Escolar Documentos
Profissional Documentos
Cultura Documentos
UNIVERSIDADE DE BRASÍLIA
INSTITUTO DE CIÊNCIAS EXATAS
DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO
ESPECIALIZAÇÃO EM CIÊNCIA DA COMPUTAÇÃO: GESTÃO
DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES
_________________________________________
Prof. Dr. Jorge H C Fernandes
Universidade de Brasília
_________________________________________
Prof. Dr. Edgard Costa Oliveira
Universidade de Brasília
_________________________________________
Prof. Dr. Jacir Bordim
Universidade de Brasília
(A. Detouef).
V
Dedico
AGRADECIMENTOS
Agradeço primeiramente a Deus que me guiou neste período de luta e iluminando o meu
caminho para contemplar esta tão esperada vitória;
aos meus pais Leszek e Teresa, pelos valores transmitidos, e pela ajuda que sempre me
dão para alcançar meus objetivos;
aos meus filhos, Caio e Ana Clara, pela paciência e por aceitar.minha ausência no
período de realização deste trabalho;
aos colegas e amigos, pela força, incentivo nos momentos difíceis reanimando-me a
caminhar;
aos professores, por ajudar a desbravar um novo caminho de conhecimento, cujo valor
irei levar pelo resto da vida;
SUMÁRIO
1 Introdução ............................................................................................................. 11
2 Requisitos Pré-pesquisa...................................................................................... 13
2.1 Objetivo Geral ................................................................................................................ 13
2.2 Objetivos Específicos ..................................................................................................... 13
2.3 Justificativa .................................................................................................................... 13
2.4 Metodologia .................................................................................................................. 14
3 Revisão Bibliográfica .......................................................................................... 16
3.1 O Sistema de Gestão da Segurança da Informação e seus principais conceitos ........... 16
3.1.1 Risco.............................................................................................................................................. 17
3.1.2 Ameaça.......................................................................................................................................... 19
3.1.3 Vulnerabilidade .............................................................................................................................. 20
3.1.3 Sistema Gestão da Segurança da Informação ............................................................................. 21
3.2 A Norma ABNT NBR ISO/IEC 27002:2005..................................................................... 22
3.3 A Norma ABNT NBR ISO/IEC 27001:2006..................................................................... 27
3.4 A GSIC na Administração Pública Federal ..................................................................... 30
3.4.1 Situação no Executivo ................................................................................................................... 30
3.4.2 Situação da Segurança e Governança na visão do TCU ............................................................. 35
4 Uma Análise da AGU sob a ótica da GSIC ........................................................ 39
4.1 O que é a AGU .............................................................................................................. 39
4.2 Os processos da AGU ................................................................................................... 42
4.3 Ativos ............................................................................................................................. 46
4.3.1 O atual corpo funcional da AGU .................................................................................................... 47
4.3.2 O CPD e o parque computacional da AGU ................................................................................... 48
4.3.3 SICAU – Sistema Integrado de Controle das Ações da União ..................................................... 50
4.4 Instalações Físicas da AGU .......................................................................................... 51
5 Proposta preliminar do escopo para implantação do SGSI na AGU ............... 53
5.1 Características do escopo: Operação e Manutenção do CPD........................................ 56
5.1.1 Nome e Descrição do Escopo ....................................................................................................... 56
5.1.2 Localização do escopo ................................................................................................................. 57
5.1.3 Relevância do escopo com o negócio da organização ................................................................ 57
5.1.4 Ativos Relevantes pertencentes ao escopo .................................................................................. 58
5.1.5 Serviços mais críticos do escopo .................................................................................................. 61
5.2 O que não faz parte do escopo ..................................................................................... 62
5.2.1 Processos e ambientes que fazem fronteira com o escopo ......................................................... 62
5.2.2 Justificativa para os outros ativos não fazerem parte do escopo ................................................. 62
6 Próximas etapas para implantação do SGSI na AGU ........................................ 64
VIII
RESUMO
ABSTRACT
The Advocacia Geral da União - AGU (General Counsel of the State) has the institu-
tional mission to legal defense of the State with regard to the activities of consultancy
and legal advice to the Executive, Judiciary and Extra- Judiciary representation of
the State and settlement of legal sections in AGU.
The production and maintenance of technical notes, opinions and other legal work
produced by professionals in the legal area are essential work in AGU and
those informations have become so essential that any problem that affects the secu-
rity in that area causes many disorders and delays in services provided by AGU.
In the view of this scenario, it is essential to take the necessary measures to avoid
problems and / or minimize the effects of possible security flaws in technology and
physical environments of AGU.
This paper describes the results of a preliminary study for setting up a management
system that provides security information in AGU, and also will present a brief analy-
sis of the organization and the restrictions that affect the deployment, in the end
to conclusion by proposing the deployed of SGSI.
Key words: Management System Information Security, ISO 27001, ISO 27005, Fed-
eral Public Administration and General Counsel of the State.
1 INTRODUÇÃO
2 REQUISITOS PRÉ-PESQUISA
a) Fazer uma revisão bibliográfica dos modelos das Normas NBR ISO/IEC
27002 e NBR ISO/IEC 27001 para gestão de SIC´s ;
2.3 Justificativa
2.4 Metodologia
3 REVISÃO BIBLIOGRÁFICA
1
“Hacker- De acordo com Nakamura e Geus (2003), hackers são pessoas que utilizam seus conhecimentos em informática
para invadir sistemas, não com a finalidade de destruí-lo e causar prejuízos às vítimas, mas sim de demonstrar sua capacidade
e habilidades.
Cracker – “Cracker, de acordo com o significado originalmente cunhado ao termo, designa sim, elementos mal intencionados,
que estudam e decodificam programas e linguagens a fim de causar danos a computadores alheios. A intenção é invadir e
sabotar sistemas, quase sempre objetivando a captação de dados passíveis de render cifras. Ou seja, roubo eletrônico, esteli-
onato ou o que quer que seja. A intenção é definitivamente ruim . (Sisnema,2005)”
17
3.1.1 Risco
É importante frisar que sem a devida análise/ avaliação dos riscos a próxima
etapa que é o tratamento dos riscos pode ser prejudicada. No ponto de Decisão 2
(Figura 1) é possível verificar se o tratamento não foi satisfatório, as etapas
anteriores deverão ser revistas. Caso afirmativo podemos partir para a próxima
etapa que é a Aceitação do Risco.
3.1.2 Ameaça
3.1.3 Vulnerabilidade
Baseado na norma NBR ISO/IEC 27002:2005 pode-se dizer que três são os
princípios da segurança da informação:
Para melhor entender este princípio tomemos como exemplo o Incêndio que
aconteceu no prédio do INSS em janeiro de 2005 (ONLINE,Folha, 2005). Além dos
equipamentos, mobiliário, vários processos administrativos foram queimados. A
integridade das informações e a disponibilidade, princípio que veremos no próximo
tópico, foram quebrados o que acarretou em um prejuízo de milhões ao cofre
público.
2
De acordo com a definição do CERT (Computer Emergency Response Team), os ataques DDoS (Distributed aDenial of
Service), também denominados Ataques de Negação de Serviços, consistem em tentativas de impedir usuários legítimos de
utilizarem um determinado serviço de um computador. Para isso, são usadas técnicas que podem: sobrecarregar uma rede a
tal ponto em que os verdadeiros usuários dela não consigam usá-la; derrubar uma conexão entre dois ou mais computadores;
24
que a vítima fique sem qualquer forma de defesa, não conseguindo ao menos
identificar a origem do ataque, e nem acessar os serviços.
fazer tantas requisições a um site até que este não consiga mais ser acessado; negar acesso a um sistema ou a determinados
usuários.
25
3
PDCA (Plan-Do-Check-Act ou Planejar-Fazer-Verificar-Agir) é um método de gestão que se carateriza por um ciclo de
ações que se repete continuamente de forma a incorporar alterações no ambiente.
28
Isso quer dizer que nestas duas primeiras etapas deverão ser definidos os
limites para implantação do SGSI, fato que vai influenciar em todo processo de
implantação, pois após a definição do escopo, dos ativos deverão ser protegidos,
indicando os responsáveis, as vulnerabilidades e possíveis ameaças é possível
implementar os controles e identificar/eliminar os riscos.
29
- PCN (88%) - significa que 88% dos órgãos responderam que não têm um
Plano de Continuidade de Negócios o que indica um alto risco para a Segurança das
37
- Gestão de Mudanças (88%)- significa que 88% dos órgãos não adotam a
Gestão de Mudança o que representa um nível alarmante, pois incide na
indisponibilidade e falhas de segurança que pode acontecer no tratamento das
informações quando houver mudanças. Outra observação constatada pelo
levantamento é que no momento da auditoria ou investigação de algum incidente, se
não houver a gestão de mudança não tem como identificar as possíveis causas.
- Análise de Riscos de TI (75%) - significa que 75% dos órgãos não fazem
gestão de riscos. Basicamente para implementar a SGSI, é necessário efetuar a
gestão de risco, este retrato indica que este órgãos não conhecem os riscos, o que
permite que seus ativos fiquem vulneráveis.
- Área específica para SI (64%) - indica que 64% dos órgãos não tem na
sua estrutura uma área para Segurança da Informação.
- PSI (64%) - indica que 64% dos órgãos questionados não implementaram
a Política de Segurança da Informação. A PSI é uma das primeiras etapas que deve
ser elaborada para implantação do SI, o PSI é o documento que fornece as
diretrizes e políticas, definindo as competências e responsabilidades.
- Proced. Controle de Acesso (48%) - indica que 48% dos órgãos não têm
implementado as normas para controles de acesso. Segundo a ABNT ISO/IEC
38
Com a divulgação deste levantamento por parte do TCU aos órgãos da APF
e com a publicação da Instrução Normativa nº 1 do DSIC, os órgãos competentes,
Tribunal de Contas da União e Corregedoria-Geral da União, dispõe de
instrumentos para cobrar as providencias dos órgãos para implantação da SI.
-
viii As Procuradorias da União e da Fazenda Nacional estão localizadas
nas Capitais dos Estados e no Distrito Federal.
Processo Contencioso;
Processo Consultivo;
Processo Correcional;
Processo Capacitação; e
Processo Administrativo.
43
4.3 Ativos
público, perfazendo cerca de 2.050 cargos. Foi realizado concurso público para
provimento de 336 dos 500 cargos novos. Isto indica que AGU é um órgão que
ainda está consolidando sua cultura e práticas organizacionais.
4 Active Diretory (AD) – “O Active Directory é o serviço de diretórios do Windows Server 2003. Um Serviço de Diretório é um
serviço de rede, o qual identifica todos os recursos disponíveis em uma rede, mantendo informações sobre estes dispositivos
(contas de usuários, grupos, computadores, recursos, políticas de segurança etc.) em um banco de dados e torna estes recur-
sos disponíveis para usuários e aplicações”. (VIDAL, 2006)
50
O sistema funciona com acesso via WEB, ou seja, nos moldes universais da
Internet. Foi desenvolvido inicialmente, para dar suporte gerencial à área jurídica da
AGU. A idéia era que os advogados e procuradores tivessem a seu dispor um banco
de dados com todos os processos em que a União tomasse parte, podendo controlar
51
seus prazos. Aos poucos, novas funções foram acrescentadas. Por exemplo:
podemos citar as funcionalidades em lote: Distribuição e Conclusão de Tarefas.
Hoje a AGU está distribuída em 2.500 unidades por todo o país, conforme
falado anteriormente. Estas 2.500 unidades estão instaladas em 256 prédios,
52
geralmente em um prédio funcionam mais uma unidade, por ex: Ed. Sede da AGU
tem as seguintes unidades: Gabinete do AGU, Secretaria-Geral de Contencioso,
Procuradoria-Geral da União, Procuradoria-Geral Federal, Consultoria-Geral da AGU
e Secretaria-Geral da AGU.
Processos de negócio;
54
Ativos da Informação;
Ambiente sociocultural; e
atividades. Com isso a instituição tem extrema preocupação com esses canais de
comunicação, pois além do incomensurável benefício de permitirem conectividade
em âmbito global, também representam, em contrapartida, risco potencial para a-
cessos não autorizados e maliciosos.
na hora de aplicar as políticas e sanções para quem faz uso indevido das informa-
ções institucionais.
ix) zelar pela aderência dos bancos de dados aos padrões estabelecidos
pela área de desenvolvimento de sistemas; e
Existem outros ativos que deveriam estar incluídos como ativos relevantes
para implantação do SGSI, mas não foram incluídos tendo em vista que a monitora-
ção e manutenção preventiva e corretiva, cabe a Secretaria-Geral da AGU como
gestora do contrato. São eles:
Este item deve ficar bem claro, pois justamente com a descrição do escopo,
ele visa limitar o campo de ação do SGSI. Posteriormente quando houver um
processo de certificação, é fundamental ficar explícito para o auditor. (ABNT ISO/IEC
27001, 2006).
Outro fator a ser ressaltado é que à medida que evolui, o projeto deve ser
revisado e detalhado. Esta revisão é baseada no escopo do projeto, pois a
declaração do escopo conforme falado anteriormente, servirá para futuras decisões.
Foram descritas também, o que não fazem parte do escopo e as razões para
não fazerem parte.
Curto prazo
Médio prazo
Longo prazo
Algumas ferramentas podem ser utilizadas para auxiliar esta fase, tais como,
a APR (Análise preliminar de riscos), a TIC(Técnica de incidentes críticos), a SR (Sé-
rie de Riscos), a AE (Arvore de Causas), o WIF (What if/Checklist), a AAF (Análise
66
• Identificar o custo das ações para eliminar ou reduzir o risco. Isto poderá
incluir a implementação de novas políticas organizacionais e procedimentos,
bem como controles físicos ou técnicos;e
• Documentar os resultados.
67
• Atribuição de responsabilidades;
7 CONSIDERAÇÕES FINAIS
Ainda existem questões que devem ser rapidamente resolvidas, como a de-
finição de processos para tratamento de incidentes, procedimentos para auditoria do
código dos sistemas desenvolvidos pela AGU e procedimentos para auditoria com-
pleta de vulnerabilidades físicas e lógicas, quando solicitada pelas unidades.
REFERÊNCIAS BIBLIOGRÁFICAS
SHIREY, R. RFC 2828 – Internet Security Glossary. The Internet Society, 2000.
Disponível no site http://www.ietf.org/rfc/rfc2828.txt?number=2828. Acessado em:
08/06/2008.