Escolar Documentos
Profissional Documentos
Cultura Documentos
UNATEC
REDES DE COMPUTADORES
Componentes:
RODRIGUES, Alexander
SILVEIRA, Antônio
OLIVEIRA, Carina
JÔNATAS, Jardel
RIBEIRO, Junior
CEZAR, Nilo
LUIZ, Wedber
Belo Horizonte
1° semestre /2014
Resumo
Esse trabalho tem como objetivo principal uma pesquisa para identificar quais os
desafios para se implantar segurança da informação em uma instituição de ensino
publica, identificando seus atuais problemas relacionados à segurança,
apresentando um projeto de implantação de um sistema de gestão de segurança
da informação em uma escola estadual técnica, criando soluções que sejam
viáveis a realidade financeira e estrutural da instituição. Realizando adequações
técnicas como implantação de serviços de segurança de rede, sistemas de
backups e a elaboração de uma politica de segurança baseada em normas
técnicas.
2
LISTA DE FIGURAS
3
Lista de Abreviações
HDLC – High-level Data Link Control (Alto Nível de Controle de Link de Dados).
4
SUMÁRIO
Introdução ..................................................................................................................... 6
Metodologia .................................................................................................................. 15
Resultados ..................................................................................................................... 16
Conclusão ...................................................................................................................... 20
Referências ...................................................................................................................21
Anexos ........................................................................................................................... 22
5
1. Introdução
Esse projeto tem como objetivo principal a identificação dos principiais desafios para se
implantar segurança da informação em uma instituição de ensino pública, que não dispõe
de um administrador de rede, onde ações como falta de controle ao acesso á sala de
servidores, ausência de politicas de backup, ausência de procedimentos e manuais de
rotinas adequados, ausência de controle sobre a utilização de mídias removíveis ou a falta
de controle sobre utilização de maquinas particular dentre muitas outras podem ser
descritas como risco a segurança da informação da escola.
Para combater esses riscos são apresentadas no mercado varias técnicas e politicas de
segurança muitas destas através de normas especificas como as NBR 27001 e 27002; que
contém as regras que todos os profissionais da organização envolvidos com a segurança da
informação devem observar, em sua função precípua de zelar por ela e as suas
responsabilidades; e também o uso de técnicas como backup de arquivos, redundância e a
instalação de barreira com capacidade de filtragem como os Proxy, Firewall e muitos
outros.
Tem-se com a análise da estrutura existente a identificação dos problemas com o intuito de
apresentar soluções técnicas compatíveis à realidade da instituição e que atenda os
requisitos exigidos pelas normas supracitadas. Por se tratar de uma escola publica o recurso
financeiro são sempre reduzidos e desta forma daremos preferencia a implantação de
serviços e sistemas de software livres como o Linux.
6
2. Desenvolvimento
Filtragem de pacotes - E utilizado para que ocorra proteção nos pacotes que são
transmitidos na rede tanto como interno ou externo, estes sistemas analisam
individualmente os pacotes à medida que estes são transmitidos, verificando apenas o
cabeçalho das camadas de rede (camada 3 do modelo OSI) e de transporte (camada 4
do modelo OSI).
7
recebendo o fluxo de conexão, tratando as requisições como se fossem uma aplicação e
originando um novo pedido sob a responsabilidade do mesmo firewall (non-transparent
proxy) para o servidor de destino. A resposta para o pedido é recebida pelo firewall e
analisada antes de ser entregue para o solicitante original.
Segundo o livro Sistema de Bando de Dados, escrito pelo autor Silberschatz Abraham:
O banco de dados contem informações sobre uma empresa em particular e são projetados para
gerir grandes volumes de informações. O principal objetivo de um Sistema Gerenciador de
8
Banco de Dados é proporcionar um ambiente conveniente quanto eficiente para a recuperação e
armazenamento das informações.
Estas informações, registradas no banco de dados, poderão ser qualquer tipo de informação que
tenha relação com os membros ou a organização a que o sistema está servindo. Os sistemas de
banco de dados estão disponíveis em pequenos equipamentos de mão e em computadores de
grande porte como servidores de bando de dados, mainframes e ou clusters de servidores.
As requisições geradas pelo banco de dados são tratadas pelo SGBD – Sistema de
Gerenciamento de banco de Dados. Os requisitos de acessos ao banco e dados são tratados pelo
SGBD. O Termo SGBD é utilizado para referir também produtos específicos de fornecedores
como por exemplo. C.J. Date considera que:
Pela sua densidade, não haverá a necessidade como exemplificado nas figuras anteriores, os
antigos arquivos papeis que ocupavam grandes espaços físicos. Pela velocidade de acesso que
permite os banco de dados manipular sua base oferendo as informações solicitadas em tempo
rápido on-time, com mais rapidez e qualidade sem a necessidade de pesquisas manuais. A
eliminação da monótona busca pelas informações bancárias, comerciais e empresariais das
décadas passadas para obtenção das informações necessárias para o funcionamento das
empresas desta época. Atualidade. As informações são atualizadas diariamente a todo segundo
e os BD permitem esta atualização com manutenção segura e eficaz e com menor custo das
antigas operações empresariais. Proteção dos dados. Os dados podem ser melhor protegidos
contra perdas acidentais ou intencionais e permite total restrição de acessos..
9
2.1.3 Alta Disponibilidade
10
Com a Disponibilidade Contínua cada vez mais próxima de 100%, diminuindo o tempo de
inoperância do sistema de forma que este venha a ser desprezível ou mesmo inexistente. O
que significa que todas as paradas planejadas e não planejadas são mascaradas, e o sistema
está sempre disponível.
A Wide Area Network (WAN) é uma rede de comunicação de dados que cobre uma área
geográfica relativamente extensa é uma rede de área alargada ou rede de longa distância, e
que oferece transmissão de dados provida por operadoras, como empresas de telefonia.
O exemplo mais divulgado de rede WAN é a "internet". Dada a sua dimensão e uma vez
que englobam LANs e WANs, as tecnologias usadas para a transmissão dos dados são as
mais diversas, contudo para que as trocas de informação se processem é necessário um elo
comum assente sobre essa tecnologia heterogênea. Esse elo comum é o protocolo de rede.
11
Nas redes WANs os protocolos da camada de enlace definem a maneira como os dados são
encapsulados para transmissão para localidades remotas e os mecanismos para transferir os
quadros resultantes. São usadas diversas tecnologias diferentes, tais como ISDN, Frame
Relay x.25 ou ATM (Asynchronous Transfer Mode – Modo de Transferência Assíncrona)
e o PPP (Point-to-Point) dentre estes é o protocolo da WAN mais amplamente usado e
popular porque oferece vários recursos como controle de configuração de enlace de
dados, atribuição dinâmica de endereços IP multiplexação do protocolo de rede e muitos
outros.
Outro aspecto importante nas redes WANs esta relacionado ao tipo de comutação o
processo de interligar dois ou mais pontos entre si. O modo como a rede assegura a
transferência das informações pode obedecer a vários princípios dando origem a diversos
1
http://imasters.com.br/artigo/1904/redes-e-servidores/afinal-o-que-e-nat/
12
tipos de rede de comutação que são classificados em três tipos distintos comutação de
circuito; comutação de pacotes e comutação de mensagens.
Confidencialidade (sigilo): É a garantia de que a informação não será conhecida por quem
não deve. O acesso às informações deve ser limitado, ou seja, somente as pessoas
explicitamente autorizadas podem acessá-las. Perda de confidencialidade significa perda de
segredo. Se uma informação for confidencial, ela será secreta e deverá ser guardada com
segurança, e não divulgada para pessoas não autorizadas.
13
Integridade: Esse princípio destaca que a informação deve ser mantida na condição em que
foi liberada pelo seu proprietário, garantindo a sua proteção contra mudanças intencionais,
indevidas ou acidentais. Em outras palavras, é a garantia de que a informação que foi
armazenada é a que será recuperada.
Disponibilidade: É a garantia de que a informação deve estar disponível, sempre que seus
usuários (pessoas e empresas autorizadas) necessitarem, não importando o motivo. Em
outras palavras, é a garantia que a informação sempre poderá ser acessada.
Ativos são os elementos que sustentam a operação do negócio. Eles podem ser
classificados em:
Os ativos são os elos da corrente do seu negócio, e estes sempre trarão consigo
vulnerabilidades que, por sua vez, submetem os ativos a ameaças. Segundo a Beal (2008),
Campos (2007), Lara (2006) “destacam preocupação em tornar os ativos, informação e
conhecimento, a quem é de direito, de forma íntegra, preocupando-se com a veracidade,
confidencialidade e conformidade”. .
Ameaça é algo que possa provocar danos à segurança da informação, prejudicar as ações
da empresa e sua sustentação no negócio, mediante a exploração de uma determinada
vulnerabilidade. Segundo ITGI (2006): “A Governança em Segurança da Informação
fornece direção estratégica, garante que os objetivos sejam alcançados, gerencia os riscos
de forma adequada, usa os recursos organizacionais responsavelmente, e monitora o
sucesso ou falha do programa de segurança corporativa”.
Ameaça pode ser uma pessoa, um evento ou uma ideia capaz de causar dano a um recurso,
em termos de confidencialidade, integridade, disponibilidade, etc. é dividida em:
14
Ameaças externas: São aqui representadas por todas as tentativas de ataque e desvio de
informações vindas de fora da empresa. Normalmente essas tentativas são realizadas por
pessoas com a intenção de prejudicar a empresa ou para utilizar seus recursos para invadir
outras empresas.
3. Metodologia
O segundo pilar é o estudo de caso, onde foi realizada uma analise no sistema de segurança
da informação da instituição de ensino pública Professor Fontes, afim de verificar
possíveis falhas e propor as mudanças necessárias para sanar os problemas encontrados,
tendo como ênfase as segurança da informação dos processos realizados na secretaria da
escola.
4. Resultados
A Escola Estadual Técnica Industrial Professor Fontes é uma escola de nível técnico médio
que tem como objetivo a formação de jovens e adultos, buscando capacitá-los como
conhecimento e habilidades para o exercício de atividades profissionais.
15
FIGURA 1.0 FAIXADA DA ESCOLA PROFESSOR FONTES
Através das visitas feitas a escola, foi constatado que a rede apresenta algumas
inadequações no quesito segurança, sua topologia atual conta com dois modens ADSL com
links de operadoras diferentes, cada um com 10Mbps, sendo um modem reserva. Esses
modens estão ligados a um Firewall rodando o serviço de Proxy conectados a dois
roteadores que estão interligados a 3 (três) switches espelhados em 3 (três) Patch Painels
responsáveis pela distribuição dos pontos de redes, conta também com duas computadores
rodando os servidores de Correio Eletrônico, DNS, DHCP e Active Directory.
16
FIGURA 2.0 TOPOLOGIA DE REDE ATUAL
No Firewall será conectado três switches de 48 portas ethernet e 4 portas de fibra óptica
GB. Um dos switches será conectado nos computadores dos funcionários e dos servidores
de web, correio eletrônico e Storage. Os outros switches serão conectados nas maquinas
dos laboratórios e os access point.
17
Para segurança da rede será utilizado o serviço IPTABLES firewall do linux para uma
maior segurança onde será configurado o TRANSPARENT PROXY do FIREWALL, será
implementado alguns filtros para redirecionamento dos pacotes, terá também filtros para
entrada e saída de pacotes das redes para internet.
Com esta configuração a E.E.Prof. Fontes obterá uma configuração de confiabilidade, alta
performance e alta funcionalidade de seu sistema de banco de dados. Esta configuração
proporcionará possibilidade de crescimento do cenário da escola sem aumento do hardware
total sendo necessário somente a instalação de maquinas virtual e o aumento de discos em
um storage, neste caso o modelo proposto é da Storwize V7000 hardware que apresenta
vários recursos de eficiência de Storage de gerenciamento e proteção de dados, tendo em
vista que sua utilização será apenas nos serviços da secretaria.
18
FIGURA3.0 – TOPOLOGIA DE REDE PROPOSTA DA ESCOLA
Após a implementação dos serviços de segurança, elaboramos com base na NBR 27001 e
27002 uma Politica de Segurança, que deverá ser seguida por todos os servidores da
Escola, a politica restringe o acesso à secretaria impedindo pessoas não autorizadas a
entrarem na secretaria, todos os papeis devem ser descartados na trituradora de papel, o
lixo deve ser recolhido toda segunda-feira, quarta-feira e sexta-feira, e ir direto para o
posto de armazenamento de lixo reciclável, e recolhido uma vez ao mês conforme
programa estadual “Ambientação1”, todo documentação deve ser solicitada pelo balcão de
atendimento, sendo realizada no sistema PEPS – Primeiro que Entra, Primeiro que Sai –,
os dados dos alunos estão disponíveis somente na rede interna, no banco de dados, os
usuários do banco de dados são vinculados ao servidor de Active Directory, os
computadores da secretaria foram configurados de forma que após 15 minutos inativo, ele
entra em modo de bloqueio, não será permitido uso de dispositivos removíveis, quanto
acesso a internet, fica proibido acesso a redes sociais, reprodução de vídeos e rádios online.
Em anexo 1 está a declaração de aplicabilidade conforme norma 27001.
19
5. Conclusão
De modo geral, realizamos uma análise das informações coletadas na escola, e baseados na
norma NBR 27001 que cobrem todos os tipos de organizações, especificando os requisitos
necessários para estabelecer, implantar, operar, monitorar, analisar criticamente, manter e
melhorar um Sistema de Gestão da Segurança da Informação sugerimos uma solução a fim
de evitar perdas financeiras e/ou constrangimento por se tratar de um órgão público.
Todo esse investimento é muito alto para a escola que como já foi dito trata-se de uma
escola publica e não há um orçamento especifico direcionada a área da tecnologia da
informação e desta forma, não foi possível analisar a relação custo beneficio dos serviços
propostos.
Contudo para sanar tais vulnerabilidades detectadas foi apresentado um projeto que define
um politica de segurança básica para instituição. Os serviços aqui propostos foram
analisados em todos os suas características como funcionalidades, complexidade e
viabilidade para sanar os problemas, tendo como premissa seus valores mais tendo como
principal objetivo uma ação efetiva na solução dos problemas detectados possibilitando
também futuramente uma expansão caso seja necessário.
20
Bibliografia
21
Anexo 1
DECLARAÇÃO DE APLICABILIDADE
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC 27001) Não
Documento da Política de O documento existe e seus controles estão
A – 5.1.1 Sim
Segurança da Informação disponíveis para todos via Intranet.
Coordenação da
A coordenação com base no conhecimento
A – 6.1.2
segurança Sim do coordenador tem uma ampla visão do
cenário de risco da empresa.
da informação
Processo de autorização
para
A ordem de atualização de recursos para
os recursos de a segurança da informação passa por
A – 6.1.4 Sim rígidos controles de viabilidade e
processamento da praticidade tanto da diretoria quanto
coordenação.
informação
22
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC 27001) Não
um órgão externo de regulamentação.
DECLARAÇÃO DE APLICABILIDADE
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC 27001) Não
Os ativos de plantão são aceitáveis quanto
ao funcionário selecionado. O mesmo é
A – 7.1.3 Uso aceitável dos ativos Sim ciente dos termos que são repassados
impresso é que deve ser assinado pelo
funcionário.
Papeis e
A – 8.1.1 Sim Têm um plano de cargo e responsabilidades
responsabilidades
disponibilizados pelo Recursos Humanos da
23
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC 27001) Não
empresa.
Conscientização,
Não há treinamentos envolvendo a
educação e treinamento
A – 8.2.2 Não segurança da informação devido viabilidade
em segurança da
dos custos.
informação
24
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC 27001) Não
ambiente terremotos.
Segurança de
equipamentos fora das Os equipamentos externos estão protegidos
A.9.2.5 Sim
dependências da com senhas de administrador.
organização
Documentação dos
Na Intranet tem uma área especifica sobre o
A.10.1.1 procedimentos de Sim
assunto e é de livre acesso.
operação
DECLARAÇÃO DE APLICABILIDADE
25
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC 27001) Não
Separação dos recursos A supervisão monitora e tem arquivado
A.10.1.4 de desenvolvimento, Sim planilhas de controle dos equipamentos de
teste e de produção teste/desenvolvimento.
26
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC 27001) Não
desordenada e sem nenhum registro.
DECLARAÇÃO DE APLICABILIDADE
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC 27001) Não
Procedimentos para
Uma norma é aplicada a cada unidade
A.10.7.3 tratamento de Sim
compartilhada de armazenamento de dados.
informações
27
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC 27001) Não
Uma empresa terceirizada faz a averiguação
A.10.10.1 Registros de auditoria Sim
dos controles internos.
DECLARAÇÃO DE APLICABILIDADE
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC
27001) Não
28
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC
27001) Não
DECLARAÇÃO DE APLICABILIDADE
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC
27001) Não
Proteção e
configuração de Não há um hábito de controle de portas por
A.11.4.4 Não
portas de diagnóstico meio do administrador da rede.
remotas
29
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC
27001) Não
Procedimentos seguro
Sistema de controle de log-on definido e
A.11.5.1 de entrada no sistema Sim
gerenciado pela TI.
(log-on)
30
DECLARAÇÃO DE APLICABILIDADE
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC
27001) Não
Análise e
Aplicável pois possui requisitos para
especificação dos
A.12.1.1 Sim melhoramento do sistema aplicado tendo em
requisitos de
vista os requisitos da empresa.
segurança
Controle de acesso ao
O acesso aos dados de softwares são aceitos a
A.12.4.3 código fonte de Não
qualquer colaborador da área de sistemas.
programas
31
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC
27001) Não
existentes.
DECLARAÇÃO DE APLICABILIDADE
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC 27001) Não
Uma política e aplicada para os usuários
A.12.5.4 Vazamento de informações Sim que utilizam os recursos da empresa para
não haver vazamento de informações
Um procedimento da responsabilidade da
Responsabilidades e
A.13.2.1 Sim gestão são estabelecidos que asseguram
procedimentos
respostas rápidas, efetivas e ordenadas
aos incidentes de segurança da
32
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC 27001) Não
informação.
Incluindo segurança da
informação no processo de Não há processos de gestão elaborados.
A.14.1.1 Não
gestão da continuidade do Por motivo de corte de gastos.
negócio
Desenvolvimento e
Na Escola não existe plano de
implantação de planos de
A.14.1.3 Não implantação. São elaborados métodos de
continuidades relativos à
praticidade.
segurança da informação
DECLARAÇÃO DE APLICABILIDADE
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC 27001) Não
A.15.1.1 Sim
Identificação da Todos os requisitos estatutários,
33
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC 27001) Não
legislação Vigente regulamentares e contratuais relevantes que
atendem os requisitos devem ser
explicitamente definidos devem ser
documentados e atualizados para cada sistema
de informação da organização.
34
Controles Seleção
Número Sim/ Razão / Justificativa
(ISO/IEC 27001) Não
de informação
35
ANEXO II
Controle Status
Agrupamento : Atualizações/patches
28155 - O sigilo das senhas deve ser zelado pelo usuário. Aplicável
36
2131 - Os documentos com informações de trabalho Aplicável
devem ser guardados pelo usuário durante a ausência de
responsáveis.
Agrupamento : Criptografia
28147 - O antivírus deve ser utilizado pelo usuário quando Não Aplicável
do recebimento de arquivos por terceiros.
37
recursos de autenticação deve ser evitado pelo usuário.
38
Análise de Risco de Sistema Linux
39
Controle Status
Agrupamento : Atualizações/patches
40
32825 - Um período de retenção para os arquivos de Não
auditoria do Linux Debian deve ser definido. Aplicável
41
32784 - O Linux Debian deve ser configurado de forma a Não
forçar os usuários a trocar de senha periodicamente. Aplicável
42
32773 - O "Lilo" deve ser configurado para solicitar uma Não
senha sempre que parâmetros de configuração forem Aplicável
especificados durante o processo de "boot" do Linux Debian.
32774 - O acesso ao "Shell" (csh, ksh, bash, sh, etc) deve ser Aplicável
permitido somente aos usuários autorizados no Linux Debian.
Agrupamento : Criptografia
Agrupamento : Documentação
43
Agrupamento : Identificação e autenticação
44
32790 - O recurso de "IP Source Routing" deve ser Não
desabilitado no Linux Debian. Aplicável
45
Agrupamento : Sistema de arquivos e permissões
46
Debian devem ser configuradas de forma a evitar acessos Aplicável
indevidos.
47
Agrupamento : Auditoria e Monitoramento Eletrônico
48
55903 - A auditoria da chave da Registry "HKLM\Software" Aplicável
deve ser configurada de forma a registrar os eventos
relevantes para a segurança.
49
valor "3". Aplicável
50
55981 - O parâmetro "Shutdown: Clear virtual memory Não
pagefile" deve ser configurado como "Enabled". Aplicável
51
desabilitados.
Agrupamento : Criptografia
52
55687 - O parâmetro "Recovery Console: Allow automatic Não
administrative logon" deve ser configurado como "Disabled". Aplicável
53
como "Enabled".
54
deve ser configurado como "Administrators". Aplicável
55
clients" deve ser habilitado. Aplicável
56
55831 - O parâmetro "Do not process the legacy run list" Não
deve ser habilitado. Aplicável
57
55917 - O parâmetro "User Account Control: Behavior of the
Não
elevation prompt for standard users" deve ser configurado
Aplicável
como "Automatically deny elevation requests".
55932 - O parâmetro "Do not process the run once list" deve Não
ser habilitado. Aplicável
58
55939 - O parâmetro "Do not allow drive redirection" deve Não
ser habilitado. Aplicável
59
system objects" deve ser configurado como "Disabled". Aplicável
60
55991 - O parâmetro "Change the system time" deve ser Não
configurado como "Administrators". Aplicável
61
configurado como "Nenhum usuário". Aplicável
62
56019 - O parâmetro "Interactive logon: Prompt user to Não
change password before expiration" deve ser configurado Aplicável
com o valor 14.
63
este estiver com o "BitLocker" habilitado.
64
removíveis criptografados com o "Bitlocker" devem ser
salvas no "Active Directory Domain Services (AD DS)".
Não
55700 - Os pacotes "ICMP Redirect" devem ser bloqueados.
Aplicável
65
55713 - O parâmetro da Registry "EnableDeadGWDetect" Não
deve ser configurado com o valor "0". Aplicável
Não
55786 - O recurso de "IP Forwarding" deve ser desabilitado.
Aplicável
Não
55712 - O serviço "Telnet" deve ser desabilitado.
Aplicável
66
55750 - O serviço "Problem Reports and Solutions Control Não
Panel Support" deve ser desabilitado. Aplicável
Não
55751 - O serviço "UPnP Device Host" deve ser desabilitado.
Aplicável
Não
55832 - O serviço "SSDP Discovery" deve ser desabilitado.
Aplicável
67
55716 - O sistema de arquivos das partições em uso deve ser
Aplicável
NTFS.
68
evitar acessos indevidos.
69
forma a evitar acessos indevidos.
70
habilitado.
Agrupamento : Criptografia
71
43987 - O parâmetro "Initialize and script ActiveX controls Não
not marked as safe for scripting" do MS Internet Explorer 8.x Aplicável
deve ser configurado para cada zona de segurança.
43993 - O parâmetro "Drag and drop or copy and paste files" Não
do MS Internet Explorer 8.x deve ser configurado para cada Aplicável
zona de segurança.
72
44023 - Um mecanismo para bloqueio de janelas de "pop-up" Aplicável
no MS Internet Explorer 8.x deve ser instalado.
73
habilitado.
74
Agrupamento : Identificação e autenticação
75
FIGURA 4.0 GRAFICO NÍVEL DE SEGURANÇA
76
ANEXO III
77
ANEXO IV
78
Escola Estadual Técnico Industrial Professor Fontes Cartilha para o Servidor
Segurança da Informação
Direção Escolar
7
Introdução
A tecnologia faz parte da vida das pessoas, empresas privadas e setor público. Do aluno da rede pública
de ensino aos grandes centros de pesquisa, da dona de casa ao executivo, todos interagem de alguma
forma com recursos de TI.
Para que toda a informação que circula possa servir somente ao seu propósito, que é o de informar, sem
prejudicar quaisquer pessoas ou instituições, é necessária a gestão segura dos recursos disponíveis em
tecnologia da informação.
Escola Informação Na Escola não é diferente. aliás, deve-se sempre adotar os procedimentos padrões, de modo a contribuir
Pública Alunos
de forma positiva com a disponibilidade, integridade, confidencialidade e autenticidade da informação.
A partir de agora você tem acesso a informações fundamentais para um serviço público eficiente para o
seu dia a dia e adaptado aos novos tempos.
9
Politica de uso dos
computadores
1.1 APLICAÇÕES
1.1.1 Para que serve uma política de uso?
Para estabelecer padrões e procedimentos que busquem a segurança, estabilidade e
disponibilidade dos serviços computacionais.
1.1.2 Quais recursos computacionais devem seguir a política de uso?
Quaisquer equipamentos, programas, meios físicos de tráfego e sistemas de
armazenamento digital inseridos no ambiente computacional da presidência, incluindo notebooks, pen
drives, hd externos, impressoras, além das estações de trabalho.
1.2 PROGRAMAS
1.2.1 O que posso instalar no computador?
E direção distribui os computadores (estações de trabalho) instalados com sistemas e
programas licenciados de acordo com o padrão adotado na Secretaria da Educação. então, por razões de
padronização e segurança, o usuário não pode instalar aplicativos e programas sem a prévia autorização da
direção.
Em caso de necessidade específica de algum programa ou sistema, deve-se entrar em contato com a Direção
(veja seção 2.2.1 para detalhes).
1.3 ACESSOS
1.3.1 Que tipo de sites posso acessar?
É proibido acessar sites ilícitos, com conteúdos indevidos ou inadequados ao ambiente de trabalho. Além
disso, alguns sites são bloqueados por razões de segurança. Em caso de necessidade de acesso a um site que
esteja bloqueado, consulte a Direção sobre a possibilidade de liberação (veja a seção 4.2).
11
Serviços Disponíveis ao Usuário
2.1 ACESSO À REDE
2.1.1 Como solicitar o acesso à rede?
Para servidores ou estagiários, os passos são:
1. Obter uma cópia do formulário de credenciamento na Diretoria;
2. Preencher e colher assinatura do Coordenador(a);
3. Enviar para a dirti;
4. Aguardar atendimento técnico.
2.2 PROGRAMAS
2.2.1 Como instalar um novo programa?
O solicitante deve abrir uma ordem de serviço (os) junto à dirti (veja a seção 4.2). O atendimento à solicitação vai
depender da existência de licenças e do domínio técnico do programa pela dirti. Ao preencher a solicitação, marcar
“informática” no campo “área de competência”.
2.3 E-MAIL
2.3.1 Como criar uma conta de e-mail?
O e-mail é criado juntamente com o login que habilita o acesso à rede de dados da Escola. Veja os procedimentos na
seção 2.1.1.
2.3.2 posso escolher meu e-mail?
O padrão de e-mail é:
nome.ultimonome@eefontes.edu.mg.br.
Em alguns casos, o usuário pode sugerir um e-mail diferente, no ato da entrega do formulário de credenciamento.
2.3.3 Quais os domínios do e-mail?
Os domínios oficiais para envio e recebimento de e-mails são eefontes.edu.mg.br e educacao.mg.gov.br.
12 13
2.3.4 Como acesso meu e-mail?
na rede interna ou intranet, o acesso ao e-mail pode ser feito pelo aplicativo thunderbird. Também pode ser feito pela
Segurança
internet no endereço:
https://correio.eefontes.edu.mg.br.
2.3.5 Para que posso usar o e-mail da EE Téc. Prof. Industrial Fontes?
Os e-mails disponibilizados pela dirti devem ser utilizados estritamente para as atividades vinculadas ao trabalho
exercido no órgão. 3.1 CONCEITOS
2.4 SERVIDOR DE ARQUIVOS 3.1.1 O que pode ocorrer com um computador vulnerável?
2.4.1 Como acessar o servidor de arquivos? Entre outras coisas, pode ocorrer:
Geralmente, cada setor da Escola tem um espaço no servidor de armazenamento de dados para guardar arquivos. • Roubo de informação;
durante o processo de logon na rede, o sistema mapeia automaticamente uma letra associada ao espaço • Perda de dados;
correspondente ao seu setor. Esse espaço é exclusivo para alocar arquivos que fazem parte do trabalho. não se deve • Redução de desempenho;
armazenar, nesse local, arquivos de cunho particular ou arquivos do tipo imagem, vídeo ou áudio. necessidades • Uso do computador para atacar servidores e outros computadores.
específicas de armazenamento devem ser solicitadas à dirti, por meio de expediente. Por isso, os cuidados com a segurança são importantes.
2.4.2 Posso ter acesso a uma área privada? 3.2 SENHAS
Sim. Caso tenha necessidade de acesso restrito a uma pasta específica, solicite o serviço por meio de ordem de serviço 3.2.1 Quais senhas preciso para acessar os sistemas?
junto à dirti (veja seção 4.2). Na Escola são utilizadas senhas para:
2.4.3 Há uma política de backup? • correio expresso;
Sim. A dirti é responsável pelo salvamento dos dados armazenados nos servidores. Já os dados armazenados nas • rede Windows;
estações de trabalho devem ser salvos pelo próprio usuário em mídias fornecidas pela Escola. • aplicativo Postgresql.
2.4.4 Como recuperar no backup um arquivo perdido? Além dessas, podem ser necessárias outras para acessar aplicativos específicos.
Caso algum arquivo tenha sido excluído indevidamente do servidor da rede, é possível solicitar a restauração por meio 3.2.2 O que posso usar como senha?
de ordem de serviço junto à dirti (veja seção 4.2). É preciso informar o endereço completo do arquivo ou da pasta que Para proteger bem suas informações confidenciais e impedir que alguém descubra a sua senha, o ideal é nunca usar
se quer recuperar. nomes próprios, datas, combinações simples de letras ou palavras existentes em dicionários. a senha deve ser segredo
2.5 EQUIPAMENTOS seu.
2.5.1 Como solicitar um equipamento? Misture caracteres especiais (ex.: @#$%¨&*()+=.;) e combinações entre números e letras minúsculas e maiúsculas.
Para solicitar equipamentos de informática, o solicitante deve encaminhar memorando com o pedido para a diretoria. Uma boa dica para criar uma senha segura e fácil de lembrar é pensar em uma frase
A solicitação deve ser detalhada para que a diretoria avalie seu uso na Escola. O atendimento do pedido também e usar a primeira, segunda ou a última letra de cada palavra.
depende da disponibilidade e da verba destinado do Governo para modernização das Escolas. 3.2.3 Minha senha foi bloqueada, o que eu faço?
por razões de segurança, após 5 (cinco) tentativas, sem sucesso, de acesso à rede, a senha do usuário é automaticamente
bloqueada por 30 minutos. neste caso, você deve ligar na dirti no ramal 3400 e solicitar a liberação.
14 15
3.2.4 Esqueci minha senha, o que eu faço? 3.4 E-MAIL
Abra uma ordem de serviço junto à dirti. Veja os detalhes na seção 4.2 3.4.1 Recebi um e-mail solicitando minha senha, devo responder?
3.2.5 Como utilizar minha senha com segurança? Não! nunca se deve informar senhas e dados pessoais por e-mail. há uma prática maliciosa conhecida como “phishing”,
• Jamais compartilhe senhas com outras pessoas. lembre-se que, a princípio, você é o responsável por tudo que que consiste em solicitar informações ou ações do usuário. Existe um controle de spams na Escola que coíbe essa
ocorre com o uso de sua senha. prática. Entretanto, como essas mensagens se assemelham a e-mails verdadeiros, é possível o recebimento de algum e,
• Se você não consegue memorizar suas senhas e precisa anotar em algum lugar, dificulte o acesso das pessoas por isso, deve-se estar sempre atento.
aos seus lembretes. não deixe suas senhas anotadas em locais visíveis, de fácil acesso, expostas em cadernos, pastas ou 3.4.2 Recebi um e-mail solicitando divulgação de um fato, o que faço?
marcadores em sua mesa de trabalho. É comum algumas mensagens do tipo “ajude essa criança com câncer” ou “previnase do novo vírus” solicitando
• A senha existe para evitar acessos não autorizados por outras pessoas a ambientes e sistemas que exigem divulgação (“envie para todos da sua lista”). A maioria dessas mensagens é boato e não deve ser passada adiante.
segurança e controle, por isso, bloqueie sempre o seu computador em suas ausências, evitando o acesso indevido a 3.4.3 Recebo periodicamente um e-mail com fotos. devo abrir?
informações sob sua responsabilidade. no Windows, utilize o conjunto de teclas <ctrl> +<alt>+<del> ou <Windows> + Vários vírus são disseminados por meio de links em textos ou em fotos. Não se deve, portanto, abrir anexos ou links
<l> para bloquear rapidamente o computador. recebidos de remetentes desconhecidos.
• Utilize senhas também em celulares e notebooks, protegendo suas informações em caso de extravio, furto ou 3.5 NAVEGADORES
roubo do equipamento. 3.5.1 Quais os riscos ao navegar na internet?
• sempre que possível diversifique as senhas que possui, evitando que a descoberta de uma delas dê acesso a Alguns sites exploram vulnerabilidades dos navegadores e acabam instalando programas maliciosos no computador do
outras informações protegidas. usuário. Por isso, é importante manter os aplicativos atualizados e não fazer download de arquivos em sites
3.3 PROGRAMAS MALICIOSOS desconhecidos.
3.3.1 O que são programas maliciosos? 3.5.2 Quais cuidados devo ter ao efetuar transações financeiras?
São programas criados para executar ações maliciosas no computador, como captura de senhas e danificação de Verifique se o endereço do site da sua instituição está escrito corretamente na barra de endereços. Nunca clique em
arquivos e programas. Os mais comuns são: referências recebidas por e-mail ou de fontes não confiáveis. Certifique-se de que a conexão é criptografada. Para isso
• Vírus – programa que infecta o computador utilizando-se de diversos meios. É replicado pela ação do veja se há “https://” antes do endereço do site.
computador infectado. 3.6 ANTIVÍRUS
• Cavalo de troia – programa invasor que pode ler, copiar, apagar e alterar dados do sistema sem o 3.6.1 Como verifico se um arquivo está com vírus?
conhecimento do usuário. Sempre que um arquivo é acessado, a ferramenta de antivírus instalada nos computadores da Escola verifica
3.3.2 O antivírus protege contra programas maliciosos? automaticamente se há vírus ou não. Caso queira verificar manualmente um arquivo, efetue os seguintes passos:
Em geral, o antivírus detecta programas maliciosos oriundos de e-mails, disquetes, cds, cartões de memória, pen drives 1. Clique sobre o ícone do arquivo com o botão direito do mouse e escolha a opção “Fazer varredura para encontrar
etc. contudo, é sempre bom tomar cuidado com todas as mídias que recebe. Verifique sempre se o antivírus está ameaças”;
funcionando e atualizado. Evite também executar programas ou abrir arquivos de origem duvidosa. lembre-se 2. Confirme clicando em “limpar”;
que, por exemplo, joguinhos de computador aparentemente inofensivos, ao serem executados, poderão conter e 3. Aguarde enquanto a ferramenta efetua a varredura;
instalar programas maliciosos, que poderão ocasionar danos irreversíveis aos seus arquivos, mau funcionamento do seu 4. Ao terminar clique no botão “Fechar”.
equipamento ou até mesmo furtar suas senhas. Muitas vezes, esses arquivos podem vir de amigos ou colegas de 3.7 BACKUPS
trabalho que desconhecem que seus arquivos possuem essa ameaça. 3.7.1 Preciso fazer backup dos meus dados?
Sim. A dirti é responsável pelo salvamento dos dados armazenados nos servidores. Quanto aos dados armazenados nas
estações de trabalho, o próprio usuário é responsável pelo seu salvamento.
16 17
Onde Obter Mais Informações
4.1 CRIPTOGRAFIA
Site htttp://pt.wikipedia.org/wiki/Criptografia - Definições;
19
Referências Legais
Lei 8.429/92:
Dispõe sobre as sanções aplicaveis aos agentes públicos nos casos de enriquecimento ilícito no exercicio de
mandato, cargo, emprego ou função na administração pública direta, indireta ou fundacional e dá outras
providências.
Decreto 43885/2004 - Governo de Minas:
Aprova o Código de ètica Profissional do Servidor Público do Estado de Minas Gerais.
Decreto Federal 3.505/00 - Planalto
Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal,
Estadual e Municipal.
IN-GSI N° 1/08 e normas complementares:
Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública, direta e indireta,
e dá outras providências.
21
Os 10 mandamentos da
Segurança da Informação
23