customer
Relationship Management (CRM), um programa sofisticado que acompanha vendas
e oferece suporte para o relacionamento com os clientes.
O Microsoft Business Solutions CRM geralmente é executado em combinação com
o Small Business Server 2003 e vem com oito funções pré-definidas que vão desde
CEO-Business Manager até Representante de Atendimento ao Consumidor, até
Profissional de Customer Marketing.
O programa também pré-define elementos empresariais comuns aos quais você

pode designar direitos de acesso, como Lideranças, Oportunidades, Contatos,
Contabilidade, Concorrência, Produtos, Quotas, Pedidos, Histórico de Vendas,
Faturas e Contratos.
Página 50
• Para artigos da Microsoft sobre proteção de aplicações Line-of Business,

visite http://www.microsoft.com/brasil/security/smb.mspx
• Para downloads disponíveis da Microsoft, visite
www.microsoft.com/downloads/
• Para informações sobre o MBSA, visite
http://www.microsoft.com/brasil/technet/seguranca/Mbsa/
Passo 7 Gerencie Computadores de um Servidor
Sem o estabelecimento de procedimentos administrativos severos, os usuários podem

por em risco, de forma não intencional, as medidas de segurança tomadas para
proteger sua empresa. Quando você pensou que havia seguido todas as regras para
proteger seus negócios contra vírus, hackers, e ladrões, dá-se de cara um funcionário com
uma idéia que pode anular todas as medidas de segurança implementadas até então.
Como se sabe, é preciso muito empenho para proteger sua empresa das ameaças
externas. Se você iniciou este processo atualizando seu software e antivírus e instalando
um firewall, significa que já foram investidas quantidades significativas de tempo e
dinheiro.
Infelizmente, a falta de procedimentos administrativos rígidos pode sabotar

inconscientemente todos estes investimentos em segurança, revertendo as mudanças
feitas ou até mesmo introduzindo novos riscos. Os usuários podem não estar atentos
às atualizações, e podem fazer o download de softwares potencialmente perigosos, e
podem ainda não estar atentos sobre o acesso não autorizado aos dados em seus
computadores.
Uma solução é gerenciar os computadores desktop e laptop de seu servidor. Esta

abordagem não apenas reduz o risco de sabotagem das medidas de segurança, como
também representa uma economia significativa de tempo e dinheiro, e graças à eficiência
você terá ganhado como:
Página 51
• Atualizações na hora certa. Você pode implantar correções de segurança e
atualizações com as novas versões do software, do servidor para os
computadores dos usuários. Desta forma, você saberá que as atualizações
foram feitas adequadamente e oportunamente, e não terá que depender dos
usuários para lembrar de fazê-as. Também é possível testar as atualizações
antes da implantação e certificar-se de que os computadores na rede aplicam
suas próprias atualizações.
• Configurações especiais. Se a sua organização possui preferência por
configurações para o sistema operacional ou para as aplicações usadas por
todos, estas podem ser gerenciadas, atualizadas e impostas para toda a
organização a partir do seu servidor. Além disso, você pode evitar que
usuários instalem programas não autorizados ao restringir suas a
habilidades para executar programas de CD-ROMs e outros drives
removíveis ou mesmo impedir que façam download de programas da
Internet.
• Monitoramento. Se ocorrer um acesso não autorizado ou uma falha no
sistema, tal situação pode ser detectada imediatamente através das
capacidades de monitoramento disponível num ambiente gerenciado –
uma rede baseada num servidor cujo software de monitoramento está
sendo usado.
Se você está considerando um primeiro servidor ou uma atualização de servidor

para sua empresa, vale a pena notar que as melhorias nas capacidades de
gerenciamento do Windows Server 2003, junto com os recursos de segurança
aperfeiçoados do Windows XP Professional com SP2, oferecem uma defesa poderosa
contra ameaças internas e externas.
• Para artigos da Microsoft sobre gerenciamento de desktops e laptops do

servidor, visite http://www.microsoft.com/brasil/security/smb.mspx
• Saiba como o Windows Server Update Services (WSUS) pode ajudá-lo a
simplificar e automatizar a implantação de atualizações na página
http://www.microsoft.com/brasil/technet/seguranca/wsus/default.mspx
Página 52
Criando uma Política de Segurança
Uma política de segurança estabelece diretrizes que definem a abordagem de

uma organização em relação à segurança. Uma política é diferente de um
plano no sentido que o plano é uma ação a ser feita, enquanto uma política
define as metas de um plano.
Sua política de segurança será na verdade uma coleção de diversas políticas, as

quais podem incluir diretrizes sobre o uso de e-mail e Internet pelo
funcionário, acesso administrativo, e acesso remoto. Uma política é útil
apenas quando é aplicada. Não é uma boa idéia criar políticas que sejam mais
rígidas ou mais complicadas do que aquilo que estamos dispostos a cumprir.
Uma política não é imutável, mas sim um documento vivo. Uma boa política
deve ser passível de alteração para que possa acomodar novas ameaças, novas
tecnologias e novas maneiras de pensar.
Apesar das necessidades únicas de segurança de cada organização, a

maioria das políticas de segurança lida com alguns elementos em comum.
(Para mais informações, veja “Esclareça seus Funcionários Sobre Questões de
Segurança.”) O SANS Institute define diversos pontos que devem ser
incluídos numa boa política de segurança:
• Objetivos. Esta seção estabelece claramente a razão pela qual existe uma política de
segurança.
• Escopo. Esta seção identifica as pessoas e sistemas afetados pela política .
• Bens Protegidos. Esta seção identifica quais bens a política protege. Servidores de
mail, bancos de dados e websites são bens empresariais comuns que precisam ser
protegidos. Pense nesta seção como um desenvolvimento dos objetivos.
• Responsabilidades. Esta seção da política identifica os grupos ou indivíduos
responsáveis pela implementação das condições da política .
• Cumprimento. Esta seção da política discute as conseqüências para a violação da
política. Algumas autoridades recomendam recorrer ao local apropriado no manual
do funcionário ao invés de trazê-lo diretamente na política de segurança para assim
evitar questões legais.
Página 53
Esclareça Seus Funcionários Sobre Questões de Segurança
Você pode trancar servidores e desktops, instalar firewalls, e manter softwares

atualizados, mas a tarefa mais difícil na proteção de sua empresa é fazer com que seus
funcionários sigam as diretrizes de segurança. Felizmente, se você explicar a eles
porque a segurança é importante, mostrá-los as políticas de segurança estabelecidas e
porque elas existem, e encorajá-los a cumpri-las, seus funcionários podem se tornar
sua linha de frente na defesa.
• Inclua seus funcionários quando estiver criando um plano de segurança. Se

torná-los parte do processo, eles estarão motivados para tornar o plano uma
realidade.
• Faça sessões de treinamento com os funcionários nas quais você os ensinará
sobre a importância das técnicas de segurança. Mostre a eles como identificar
e-mails enganosos, garantir que o sistema operacional e o software antivírus
estejam atualizados, e usar senhas fortes.
• Explique também como os hackers criminosos tentam obter informações. Os
funcionários não devem anotar senhas em locais que outras pessoas
possam ver. Não devem jamais fornecer sua senha ou nome de
usuário pelo telefone—mesmo para alguém que pensem ser de
confiança. E por último, os funcionários devem ser encorajados a não
discutir informações confidenciais ou precauções sobre segurança em
locais públicos. Os hackers muitas vezes tentam enganar ou persuadir
funcionários para que estes revelem informações confidenciais , uma técnica
chamada de social engineering (engenharia social).
• Prepare políticas escritas para o uso da Internet e do e-mail, o uso de
computadores da empresa projetos pessoais, etc. Faça seus funcionários assinar
uma cópia da política para que compreendam a seriedade da questão.
Explique também as conseqüências do não cumprimento das políticas da
empresa .
• Treine funcionários novos e antigos regularmente sobre as questões e
políticas de segurança.
Acima de tudo, converse com seus funcionários sobre segurança. Este deve ser
um assunto discutido freqüentemente para que as boas técnicas de segurança
façam parte dos hábitos e da rotina.
Página 54
• Política de Acesso Remoto. Descreve os métodos aceitáveis para a conexão
remota com a rede interna, como, por exemplo, se os funcionários
podem se conectar à rede a partir do computador de suas casas.
• Política de Proteção de Informações . Fornece diretrizes para os funcionários sobre o
processamento, armazenamento e transmissões de informações confidenciais.
• Política de Proteção contra Vírus . Fornece requisitos básicos para o uso
de software antivírus software bem como diretrizes para o trato de
infecções por vírus.
• Política de Senha. Fornece diretrizes sobre como as senhas de
funcionários e do sistema são gerenciadas e alteradas.
• Política de Segurança do Firewall. Descreve, em geral, como os
firewalls são configurados e mantidos, e por quem.
Para mais informações sobre políticas de segurança, visite www.sans.org
Página 55
Criando um Plano de Segurança
Você precisa de um plano. A Segurança não é uma tarefa única e isolada, mas
sim um emaranhado de tecnologias, pessoas, políticas e processos. Um plano
coordena todos os esforços de segurança para atender às políticas de segurança
de sua empresa sem deixar brechas.
Existem quatro passos para a criação de um bom plano de segurança: avaliar,

planejar, executar e monitorar. Antes de dar o primeiro passo, neo entanto, sua
organização precisa desenvolver uma simples política de segurança. Primeiro, use
os sete passos da seção anterior deste documento como um checklist e os aplique
a todos os computadores de sua empresa. Em segundo lugar, após ter completado a
auditoria, priorize os itens da ação de acordo com sua probabilidade e impacto.
Em terceiro lugar, considerando cada risco de acordo com sua prioridade,
decida como transferi-lo, mitigá-lo ou evitá-lo (ou mesmo conviver com
ele). Finalmente, forme uma equipe, distribua recursos e responsabilidades, e
leve seu plano adiante. Monitore seu plano para garantir revisão e
conformidade contínuas.
Um bom plano hoje é melhor do que um plano perfeito amanhã. O

planejamento de segurança é um processo cíclico e repetitivo, portanto faz
sentido executar um plano rápido agora e refiná-lo mais tarde.
Avalie
• Saiba quais são suas habilidades e conhecimento. Decida se ajuda externa ou

treinamento são necessários e contrate um consultor se for preciso.
• Analise a situação atual da segurança. Use nosso questionário, o plano de
sete passos e o MBSA. O MBSA é um programa gratuito que rastreia
sistemas individuais ou múltiplos em toda a rede em busca de problemas
comuns na configuração do sistema ou de atualizações de segurança que
não foram realizadas. Conheça o MBSA na página
http://www.microsoft.com/brasil/security/ferramentas.mspx
Página 56
• Identifique bens que precisam ser protegidos, como hardware, software,
dados, documentação e pessoas. Identifique também informações contábeis,
procedimentos administrativos e conformidade legal.
• Categorize suas informações de acordo com o grau de confidencialidade. Use
a seguinte escala: público (dados do website), interno (dados de marketing),
confidencial (folha de pagamento) e secreto (patentes).
• Identifique os serviços exigidos. Inclua serviços como acesso remoto e e-
mail.
• Preveja ameaças. Inclua ameaças como spoofing, alteração, repúdio,
revelação de informações, DoS, e elevação de privilégios. Considere o
uso de terceiros confiáveis para testar a exposição.
• Calcule a exposição para cada bem e serviço em relação a cada ameaça. Use a
fórmula: probabilidade x impacto = exposição para gerar uma lista das
prioridades de segurança.
Planeje
• Lembre-se que o objetivo não é eliminar todos os riscos não importa o custo,
mas minimizar os riscos o máximo possível. Estes são os três fatores
principais:
- Funcionalidade versus segurança necessária
- Facilidade de uso versus segurança
- Custo da segurança versus risco de perda
• Para cada risco, planeje como transferir, evitar, mitigar ou (na pior das
hipóteses) conviver com ele.
• Crie um plano de segurança que:
- .Inclui uma política definindo os requisitos de segurança da organização e
os usos aceitáveis
- Tenha procedimentos para a prevenção, detecção, e reação aos
incidentes de segurança
- Fornece uma estrutura de trabalho que reforce a conformidade
- Reflita a cultura da organização e os recursos disponíveis para
implementação
• Crie um plano para lidar com brechas na segurança (por exemplo, um

ataque de vírus):
Página 57
- Quais são as metas e objetivos ao lidar com um incidente?
- Quem deve ser notificado em caso de incidente?
- Como identificar um incidente e determinar sua seriedade?
- O que deve acontecer quando ocorre um incidente?
• Crie uma equipe de projeto. Inclua gerencia e funcionários. Dê a todos

papeis e responsabilidades claramente definidas.
• Crie uma linha do tempo do projeto.
• Anote tudo e certifique-se de que todos estejam de acordo.
Execute
• Comunique-se com a equipe e ofereça treinamentos sempre que

necessário.
• Teste medidas para adequação técnica e obtenha feedback dos
participantes.
• Modifique o plano, se necessário.
• Execute o plano.
Monitore
• Pesquise novas ameaças, e inclua novos riscos assim que tomar conhecimento
deles:
- Faça assinaturas de boletins de segurança.
- Treine usuários.
• Modifique o plano quando ocorrer mudanças na equipe, na

organização, no hardware, ou software.
• Faça manutenções constantes, como atualizações de vírus, treinamento
de novos usuários e backups.
Para mais informações sobre como avaliar e gerenciar riscos de segurança,

veja o Guia de Gerenciamento de Risco de Segurança da Microsoft na página
http://www.microsoft.com/brasil/security/guidance/riscos/default.mspx. Este guia traz
recomendações para grandes organizações e para pequenas empresas com
necessidades severas de segurança. Muitas das abordagens discutidas no guia podem
ser úteis para compreender sobre como reduzir os riscos de segurança em pequenas
empresas.
Página 58
Exemplo de Plano de Segurança: Adventure Works
O plano de segurança seguinte foi elaborado para uma empresa fictícia

chamada Adventure Works. Devido ao aumento de interesse em segurança
no mundo da computação, a companhia decidiu revisar suas práticas de
segurança e elaborar um plano para melhorá-las e torná-las mais eficientes .
As necessidades da Adventure Works podem ser diferentes das suas, mas a
leitura do plano pode ajudá-lo a compreender o processo de criação de um
bom plano de segurança.
Este plano foi desenvolvido por Matthew, Diretor de

Gerenciamento da Adventure Works, com a
cooperação de outros membros-chave da
equipe da Adventure Works.
Página 59
Seção 1: Introdução
Este plano foi desenvolvido por Matthew, Diretor de Gerenciamento da
Adventure Works, com a cooperação de outros membros-chave da
equipe da Adventure Works.
Sobre a Adventure Works
Somos uma empresa de 20 funcionários, especializados em pacotes de

viagem de aventura. Nossa equipe conta com designers, agentes de
turismo, equipe de vendas e marketing, e equipe administrativa. Além
deles, temos ainda os gerentes de negócios seniores: os fundadores
Mathew e Denise, e o gerente de finanças, Steve.
Objetivos
Este é o nosso primeiro plano de segurança. Nós teremos uma visão

abrangente dos riscos de segurança que a empresa enfrenta e
realizaremos uma ação imediata para reduzir nossa exposição. Todos
se lembram do ataque de vírus que sofremos no começo deste ano, e
queremos evitar outro desastre como aquele! No entanto, espero
que, com uma visão aberta, possamos fazer planos contra as ameaças
que ainda não conhecemos.
Eu sei que nosso tempo, funcionários e (é claro) o dinheiro são limitados.

Nossa maior prioridade é continuar o crescimento de um negocio bem
sucedido. Nós não queremos uma segurança como a da CIA ou FBI, e não
seria bom para nós transformar a Adventure Works em uma Fortaleza
como o Fort Knox. O time do projeto pesou estas limitações
cuidadosamente antes da decidir o que fazer e tentaram criar um
equilíbrio entre custo, praticidade, conforto e medidas de segurança. Nós
todos concordamos, porém, que não fazer nada não seria uma opção.
Estou assumindo a responsabilidade pela liderança desta revisão e

assegurando que todos os itens da ação serão feitos. Estou preocupado
com os riscos que enfrentamos, e apesar de ter revisto o plano, tenho
certeza que podemos encará-lo corretamente. Este projeto tem todo meu
apoio e é de alta prioridade para a empresa.
Circulação
Como este documento possui informações de segurança importantes,

ele é confidencial.
Página 60
Você deve mantê-lo em gaveta com fechadura quando não estiver
realmente usando-o e, por favor, não faça fotocópias nem perca de
vista. Nós não mandaremos este documento por e-mail nem o teremos
gravados no servidor—cópias no papel apenas, por favor. As seguintes
pessoas terão acesso autorizado a este documento :
• Matthew (Diretor de Gerenciamento)

• Denise (Diretora de Operações)
• Steve (Tesoureiro- Controlador Financeiro)
• Kim (Gerente de Pessoal)
• Sutton & Sutton (nossos advogados)
• Jeremy (nosso consultor de segurança externo)
Equipe de Projeto
O time do projeto inclui:
• Denise, líder do projeto

• Steve
• Kim
• Jeremy, aconselhando nossa equipe e fazendo algumas das implementações
Em adição, consultamos alguns membros da equipe de vendas,

marketing e design para obter respostas sobre o que eles queriam e
como este plano os afetaria.
Seção 2: Resultados da Avaliação

Nossa avaliação revelou os seguintes resultados:
Habilidade e Conhecimento
Nosso consultor de tecnologia, Jeremy, é familiarizado com toda esta

situação e será nosso guia. No entanto, precisamos internalizar o
máximo de conhecimento possível, fazendo nós mesmos o máximo do
trabalho. Isso também nos ajudará a economizar dinheiro. Por sorte, o
Steve é um amador entusiasta em computação. Ele fez um curso de
treinamento em segurança.
Página 61
Cada membro do time de projeto leu os guias de planos de segurança
da Microsoft e o Internet Engineering Task Force (IETF) como
preparação. Toda a empresa como um todo entende razoavelmente o
básico, mas (com algumas exceções) tende a enxergar os computadores
apenas como uma ferramenta para facilitar o trabalho, e não sabe
muito sobre o seu funcionamento.
Nossa Rede e Sistemas
• Desktops: Vinte e dois (um por membro da equipe e mais duas

máquinas agindo como servidores de impressão)
• Laptops: Seis (um de cada diretor, um para Steve e outros três para
o time de vendas)
• Impressoras: Duas (uma high-end plotter e uma unidade
impressora/ fax para uso geral)
• Servidores: Um (executando o Small Business Server 2003 e
cuidando de arquivos, da conexão com a Internet, de e-mails e
do banco de dados dos clientes)
•Conexão de Internet: conexão a cabo de 1.5 Mbps
O servidor e vários dos computadores são conectados com cabo 100

Mbps Cat5 Ethernet. O resto é ligado por uma rede sem fio 802.11g
com uma porta de acesso. Todos os computadores executam o Windows
XP Professional exceto os servidores das impressoras que executam
Windows 98.
Segurança
Nós comparamos cada computador com a lista de verificação do Guia de

Segurança para Pequenas Empresas. Nós também executamos o MBSA.
Estas ações produziram os seguintes resultados:
• Proteção de Vírus: Ausente em seis computadores; desatualizada

em quatro computadores; no geral a maioria dos usuários estava
ciente do risco de vírus mas não tinha certeza de como preveni-los.
• Software de Filtro de Spam: Muitos usuários haviam começado a

reclamar do spam, mas não há proteção.
• Firewall: Achávamos que o roteador do ISP incluía um firewall,

mas não inclui, então nós não temos um.
Página 62
• Atualizações: Todos os sistemas do Windows XP Professional estão
atualizados porque foram automaticamente checando e fazendo
o download das atualizações. Porém, várias instalações do
Microsoft Office precisam ser feitas e os computadores Windows
98 estão desatualizados.
• Senhas: Uma amostra aleatória descobriu que a maioria das

pessoas não usa nenhuma senha ou as têm escritas em papel
(Post-it). Nenhum dos computadores laptop são protegidos por
senha.
• S e g u r a n ç a F í s i c a : Nós tivemos uma visita do pessoal do seguro

no ano passado, então as travas nas janelas e portas e os alarmes
estão em boa forma. No entanto, nenhum dos computadores tem
um número de série em sua caixa, e não temos um registro dos
números de série. Também notamos que todos, inclusive Tracy e os
dois diretores, estão usando a mesma impressora, o que significa
que há um risco de documentos confidenciais serem revelados por
acidente.
• Computadores Laptop: Todos os computadores laptop tinham

pastas brilhantes com o logotipo do fabricante. Sem travas de
segurança.
• Rede sem fio: Estamos totalmente abertos aqui. Montamos e

funcionou, então ninguém mexeu na configuração. A rede sem fio
é aberta para pessoas com capacidade de acesso para “bisbilhotar”
a rede interna ou usar a conexão de Internet à vontade.
• Navegação na Web: Todos pensam que ter Internet de velocidade

rápida é uma grande facilidade, mas estão usando o tempo todo
e sem pensar muito nos riscos. Em uma auditoria de filtro de
conteúdo (gratuita com Secure Computing), descobrimos que
20% da navegação na Internet não é relacionada a trabalho. Nós
não temos uma política de aceitação de uso, e ninguém está
tomando medidas de segurança.
• Backups: Nos fazemos backup de dados no drive Digital Audio

Tape (DAT) do servidor, semanalmente, mas não testamos os
dados guardados; a não ser que as pessoas se lembrem de
copiar arquivos locais no servidor, estes arquivos não têm
backup, o que é insatisfatório. O servidor contém nosso banco
de dados primário dos clientes então backups bem testados são
essenciais, assim como manter uma cópia em outro local.
Página 63
Capital
Além dos bens físicos, nossos maiores bens são:
• Nossos projetos de produtos e marketing paralelo

• Registro dos contratos com vendedores
• Nosso banco de dados de e-mail e arquivos de e-mails antigos
• Pedidos de venda e banco de dados de clientes
• Informações Financeiras
• Software Line-of-Business (LOB) para reservas e agendamento
online
• Registros legais guardados em vários armários de arquivos
Todos estes capitais são considerados secretos e devem ser acessados

apenas em caso de emergência. Além disso, eles precisam ser
protegidos e gravados como backup da maneira mas segura possível.
Riscos
Achamos que os principais riscos se dividem em três categorias:
• Invasores (vírus, worms, seqüestro de recursos do nosso

computador ou da conexão de Internet, uso malicioso aleatório).
Estes são riscos que qualquer computador conectado à Internet
corre. Risco alto, prioridade alta .
• Ameaças externas (rivais, ex-funcionários aborrecidos, bandidos

atrás de dinheiro e ladrões). Eles podem usar as mesmas
ferramentas de um hacker, mas mirando propositalmente em nós,
eles podem tentar induzir membros da equipe a fornecer
informações confidenciais ou usar material roubado e nos
chantagear ou nos prejudicar. Nós precisamos proteger nossos
capitais com segurança física e eletrônica. Risco alto, prioridade
alta.
• Ameaças internas. Seja acidental ou proposital, um membro da

equipe pode abusar de privilégio de descobrir informações
confidenciais. Risco baixo, prioridade baixa.
• Acidentes e desastres. Incêndios, enchentes, destruição acidental,

falhas no hardware ou quebra de computador. Risco baixo,
prioridade media.
Página 64
Prioridades
1. Detenção de Invasores:
• Instalação de firewalls
• Instalação e atualização de proteção antivírus
• Fortalecer a rede sem fio
• Substituir quatro computadores operando em Windows 98
por computadores com Windows XP Professional com SP2
• Assegurar que todos os computadores estejam configurados para
atualizações automáticas
• Aprimorar as políticas e a educação dos usuários
2. Prevenção contra Roubo :
• Segurança dos computadores laptop
• Anotação e inventário dos bens
• Transferência do servidor para uma sala segura e com chave
• Travas de segurança para computadores desktop e laptop
3. Prevenção contra Desastres:
• Backups mais freqüentes com armazenagem em outro local
• Garantia do backup dos dados locais dos usuários
• Backup de documentos impressos críticos em outro local
• Testes regulares de backup, efetuando restauração
4. Segurança Interna e Confidencial:
• Criação de uma política de senhas reforçada
• Proteção de Impressoras para clientes, RH, e diretores
• Revisão da segurança para armários de arquivos e
documentos oficiais
Seção 3: Plano de Segurança

Após nossa avaliação, desenvolvemos o seguinte plano de segurança:
Itens de Ação
1. Selecionar, comprar e instalar um hardware firewall (ou pedir

que nosso ISP ou consultor técnico o faça).
2. Habilitar o Firewall do Windows no servidor e em todos os
computadores desktop.
3. Certificar-se de que o software antivírus está instalado em todo
os computadores e que está ajustado para atualizar definições
de vírus automaticamente.
Página 65
4. Configurar os computadores que executam Office Outlook 2003
a usar o filtro Junk E-mail. Selecionar, comprar e instalar um
software de filtro de spam no servidor de e-mail se necessário.
5. Nas redes sem fio, desabilitar o serviço de ajuste de
identificador de emissão (service set identifier (SSID)
broadcasting,) escolher e configurar uma SSID confidencial,
habilitar criptografia WPC, habilitar filtro MAC, e configurar o
ponto de acesso para permitir trafego apenas entre os
computadores desktop e laptop dentro do escritório.
6. Substituir os quatro computadores executando Windows 98
por computadores executando o Windows XP Professional com
SP2.
7. Revisar todas as máquinas para assegurar que elas
estejam atualizadas, e ajustá-las para renovar
automaticamente as atualizações.
8. Comprar pastas de laptop novas, sem marca conhecida e
com cadeados.
9. Fazer marcas de segurança em todos os computadores
laptop, desktop e seus componentes.
10. Registrar todos os números de série.
11. Comprar e instalar cadeados nas mesas para os desktops.
12. Encontrar uma sala viável, com chaves, para o servidor e
transferi-lo para lá.
13.Revisar os procedimentos de backup e restauração . Assegurar
que as informações do usuário sejam guardadas no servidor ou que
uma cópia seja mandada antes dos backups. Implementar backups
diários. Assegurar que um backup total seja enviado a outro local
uma vez por semana. Assegurar que a senha do backup seja
protegida e criptografada. Revisar documentos em papel, e fazer
cópias de documentos críticos para armazenar em outro local.
14. Configurar o Small Business Server 2003 e as máquinas
individuais para reforçar uso de senhas. Discutir com os
usuários o que seria um equilíbrio de conveniência e
segurança (Não queremos que eles escrevam suas novas
senhas.)
15. Configurar as estações de trabalho para que o registro de
usuário se desfaça, e que uma senha seja necessária para o
registro, se a estação estiver sem uso por mais de 5
minutos.
16. Comprar impressoras baratas para a contabilidade, RH e os dois
diretores, para que eles possam ter seus documentos privados
impressos com segurança.
Página 66
Mudanças nas Políticas
Kim irá atualizar o manual dos funcionários para incluir novas políticas em:
• Uso aceitável de e-mail e de Internet

• Uso de senhas
• Quem pode levar propriedade da companhia para fora do escritório
Depois de completar o primeiro rascunho, este será revisado
pelos diretores e pelos advogados da empresa antes de ser divulgado.
Educação do Usuário
Devido às mudanças, esperamos oferecer até duas horas de treinamentos

para pequenos grupos englobando:
• A importância da segurança
• Senhas
• Segurança do computador e laptop
• Prevenção contra vírus
• Navegação segura na Internet
• Atualização de software e sistemas operacionais de um servidor
• Introdução às novas políticas da equipe
• Assegurar que os funcionários entendam as conseqüências ao
não concordar com as políticas
• Avaliar o entendimento das novas políticas pelos funcionários
• Periodicamente revisar a prática das novas políticas
Linha do Tempo do Projeto e Responsabilidades
As três prioridades principais—o firewall, proteção de vírus e ajuste da

rede sem fio —receberão atenção urgente do nosso consultor de
segurança, Jeremy. As tarefas restantes serão feitas uma a uma por
nossos funcionários em ordem de prioridade.
Esperamos que as três prioridades principais sejam completadas em uma

semana, e as tarefas restantes em 30 dias. Steve será responsável pela
compra e execução das mudanças técnicas. Kim será responsável por
todos as políticas e requisitos dos treinamentos. Denise irá inspecionar o
projeto e será responsável por qualquer outra tarefa que surgir.
Página 67
Planejamento da Reação
No caso de falha na segurança, entraremos em contato com o Jeremy.

Sua empresa possui política de resposta em 1 hora no horário comercial
e quatros horas em todas as outras horas para lidar com incidentes
sérios, como infecção de vírus. Além disso, Steve irá monitorar o servidor
e o firewall regularmente para assegurar que nenhuma violação tenha
ocorrido.
Manutenção Avançada e Compatibilidade
Steve será responsável pela segurança no dia a dia, com Denise tendo a
responsabilidade completa. Steve continuará a se informar sobre o
assunto, a assinar boletins de segurança da Microsoft e do nosso
software antivírus, e a se comunicar com Jeremy regularmente para
verificar a compatibilidade com as novas políticas.
Uma vez por mês, Steve verificará se o Windows e o software antivírus

estão atualizados e se os procedimentos de backup e restauração estão
funcionando corretamente. Ele irá também ser responsável por
equipamentos novos para que sejam devidamente configurados e
atualizados.
Kim será responsável por assegurar que novos funcionários entrando

na empresa sejam completamente treinados para as políticas e
procedimentos de segurança da empresa.
Haverá uma revisão completa e formal deste plano em seis meses .
Seção 4: Recursos e Orçamento

As seguintes despesas foram aprovadas:
Software e Hardware
• Compra de Software Antivírus.

• Configuração do Office Outlook 2003 para filtragem de junk e-mail.
• Instalação de um hardware firewall.
• Substituição dos últimos quatro computadores executando
Windows 98 por computadores executando Windows XP Professional
com SP2.
• Compra de cadeados de segurança e pastas sem marca para os
laptops .
• Verificar meio de backup adicional.
Página 68
Ajuda Profissional
• Sutton & Sutton para revisar as políticas de funcionários

• Jeremy para as orientações durante a criação deste plano
• Jeremy para ajuda com a implementação
Recursos Internos
• Apesar de não estarmos pagando diretamente aos nossos

funcionários, para que fique clara a distribuição de recursos e o
tempo disponível para este trabalho, autorizamos o uso de
funcionários como descrito anteriormente.
Página 69
Informações Online
Informações Online
Considere este guia como um ponto de partida para a proteção de sua empresa. Os
seguintes sites oferecem informações técnicas e orientações sobre segurança
adicionais.
Para informações sobre a tecnologia de pequenas empresas e

orientações de segurança, veja as páginas
www.microsoft.com/brasil/pequenasempresas
Para informações sobre como iniciar e administrar uma pequena empresa,

veja as páginas (em inglês):
www.asbdc-us.org
www.uschamber.com
www.sba.gov
www.entrepreneur.com
http://sbc.nist.gov
Para informações sobre consumidor e usuário final,

veja as páginas
http://safety.msn.com (em inglês)
www.microsoft.com/brasil/athome/security/
Para softwares empresariais e soluções de produtividade, veja

as páginas
www.microsoft.com/brasil/office/
www.microsoft.com/brasil/windows/
Para informações sobre servidores, veja as páginas

www.microsoft.com/smallbusiness/gtm/encomm/freetrial.mspx (em inglês)
http://www.microsoft.com/brasil/pequenasempresas/products/sbs/default.mspx
Para informações sobre softwares autênticos e a lei, veja a página

www.microsoft.com/genuine/small_business.mspx?displaylang=en (em
inglês)
www.bsa.org
Para explicações sobre termos técnicos, veja

as páginas (em inglês)
www.howstuffworks.com
www.webopedia.com
Para informações gerais sobre segurança, veja as páginas

www.microsoft.com/brasil/proteja/
www.microsoft.com/brasil/security/
www.microsoft.com/spam/ (em inglês)
www.microsoft.com/senderid/ (em inglês)
www.microsoft.com/brasil/technet/default.mspx
www.symantec.com (em inglês)
www.isalliance.org (em inglês)
Para informações sobre crimes de informática,

veja as páginas
Página 70
www.usdoj.gov/criminal/cybercrime/ (em inglês)
www.gocsi.com (em inglês)
www.kensington.com (em inglês)
Para rede móvel e VPNs, veja as páginas (em inglês)

www.microsoft.com/technet/security/topics/mobile/default.asp
www.microsoft.com/smallbusiness/gtm/mobilize/hub.mspx
Para informações sobre backups, veja a página (em inglês)

www.microsoft.com/windowsxp/home/using/howto/maintain/backup.asp
Para orientações detalhadas sobre a criação de um plano de segurança e para exemplos

de políticas veja as páginas (em inglês)
www.microsoft.com/technet/archive/security/bestprac/bpent/ bpentsec.mspx
www.sans.org
Para informações sobre software de filtragem da Internet,

veja as páginas (em inglês)
www.websense.com
www.securecomputing.com
Para mais informações técnicas, veja as páginas

www.microsoft.com/brasil/security/
www.microsoft.com/brasil/technet/seguranca
www.cert.org/tech_tips/home_networks.html (em inglês)
www.ja.net/documents/factsheets.html (em inglês)
Para saber mais sobre firewalls, veja as páginas

www.microsoft.com/technet/security/topics/network/firewall.mspx (em
inglês)
www.mcafee.com (em inglês)
www.symantec.com (em inglês)
www.zonelabs.com (em inglês)
Para saber mais sobre software antivírus e

segurança de e-mails, veja as páginas
www.grisoft.com (em inglês)
www.symantec.com/smallbiz/nav/ (em inglês)
www.mcafee.com (em inglês)
www.pandasoftware.com (em inglês)
www.bitdefender.com (em inglês)
Para obter atualizações de softwares do Windows e Microsoft Office, veja as

páginas
www.windowsupdate.com
www.officeupdate.com
Para um glossário completo de termos de

segurança, veja a página
http://www.microsoft.com/brasil/security/glossary.
mspx
Página 71
www.microsoft.com/brasil/pequenasempresas
© 2005 Microsoft Corporation. Todos os direitos reservados. Microsoft, MSN, Windows, Outlook, Exchange Server,
Windows Server, SmartScreen e o logotipo da Microsoft são marcas ou marcas registradas da Microsoft Corporation nos
Estados Unidos e/ou em outros países.
Página 72

Guia de Segurança para Pequenas Empresas - Microsoft

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Guia de Segurança para Pequenas Empresas - Microsoft

Enviado por

Direitos autorais:

Formatos disponíveis

Guia de Segurança para

Portanto, é um prazer introduzir o Guia de Segurança para Pequenas

Small Business Development Centers

Microsoft Small Business Center

Caro Pequeno Empresário:

Novos problemas relacionados à segurança, como vírus, hackers, e worms vêm

O Microsoft Small Business Team, em parceria com a ASBDC, tem o prazer de

5 Este é o Guia Certo para Você?

6 O que Você Precisa Saber Sobre Segurança

17 Encontrando o Consultor Certo

21 10 Perguntas para Ajudá-lo a Proteger sua Empresa

24 Microsoft Windows® XP Service Pack 2

27 Sete Passos para Maior Segurança

27 Passo 1: Proteja seus Desktops e Laptops

34 Passo 2: Mantenha seus Dados Protegidos

38 Passo 3: Use a Internet de Forma Segura

40 Passo 4: Proteja sua Rede

44 Passo 5: Proteja Seus Servidores

47 Passo 6: Proteja suas Aplicações Line-of-Business

51 Passo 7: Gerencie Computadores a partir de um Servidor

53 Criando uma Política de Segurança

56 Criando um Plano de Segurança

59 Exemplo de Plano de Segurança: Adventure Works

Segurança online e de computadores é uma preocupação crescente para

Se você é proprietário ou responsável pelas políticas de segurança de uma

Este guia explica detalhadamente as ameaças de segurança enfrentadas pela

Muitas das medidas explicadas Sete Passos para Maior Segurança

Muitos proprietários de pequenas empresas acreditam que não precisam se

• Pequenas empresas freqüentemente são mais

Independente de como ou porque sua empresa foi atacada, a recuperação geralmente

É claro, não existe nada que garanta 100% a segurança.

Um computador sozinho é uma coisa incrível – uma maravilha tecnológica. Mas é

Fraudes relacionadas à Internet foram

A cada computador numa rede é designado um número chamado de

Apesar de um endereço de IP se referir a um computador e a rede na qual está

Os firewalls também podem filtrar pacotes suspeitos. Eles escondem as

Spam. Spam, ou mensagens de

Em junho de 2004, o Grupo Gartner

Tampering. Tampering consiste na alteração do conteúdo dos pacotes que viajam

Repudio. Repudio refere-se à capacidade de um usuário de negar falsamente ter

Revelação de informações. Consiste na exposição de informações para indivíduos

Negação de Serviço. Os ataques DoS são assaltos computadorizados lançados por

Software Pirata. O uso de software falsificado está disseminado. Em algumas

Saiba mais acessando o site

Porque Softwares são Vulneráveis

Os desenvolvedores de software não têm a intenção de criarem programas

A importância das Atualizações de Softwares

De acordo com o Relatório da Symantec sobre Ameaças de Segurança na Internet publicado

A maioria das pequenas empresas não possui uma equipe dedicada à

O que Voce Está

• Eles possuem um Certificado CompTIA Security+?

• A equipe de consultoria possui um Engenheiro de Sistemas

• A quanto o grupo de consultoria está no mercado e quantos clientes

• Eles oferecem auditorias de segurança? Em quais sistemas

• Eles oferecem suporte de segurança remoto ou on-site 24×7?

• Eles podem oferecer ou recomendar profissionais para dar treinamentos?

• Eles serão capazes de acompanhar o crescimento de sua empresa no futuro?

• Como eles abordam a documentação? Eles devem oferecer a você uma

O que Fazer a Seguir

1. Visite o site de Busca do Microsoft Small Business Partner:

Faça nosso questionário de segurança e veja o quanto você sabe – ou não –

1. Qual das seguintes ações não ajudará a proteger seus computadores

b. Acionar o Windows Firewall