Faculdade de Ciências Gerenciais de Santos Dumont

Curso de Sistemas de Informação

SEGURANÇA E AUDITORIA DE
SISTEMAS
Professor: Sávio Jannuzzi
 2

ÍNDICE

INFORMAÇÃO E SUAS PROPRIEDADES----------------------------------------- 03

SEGURANÇA DA INFORMAÇÃO ---------------------------------------------------- 04
VULNERABILIDADES, AMEAÇAS E RISCOS ------------------------------------ 05
PRINCIPAIS AMEAÇAS ----------------------------------------------------------------- 06
PROCESSO DE ANÁLISE DE RISCOS--------------------------------------------- 07
Levantamento das informações-------------------------------------------------------- 07
Levantamento das Análises e Vulnerabilidades ----------------------------------- 08
Análise de Impacto ------------------------------------------------------------------------ 08
Gerenciamento de Riscos --------------------------------------------------------------- 08
Elementos da metodologia da Análise de Riscos --------------------------------- 09
POLÍTICA DE SEGURANÇA ----------------------------------------------------------- 11
Responsabilidade pela política de segurança -------------------------------------- 11
CLASSIFICAÇÃO DAS INFORMAÇÕES ------------------------------------------- 13
Critério de classificação das informações ------------------------------------------- 13
Funções e Responsabilidades --------------------------------------------------------- 15
Controle para as informações ---------------------------------------------------------- 15
PLANO DE CONTINUIDADE DO NEGÓCIO -------------------------------------- 16
Plano de Recuperação de Desastres – PRD --------------------------------------- 17
Plano de Continuidade Operacional – PCO ---------------------------------------- 17
AMEAÇAS POTENCIAS----------------------------------------------------------------- 18
Hackers e Crackers ----------------------------------------------------------------------- 18
Tipos de Ataques -------------------------------------------------------------------------- 18
Vírus ------------------------------------------------------------------------------------------ 20
Engenharia Social ------------------------------------------------------------------------- 21
ARQUITETURA, TOPOLOGIAS E TECNOLOGIAS DE SEGURANÇA ----- 21
DMZ ------------------------------------------------------------------------------------------- 22
Topologias Utilizadas --------------------------------------------------------------------- 23
Segurança Física -------------------------------------------------------------------------- 26
Autenticação -------------------------------------------------------------------------------- 29
Criptografia Simétrica e Assimétrica -------------------------------------------------- 30
Segurança de Computador-------------------------------------------------------------- 31
Antivírus-------------------------------------------------------------------------------------- 32
SSL ( Secure Sockets Layer) ----------------------------------------------------------- 34
Firewall --------------------------------------------------------------------------------------- 37
Infra-estrutura de chaves públicas (PKI)--------------------------------------------- 38
Sistema de Detecção de Intrusos (IDS)---------------------------------------------- 39
Segurança em Redes Wireless -------------------------------------------------------- 41
Segurança em Aplicações--------------------------------------------------------------- 43
Commom Criteria / ISO/IEC 15.408--------------------------------------------------- 44
NBR ISO / IEC 17799 -------------------------------------------------------------------- 45
PLANO DE CONSCIENTIZAÇÃO DE USUÁRIOS ------------------------------- 46
REFERÊNCIA BIBLIOGRÁFICA ------------------------------------------------------ 48
 3

INFORMAÇÃO E SUAS PROPRIEDADES

Informação é um ativo que como qualquer outro ativo importante para os

negócios, tem um valor para a organização e consequentemente necessita ser
adequadamente protegida.
A informação pode existir em muitas formas. Ela pode ser impressa ou
escrita em papel, armazenada eletronicamente, transmitida pelo correio ou
através de meios eletrônicos.
Existem três propriedades básicas da informação, abaixo
descreveremos cada uma delas.

Confidencialidade: Não significa informação isolada ou inacessível a todos,

mas sim a informação que deve ser acessada a quem lhe é de direito.

Exemplo: "Uma grande empresa do segmento de eletro-eletrônicos foi alvo de

uma ação desleal de uma de suas maiores concorrentes. Usando técnica de
engenharia social, o concorrente obteve acesso indevido as informações sobre
os novos produtos que seriam lançados até o fim do ano. Inclui-se nesta lista
planos de marketing e plantas da engenharia e produção. A ação foi
descoberta e confirmada depois que a vítima passou a perceber que algumas
idéias inovadoras, estavam surgindo no mercado com extrema semelhança."
Fonte:IDGNow, 04/08/2002

Disponibilidade: Este conceito tem despertado maior interesse depois que os

negócios passaram a depender mais da informação para serem geridos. Afinal,
de nada adiantará uma completa infra-estrutura tecnológica, com recursos que
garantam a integridade e confidencialidade das informações, se quando por
preciso acessá-la, a mesma não estiver disponível.

Exemplo: "Os ataques Distributed Denial of Service(Ddos) continuam nos EUA.

Na última semana, foram derrubados os sites da Amazon.com e do FBI. A
Amazon ficou 30 minutos fora do ar. No caso do FBI, as páginas ficaram
indisponíveis por praticamente um dia inteiro."
Fonte: ABC News.com e CNet, 16/03/2002

Integridade: Diferente do que pode parecer, o conceito de integridade está

ligado ao estado da informação no momento de sua geração e resgate. Ela
estará íntegra se em tempo de resgate, estiver fiel ao estado original. A
Integridade não se prende ao conteúdo, que pode estar errado, mas a
variações e alterações entre o processo de geração e resgate. Integridade não
é a exatidão da informação.

Exemplo: "Esta semana um hacker alterou o site do presidente das Filipinas

Joseph estrada, inserindo imagens eróticas e declarações contra o governante.
O site ficou quase 24 horas modificado."
Fonte: Boston Herald, 04/02/2002
 4

SEGURANÇA DA INFORMAÇÃO

A Tecnologia da informação só se torna uma ferramenta capaz de

alavancar verdadeiramente os negócios, quando seu uso está vinculado à
medidas de proteção dos dados Corporativos.
É nesse contexto que a definição de um Modelo de Segurança da Informação
deixa de ser custo associado a idéias exóticas, para se tornar investimento
capaz de assegurar a sobrevivência da Empresa e a continuidade dos
negócios da Organização.
Segurança da informação é o processo de proteger a informação de
diversos tipos de ameaças externas e internas para garantir a continuidade
dos negócios, minimizar os danos aos negócios e maximizar o retorno dos
investimentos e as oportunidades de negócio.

A segurança da informação não deve ser tratada como um fator isolado

e tecnológico apenas , mas sim como a gestão inteligente da informação em
todos os ambientes, desde o ambiente tecnológico passando pelas aplicações,
infra-estrutura e as pessoas. Podemos dizer que segurança da informação é
comparada à uma corrente, onde esta corrente é formada por quatro elos(infra-
estrutura, tecnologia, aplicações e pessoas) e a força desta corrente é medida
pelo elo mais fraco.

O ciclo de vida da segurança da informação é formado por quatro

etapas: Prevenção, detecção, reação e correção.
 5

VULNERABILIDADES, AMEAÇAS E RISCOS

Vulnerabilidade: Ponto pelo qual alguém pode ser atacado, molestado ou ter
suas informações corrompidas. Podemos citar como exemplo, uma análise de
ambiente em uma sala de servidores de conectividade e Internet com a
seguinte descrição: A Sala dos Servidores não possui controle de acesso
físico.

Ameaça: Algo que possa provocar danos à segurança da informação,

prejudicar as ações da empresa e sua sustentação no negócio, mediante a
exploração de uma determinada vulnerabilidade. Seguindo o exemplo da Sala
dos Servidores, poderíamos identificar a ameaça da seguinte forma: Fraudes,
Sabotagens, Roubo de Informações, Paralisação dos Serviços.

Risco: É medido pela probabilidade de uma ameaça acontecer e o dano

potencial à empresa. Existem algumas maneiras de se classificar o grau de
risco no mercado de segurança, mas de uma forma simples, poderíamos tratar
como alto, médio e baixo risco. No caso do nosso exemplo da Sala dos
Servidores, poderíamos dizer que, baseado na vulnerabilidade encontrada, a
ameaça associada é de alto risco.
 6

PRINCIPAIS AMEAÇAS

desastres
5%
virus
uso de notebook
18%
7%
virus
vazamento de informação
7% funcionário insatisfeito
divulgação indevida da senha
falha física pirataria
8% hackers
funcionário insatisfeito
18% falha física
vazamento de informação
hackers
uso de notebook
10%
desastres

pirataria divulgação indevida da senha

12% 15%

Fonte: 7ª pesquisa nacional de segurança da informação realizada pela Modulo

Security

Fonte: 8ª pesquisa nacional de segurança da informação realizada pela Modulo

Security
 7

PROCESSO DE ANÁLISE DE RISCOS

O processo de Análise Riscos tem por objetivo a maximização da

segurança das informações de uma instituição minimizando seus gastos.
Propõe-se a fazer um levantamento sobre a organização para que seja
entendido seu objetivo fim e conhecidos os seus ambientes. A partir desse
levantamento são feitas análises que podem comprometer a segurança das
informações. Conhecidos os riscos, são avaliados os impactos de um possível
comprometimento das informações e estas podem então ser valoradas.

Levantamento das Informações

Consiste no levantamento de informações da instituição, sua estrutura
organizacional, seus objetivos e metas. O intuito do levantamento das
informações é a equalização da visão organizacional dos membros
responsáveis pela segurança da informação. Esta equalização é obtida através
de reuniões entre estes membros, entrevistas com os gestores, preenchimento
de questionários e estudo da documentação técnica e não técnica existente. O
resultado do levantamento das informações é a caracterização do ambiente de
trabalho e a caracterização do ambiente computacional.

Conhecer o Negócio Cenário

Iniciativas & externo
Processos da Empresa
Ameaças e Impacto Cenário interno
Vulnerabilidades &
Riscos

Análise de Riscos

Política de
Segurança
 8

Levantamento das Ameaças e Vulnerabilidades

Consiste de uma análise das ameaças e vulnerabilidades físicas e

lógicas ao sistema de informação. Na análise físicas são analisados fiação,
canos de água, depósitos que possam incendiar-se afetando a segurança física
do ambiente computacional, locais onde são arquivadas documentações, entre
outros itens. Através da análise física, as áreas de segurança podem ser
identificadas, devendo ter acesso monitorado. A análise lógica, consiste numa
análise das ameaças e vulnerabilidades a que estão submetidas as
informações num ambiente computacional. Estas ameaças e vulnerabilidades
são decorrentes de um ambiente de computação distribuído, que traz grandes
benefícios para a organização porém torna-a suscetível a invasões. As ligações
inter-redes e grandes bancos de dados são exemplos de benefícios
tecnológicos que expõem a organização.
Os danos causados neste tipo de ambiente são inúmeros e muitas vezes
imprevisíveis. Podem ser causados por hackers ou por usuários internos,
podendo ser deliberados ou acidentais. Portanto deve ser levantado o maior
número de riscos possíveis, incluindo perdas ou roubos de dados.

Análise de Impacto

Consiste na análise do impacto de uma interrupção dos serviços de

informação da instituição. A análise de impacto verifica todos os processos
executados pela instituição e qual o impacto para a instituição de uma
interrupção de cada processo por qualquer motivo. Vários relatórios gerenciais
são gerados nesta fase do planejamento, sendo um dos mais importantes o
que analisa o custo por tempo de interrupção.

Gerenciamento de Riscos

É o processo completo e contínuo de avaliação, priorização e

implementação das recomendações (meios de proteção) conforme o grau de
criticidade do Risco.
Existem algumas questões que são o coração do processo de
Gerenciamento de Riscos:

• O que pode acontecer (evento de uma ameaça)?

• Se for acontecer, quão ruim poderia ser (impacto da ameaça)?
• Com que freqüência poderia acontecer (freqüência anual da ameaça)?
• Com que grau certeza estão as respostas das três primeiras perguntas
(reconhecimento da incerteza)?

Ativo - é todo e qualquer recurso que manipule direta ou indiretamente

informações (é o objetivo da Análise).

Risco - Perigo ou possibilidade de perigo, é o potencial de que uma ameaça irá

explorar as vulnerabilidades.

Severidade - é o grau do dano ao ativo.

 9

Impacto - é o impacto potencial para a organização.

O processo de gerenciamento de riscos, consiste em:

Avaliar os Riscos
É o processo de conhecer os graus dos riscos aos ativos e decidir o que
fazer sobre eles. Existem três formas de agir com os riscos(figura 1).

• Aceita o risco - esta opção só deve ser utilizada, quando o custo para
implementação de controles para proteção dos ativos for maior que o
impacto causado pela ocorrência de um evento.
• Reduzir o risco - significa tomar ações para reduzir os riscos para um
nível aceitável.
• Transferir o risco - significa transferir a responsabilidade sobre o
impacto causado ao ativo para as mãos de terceiros (colocar no
seguro), isto só serve para criar compensação, pois não impede um
acontecimento indesejado.

Elementos da metodologia da Análise de Riscos

Valor do Ativo é o valor da importância do ativo para a organização, para

definirmos este valor devemos levar em consideração alguns valores: valor da
reposição da informação, valor da reposição do equipamento, valor da perda
de credibilidade da empresa, valor da perda de confiança do cliente.
Fator de exposição do ativo à uma ameaça(FE) - é o fator que
representa o quanto um ativo esta exposto à uma determinada ameaça.
Este valor é expressado como uma percentagem, variando de 0% a
100%.
Expectativa de perda única(EPU) - é a fórmula que determina a
perda(monetária ou não) do valor do ativo. Esta fórmula é representada pela
seguinte expressão:

EPU = Valor do ativo * FE

 10

Taxa de ocorrência anual(TOA) é a fórmula que determina em base

anual, a freqüência que uma ameaça pode ocorrer. Esta fórmula é
representada pela seguinte expressão:

TOA = nº de vezes que uma ameaça ocorre / quantidade de anos

Expectativa de perda anual(EPA) - é a fórmula que define o valor final do

impacto aos ativos, representando a base para uma análise de custo/benefício
de medidas de segurança. Esta fórmula é representada pela seguinte
expressão:

EPA = EPU * TOA

O processo de Gerenciamento de Riscos, divide-se em nove fases:

- Identificação de riscos (através de “Análise de Riscos” !)
- Identificação de vulnerabilidades
- Identificação de ameaças
- Identificação de impactos
- Recomendações e Prioridades
- Plano de Ação

Benefícios de um Gerenciamento de Riscos:

• Justificar investimento
• Relacionar homem x hora
• Guia com planejamento anual de critérios para execução das
atividades de segurança

Grau EPA(Expectativa Recome

de de Perda Anual ndações
Item Descrição Vulnerabilidade Ameaça Impacto
Risco
 11

POLÍTICA DE SEGURANÇA

Uma Política de Segurança é a descrição de toda a estratégia de

segurança a ser adotada pela organização, é o conjunto de normas e
regimentos relativos a segurança. A Política de Segurança mostrará como a
segurança da instituição tornar-se-á operacional.
O principal objetivo da Política de Segurança das informações é garantir,
com o menor custo possível, que as informações permaneçam íntegras,
disponíveis, confidenciais (quando necessário) e que as entidades que tenham
acesso a essas informações possam ser autenticadas e suas ações não
possam sofrer repúdio. Uma Política de Segurança das informações deve ser
planejada, implementada e submetida à manutenção periódica.

Responsabilidade pela Política de Segurança

Para que uma Política de Segurança seja apropriado à instituição, é

preciso que tenha a aceitação e a participação dos funcionários de todos os
níveis da organização. Portanto, a responsabilidade pela elaboração da Política
de Segurança deve recair sobre um comitê composto de funcionários de vários
segmentos da organização. É aconselhável que haja representantes da alta
administração, do corpo técnico e dos usuários finais.
É sugerido o seguinte rol de participantes:
• alta administração,
• usuários finais,
• assessoria técnica

A política de segurança representa a formalização das ações que devem

ser realizadas para garantir a segurança corporativa. A criação, implementação
e manutenção de uma política de segurança consistem em esforço,
participação e colaboração de todas áreas da empresa. A política de segurança
deve seguir controles internacionais, de modo a facilitar a auditoria e permitindo
que a empresa esteja de acordo com os órgãos que regem o controle de
qualidade
A Política de Segurança é um estatuto formal de regras sob o qual estão
submetidas pessoas que têm acesso a recursos de informação e de tecnologia
em uma organização. A Política de Segurança é projetada para gerenciar o
risco que uma instituição incorre ao buscar seus objetivos. Ou seja, estabelece
metas, fornece uma estrutura de implementação e atribui responsabilidades e
domínios ao prover segurança às informações de uma instituição.
A elaboração da Política de Segurança deve estar de acordo com a
legislação vigente e com as normas internas da instituição. Numa Política de
Segurança é fundamental que esteja claramente descrita a abrangência e a
abordagem dos temas de segurança no ambiente da organização. É preciso
que estejam definidas as entidades que terão papel de relevância no processo
de segurança, bem como suas respectivas responsabilidades. Além disso as
regras devem ser definidas num nível estratégico.
Uma Política de Segurança deve ser concisa, escrita de maneira que
estimule os funcionários a torná-la uma tônica na vida organizacional. É um
documento de alto nível a ser assinado pelo representante do mais alto cargo
 12

da instituição. Por ser um documento gerencial, deve preferencialmente ser

publicado como norma da instituição; não envolve conceitos técnicos.
A Política de Segurança deverá ter uma equipe de Segurança da
Informação(Security Office) responsável pela sua manutenção e revisão. Deve
ser composta pelos elementos que forem convenientes à instituição, pois cada
instituição tem suas particularidades e objetivos únicos, porém é comum a
utilização de um conjunto básico de itens para compor a política, como segue:

• definição de segurança da informação: deve ressaltar os objetivos e

a importância da segurança como mecanismo que habilita a troca de
informação;
• propósito da política: deve ressaltar a importância da política de
segurança para o alcance do objetivo fim da instituição; deve
também estimular a gerência nos moldes da política;
• escopo ou aplicabilidade: deve ressaltar a abrangência da política; os
componentes considerados podem ser pessoal, equipamentos,
programas, mídias, enlaces de dados, informações armazenadas ou
em trânsito, instalações físicas além de outros;
• regras de segurança: devem ser elaboradas de forma clara e
sucinta, não permitindo interpretações divergentes sobre o tema que
aborda; devem ser redigidas na forma de preceitos de conduta
obrigatórios, raramente devem ser citadas recomendações; podem
ser subdivididas de acordo com a aplicabilidade, por exemplo, em
itens referentes à rede local, recursos humanos ou correio eletrônico;
• responsabilidades: devem estar claras e separadas em item próprio
para que fique claro quem aplica a política, quem monitora, quem faz
adequações e quem aplica sanções;
• sanções: devem estar separadas em item próprio, para que sejam
explicitadas as sanções aplicadas em caso de não cumprimento das
regras de segurança; não necessariamente devem estar descritas as
• infrações e penalidades, mas sim uma orientação do documento a
ser consultado.

Uma Política de Segurança da Informação deve ser composta pelo

documento principal e seus documentos complementares que chamamos de
Normas Administrativas. Estas normas devem ser elaboradas para atender
necessidades de segurança específicas e para reforçar o que está escrito de
uma forma macro no documento da política.
 13

CLASSIFICAÇÃO DAS INFORMAÇÕES

Classificação das informações é o processo de identificar e definir níveis

e critérios de proteção adequados para as informações, objetivando garantir a
segurança das mesmas.
Uma organização precisa ser capaz de identificar os valores de suas
informações , para garantir sua confidencialidade, integridade e
disponibilidades.
Por que classificar as informações?
Todos nós sabemos, que um Notebook do presidente de uma empresa,
tem um valor maior do que uma estação de trabalho comum, por isto o
investimento em segurança deve ser focado nas informações mais importantes
para a organização, ou seja a palavra chave em classificação das informações
é "PRIORIZAR RECURSOS".

Exemplos de informações:

• informação: base de dados e arquivos, documentação de sistema,

informações armazenadas, procedimentos de suporte ou operação;

• software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

• ativos físicos: equipamentos computacionais(processadores, monitores),

equipamentos de comunicação(roteadores, hubs), mídia magnética(fitas,
discos), mesas, cadeiras;

• serviços: serviço de operadoras de telecomunicação, serviço de energia

elétrica, água, etc;

Desclassificação e reclassificação das informações

Uma informação pode ter seu nível de classificação alterado ou
rebaixado, dependendo do nível de confidencialidade, integridade e
disponibilidade que a informação tiver no momento.

Exemplo: Uma informação de um novo projeto de uma empresa que esteja

ainda para ser lançado, esta informação neste momento(antes do lançamento)
é considerada confidencial, mas no momento em que este projeto se torna
público(quando o projeto é divulgado publicamente) esta informação passa a
ser Pública.

Critérios de classificação das informações

Estes critérios definem qual o tratamento de segurança que uma

informação receberá, ou seja, quanto será preciso investir em segurança para
garantir a confidencialidade, integridade e disponibilidade de uma informação,
objetivando sempre priorizar recursos.
Confidencialidade - Classificar as informações quanto a
confidencialidade, é classificar levando em consideração a gravidade do
impacto ou prejuízo que a revelação não autorizada da informação trará para a
organização.
 14

Podemos definir três níveis de classificação quanto a confidencialidade:

Confidencial - é toda informação considerada de alto risco para a empresa, sua

revelação não autorizada pode trazer graves prejuízos. Geralmente estas
informações são acessadas pela alta administração da empresa(presidência,
diretoria, superintendência)

Restrita – é toda informação considerada de médio e baixo risco para a

empresa, sua revelação não autorizada pode trazer prejuízos à uma
determinada área da empresa. Geralmente estas informações são acessadas
pelas áreas envolvidas na geração e uso destas informações, pelos gestores
da área e pela alta administração.

Pública – é toda informação considerada de nenhum risco para a empresa, sua

revelação não autorizada não traz nenhum prejuízo. Estas informações são
acessadas por todos os funcionários e pessoas externas à empresa.

Integridade - Classificar as informações quanto a integridade, é classificar

levando em consideração a gravidade do impacto ou dos prejuízos que a
modificação não autorizada da informação trará.

Podemos definir dois níveis de classificação quanto a integridade:

Crítica – é toda informação de alto risco para a empresa, esta

informação não pode ser alterada sem prévia autorização.

Não Crítica – é toda informação que se alterada sem prévia autorização,

não representa nenhum risco para a empresa.

Disponibilidade - Classificar as informações quanto a disponibilidade, é

classificar levando em consideração a gravidade do impacto ou dos prejuízos
que a indisponibilidade da informação trará.

Podemos definir dois níveis de classificação quanto a disponibilidade:

Vital - é toda informação de alto risco para a empresa, esta informação

precisa estar sempre disponível.

Não Vital - é toda informação que em caso de indisponibilidade, não

representa nenhum risco para a empresa.

Classificação Padrão - Devemos definir também uma classificação padrão para

as informações, ou seja todas as informações que não forem classificadas
deverão entrar no nível padrão de classificação.

Funções e Responsabilidades

Em um processo de classificação das informações devemos definir as

funções e os responsáveis por cada etapa desta classificação, ou seja
devemos definir quem classifica, quem armazena, quem atualiza, etc.
 15

Proprietário da informação - são considerados proprietários da informação os

gestores das áreas geradoras das informações, sendo os proprietários
responsáveis por classificar, desclassificar, redefinir os níveis de classificação
das informações;

Custodiante - é considerada custodiante das informações a área de

informática, sendo responsável por guardar e recuperar as informações
classificadas e responsáveis por prover e administrar os acessos às
informações devidamente solicitados pelos proprietários;

Controles para as informações

Devemos definir controles para as informações classificadas como

confidenciais, críticas e vitais, estes controles são definidos quanto ao
armazenamento, envio e descarte.

Armazenamento:

Armazenamento de informações eletrônicas – As informações eletrônicas

classificadas como confidenciais e/ou críticas e/ou vitais deverão ser
armazenadas em drivers de rede específicos para tal finalidade, onde o mesmo
será protegido com controle de acesso e procedimento de backup;

Armazenamento de informações impressas – As informações impressas

classificadas como confidenciais e/ou críticas e/ou vitais deverão ser
armazenadas em locais protegidos do acesso por pessoas não autorizadas
pelo proprietário da informação;

Envio:

Envio de informações eletrônicas – O envio por correio eletrônico de

informações eletrônicas classificadas como confidenciais e/ou críticas e/ou
vitais deverá ser feito utilizando software de criptografia e assinatura digital,
para garantir a confidencialidade, integridade e autenticidade das informações
trafegadas;

Envio de informações impressas – O envio de informações impressas

classificadas como confidenciais e/ou críticas e/ou vitais deverá ser feito
através de envelopes lacrados, contendo o nome do destinatário e um carimbo
de “CONFIDENCIAL”;

Descarte:

Descarte de informações eletrônicas – O descarte de mídias com informações

eletrônicas classificadas como confidenciais e/ou críticas e/ou vitais deverá ser
feito pela área de informática. As mídias eletrônicas contendo informações a
serem descartadas deverão ser encaminhadas à área de informática pelo
proprietário da informação;
 16

Descarte de informações impressas – O descarte de informações impressas

classificadas como confidenciais e/ou críticas e/ou vitais deverá ser feito
através de trituradores de papéis;

Etapas para o processo de classificação das informações

• Elaboração de uma política de classificação

• Levantamento das informações
• Classificação das informações levantadas
• Implementação da política
• Revisão periódica da classificação

PLANO DE CONTINUIDADE DE NEGÓCIOS(PCN)

O mais importante em uma implementação de PCN, é identificar qual o

Negócio da empresa, para tanto é importante ter o entendimento do
funcionamento dos negócios, seus riscos, vulnerabilidades, ameaças e outros.

Unidade de Negócio – É a denominação de cada área da empresa.

Processo de Negócio – Processo é o conjunto de atividades que tem por

finalidade transformar, montar, manipular e processar matéria-prima para
produzir bens e serviços que serão disponibilizados para clientes.

Componentes – Componentes são os elementos que suportam os processos

de negócios. Os componentes são classificados em sete tipos:

• Tecnologia da informação – micro, servidores, aplicativos, internet;

• Não tecnologia da informação – ar condicionado, máquinas de calcular,
catracas;
• Recursos Humanos – Pessoas;
• Infra-estrutura interna – ambiente físico, mobiliário;
• Infra-estrutura externa – ambientes externos da empresa afetem a
execução dos processos de negócios;
• Provedores e parceiros – empresas prestadoras de serviço;
• Insumos – elemento necessário para geração do produto da empresa.

Ameaça – É todo agente ou situação capaz de causar um evento. As ameaças

se dividem em quatro categorias:
• Naturais – terremoto, enchente, etc;
• Humanas – hackers, espiões, funcionários insatisfeitos;
• Físicas – elementos físicos que atuam sem a intervenção humana;
• Tecnológicas – Sistemas, aplicativos, worms.

Vulnerabilidade – É o grau de exposição que um componente possui em

relação a uma ameaça.
 17

Risco – É a probabilidade da ocorrência de um evento.

Evento – É a concretização de uma ameaça que ocasione perda ou dano aos

componentes dos processos de negócios.

Impacto – É o dano/conseqüência causados aos componentes dos processos

de negócios em decorrência de um evento. Os impactos se dividem em sete
categorias:
• Imagem – afeta a imagem da organização;
• Financeiro – prejuízos financeiros;
• Mercado – dano a comercialização dos produtos;
• Administrativo- problemas com relacionamentos internos;
• Operacionais – afeta as operações da empresa;
• Legal – processos legais contra a empresa;
• Recursos Humanos – danos a integridade física ou emocional dos
funcionários.

Desastre – É um impacto de grandes proporções.

O Plano de Continuidade de Negócios, é um plano que tem como

objetivo garantir, em caso de desastre ou falha nos sistemas de informação, a
continuidade dos negócios da empresa.
Um PCN tem como abrangência os seguintes planos:

Plano de Recuperação de Desastres - PRD

Objetiva definir quais recursos e ações serão tomadas em caso de
desastre para que o negócio da empresa funcione, total ou parcialmente, até o
retorno à situação normal.

Plano de Continuidade Operacional - PCO

Objetiva a manutenção dos processos de negócio na ocorrência de
falhas nos sistemas de informação.
Abaixo segue uma figura representativa do ciclo de vida de um Plano de
Continuidade de Negócios.
ativação do
PCN

falha ou ativação da
retorno
desastre contingência

Situação Normal Recuperação Situação de Contingência Situação Normal

tempo de tempo em
recuperação contingência

100% funções 0% funções X% funções 100% funções

100% usuários 0% usuários Y% usuários 100% usuários
 18

AMEAÇAS POTENCIAIS

Hackers e Crackers

Hacker - Indivíduo com profundos conhecimentos de sistemas

operacionais, linguagem de programação, técnicas e ferramentas que
potencializam as tentativas de acesso indevido. Comumente buscam mais
conhecimento e evitam corromper informações intencionalmente.

Chacker - Indivíduo comumente dedicado a quebrar chave de proteção

de programas de computador e invadir sistemas, violando a integridade das
informações com intenção maliciosa. Praticamente um hacker profissional
perigoso.

Lammer - Indivíduo com conhecimentos técnicos superficiais, que

comumente se utilizam de ferramentas de terceiros disponibilizadas na internet
para realizar suas tentativas de acesso indevido.

Tipos de Ataques

Ataques baseados em senhas

Uma estratégia básica para todo início de ataque é a quebra de senha

de um usuário válido, seja por tentativa e erro, ataque do dicionário ou inclusive
engenharia social.
O ataque ao arquivo de senha mais conhecido é chamado de ataque do
dicionário. O ataque consiste na cifragem das palavras de um dicionário
através da função crypt, e posterior comparação com os arquivos de senhas de
usuários. Desta forma quando uma palavra do dicionário cifrada coincidisse
com a senha cifrada de um usuário, o atacante teria obtido uma senha.
Para dificultar este ataque foi criado o salt. O salt é um número
randômico gerado na hora em que o usuário esta inserindo ou alterando a sua
senha. O número gerado pode estar entre 0 e 4095 e é cifrado juntamente com
a senha, o que impede a utilização de um dicionário genérico para todos os
usuários. O atacante agora, tem que cifrar cada palavra do dicionário com o
salt de cada usuário.
Depois de obter acesso a rede alvo, o hacker já pode ter acesso a
arquivos do usuário o qual quebrou a senha, ler e-mails, manter o usuário
válido sem poder acessar a rede.

IP Spoofing (Falsificação de endereço IP)

A falsificação de endereço IP não é exatamente um ataque, ela na

verdade é utilizada juntamente com outros ataques para esconder a identidade
do atacante. Consiste na manipulação direta do campos do cabeçalho de um
pacote para falsificar o número IP máquina que dispara a conexão. Quando um
host A quer se conectar ao B, a identificação é feita através do número IP que
vai no cabeçalho, por isto, se o IP do cabeçalho enviado pelo host A for falso(IP
de um host C), o host B, por falta de outra forma de identificação, acredita estar
se comunicando com o host ª
 19

Através desta técnica, o hacker consegue atingir os seguintes objetivos:

obter acesso a máquinas que confiam no IP que foi falsificado, capturar
conexões já existentes e burlar os filtros de pacotes dos firewalls que
bloqueiam o tráfego baseado nos endereços de origem e destino.

Ataques de negação de serviços (Dos)

Os ataques de negação de serviço (denial of service) consistem em

impedir o funcionamento de uma máquina ou de um serviço específico. No
caso de ataques a redes, geralmente ocorre que os usuários legítimos de uma
rede não consigam mais acessar seus recursos.

SYN Flood

O SYN Flood é um dos mais populares ataques de negação de serviço.

O ataque consiste basicamente em se enviar um grande números de pacotes
de abertura de conexão, com um endereço de origem forjado (IP Spoofing),
para um determinado servidor. O servidor ao receber estes pacotes, coloca
uma entrada na fila de conexões em andamento, envia um pacote de resposta
e fica aguardando uma confirmação da máquina cliente. Como o endereço de
origem dos pacotes é falso, esta confirmação nunca chega ao servidor. O que
acontece é que em um determinado momento, a fila de conexões em
andamento do servidor fica lotada, a partir daí, todos os pedidos de abertura de
conexão são descartados e o serviço inutilizado. Esta inutilização persiste
durante alguns segundo, pois o servidor ao descobrir que a confirmação esta
demorando demais, remove a conexão em andamento da lista. Entretanto se o
atacante persistir em mandar pacotes seguidamente, o serviço ficará inutilizado
enquanto ele assim o fizer.

Ataques de LOOP

Dentro desta categoria de ataque o mais conhecido é o Land. Ele

consiste em mandar para um host um pacote IP com endereço de origem e
destino iguais, o que ocasiona um loop na tabela de conexões de uma máquina
atacada. Para executar um ataque como este, basta que o hacker tenha um
software que permita a manipulação dos campos dos pacotes IP.

Ataques via ICMP

O protocolo ICMP (Internet Control Message Protocol) é utilizado no

transporte de mensagens de erro e de controle. Essencialmente é um protocolo
de transferência de mensagens entre gateways e estações. Como todos os
protocolos do conjunto TCP/IP, o ICMP não tem como ter garantia se a
informação recebida é verdadeira, e por este motivo, um atacante pode utilizar
as ICMP para interromper conexões já estabelecidas, como por exemplo
enviando uma mensagem ICMP de host inacessível para uma das máquinas.
O ataque Pong envia pacotes ICMP de echo request para um endereço
de broadcast da rede e redireciona as respostas (através de IP Spoofing) para
a máquina atacada, causando uma "chuva" de conexões de echo reply para a
mesma. O Smurf é uma atualização do Pong que envia pacotes para vários
 20

endereços de broadcast. E o Fraggle diferencia-se apenas por utilizar o UDP

como protocolo de transporte.
O Ping o Death é outro ataque bastante explorado na Internet. Ele
consiste em enviar um pacote IP com tamanho maior que o máximo permitido
(65.535 bytes) para a máquina atacada. O pacote é enviado na forma de
fragmentos (porque nenhuma rede permite o tráfego de pacotes deste
tamanho), e quando a máquina destino tenta montar estes fragmentos,
inúmeras situações podem ocorrer: a maioria trava, algumas reinicializam,
outras exibem mensagens no console, etc.

Vírus

Geralmente um vírus é definido como um programa que infecta

documentos ou sistemas inserindo ou anexando uma cópia dele próprio ou
substituindo integralmente determinados arquivos. Um vírus age sem o
consentimento ou com o consentimento do usuário. Portanto, quando um
arquivo infectado é aberto, o vírus incorporado também é executado,
geralmente em segundo plano um vírus verdadeiro é propagado pelos próprios
usuários, um vírus não se dissemina deliberadamente de um computador para
outro. Existem cinco tipos de vírus de computador.

Vírus Polimórficos - Os vírus de computador polimórficos são

propositalmente difíceis de serem detectados. Os autores de vírus polimórficos
criptografam o corpo do vírus e a rotina de decodificação. Não existem duas
infecções iguais, por isso não é possível criar apenas uma única definição de
antivirus para combater todas elas.

Vírus de Macro - Os vírus de macro usam uma linguagem de macro do

aplicativo(como Visual Basic) para infectar e duplicar documentos e modelos.
Eles estão geralmente associados a programas do Microsoft Office. Esses
vírus usam o ambiente de programação da Microsoft para auto-executarem o
código de macro viral. Quando um documento infectado é aberto, o vírus é
executado e infecta os modelos de aplicativos do usuário.
As macros podem inserir palavras, números ou frases indesejadas em
documentos ou alterar funções de comando. Depois de um vírus de macro
infectar a máquina de um usuário, ele pode se incorporar a todos os
documentos criados no futuro com o aplicativo.

Cavalo de Tróia - Cavalo de tróia é um programa maléfico disfarçado de

benéfico, com o por exemplo, protetor de tela, jogos ou mesmo um programa
para localizar e destruir vírus. Entretanto quando executado este programa
executa uma tarefa maléfica sem o consentimento nem conhecimento do
usuário. Ele não se duplica como um vírus, não faz cópia de si mesmo como
um worm e geralmente é propagado por correio eletrônico ou dowloads de
internet.
Os cavalos de tróia podem roubar senhas, agir como uma ferramenta
para que outros "espionem" os usuários através de registros de teclas
pressionadas e da transmissão desses registros para terceiros por meio de
TCP/IP.
 21

Worms - Um worm é um programa que se propaga sozinho, geralmente

pela rede através do correio eletrônico, TCP/IP ou unidade de disco,
reproduzindo a si mesmo por onde passa.
Os worms são extremamente perigosos para a rede e mais difíceis de
serem controlados, porque não precisam ser propagados pelo usuário.

Hoax - Os Hoax Vírus (ou como demonstra a tradução desse nome:

Vírus Boato) não são vírus na verdade, nem Cavalos de Tróia, nem nada -
apenas o mais puro boato.
A intenção é clara. Transmitir e causar pânico entre as pessoas novatas,
ou que não conhecem detalhes, verídicos, dos métodos de funcionamento e
ataque dos verdadeiros vírus de computador. Em paralelo, por incentivarem os
recipientes dos e-mails à retransmitirem os e-mails falsos para todos os amigos
e conhecidos, causar um grande tráfego, e conseqüente congestionamento, na
rede mundial.

Engenharia Social

Engenharia Social é o método de se obter dados importantes de

pessoas através da velha lábia. No popular é o tipo de vigarice mesmo pois é
assim que muitos habitantes do underground da internet operam para
conseguir senhas de acesso, números telefones, nomes e outros dados que
deveriam ser sigilosos.
A tecnologia avança e passos largos mas a condição humana continua
na mesma em relação a critérios éticos e morais. Enganar os outros deve ter
sua origem na pré-história portanto o que mudou foram apenas os meios para
isso.
Em redes corporativas que são alvos mais apetitosos para invasores, o
perigo é ainda maior e pode estar até sentado ao seu lado. Um colega poderia
tentar obter sua senha de acesso mesmo tendo uma própria, pois uma
sabotagem feita com sua senha parece bem mais interessante do que com a
senha do próprio autor.
Revirar lixo também é uma prática comum nesse campo, pois muitos
documentos importantes com dados sigilosos podem ser obtidos dessa
maneira.

ARQUITETURA, TOPOLOGIAS E TECNOLOGIAS DE SEGURANÇA

A arquitetura de segurança em um ambiente computacional envolve a

escolha, instalação e configuração de ferramentas e dispositivos específicos. A
implantação de tecnologias de segurança e sua disposição na infra-estrutura
de Tecnologia da Informação existente deve refletir a estratégia de defesa
adotada pela empresa e vai influenciar em sua maior ou menor eficácia. Isto
inclui a análise da arquitetura de rede e de infra-estrutura de TI sob a ótica da
segurança, avaliando a adequação do projeto às boas práticas de segurança.
A principal abordagem utilizada consiste na chamada defesa de
perímetro onde é estabelecido um Perímetro de Segurança ao redor da
corporação. Neste momento são identificados todos os pontos de entrada e
saída da rede, que são os limite onde os controles da segurança devem atuar
 22

para poderem atuar e monitorar os acessos entre pontos internos e externos à

empresa. É criada uma "fronteira" entre a área(rede ou subrede) a ser
protegida e o meio externo a mesma(incluindo outros servidores ou redes,
conexão com a internet, links com parceiros ou escritórios remotos).
Outra estratégia é conhecida como Defesa em Profundidade (Defense
In-Depth), segundo a qual deve-se adotar vários pontos e ferramentas
diferentes d e controle, atuando em diferentes camadas. Com a sobreposição
de técnicas e ferramentas de defesa distintas, garante-se um maior nível de
segurança global.
Isto inclui o uso conjugado de ferramentas de segurança diferentes (tais
como antivírus, firewall e IDS) e/ou em pontos distintos respeitando uma
estratégia global de segurança. Desta forma, se uma linha de defesa falhar ou
não for suficiente para conter um problema, as demais devem garantir um
mínimo impacto para a segurança do ambiente.
Segundo este conceito, uma estratégia de segurança não deve se limitar à
um único ponto de controle (somente um firewall protegendo um link), mas sim
atuar em todo ciclo de negócio e permear toda a organização. Deve-se por
exemplo, envolver:

• Usuários: medidas de proteção aos desktops e dados neles

armazenados;
• Servidores: inclui medidas de controle de acesso físico e lógico;
• Aplicações: deve-se adotar controle de acesso, segurança no
desenvolvimento das aplicações e segurança dos dados armazenados;
• Rede: controle de acesso e monitoração de tráfego de rede;

DMZ

É comum adotar o uso de DMZ (Zona Desmilitarizada), que consiste em

um seguimento de rede isolado interligando duas redes distintas (por exemplo
a internet e a rede interna). Nela é comum colocarmos todos os servidores
públicos, que por sua natureza deve receber acesso de usuários através de
ambas as redes. Mas por estarem expostos a usuários externos, estes
equipamentos estão mais sujeitos à ataques.
A DMZ garante que haja o isolamento físico destes equipamentos da
rede interna. O tráfego de dados para a DMZ deve ser altamente controlado.
As únicas conexões permitidas para os sistemas dentro da DMZ devem ser as
relativas aos serviços públicos (acessíveis externamente). Salvos em algumas
exceções, os servidores da DMZ não necessitam iniciar conexões para o
ambiente externo. Conexões originárias da DMZ para a rede interna deve ser
cuidadosamente controlada.
A DMZ e a rede interna não podem estar no mesmo segmento de rede
(ligadas ao mesmo hub ou switch, por exemplo). É imprescindível que estas
redes estejam separadas logicamente e fisicamente.
 23

Topologias Utilizadas

Screened Host Firewall - Esta é uma solução clássica de segurança que

envolve a combinação de um equipamento bastion host (servidor protegido
fortemente), atuando como proxy de todas as requisições e um screening
router (roteados entre duas redes, onde este possui regras que filtram a
entrada e saída de pacotes das redes). O roteados fica entre a Internet e a
rede interna, direcionando os acesso externos para o bastion host e este faz o
controle do que deve ser repassado para a rede interna.
 24

Firewall Simples - Nesta solução todos os equipamentos ficam

posicionados "atrás" do firewall, dentro da rede corporativa. É um host que tem
duas interfaces de rede. Todas as conexões da rede externa para a rede
interna passam pelo firewall.
Desta forma, todos os pacotes de rede vindos da internet para a rede
interna são tratados pelo software de firewall, que analisa a conexão e só a
repassa adiante se permitida.
 25

Firewall com DMZ Clássica - Esta foi a primeira solução que popularizou
o uso de uma rede DMZ, sendo ainda adotada por muitas empresas. Requer o
uso de dois equipamentos para isolar a rede externa da rede interna. Um
roteados de borda (roteador conectado com a rede externa) com filtros para os
pacotes da rede externa para os servidores que estão na DMZ e para o firewall
e um firewall entre a DMZ e a rede interna, que filtra o que deve sair da rede
interna e bloqueia a entrada de pacotes externos.
Neste caso a DMZ é o segmento de rede entre o roteador de borda e o
firewall da rede corporativa, onde devem ser posicionados os servidores
públicos da corporação.
 26

Firewall com DMZ na 3ª placa de rede - Esta topologia utiliza uma única
solução central de firewall, que é aplicada a todos os ambientes, garantindo
igual proteção à eles. Neste caso o equipamento de firewall possui três
interfaces de rede: uma para a rede externa, uma para a DMZ e outra para a
rede interna.
Os equipamentos da DMZ te uma saída única para a rede externa ou
para a rede interna através do firewall. A decisão de o que deve ser permitido
para as redes fica no firewall, facilitando a configuração dos servidores.

Segurança Física

Como não poderia deixar de ser, o primeiro aspecto de segurança que

deve ser considerado é a segurança física, pois em muitos casos este aspecto
é tratado com indiferença e por mais seguro que esteja um ambiente, um
acesso indevido ao console, ou mesmo ao hardware, pode comprometer todo a
informação.
Nos primórdios da computação, e ainda hoje em algumas instâncias, os
equipamentos de computação de uma empresa ficam num local de acesso
restrito a poucas pessoas devidamente credenciadas, desta forma limitando os
potenciais ataques de terceiros e principalmente de funcionários da empresa.
O principal objetivo de implementação de controles de segurança física,
é restringir o acesso às áreas críticas da empresa, prevenindo os acessos não
autorizados que podem acarretar danos a equipamentos, acessos indevidos à
 27

informações, roubo de informações, entre outros. Os controles de segurança

física são a porta da frente para a segurança da informação, pois um bom
plano de controle de segurança física é a primeira linha de defesa da empresa,
mas não devemos esquecer, que estes controles devem ser implementados
em conjunto com os controles de acesso lógico, uma vez que, um controle
depende do outro para que a segurança seja realmente efetiva.
Para começar a implementação da segurança física no ambiente,
devemos seguir os seguintes passos:

1º passo - A primeira providência a tomar, é fazer uma avaliação de risco do

ambiente, para isto, deve-se começar fazendo um "passeio" pela empresa,
analisando os seguintes fatores:
• vulnerabilidades quanto ao acesso - Quanto as vulnerabilidades de
acesso, devemos observar os seguintes ítens: acesso ao CPD restrito e
protegido, registro de entrada e saída, acesso de prestadores de
serviço;

2º passo - O segundo passo a seguir, é identificarmos as ameaças físicas e

ambientais ao ambiente. Podemos citar alguns tipos de ameaças: Fogo e
fumaça, água, movimento da terra, tempestades, vandalismo, energia, calor,
greves, etc.

3º passo - Depois de conhecermos as vulnerabilidades do ambiente, e as

ameaças potenciais, o próximo passo é implentarmos controles de segurança
física. Para isto, devemos dividir estes controles em dois tipos:
• Controles administrativos - Os controles administrativos, são
procedimentos que visam dar apoio aos controles físicos através de:
procedimentos de emergência, controle de acesso, treinamento,
simulações, pré-contratação, etc.
• Controles físicos - Os controles físicos, são controles do ambiente físico
propriamente dito, estes controles focam os seguintes tópicos:
• Construções físicas - Alguns cuidados devem ser observados na
localização e padrões de construção das instalações de uma
empresa, principalmente no CPD. É preciso observarmos os
seguintes aspectos:

Vizinhança;
Desastres naturais;
Apoio externo;
Inquilinos comuns;
Tráfego aéreo;
Rodovias;
Sistemas de sprinklers;
Materiais não combustíveis;
Resistência a fogo.

• HVAC(aquecimento, ventilação e ar condicionado) - Neste tópico

devemos nos preocupar com os seguintes aspectos:

Temperatura constante(23e 25 graus);

 28

Ar condicionado dentro do ambiente;

Rede de energia independente;
Monitoração da temperatura 24x7;
Contingência;
Manutenção periódica;

• Eletricidade - O suprimento de energia elétrica é fundamental para o

ambiente de TI, uma das principais bases de sustentação da
empresa. Devemos tomar alguns cuidados:

Alimentação dedicada;
Circuito dedicado;
Controle de acesso;
Monitoração;
Variação de correntes;
Chave EPO(Emergency Power off);
UPS(NoBreak);
Geradores;
Luz de emergência;
Umidade(<40% condensação / >60% carga eletrostática)

• Detecção e correção de incêndios - Uma das maiores ocorrências de

perda de informação em ambiente de TI, deriva-se da ocorrência de
incêndios, sendo assim, devemos nos preocupar com a detecção e a
prevenção desta ameaça. Devemos classificar os incêndios de acordo

• Com o material que está em combustão e com os equipamentos para

combatê-los.
De acordo com o material a que se destinam, os equipamentos de
combate a incêndios como extintores têm uma classificação específica:

• Classe A (Água / Soda Cáustica)

Combate a incêndios em combustíveis sólidos, como madeira, papel,
etc;

• Classe B (CO2 / Soda Cáustica / Halon)

Combate incêndios em líquidos inflamáveis, como querosene,
gasolina, etc;

• Classe C (CO2 / Halon / FM200)

Combate incêndios em equipamentos elétricos energizados, como
quadro de luz, tomadas, computadores;

• Classe D
Combate incêndios em materiais pirofóricos, como explosivos;
 29

Perímetro de Segurança

Ainda dentro da proteção física do ambiente, devemos entender o conceito de

perímetro de segurança da informação. O princípio básico de
um perímetro, consiste em isolar áreas com diferentes níveis de risco e
criticidade, isto significa que devemos dar maior proteção as informações que
estão no perímetro mais interno.
Em cada perímetro temos as seguintes funções:
• Advertências - Barreiras físicas e sinais de advertência;
• Atraso - Provocar atraso na tentativa de invasão;
• Detecção - Detectar presença de pessoas;
• Discriminação - Identificar quem pode e quem não pode;
• Detenção - Bloquear a saída do invasor;

Autenticação

Autenticação é o método de identificar e autorizar o acesso aos sistemas

e as áreas restritas de uma empresa. O controle de acesso feito através da
autenticação deve identificar o solicitante através das seguintes características:

• O que você SABE - esta característica é a mais utilizada pelos sistemas,

significa autenticar o usuário através de um código que é
"supostamente" conhecido apenas por ele, a SENHA. Usada
corretamente, a autenticação da senha é uma boa ferramenta para o
controle de acesso aos sistemas, mas o uso incorreto pode representar
o mesmo que não ter autenticação alguma. Os usuários precisam
conhecer algumas regras para o uso correto de senhas, podemos
resumir estas regras em: nunca escrever as senhas, senhas com no
mínimo 8 dígitos, não utilize nome de parentes/data de nascimento como
senha, trocar a senha no mínimo de 60 em 60 dias, etc;

• O que você TEM - esta característica significa autenticar os usuários

pelo que ele possui, ou seja, os dispositivos mais conhecidos são: smart
cards, token, cartão magnético. Estes dispositivos podem armazenar
desde informações pessoais até uma chave privada do usuário para
troca de informação através do mecanismo de chave pública/privada;

• O que você É - esta autenticação é feita, levando em consideração

características físicas e biológicas dos usuários, esta forma de
autenticação também é conhecida como Biometria. Os principais
dispositivos biométricos são: impressão digital, geometria das mãos,
varredura da íris, reconhecimento de voz, análise da
assinatura, análise de toque de tecla. Os dois maiores problemas na
autenticação por biometria são os falsos positivos/falsos negativos e a
velocidade de resposta na autenticação.
O tempo aceitável de reconhecimento até a autenticação fica entre 6 a
10 segundos por pessoa. Abaixo segue uma tabela com os tempos de
resposta dos principais dispositivos.
 30

Tipos de Dispositivos Tempo de Resposta

Impressão Digital 5-7 segundos
Geometria da Mão 3-5 segundos
Varredura da Íris 2.5-4 segundos
Reconhecimento da Voz 10-14 segundos

Obs.: Para obtenção de um bom nível de segurança na autenticação, o ideal é

que a autenticação possua no mínimo duas destas características.

Criptografia Simétrica e Assimétrica

Criptografia é geralmente entendida como a transformação de uma

mensagem para um formato incompreensível, no intuito de garantir sua
privacidade.
Na verdade é mais abrangente, oferecendo suporte aos quatro
componentes necessários para a segurança das informações:

• Confidencialidade - Garantir que a informação será mantida secreta, não

será acessada por usuários não autorizados;
• Autenticação - Conhecer a identidade do emissor;
• Integridade - Garantir que a mensagem não foi alterada;
• Não repúdio - Provar que a mensagem foi enviada por um indivíduo, caso
ele negue tê-la enviada.

A idéia principal por trás da criptografia é que um grupo de pessoas

possa usar um conhecimento privado para manter as mensagens escritas
secretas contra todos os outros.

Criptografia Simétrica ou de chave secreta - O emissor usa uma chave

secreta para criptografar a mensagem, e o receptor usa a mesma chave para
decriptografar a mensagem.
Como exemplo podemos usar a figura 1, onde Alice utiliza uma chave
simétrica S para criptografar uma mensagem (msg) para o usuário Paulo. Ao
receber a mensagem criptografada Cs(msg), Paulo utiliza a mesma chave S
para decriptografar a mensagem.

O tamanho da chave é muito importante para a segurança dos

algoritmos simétricos. Uma chave de "40 bits de tamanho" significa que
existem 240 chaves possíveis.
 31

Exemplo: Uma chave de 40 bits pode ser quebrada em 12 minutos, e

uma chave de 56 bits em 556 dias.

Criptografia Assimétrica ou de chave pública - A criptografia assimétrica,

veio em 1976 criada por Diffie e Hellman para resolver o problema da
distribuição das chaves secretas da criptografia simétrica. Ela permite que você
envie mensagens secretas para pessoas com quem ainda não se encontrou e
com quem você não combinou uma chave secreta. Neste modelo de
criptografia tanto o emissor quanto o receptor possuem não apenas uma, mas
duas chaves, uma pública e outra privada. A chave publica como o nome
representa pode ser divulgada por seu proprietário sem problemas, inclusive
através de meios inseguros e a chave secreta do usuário deve permanecer
secreta.
As chaves públicas e privadas são matematicamente relacionadas, de
forma que o que é criptografada com uma delas só pode ser decriptografada
com a outra. Seguindo o mesmo exemplo da criptografia simétrica, na figura 2
Alice criptografa uma mensagem com a chave pública de Paulo e envia a
mensagem, Paulo recebe e decriptografa a mensagem utilizando sua chave
privada.

Segurança de Computador

Uma boa implementação de segurança começa, protegendo-se os hosts

e os servidores de rede, na maioria das vezes os controles de segurança são
implementados apenas em infra-estruturas e equipamentos de rede
(Roteadores, firewalls, etc), ficando assim os hosts e servidores vulneráveis.
Para garantirmos a segurança no computador, devemos implementar as
seguintes ferramentas e controles:

Política de restrição de serviço e acesso aos computadores

Sabemos que a maioria dos sistemas operacionais, foram concebidos

sem a preocupação adequada com a segurança, sendo assim, os mesmos
quando instalados por default, trazem praticamente todos os serviços e
recursos habilitados e muitas das vezes estes serviços e recursos não são
necessários para o funcionamento dos sistemas operacionais. Podemos
exemplificar um servidor que por default, o sistema operacional instalado tenha
o serviço de FTP habilitado, mas este serviço não será útil para este servidor,
então não devemos permitir que este serviço continue habilitado.
Ainda com relação a restrição de serviços e acesso, devemos tomar
cuidado com usuários curiosos e/ou mal intencionados, devemos restringir ao
 32

máximo a utilização dos serviços e recursos dos hosts e dos servidores de

rede, para tal, existem alguns softwares. No Windows NT, podemos citar o
conhecido "Poliedit", onde com este software, conseguimos restringir o acesso
dos usuários à serviços como o ambiente de rede, Temos também uma
ferramenta chamada Protect ME que além de bloquear o acesso ao ambiente
de rede, ele ainda protege o acesso ao painel de controle, configuração de
impressoras e também bloqueia o acesso indevido ao diretório onde o sistema
operacional está instalado.

Auditoria e Log de Eventos

Uma das maiores atividades e talvez a mais complexa de um

profissional de segurança, é a administração de auditorias e logs de eventos
nos hosts e servidores. É imprescindível que façamos auditoria em alguns
eventos, podemos citar como exemplo o log de eventos como: documentos
impressos, acesso a objetos(deleção e criação de arquivos), login e logout ao
equipamento, processos executados, etc.
Para isto, o Windows 2000 já vem com esta possibilidade, para isto
basta escolher o que deseja que seja logado e então configurar no "Local
Security Policy".

Antivirus

Quem nunca ouviu falar em "Melissa", "Ilove You", "CodRed", Klez",

estes são apenas exemplos de vírus que distraíram e causaram prejuízos de
milhões de dólares em todo o mundo, segundo estimativa, a cada mês surgem
mais de setenta novas pragas virtuais. Quando falamos em segurança nos
hosts e servidores, não poderíamos deixar de citarmos uma eficiente
implementação de antivirus. Como exemplos, podemos citar o Norton,
Inoculate, Mcafee, AVG(Free), Pccilin, entre outros.
Os programas antivírus agem, principalmente, lançando mão de 4
formas diferentes, para conseguir detectar o máximo de vírus possível. Abaixo
estão os resumos destes métodos.
Escaneamento de vírus conhecidos
Este é o método mais antigo, e ainda hoje um dos principais métodos
utilizados por todos os programas antivírus do mercado.
Envolve o escaneamento em busca de vírus já conhecidos, isto é aqueles
vírus que já são conhecidos das empresas de antivírus.
Uma vez que as empresas recebem uma amostra de um vírus eles o
desassemblam para que seja separada uma string (um grupo de caracteres
seqüenciais) dentro do código viral que só seja encontrada nesse vírus, e
em nenhum programa normal à venda no mundo. Essa string, uma espécie
de impressão digital do vírus, passa a ser distribuída semanalmente pelos
fabricantes, dentro de suas vacinas.
O "engine" do antivírus usa esse verdadeiro banco de dados de
strings para ler cada arquivo do disco, um a um, do mesmo modo que o
sistema operacional lê cada arquivo para carregá-lo na memória e/ou
executá-lo. Se ele encontrar alguma das strings, identificadoras de vírus, o
antivírus envia um alerta para o usuário, informando da existência do vírus.
 33

Esse método não pode, entretanto, ser o único que o antivírus deva
utilizar. Confiar apenas no conhecimento de vírus passados, pode ser
pouco, deixando o usuário totalmente à descoberto quanto a novos vírus.
Assim os fabricantes de antivírus passaram a utilizar de métodos adicionais,
que permitissem detectar vírus novos, onde o escaneamento citado neste
tópico não está ainda disponível.

Sensoreamento Heurístico
Os programas antivírus agora lançam mão do sensoreamento
heurístico, isto é, a análise do código de cada programa que esteja sendo
executado em memória (lembrete: todos os programas são executados em
memória RAM!), ou quando um escaneamento sob demanda for solicitado
pelo usuário. O "engine" varre os programas em busca de códigos
assembler que indicam uma instrução que não deva ser executada por
programas normais, mas que um vírus pode executar.
Um exemplo seria a descoberta de uma instrução dentro de um
arquivo que faça uma chamada para a gravação dentro de um arquivo
executável.
Este é um processo muito complexo, e sujeito a erros, pois algumas
vezes um executável precisa gravar sobre ele mesmo, ou sobre outro
arquivo, dentro de um processo de reconfiguração, por exemplo. O próprio
programa antivírus deve pesar muito bem o risco/autenticidade desse tipo
de instrução, antes de soar o alarme. Além disso, ou por culpa disso, o
usuário deve compreender que em algumas situações poderá receber
falsos alarmes - o que no jargão do mercado é chamado de FALSO
POSITIVO (um aviso de vírus é dado, mas ele na verdade é falso - isto é:
não é verdadeiro).
Os antivírus devem monitorar constantemente as operações que são
executadas a cada instante no computador, visualizando acessos a
arquivos e sinais de atividades suspeitas, tal como um arquivo tentando se
auto-copiar em outros arquivos.
Embora sujeitas a erros, como aliás nós ficamos quando vemos uma
pessoa desconhecida se aproximar de uma criança. Como avaliar com
certeza se essa pessoa tem ou não boas intenções nesse acesso à
criança?
Busca Algorítmica
Alguns programas antivírus usam uma tática diferente das anteriores,
através da aplicação de algoritmos descritos em suas vacinas.Vamos dar
um exemplo. A busca à string 0A071A20 para detectar um vírus fictício:
SE este é arquivo de extensão COM
E SE ele tem mais de 900 bytes
E SE há uma instrução de salto para 597 bytes antes do final do
arquivo
E SE a string 0A071A20 aparece nesta localização
ENTÃO abra uma janela de alerta "Vírus XXYYZZ.597 foi
encontrado"
 34

Esse método é mais eficaz que o primeiro método, porém leva a um

código muito maior para as vacinas e engines, além de consumir maior
tempo para escanear todo o computador.
Checagem de Integridade
Além dos métodos de escaneamento existem outras técnicas
possíveis, tal como a técnica de checagem de integridade. Essa técnica cria
um banco de dados, com o registro dos dígitos verificadores para cada
arquivo existente no disco, que é salvo no disco para comparações
posteriores.
Mais tarde, quando executada novamente esta checagem, o banco
de dados é utilizado para conferir que nenhuma alteração, nem mesmo de
um único byte, seja encontrada. Em se encontrando algum arquivo que o
novo digito verificador não bata com o gravado anteriormente, é dado o
alarme da possível existência de um arquivo contaminado.
Obviamente o usuário deverá aquilatar se o real motivo dessa
alteração seja devido a uma atividade suspeita, ou se foi causada
simplesmente por uma nova configuração, efetuada recentemente, e
portanto legítima.

SSL(Secure Sockets Layer)

A Netscape desenvolveu um protocolo de segurança designado SSL

para comunicações entre Web browsers e servidores. O SSL providencia
autenticação, confidencialidade e integridade dos dados, sendo planejado para
autenticar o servidor e opcionalmente o cliente. O SSL usa como protocolo de
transporte o TCP, que providencia uma transmissão e recepção confiável dos
dados. Uma vez que o SSL reside no nível socket, ele é independente das
aplicações de mais alto nível, sendo assim considerado um protocolo de
segurança independente do protocolo aplicacional. Como tal, o SSL pode
providenciar serviços seguros para protocolos de alto nível, como por exemplo
TELNET, FTP, e HTTP.

A principal característica do SSL é:

Segurança em conexões cliente/servidor: o SSL garante o sigilo dos

dados trocados entre as partes envolvidas na conexão através do uso de
criptografia simétrica. A fim de evitar que as mensagens, mesmo decifradas,
sejam modificadas e com isso um ataque de escuta ativa seja possível, o SSL
adiciona à todas as mensagens um MAC (Message Authentication Code).
Calculado a partir de funções de hash seguras, o MAC garante a integridade
das mensagens trocadas. Além de sigilo e integridade, o SSL ainda provê a
autenticação das partes envolvidas a fim de garantir e verificar a identidade das
mesmas. Neste processo, o SSL utiliza criptografia assimétrica e certificados
digitais.
O protocolo SSL é dividido em duas camadas. A de mais baixo nível,
que interage com o camada de transporte, é a camada Record. Esta camada é
responsável por encapsular os dados das camadas superiores em pacotes
compactados e cifrados e repassá-los para a camada de transporte. Entre as
camadas superiores está a outra camada do SSL, a camada de Handshake.
 35

Esta camada permite que a aplicação servidora e a aplicação cliente

autentiquem-se e negociem os algoritmos de cifragem e as chaves
criptográficas antes que o protocolo de aplicação receba ou envie seu primeiro
byte.

Camada Record

A camada Record, executa vários processos, mas o principal processo

executado por esta camada é o processo de cifragem. O processo de cifragem
é responsável por proteger os dados enviados entre as partes, através do uso
de cifras e códigos MAC . Os algoritmos usados neste processo são
resultantes da fase de handshake a qual determina a cipherspec (parte da
ciphersuite que indica o algoritmo simétrico e a função de hash) que deverá ser
utilizado pela camada Record.

Camada Handshake

A camada de Handshake é a responsável pelos processos de troca de

chaves, autenticação e estabelecimento de chave de sessão feitas no SSL.
Nela, encontram-se os protocolos Handshake, ChangeCipherSpec (CCS) e
Alert. Cada um destes protocolos desempenha um papel bem definido no SSL,
mesmo havendo uma grande interação entre eles durante os processos
descritos acima. Um conceito importante para o entendimento desta camada é
o de sessão no SSL. Uma sessão SSL é composta por um conjunto de dados
que são gerados após um processo de handshake completo. Os dados que
formam uma sessão são os seguintes:

• session ID: um valor arbitrário escolhido pelo servidor para identificar

esta sessão;
• peer certificate: usado para certificar uma organização. Está no formato
X.509 e dentre outras coisas encontra-se dentro dele a chave pública da
entidade que está utilizando aquela aplicação;
• compression method: algoritmo usado na compressão dos dados;
• cipherspec: especifica que conjunto de algoritmos de cifragem e de hash
serão utilizados;
• Mastersecret: um segredo de 48 bytes compartilhado pelo servidor e
pelo cliente;
• IsResumable: flag utilizada para indicar se a sessão pode ou não ser
retomada ao iniciar uma nova conexão.

O Protocolo Handshake é a principal parte do SSL. Ele é constituído

pelas seguintes etapas:

1) Cliente envia um número aleatório e uma lista de cifras e métodos de

compressão que estaria apto a negociar com o servidor (mensagem
CLIENT_HELLO).

2) Servidor retorna seu aleatório e a cifra e método selecionados

(mensagem SERVER_HELLO).
 36

3) Caso o servidor deva se autenticar (condição já sabida a partir da

ciphersuite negociada), este envia seu certificado, o qual conterá sua
chave pública (SERVER_CERTIFICATE). O tipo de certificado enviado
dependerá da ciphersuite negociada.

4) Caso seja necessária a autenticação do cliente, o servidor envia um

pedido de certificado ao cliente (mensagem CERTIFICATE_REQUEST)
e sinaliza ao cliente que a fase de HELLO está finalizada (mensagem
SERVER_HELLO_DONE).

5) Cliente então responde ao servidor, enviando seu certificado

(mensagem CLIENT_CERTIFICATE).

6) Cabe, ao cliente, a geração do segredo a ser utilizado futuramente como

chave de sessão. Sendo assim, O cliente gera tal segredo e o envia
(cifrado com a chave pública retirada do certificado do servidor) ao
servidor (mensagem CLIENT_KEY_EXCHANGE).

7) Caso o certificado do cliente tenha capacidade de assinatura, o mesmo

é capaz de verificar sua autenticidade. Neste caso, é efetuada a
autenticação do cliente através da mensagem CERTIFICATE_VERIFY.

8) Ambos os lados possuem agora as chaves de sessão a serem

utilizadas. Uma última mensagem é enviada (mensagem FINISHED - já
decifrada com os segredos negociados) por ambas as partes, checada
(a fim de evitar ataques por espelhamento) e o processo de handshake
é finalizado.

Potocolo Alert

O SSL possui um simples tratamento de erro. Para cada erro gerado é

enviada uma mensagem de alerta para o outro lado da conexão.
Dependendo do nível do erro a conexão é abortada. Os níveis das
mensagens de alerta são warnings e fatals. Os warnings são simples avisos
que informam que alguma coisa não normal aconteceu ou foi detectada.
Estes tipos de alertas podem gerar um fechamento da conexão
dependendo da forma em que o SSL foi implementado. Os alertas fatais
sempre ocasionam o fechamento da conexão. Estes alertas dizem respeito
ao comprometimento de algum segredo ou detecção de alguma falha
durante a conexão. Todos os dados a respeito de uma sessão devem ser
apagados (sessão invalidada) quando um erro fatal é enviado ou recebido
durante uma conexão.

Protocolo ChangeCipherSpec

Este protocolo é formado por uma única mensagem, a

change_cipher_spec. Sua função é sinalizar alguma modificação nas
estratégias ou parâmetros de segurança utilizados. Quando uma das partes
do protocolo recebe uma mensagem change_cipher_spec durante o
processo de Handshake, ela automaticamente troca as informações do
 37

estado corrente de leitura (estratégia atual) pelos dados do estado pendente

de leitura (estratégia recém negociada). Já quando uma das partes envia
uma change_cipher_spec, ela automaticamente deve atualizar seu estado
corrente de escrita para o estado pendente de escrita. Qualquer mensagem
enviada ou recebida após esta mensagem será trabalhada utilizando a nova
estratégia de segurança, negociada no processo de handshake.

Firewall

Podemos dizer que firewall, é um sistema que permite controle de

tráfego entre duas ou mais redes. Normalmente o ambiente é composto pela
rede confiável(interna) e redes não confiáveis(internet, DMZ).
Na verdade, a função principal de um firewall deve ser a de proteger a rede
confiável de acessos indevidos por parte das redes não confiáveis, através da
correta implementação e especificação de regras de acesso bem definidas.

Tecnologias de Firewall

Filtro de pacote sem análise de contexto - examina cada pacote que

entra ou sai da rede e o aceita ou o rejeita baseado em regras definidas pelo
usuário. Este tipo de filtro é transparente aos usuários, porém difícil de
configurar. Além disso, é suscetível a ataques do tipo IP spoofing. Tem o
menor custo.
Application Gateways (Proxy Server) - implementa mecanismos de
segurança a serviços específicos, como servidores FTP e Telnet. "Esconde"
completamente a rede interna e oferece um forte controle sobre o acesso de
usuários. Não é tão transparente aos usuários.
Filtro de pacotes com análise de contexto(stateful inspection) - compara
o pacote que está passando naquele momento com os pacotes que já foram
aceitos anteriormente. Por exemplo, se alguém na rede interna acessa um
serviço externo a essa rede, o servidor memoriza informações sobre o pedido
original, como número da porta, endereço de destino e endereço de saída. Da
mesma forma, quando o sistema externo responde ao pedido da rede interna, o
firewall compara os pacotes recebidos com a informação que já está
armazenada para verificar se esses pacotes que acabaram de chegar podem
entrar na rede. É transparente ao usuário.
Além do controle do tráfego, um firewall oferece vários outros serviços:

Tradução de endereço(NAT) - o NAT é um dos serviços mais utilizados

de um firewall, ele tem como objetivo traduzir um endereço de uma rede
confiável para um endereço de uma rede não confiável, desta forma podemos
disponibilizar alguns recursos de uma rede confiável para serem acessados
através da internet.
Autenticação de usuário - este serviço é utilizado juntamente com o NAT
para autenticar o acesso aos recursos de uma rede confiável.

Mecanismo de Alerta - com este serviço, o firewall nos permite alertar de

várias maneiras(SNMP, e-mail, etc) o administrador de segurança, quando da
ocorrência de uma conexão suspeita.
 38

VPN(Rede Privada Virtual) - este serviço permite elevar o nível de

segurança, permitindo comunicação segura entre dois ou mais sites, e também
com usuários remotos através de criptografia. A VPN, consiste em utilizar um
canal de comunicação privado(túnel seguro) usando uma rede pública como a
internet. Os tipos de conexões possíveis em uma VPN são:

Gateway para gateway - todas as informações de uma rede passam

através de um gateway que é responsável por criptografá-las no lado de origem
da conexão, sendo as mesmas decriptografadas pelo gateway de destino.

Host para gateway - consiste em túneis seguros para usuários remotos,

neste caso, há um software na estação do usuário que é responsável pela
criptografia até o gateway.
Host para host - essa conexão é realizada entre estações dentro do ambiente
corporativo.

Limitações de um firewall

Ataques baseados em engenharia social

Proteção para acessos feitos por estações com modem
Proteção contra ataque interno

Infra-estrutura de chaves públicas (PKI)

Consiste em uma infra-estrutura que contempla uma solução conjunta

de software, hardware, serviços e protocolos, com o objetivo de prover
segurança a um ambiente de negócio eletrônico, através da geração,
distribuição e gerenciamento de chaves e certificados digitais.
Uma PKI é composta de quatro elementos:

• Certificado Digital - um certificado digital é o documento de

identidade de um usuário/servidor que participa de uma PKI, este
certificado é composto pelos seguintes dados: Dados do identificado,
dados do órgão emissor, data de validade, assinatura digital do órgão
emissor e a chave pública do identificado.

• CA(Autoridade Certificadora) - são instituições em que as partes

envolvidas na transação confiam, tem a função de associar um
usuário com seu par de chaves, emitindo os certificados digitais a
partir de uma política estabelecida.

• Diretório(Repositório) - é o local onde são armazenadas e

disponibilizadas as informações públicas dos certificados.

• Aplicações - são os mecanismos que utilizam o serviço

disponibilizado por uma PKI(assinatura digital, VPN, e-mail, etc)
 39

Sistema de Detecção de Intrusos (IDS)

São sistemas inteligentes, capazes de detectar tentativas de invasão em

tempo real. Estes sistemas podem apenas alertar sobre a invasão, como,
também, aplicar ações necessárias contra o ataque. Eles podem ser sistemas
baseados em regras ou adaptáveis, no primeiro as regras de tipos de invasões
e a ação a ser tomada são previamente cadastradas. O problema é que a cada
dia surgem novos tipos de ataques e estas regras precisam estar sempre
atualizadas para o sistema ser realmente eficaz. No segundo tipo, são
empregadas técnicas mais avançadas, inclusive de inteligência artificial, para
detectarem novos ataques, sempre que surgirem.
Os sistemas de detecção de intrusos, dividem-se em duas grandes
categorias quanto a forma de atuação:

Sistemas baseados em Rede (NIDS) - Estes tipos de sistemas são colocados

na rede, perto do sistema ou sistemas a serem monitorados. Eles examinam o
tráfego de rede e determinam se estes estão dentro de limites aceitáveis.
Sistemas de detecção de intrusos baseados em rede são aqueles que
monitoram o tráfego em um específico segmento de rede. Um cartão de
interface de rede (NIC) pode operar em um dos dois modos, estes são:

• Modo Normal - Onde somente os pacotes que são destinados

para o computador (como determinado pelo Ethernet ou MAC
Address do pacote) são capturados e carregados para o
sistema.
• Modo Promíscuo - Onde são capturados todos os pacotes que
são vistos no segmento Ethernet onde se encontra o
computador.

Um cartão de rede normalmente pode ser trocado de modo normal a

modo promíscuo, e vice-versa, usando uma função de baixo nível do sistema
operacional para falar diretamente com o cartão de rede para realizar a
mudança. Sistemas de detecção de intrusos baseados em rede normalmente
requerem que um cartão de interface de rede esteja em modo promíscuo.

Sistemas baseados em Host (HIDS) - Estes tipos de sistemas rodam no

sistema que está sendo monitorado. Estes examinam o sistema para
determinar quando a atividade no sistema é aceitável.
Uma vez que um pacote de rede chegou ao servidor, o qual era o seu
objetivo e após ter passado pelo firewall e pelo detetor de intruso baseado em
rede (NIDS), ainda há disponível uma terceira linha de defesa. Isto é chamado
de detecção de intrusos baseados em servidores (Host Intrusion Detection –
HIDS).
Os dois tipos principais de detecção de intrusos baseados em host são:
• Monitores de rede. Estes monitoram conexões de rede que
chegam ao host, e tentam determinar se quaisquer destas
conexões representam uma ameaça. Conexões de rede que
representam alguma tentativa de intrusão são alarmadas. Note
que isto é diferente da detecção de intrusos baseados em rede
(NIDS), este só olha para o tráfego de rede que está chegando
 40

com destino ao servidor, e não todo o tráfego que passa a rede.

Por isto não requer modo promíscuo na interface de rede.

• Monitores de integridade. Estes monitoram arquivos, sistemas de

arquivos, diretórios, ou outras partes do próprio servidor
procurando por tipos particulares de atividades suspeitas que
poderiam representar uma tentativa de intrusão ou
comprometimento do sistema.

Os principais tipos de monitoramento de hosts em um IDS são:

• Atividades de Login - Apesar dos melhores esforços dos

administradores de rede, e os mais recentes softwares de
detecção de intrusos, ocasionalmente um intruso se moverá
quietamente e conseguirá se logar em um servidor usando
algum tipo de ataque desconhecido. Ou talvez um atacante
tenha obtido uma senha (password) por outros meios, e agora
tem a habilidade para se logar remotamente no sistema.
Procurando por atividade incomum em um sistema é o
trabalho para HIDS que monitoram os logs de autenticação.
Este tipo de monitores de login alertam o administrador de
sistema a atividades que são incomuns ou inesperadas, tais
como, um usuário comum receber privilégios de administrador
as duas horas da manhã de domingo.

• Atividades de Administrador ou Root - O objetivo de todos os

intrusos é obter o super-usuário (root) ou acesso de
administrador no sistema que eles invadiram. Sistemas bem
mantidos e seguros que são usados como servidores de web e
bancos de dados normalmente terão pequena ou nenhuma
atividade pelo super-usuário, excluindo as horas planejadas
para manutenção de sistema. Felizmente, crackers não
acreditam em manutenção de sistema. Eles raramente aderem
a janelas de tempo de manutenção agendadas e
freqüentemente trabalham em horas estranhas do dia.
Monitorando-se qualquer ação executada pelo usuário de root
ou administrador, inclui-se mais uma linha de defesa ao
sistema.

• Sistemas de Arquivos - Uma vez um intruso chegou a invadir

um sistema (e apesar de suas melhores esperanças, e os
melhores esforços dos sistemas de detecção de intrusos, não
se pode evitar completamente a possibilidade de que um dia
um intruso chegará a invadir seu sistema), então eles
começarão a mudar os arquivos no sistema. Por exemplo, um
intruso experto poderia querer instalar um sniffer de pacotes,
ou modificar alguns dos arquivos de sistemas ou programas
para desabilitar alguns dos métodos de detecção de intrusos.
 41

As tecnologias de detecção surgiram para possibilitar que os eventos de

um sistema computacional fossem auditados e se caso alguma coisa indevida
acontecesse em tempo real uma contramedida seria acionada de forma a
impedir que aquilo acontecesse novamente, para isso foram desenvolvidas
várias formas de detecção com o objetivo de se encontrar uma ou quem sabe a
combinação de várias delas, que minimizassem o número de falsos alertas e
maximizar ao máximo a capacidade de detecção. Falaremos de três dessas
tecnologias:
• detecção por assinatura - Baseada em um conjunto de regras
pré-definidas.

• detecção por método estatístico - Que baseada em perfis, o

sistema é ativado sempre que há mudanças drásticas.

• detecção por mineração de dados - Utiliza consultas a um

banco de informações obtidas pela ferramenta e submetidas a
um algoritmo de Inteligência Artificial para detectar intrusões.

Segurança em redes Wireless

As redes Wireless ou redes sem fio constituem-se como uma alternativa

às redes convencionais com fio, fornecendo as mesmas funcionalidades, mas
de forma mais flexível, de fácil configuração e com boa conectividade em áreas
prediais ou de campus. Há vários tipos de redes Wireless: Redes Locais sem
fio ou WLAN, Redes Metropolitana sem fio ou WMAN, Redes de longa
distância sem fio ou WWAN e um novo conceito de redes sem fio, as
chamadas Redes Pessoais sem fio ou WPAN.

Redes Locais Sem Fio (Wlans)

Através da utilização portadora de rádios ou infravermelho, as WLANS

estabelecem a comunicação de dados entre os pontos da rede. Os dados são
modulados na portadora de rádio e transmitido através de ondas
eletromagnéticas.
Múltiplas portadoras de rádio podem coexistir num mesmo meio, sem
que uma interfira na outra. Para extrair os dados o receptor sintoniza numa
frequência específica e rejeita as outras portadoras de freqüências diferentes.
Num ambiente típico, como mostra a figura abaixo, o dispositivo
transceptor (transmissor/receptor) ou ponto de acesso (access point) é
conectado a uma redes local Ethernet convencional (com fio). Os pontos de
acesso não apenas fornece a comunicação com a rede convencional, como
também intermediam o tráfego com os pontos de acesso vizinhos, num
esquema de células de roaming (semelhante ao roaming dos aparelhos
celulares).

Access Point
HUB Acesso a rede local com fio
 42

Há várias tecnologias envolvidas nas redes locais sem fio e cada uma
tem suas particularidades, suas limitações e suas vantagens. A seguir são
abordadas algumas das tecnologias mais empregadas.

Sistema Narrowband - Os sistemas Narrowband (banda estreita) operam numa

freqüência de rádio específica, mantendo o sinal de rádio o mais estreito
possível o suficiente para passar as informações. O crosstalk indesejável entre
os vários canais de comunicação pode ser evitado coordenando
cuidadosamente os diferentes usuários nos diferentes canais de freqüência.

Sistema Spread Spectrum - São os mais utilizados. Utilizam a técnica de

espelhamento espectral com sinais de rádio freqüência de banda larga,
provendo maior segurança, integridade e confiabilidade, em troca de um maior
consumo de banda. Há dois tipos de tecnologias Spread Spectrum: a FHSS
(Frequency-Hopping Spread Spectrum e a DSSS (Direct-Sequence Spread
Spectrum).
A FHSS, usa uma portadora de faixa estreita que muda a freqüência em
um código conhecido pelo transmissor e pelo receptor que, quando
devidamente sincronizado, o efeito é a manutenção de um único canal lógico.
A DSSS, gera um bit-code (também chamado de chip ou chipping
code)redundante para cada bit transmitido. Quanto maior o chip maior será a
possibilidades de recuperação da informação original. Contudo, uma maior
banda é requerida. Mesmo que um ou mais bits do chip sejam danificados
durante a transmissão, técnicas estatísticas embutidas no rádio são capazes
de recuperar os dados originais sem a necessidade de retransmissão.

Sistema Infrared - Para transmitir dados os sistemas infravermelho utilizam

freqüências muito altas, um pouco abaixo da luz visível no spectro
eletromagnético. Igualmente à luz, o sinal infravermelho não pode penetrar em
objetos opacos. Assim as transmissões por infravermelho ou são diretas ou
difusas.

EEE 802.11 WI-FI

O grupo de trabalho IEEE 802.11, do Instituto dos Engenheiros Elétricos

e Eletrônicos, é responsável pela definição do padrão para as Redes Locais
sem fio. Este instituto é responsável por definir padrões de funcionamento para
as redes WLANS, desde sua criação este padrão chamado de 802.11 teve
várias variações, iniciando no 802.11 a até chegar a versão atual 802.11h. O
padrão mais utilizado hoje em dia em empresas, hotéis, fábricas e lugares
públicos é o 802.11b.
Wi-Fi (Wireless Fidelity), é uma nova forma de padronização e
tecnologia de redes Wireless, onde todos os padrões anteriores conhecidos
como IEEE 802.11 "x" foram agregados a este conceito.
Nos últimos tempos, movimentos como o wardriving e warchalking
serviram de alerta para a necessidade de se aumentar o fator segurança nas
implementações destas redes. Até o final deste ano o padrão 802.11i, será
lançado e com ele um novo conceito de segurança em redes Wireless. O WPA
(Wi-Fi Protected Access).
 43

O WPA, que substitui o padrão WEP (Wired Equivalent Privacy), adota

TKIP (Temporal Key Integrity Protocol), tecnologia que gera novas chaves de
segurança para cada 10k de dados transmitidos pela rede, dificultando assim o
acesso às informações. Além deste novo padrão, os padrões atuais oferecem
alguns mecanismos de segurança que devem ser seguidos.

Protocolo Wep - Criptografia de até 128 bits utilizada para redes Wireless. Esta
criptografia deve ser utilizada nas implementações de redes sem fio, mas a
mesma necessita ser habilitada, pois o fabricante dos equipamentos por default
deixa desabilitada.

SSID - É uma string de identificação utilizada em pontos de acesso à redes

sem fio pelo qual os clientes podem iniciar suas conexões. Os fabricantes
deixam sempre este identificados com um número default de fácil adivinhação,
com isto deve ser alterado.

Controle de Acesso por MAC address - Esta função é implementada para

limitar o acesso a rede Wireless, permitindo entrar na rede apenas MAC
address autorizados.

Segurança em aplicações

Existem três preocupações básicas quando falamos de segurança em

desenvolvimento de software:
Segurança no ambiente desenvolvimento: estamos preocupados em
manter os códigos fontes seguros, em evitar roubo do código-fonte ou
indisponibilidades da equipe de desenvolvimento;

Segurança da Aplicação desenvolvida: queremos desenvoler uma

aplicação que seja segura, siga corretamente as especificações de segurança
e não contenha acessos ocultos(backdoor), código malicioso ou falhas que
comprometam a segurança;
Garantia de segurança da aplicação desenvolvida: queremos garantir a
segurança da aplicação em desenvolvimento.
Essas três preocupações são complementares. Não há como garantir a
segurança sem uma aplicação segura. Também não há como obter uma
aplicação segura sem um ambiente de desenvolvimento seguro. Estamos
sempre lidando com essas três preocupações em conjunto.

Segurança no ambiente de desenvolvimento

Essa é a preocupação de toda empresa de desenvolvimento de

sistemas. É impossível obter um sistema seguro em um ambiente inseguro.
Veremos que existem quatro níveis definidos pela ISO/IEC 15.408 para
capacidade de um ambiente de desenvolvimento e testes de desenvolver uma
aplicação segura.
Algumas característica de um ambiente seguro de desenvolvimento são:
- Espaço físico restrito, com controle de acesso físico e proteção lógica
dos servidores;
 44

- Separação entre ambiente de desenvolvimento, testes e construção

(Buld);
- Gerência de configuração dos fontes;/
- Processos de desenvolvimento bem estabelecidos e econtrolados,
gerando evidências de controles;
- Equipe de testes capacitada e equipada para realização dos testes
necessários à garantia da segurança.
Os testes de garantia de segurança são particularmente afetados pela
segurança do ambiente de desenvolvimento. Para um teste isento é preciso um
ambiente controlado.

Segurança da Aplicação Desenvolvida

Há um grande número de recomendações em comum entre segurança

da aplicação e normas de boa programação. De fato, seguindo as normas de
boa programação, automaticamente eliminaremos muitos dos erros e falhas de
segurança de uma aplicação. São exemplos de normas de boa programação e
também práticas para melhorar a segurança de um sistema:
Funções intrinsecamente seguras: Tratar todas as variáveis de entrada
como não-confiáveis, verificando sua validade antes de usá-las. Isto significa
que cada função deve verificar se a varíavel está entre valores aceitáveis enão
contém caracteres estranhos ou má formação antes de qualquer uso;
Sempre verificar os códigos de erro retornados por uma função,
principalmente nas chamadas a API do sistema operacional;
Atentar sempre para o tamanho dos buffers e arrays do sistema. Uso
strncpy no lugar de atrcpy. Ao usar funções de bibliotecas, verificar se não há
como estourar um buffer dentro dela;
Documentar o código da aplicação.

Garantia de Segurança

Garantia de Segurança não é o mesmo que segurança do sistema

propriamente dita. Fornecer a garantia compreende fazer a aplicação segura e
mais alguma coisa que permita ao cliente se assegurar de que o sistema é
seguro.
A melhor garantia de segurança para o desenvolvimento de software é
através de teste comprovado pelo cliente. Basicamente este é o princípio que
a ISO/IEC 15.408 usa:

Especificar a segurança de forma clara e segura;

Construir conforme esta especificação;

Testar para verificar o atendimento da especificação original.

Commom Criteria / ISO/IEC 15.408

Commom Criteria é o nome do padrão de mercado que deu origem a

norma ISO/IEC 15.408. O objetivo deste padrão e desta norma é fornecer um
conjunto de critérios fixos que permitam especificar a segurança de uma
 45

aplicação de forma não ambígua a partir de características do ambiente da

aplicação, e definir formas de garantir a segurança da aplicação para o cliente
final.

NBR ISO/IEC 17799

Desde setembro de 2001, a Associação Brasileira de Normas Técnicas

(ABNT) traduziu a parte 1 da norma Britânica BS 7799, dando origem a NBR
ISO/IEC 17799 Tecnologia da Informação - Código de práticas para a gestão
da segurança da informação. Esta Norma fornece recomendações para a
gestão da segurança da informação para uso por aqueles que são
responsáveis pela introdução, implementação ou manutenção da segurança
em suas organizações. Tem como propósito prover uma base comum para o
desenvolvimento de normas de segurança organizacional e das práticas
efetivas de gestão da segurança, e prover confiança no relacionamento entre
as organizações.
A ISO 17799 pode ser considerada como ponto de partida para o
desenvolvimento de recomendações específicas para uma organização. Mas é
muito importante ressaltar que as recomendações descritas na norma devem
ser avaliadas levando em consideração a estrutura organizacional e o objetivo
de segurança de cada empresa.
A norma de segurança, divide-se em dez ítens de controle:

Política de segurança da informação - neste item a norma define o conceito de

política de segurança da informação, as responsabilidades sobre o documento
e sugere algumas definições para a política.

Segurança Organizacional - é neste ítem que a norma estabelece a

necessidade de formação de uma equipe de segurança da informação, bem
como a formação de um comitê multi-disciplinar para decidir sobre as
implementações e normas de segurança. Ainda neste ítem, são tratados os
acessos de terceiros da empresa em sistemas de informação.

Classificação e controle dos ativos de informação - ressalta a importância de se

ter um inventário dos ativos da empresa e define o que vem a ser um processo
de Classificação da Informação.

Segurança em pessoas - este ítem talvez seja o mais importante e difícil de ser
aplicado nas empresas, pois é nele que a norma trata da conscientização dos
funcionários, dos termos de responsabilidade sobre as informações e das
palestras de divulgação.

Segurança física e do ambiente - este ítem trata a segurança no acesso as

instalações da empresa, a segurança dos equipamentos, ressaltando a
importância da proteção contra falha de energia, o cuidado com a reutilização
de equipamentos por diversas áreas da empresa e fala do conceito de "mesa
limpa e tela limpa".
 46

Gerenciamento das operações e comunicações - este é o ítem mais

abrangente da norma, pois trata de diversos processos de gerência das
informações. Trata da necessidade de documentação de controle sobre as
atividades de informática, segregação de funções, aceite de sistemas por parte
dos usuários, separação do ambiente de produção para o ambiente de
desenvolvimento, proteção de antivirus, cópias de backup, descarte de mídias,
documentação de sistemas, segurança do comércio eletrônico, utilização do
correio eletrônico.

Controle de acesso - como o próprio nome diz, este ítem é específico para o
tratamento de acesso dos usuários, onde ressalta a importância do
gerenciamento de acesso e dos registros de ações dos usuário.

Segurança nos sistemas de aplicação - neste ítem é tratado toda a segurança

no desenvolvimento das aplicações, criptografia dos dados validação de
entrada de dados.

Gestão da continuidade de negócio - como o nome define, trata-se da definição

de um Plano de Continuidade de Negócios.

Conformidade - para finalizar, a norma ISO 17799 recomenda que a estrutura

de segurança da informação esteja em conformidade com as leis vigentes e
que um processo de auditoria seja implementado para garantir a efetividade de
toda segurança da empresa.

PLANO DE CONSCIENTIZAÇÃO DE USUÁRIOS

Uma das etapas mais importante e difícil de se implementar em um

processo de Gestão de segurança da informação é o que chamamos de
segurança em pessoas. Por se tratar de pessoas, temos que tratar o lado da
consciência e da ética de cada um dos funcionários de uma empresa. Todos
devem estar conscientes e sabendo da importância da informação para a
empresa. Para que isto funcione é preciso que seja feito um grande trabalho de
conscientização dos funcionários, existem diversas formas de fazer um Plano
de conscientização, mas mostraremos algumas etapas que devem ser
seguidas para o sucesso do plano.

Divulgação da Segurança da informação

Este é o primeiro passo à se tomar para que a empresa conheça a
existência da área de segurança da informação e dos conceitos básicos sobre
o assunto, bem como o que a empresa espera de cada funcionário. Para isto é
recomendável que sejam feitas palestras sobre o assunto e que estas sejam
oficializadas através de uma convocação formal da empresa para os
funcionários, nestas palestras inicias é interessante que sejam mostrados
casos reais de empresas que foram afetadas por falta de segurança da
informação.
 47

Fórum de Segurança da informação

Para continuar o plano de conscientização, é necessário que um fórum
multi-disciplinar seja criado e que este seja composto por funcionários de
diversas áreas e que estes exerçam funções diferenciadas na empresa.
Reuniões do fórum devem ser agendadas periodicamente e assuntos de
segurança devem ser tratados.

Termos de Responsabilidade
É essencial que seja elaborado e assinado por todos um termo de
responsabilidade sobre as informações, onde este termo define os deveres e
responsabilidades de cada funcionário, bem como as punições cabíveis em
caso do não cumprimento do mesmo.

Auditoria

Definições gerais de Auditoria de Sistemas

_ A verificação de controles no processamento da informação,
desenvolvimento de
sistemas e instalação com o objetivo de avaliar sua eficácia e apresentar
recomendações à Gerência.
_ A atividade dirigida a verificar e julgar a informação.
_ O exame e avaliação dos processos da Área de Processamento Eletrônico
de Dados
(PED) e da utilização dos recursos que neles intervêm, para chegar a
estabelecer o
grau de eficiência, eficácia e economia dos sistemas computadorizados em
uma
empresa e apresentar conclusões e recomendações voltadas à correção das
deficiências existentes e melhorá-las.
_ O processo de coleta e avaliação de evidência para determinar se um
sistema:
- Protege ativos
Ø Danos
Ø Destruição
Ø Uso não-autorizado
Ø Roubo
- Mantém Integridade dos dados
Ø Informação Precisa
Ø Completa
Ø Oportuna
Ø Confiável
- Alcança metas organizacionais
Ø Contribuição da função de informática
- Consume recursos eficientemente
Ø Utiliza os recursos adequadamente
_ O exame ou revisão é de caráter objetivo (independente), crítico (evidência),
sistemático (normas), seletivo (amostras) das políticas, normas, práticas,
funções,
 48

processos, procedimentos e relatórios relacionados aos sistemas de

informação
informatizados, com o fim de emitir uma opinião profissional (imparcial) com
relação à:
_ Eficiência no uso dos recursos de informática
_ Validez da informação
_ Efetividade dos controles estabelecidos
Objetivos Gerais da Auditoria de Sistemas
_ Buscar uma melhor relação custo-benefício dos sistemas automáticos ou
informatizados projetados e implantados pelo PED
_ Incrementar a satisfação dos usuários dos sistemas informatizados
_ Assegurar uma maior integridade, confidencialidade e confiabilidade da
informação mediante a recomendação de seguranças e controles
_ Conhecer a situação atual da área de informática e das atividades e esforços
necessários para alcançar os objetivos propostos
_ Incluir a segurança de pessoal, dados, hardware, software e instalações
_ Apoio de função de informática às metas e objetivos da organização
_ Segurança, utilidade, confiança, privacidade e disponibilidade no ambiente de
informática
_ Minimizar existências de riscos no uso de Tecnologia da informação
_ Decisões de investimento e gastos desnecessários
_ Capacitação e educação sobre controles nos Sistemas de Informação
_ Aumento considerável e não-justificado do orçamento do PED (Departamento
de Processamento Eletrônico de Dados)
_ Desconhecimento no nível diretivo da situação da informática da empresa
_ Falta total ou parcial de seguranças lógicas e físicas que garantam a
integridade
do pessoal, equipamentos e informação.
_ Descoberta de fraudes efetuadas com os sistemas de informação
Algumas Atividades a desenvolver
_ Como toda auditoria, depende do alcance do que se pretenda revisar ou
analisar,
mas como padrão analisaremos as quatro fases básicas de um processo de
revisão:
- Estudo preliminar
- Revisão e avaliação de controles e seguranças
- Exame detalhado de áreas críticas
- Comunicação de resultados
_ Estudo preliminar - Inclui definir o grupo de trabalho, o programa de
auditoria, efetuar visitas à unidade de informática para conhecer detalhes da
mesma, elaborar um questionário para a obtenção de informação para avaliar
preliminarmente o controle interno, solicitação de plano de atividades, Manuais
de políticas, regulamentos, Entrevistas com os principais funcionários do PED.
_ Revisão e avaliação de controles e seguranças - Consiste na revisão dos
diagramas de fluxo de processos, realização de testes de cumprimento das
seguranças, revisão de aplicativos das áreas críticas, Revisão de processos
históricos (cópias de segurança), Revisão de documentação e arquivos, entre
outras atividades.
_ Exame detalhado de áreas críticas - Com as fases anteriores o auditor
 49

descobre as áreas críticas e sobre elas faz um estudo e análise profunda, com
os
quais definirá concretamente seu grupo de trabalho e a distribuição de carga do
mesmo. Estabelecerá os motivos, objetivos, alcance, recursos que usará,
definirá a metodologia de trabalho, a duração da auditoria, apresentará o plano
de trabalho e analisará detalhadamente cada problema encontrado com tudo
que
foi anteriormente analisado neste folheto.
_ Comunicação de resultados - Será elaborado o rascunho do relatório a ser
discutido com os executivos da empresa até chegar ao relatório definitivo, o
qual apresentará esquematicamente em forma de matriz, quadros ou redação
simples e concisa que destaque os problemas encontrados, os efeitos e as
recomendações da Auditoria.
Principais ETAPAS para desenvolver o Processo da Auditoria de
Sistemas e Segurança
Algumas considerações básicas são necessárias para este processo:
• Integrá-la com o Plano de Controles do Programa de Segurança da Empresa
• Definir o Plano de Auditoria desde o começo do Programa
• Considerar evidências / suportes documentais
• Definir responsáveis pela execução
• Incorporar os controles oriundos da ISO 17799 / COBIT
• Integrá-la com a Auditoria Integral de Sistemas e de Negócio
Definir o Plano de Auditoria desde o começo do Programa
Integrá-la com o Plano de Controles do Programa de
Segurança da Empresa
Patrocínio e Acompanhamento
• Endereço da Empresa
• Foro / Comitê de Segurança de
Informática
Autorização
• Proprietário de Dados
Definição
• Área de Segurança da Informação
• Área de Assuntos Jurídicos, RH
Administração
_ Administrador de Segurança
Cumprimento direto
_ Usuários finais
_ Terceiros e pessoal
contratado
_ Área de sistemas
Controle
_ Auditoria Interna
_ Auditoria Externa
 50

Uma vez identificados os processos, definir os mecanismos de controle,

evidências a conservar e
processos de auditorias a desenvolver.
Alguns dos processos definidos podem ser:
• Administração de Usuários e Chaves de Acesso e Permissões
• Separação de Ambientes de Trabalho
• Licenças legais de Software
• Cópias de Segurança
• Segurança Física das Instalações
• Prevenção de Vírus
• Continuidade do Processamento
• Segurança nas Comunicações
• Logs de Auditoria e Geração de Relatórios
• Instalação de Software
• Segurança da rede perimetral
Considerar evidências / suportes documentais
• Suportes documentais
• Logs dos sistemas
• Proteção das ferramentas a utilizar (a Norma ISO 17799 define conservar
essas
ferramentas no ambiente de produção como o restante dos softwares da
empresa)
Neste momento é IMPRESCINDÍVEL incorporar a área de ASSUNTOS
JURÍDICOS.
Definir responsáveis
De acordo com a norma ISO 17799 este processo de Auditoria deve ser
realizado por:
• Auditoria Interna (se existente)
• Gerente Independente (se não houver Auditoria Interna)
• Auditores Externos (opcional)
A Metodologia COBIT é mais estrita e sugere uma MAIOR independência de
critérios entre o
AUDITOR e o AUDITADO.
Incorporar os controles oriundos da ISO 17799 / COBIT
Norma ISO 17799: Segurança da Informação
Em todos os módulos anteriores definimos os controles sujeitos a auditoria.
Metodologia - COBIT
_ Desenvolvida pela Information Systems and Audit Control Association -
ISACA
_ Um dos principais órgãos que reúne os Auditores de Sistemas é a ISACA,
que
através das DIRETRIZES DE AUDITORIA COBIT (Objetivos de Controle
COBIT para Informação e Tecnologia Correlata), define os principais padrões
internacionalmente aceitos para a prática de Auditoria de Sistemas.
_ Compreendem uma série de Objetivos de Controle a cumprir nos distintos
aspectos do “gerenciamento” de TI, dentre os quais se encontram os temas
específicos de Segurança e Controle:
Planejamento e Organização
Plano Estratégico
Arquitetura de Informação
 51

Organização de TI
Investimento em TI
Administração de Recursos Humanos
Avaliação de Riscos
Administração de projetos e de Qualidade
Aquisição e Implementação
Identificação de Soluções
Aquisição e Manutenção de Software e Arquitetura de Tecnologia
Desenvolvimento e Manutenção de Procedimentos de TI
Administração de Alterações
Entrega de Serviços e Suporte
Administração de Serviços próprios e de Terceiros
Serviço Contínuo
Segurança de Sistemas
Educação e Treinamento de Usuários
Administração da Configuração e Dados
Gerenciamento de Incidentes
Monitoramento
Monitoramento do Processo e do Controle Interno
Auditoria Independente
Integrá-la com a Auditoria Integral de Sistemas e de Negócio
É necessário que esses processos estejam integrados às Auditorias
Operacionais e Econômicas da
Organização.
Conteúdo do Relatório
A seguir exemplificamos o conteúdo que poderia estar incluído em um
RELATÓRIO DE
AUDITORIA DE SISTEMAS:
- Objetivo
- Escopo
- Estrutura Orgânico-Funcional da área de Informática
- Configuração geral dos Sistemas de Informação
- Resultados da Auditoria:
o Risco realçado
o Equipamento realçado
o Descrição da observação
o Criticidade relativa e IMPACTO NO NEGÓCIO
o Ação detalhada a implementar
o Prazo de solução
o Comentários do responsável pela implementação
o Estado na data do relatório final (implementado/pendente)
o Documentação de suporte / papéis de trabalho
Em algumas ocasiões é desenvolvido um resumo executivo final aos
responsáveis da empresa:
o Objetivo e escopo
o Riscos identificados e classificados
o Plano de ação concreto a implementar
Ø Curto Prazo
Ø Médio Prazo
Ø Longo Prazo
 52

o Responsáveis pela implementação e acompanhamento

Implementação, Plano de Monitoramento e Melhora Contínua
Considerando o enfoque de Melhoria Contínua da Norma ISO 17799
(PLANEJAR-FAZERVERIFICAR-
AGIR), é necessário que o processo de AUDITORIA seja PERMANENTE ao
longo do ano:

REFERÊNCIA BIBLIOGRÁFICA

CERT: banco de dados. Disponível em: <http://www.cert.org>. Acesso em 26

de out. 2002.

DIAS, C. Segurança e auditoria da tecnologia da informação. Rio de

Janeiro: Axcel Books, 2000.
 53

MODULO Security Solutions S.A. 8ª pesquisa Nacional sobre segurança da

informação 2001. Disponível em: <http://www.modulo.com.br>. Acesso em 10
de jan. 2003.

POLÍTICA de segurança da informação: banco de dados. Disponível em:

<http://geocities.yahoo.com.br/jasonbs_1917/seguranca/politica.htm>. Acesso
em:
29 ago. 2002.

SECURENET: banco de dados. Disponível em: <http://www.securenet.com.br>.

Acesso em 10 jul. 2002.

SETTE, A. A.. "Um Guia para implementação de segurança básica em

sistemas". Monografia – Universidade Luterana do Brasil, Canoas, Novembro
2001, p.18-28.

SNORT: banco de dados. Disponível em: < http://www.snort.org>. Acesso em

10 de jan. 2003.

SYMANTEC do Brasil. : banco de dados. . Disponível em:

<http://www.symantec.com.br>. Acesso em: 18 out. 2002.

TANENBAUM, A. S.. Rede de computadores. 3ª ed. Rio de Janeiro: Ed.

Campus, 1997.

ALBUQUERQUE, R, RIBEIRO,B. Segurança no Desenvolvimento de Software.

Rio de Janeiro: Ed. Campus, 2002.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799

Tecnologia da informação - Código de prática para a gestão da segurança da
informação. São Paulo: Associação Brasileira de Normas Técnicas, 2001.

SCHNEIER, B. Segurança.com. Rio de Janeiro: Ed. Campus, 2001.

Security Focus, superdicas, modulo, kpmg, enerst yang