CURSO DE ADMINISTRAO

POLTICA DE SEGURANA DA INFORMAO

ALINE MORAIS DE LEMOS

Rio de Janeiro, 2 Semestre de 2001.

POLTICA DE SEGURANA DA INFORMAO

ALINE MORAIS DE LEMOS

Trabalho apresentado Universidade Estcio de S como requisito parcial para obteno do grau de Bacharel em Administrao

ORIENTADOR: GILBERTO CORRA LUCAS JUNIOR

Rio de Janeiro, 2 Semestre de 2001.

POLTICA DE SEGURANA DA INFORMAO

Trabalho apresentado Universidade Estcio de S como requisito parcial para obteno do grau de Bacharel em Administrao

Aprovado em ____/____/_____

Banca Examinadora: _____________________________________________ Gilberto Corra Lucas Junior Professor Orientador Universidade Estcio de S

_____________________________________________ M. Sc. Clvis de Oliveira Paradela Professor Universidade Estcio de S

_____________________________________________ M. Sc. Attila de Mattos Ferreira Junior Professor Universidade Estcio de S

Rio de Janeiro, 2 Semestre de 2001.

A minha famlia que me incentivou e apoiou em todos os momentos dessa caminhada. A todos que me auxiliaram durante meu trabalho.

AGRADECIMENTOS

Ao professor Gilberto Corra Lucas Junior, pela orientao e pacincia na elaborao desta monografia.

SUMRIO RESUMO INTRODUO 1. POLTICA DE SEGURANA DA INFORMAO ? 2. DIRETRIZES 3. OS RESULTADOS 4. CLASSIFICAO DA INFORMAO 4.1. NVEIS DE CLASSIFICAO 4.2. RESPONSABILIDADES 4.3. IMPLEMENTAO 5. SEGURANA FSICA 5.1. ANLISE DE RISCOS 6. SEGURANA LGICA 6.1. SENHAS 7. PLANO DE CONTINGNCIA 7.1. EQUIPES DE CONTINGNCIA 8. VRUS 8.1. COMO ATUAM 9. BACKUP 10. LEGISLAO VIGENTE 11. AUDITORIA DE SISTEMAS CONCLUSO BIBLIOGRAFIA 4 7 8 11 13 14 16 18 23 26 28 31 40 52 53 56 58 61 64 69

RESUMO

O tema Poltica de Segurana da Informao apresenta-se para as empresas e, de maneira geral a todo pblico interessado, como uma forma de preveno a invases de sistemas, de privacidade e de segurana no acesso e na manipulao de informaes. A poltica de segurana define o conjunto de normas, mtodos e procedimentos utilizados para a manuteno da segurana da informao, devendo esta ser definida em documento, cujo contedo dever ser do conhecimento de todos os usurios que fazem uso da informao. Deve-se utilizar a viso metdica e criteriosa, com acompanhamento de ampla base tcnica, de forma que possam ser sugeridas alteraes na configurao de equipamentos, escolha de tecnologia, definio de responsabilidades e, por fim, elaborao de uma poltica de segurana com o perfil da empresa e dos negcios que ela pratica. Desta forma, este trabalho apresenta em seu conjunto, um estudo sobre a viso do mercado atuante a respeito de segurana fsica e lgica, bem como poltica de acesso, suas concesses e contingncias.

INTRODUO Poltica de Segurana da Informao um conceito de idias definidas e estudadas, transcritas para o papel a fim de efetuar a conscientizao dos funcionrios da organizao, ou melhor, de todos os usurios da informao, para que esta no seja exposta indevidamente por falta de conhecimento e evitando fraudes. Nossa atual realidade presa informao como sendo o bem de maior valia para as organizaes independentemente do ramo de atuao desta, sendo ela comrcio, indstria ou financeira, a informao nos abre novos horizontes e mercados para que possamos expandir nossos anseios em busca de maiores lucros e perspectivas. As respostas a essas questes so fundamentais ao bom funcionamento das organizaes, independente do seu ramo de atividade e a falta dessas respostas nos momentos adequados, ou a obteno de respostas incorretas, certamente influenciar negativamente o desenvolvimento dos negcios e poder gerar prejuzos financeiros ou de imagem. A globalizao que transforma a informao recente em ultrapassada apresenta sociedade um novo momento em que os profissionais devem buscar se atualizar para no serem ultrapassados no mercado e ao mesmo tempo desenvolver procedimento de segurana para as informaes vitais, em que as organizaes se transformaram. Visto que atualmente no existe mais a empresa que valoriza seu imobilizado e toda a sua estrutura fsica e sim a organizao que valoriza a informao de que constituda toda a sua riqueza, lucro e potencialidade de desenvolvimento futuro e atual. Alguns conceitos relacionados a segurana da informao devem ser estabelecidos, tais como a importncia da informao. As organizaes contemporneas so entidades dinmicas, interligadas ao meio em que atuam por uma rede de relaes, sejam com clientes, fornecedores ou outros segmentos da prpria organizao. O rpido desenvolvimento de vrias tecnologias modernas tem feito com que essas relaes na atualidade, tenham uma abrangncia muito ampla, podendo atingir todo o planeta. Para garantir sua sobrevivncia, essas organizaes necessitam essencialmente de informaes. Aos administradores dessas novas organizaes, integradas aos mercados em que atuam, so apresentadas com freqncia, questes semelhantes as que aparecem abaixo:

Qual o perfil dos nossos clientes? Quanto faturamos, por produto ou servio? Quanto aplicamos em investimentos financeiros? Como anda a execuo do oramento da organizao? Quem so nossos fornecedores e qual o valor dos seus crditos? Quem so nossos devedores e quanto devemos cobrar? Como anda a concorrncia? Os nossos produtos ou servios so competitivos? Quanto devemos de tributos e impostos? Quais os nossos objetivos estratgicos? Qual o valor da nossa folha de pagamentos? Muitos so os motivos que levam uma organizao a proteger as suas informaes. Em

primeiro lugar devesse considerar que criar, encontrar ou armazenar informaes custa dinheiro, portanto a sua perda resulta em prejuzo. Por outro lado, a informao importante para a organizao e seus negcios, assim como tambm importante para os seus concorrentes, o que a torna alvo preferido para sabotadores, espies industriais e vrios tipos de golpistas e ou hackers. Considerando que, cada vez mais, a realizao de transaes econmicas depende da informao, fica claro que a sua indisponibilidade acarreta prejuzo financeiro e faz dela, talvez, o bem mais valioso da organizao e, por isso mesmo, precisa ser preservado, garantido e bem gerenciado. Atentando para que, um ambiente sem padro, organizao ou controle de suas informaes e, principalmente com usurios no comprometidos com o sigilo e a segurana, altamente propcio perda de informaes e fraudes. Mesmo que no sejam anunciadas em jornais, fraudes acontecem a do prejuzos! Quando eventualmente vm a pblico, desacreditam a organizao vitimada perante seus clientes e parceiros comerciais. Desta forma, apresenta-se este estudo sobre Poltica de Segurana da Informao, que tem como objetivo identificar padres de segurana existentes no mercado e seguidas pelas organizaes de acordo com a sua atuao no mercado e seu porte, atentando para medidas de proteo no acesso s informaes.

1. POLTICA DE SEGURANA DA INFORMAO ? So normas que definem as melhores prticas para o manuseio, armazenamento, transporte e descarte das informaes, sendo a Poltica de Segurana da Informao uma ferramenta para a preveno e proteo da informao, de forma a restringir acessos e salva-guardar a sua manipulao por pessoas no autorizadas. A definio de Segurana da Informao pode ser analisada, como uma fonte de poder, pois no mundo moderno quem possui a informao, possui o poder. Se no, vejamos:
A segurana da informao , sem dvida, uma das grandes preocupaes das empresas sintonizadas com o seu tempo. Na medida em que os diversos mercados mundiais se aproximam com extrema rapidez, o significado da expresso Informao Poder, tem adquirido novas dimenses no ambiente econmico. (Loss Control, 2001).

As organizaes investem em tecnologia, na maioria das vezes buscando emparelhar com a tecnologia da concorrncia, mas atualmente nossa realidade espelha segurana, para a tomada de deciso das organizaes o que implica em sua sobrevivncia e na minimizao de riscos, como podemos observar abaixo:
H algum tempo, era comum o departamento de TI1 usar como argumento para justificar o investimento em tecnologia a necessidade de acompanhar o ritmo da concorrncia. Hoje a tarefa ainda mais rdua. A taxa de retorno dos investimentos (ROI2) passou a ser a mtrica para executivos e empresrios nos processos de tomada de decises. Baseando-se em variveis de reduo de custos, prejuzos, viabilidade de aplicaes e projees, a ferramenta apontada como o caminho mais indicado no momento de decidir por um investimento, principalmente os de grande soma. (Haical, 2001, www.modulo.com.br)

Contudo as organizaes se questionam com relao ao custo a ser investido em tecnologia das informaes, para o melhor desenvolvimento e alcance da eficincia e eficcia, pela qual as empresas buscam, como podemos analisar abaixo:

1 2

Tecnologia da Informao Return on investiment (Retorno sobre investimento)

Custo ou Investimento? Esse sempre foi o dilema de quem gasta com tecnologia da informao. Pergunte aos diretores de informtica e todos garantiro que impossvel viver sem computadores no mundo moderno. E tero razo. Mas, se o computador um conforto, ele tambm custa dinheiro. E saber quanto se gasta para manter a estrutura tecnolgica apenas o primeiro passo para avaliar sua eficcia e sua eficincia. Sem isso, fica impossvel dimensionar se o computador traz ou no o retorno desejado. (Gurovitz, 2001, pg. 40).

A Poltica de Segurana deve ser vista, como um ponto de forte importncia e impacto, como podemos observar:
No se deve encarar uma poltica de segurana como mais um modismo passageiro que freqentemente aparece em todas as reas de atividades. Antes de mais nada, poltica de segurana um conjunto de diretrizes gerais destinadas a governar a proteo a ser dada a ativos de informao. (Caruso, Steffen, 1991, pg 15)

A compreenso da tecnologia da informao abrange trs pilares principais, sendo: segurana lgica, segurana fsica e segurana tcnica. A segurana fsica desempenha to importante quanto a demais, devido ser a base para a proteo de todo e qualquer investimento feito pela empresa. Atentando para o fato de que investir em diferentes aspectos de segurana sem apreciar suas prioridades, pode ocasionar em perda de recursos em conseqncia de falhas nos sistemas mais vulnerveis. Em nossa atual realidade, as organizaes realizam projetos de continuidade de negcios a fim de analisar seus investimentos de uma forma mais abrangente e planejar seus investimentos em segurana fsica, lgica e tcnica, com o objetivo de garantir integridade, disponibilidade e confidencialidade de suas informaes. (Barbosa, 2001, www.modulo.com.br) Alm dos elementos citados acima, dois atributos devem estar presentes. Primeiramente a transparncia, devendo-se demonstrar claramente os mecanismos adotados para garantir o nvel de segurana do sistema. E segundamente o controle que permite a auditabilidade por meio dos registros de utilizao da informao, identificando que fez o que e quando. (Nery, 2001, www.modulo.com.br)

O avano tecnolgico apresenta vrios questionamentos as organizaes, tais como: Como podemos assegurar a Segurana da Informao? Porque as empresas devem se preocupar com este assunto? Como a logstica pode ser influenciada e implementada? Profissionais capacitados? Investimentos? Custo? Quando a hora de investir? Qual a realidade e a necessidade da organizao? Indicadores de desempenho? At que ponto investir? Desenvolver sistemas de segurana ou contrat-los? Vantagem competitiva? Como se defender de vrus e como se adequar poltica de segurana da empresa em que trabalha? A viso da Segurana da Informao a partir do prisma do empreendedor? Avaliao de empresas, oportunidades de retorno sobre investimento, riscos para os negcios?

2. DIRETRIZES A Poltica de Segurana da Informao possui diretriz, a fim de determinar a estrutura da segurana da informao e a orientao necessria ao desenvolvimento do trabalho. Essas sistemticas visam determinar o nvel de segurana de uma rede, sua funcionalidade e a facilidade de uso, sendo reunidas em um documento formal com regras pelas quais as pessoas devero aderir para ter acesso informao e tecnologia da informao. para organizao. Como podemos observar abaixo, as diretrizes tendem a ser claras, de forma a orientar a sua aplicabilidade de maneira simples e compreensvel.
A Poltica de Segurana da Informao composta por diretrizes e orientaes gerais que evitam, tanto quanto possvel, referir-se a detalhes e mincias, especialmente aquelas relacionadas tecnologia ou s ferramentas utilizadas na sua implementao. As diretrizes, to claras quanto possveis, permitem que todos os integrantes da organizao sejam capazes de compreend-las e aplica-las corretamente. (Loss Control, 2001)

Tornando-se

necessrio conhecer os objetivos, para depois poder medi-los, as polticas variam de organizao

O conhecimento das regras de acesso, bem como a responsabilidade sobre a manipulao deve ser permanentemente atualizada e conhecida pelos usurios, assim como a existncia de regras e de contratos definindo estas, para o cumprimento dos requisitos da Poltica de Segurana, tanto para o quadro funcional interno, como para prestadores de servios.
Poltica de Segurana: os sistemas informatizados precisam ter uma poltica de segurana que informe como o sistema deve ser usado. So regras que definem as melhores prticas para o manuseio, armazenamento, transporte e descarte das informaes... (Nery, 2001, www.modulo.com.br)

As diretrizes representam o caminho como as pessoas devem tomar conhecimento destas normas, a fim de minimizar eventuais danos.
As conseqncias de uma poltica de segurana implementada e corretamente seguida podem ser resumidas em trs aspectos: - Reduo da probabilidade de ocorrncia. - Reduo dos danos provocados por eventuais ocorrncias. - Criao de procedimentos para se recuperar de eventuais danos. (Caruso, Steffen, 1991, pg 15)

3. OS RESULTADOS Os resultados so visualizados mediante o correto cumprimento das normas estabelecidas pela poltica de Segurana da Informao, como podemos observar abaixo:
A existncia e o correto cumprimento da Poltica de Segurana da Informao permite s organizaes um significativo ganho de produtividade devido padronizao das atividades e a reduo do retrabalho e dos prejuzos financeiros decorrentes da perda de informaes. (Loss Control, 2001).

A conscientizao resulta que o trabalho no se perca e que a Poltica de Segurana, seja implanta com xito.
Estabelea uma poltica educacional com relao segurana, para convencer e obter apoio, antes de introduzir medidas de segurana. Lembrese: segurana encarada, antes de mais nada, como a maneira de se impedir a bisbilhotice alheia e no a nossa. Onde os canais formais se revelarem ineficientes, use os canais informais que toda organizao possui; procure convencer o lder nato dentro de uma estrutura, se o mesmo no fizer parte da estrutura formal; entretanto, seja hbil para no ferir suscetibilidades. (Caruso, Steffen, 1991, pg. 21)

Pontos a considerar ao se estabelecer uma Poltica de Segurana: Servio oferecido X Segurana proporcionada todo servio representa um risco a mais para a segurana, sendo necessrio considerar se a perda proporcionada pelo risco da segurana vai compensar os ganhos com o servio oferecido. Facilidade de uso X Segurana toda prtica impe dificuldade de uso para os usurios, como por exemplo, o uso de senhas impe que o usurio tenha de mantlas seguras e apresent-las quando solicitado. Deve-se considerar se o esquema de segurana que se pretende adotar no impe uma carga excessiva de dificuldade para o usurio. Custo da segurana X Risco de perda no ter segurana nenhuma envolve um risco grande de perda, pois a segurana mxima imprime um custo para mant-la. Desta forma, torna-se necessrio encontrar um ponto de equilbrio, em que o custo da segurana compense as possveis perdas, como por exemplo:

Custos aquisio de software e hardware, treinamento, pessoal, perda de desempenho do sistema, finalidade de uso, etc. Perdas privacidade, dados, sabotagem, uso indevido de servios computacionais, negao de servios, etc.

Em uma pesquisa recente realizada nos Estados Unidos, o Computer Security Institute (CSI) entrevistou 538 profissionais de segurana da informao em organizaes norteamericanas, rgos governamentais, instituies financeiras, mdicas e universidades. Obtendo o seguinte resultado: 35% (186 profissionais) foram capazes de quantificar as perdas financeiras que tiveram, esses profissionais informaram 377 milhes de dlares em perdas financeiras, contrastando com as perdas de 249 profissionais em 2000 somaram 265 milhes de dlares. O total anual comum durante os trs anos anteriores a 2000 era de 120 milhes de dlares. Como nos anos anteriores, as perdas financeiras mais relevantes ocorreram por roubo de informao proprietria (34 profissionais informaram 151 milhes de dlares) e fraude financeira (21 profissionais informaram 92 milhes de dlares). (Maia, 2001, www.modulo.com.br) Assim como, a 6 e a 7 Pesquisa Nacional Mdulo refora mais uma vez o crescimento da Tecnologia da Informao nos negcios, comparando-se aos anos anteriores. A segurana apresenta-se como um elo de suma importncia entre a tecnologia e a competitividade na nova economia, integrando de forma segura a gesto e os negcios das empresas. As pesquisas elaboradas sobre o tema Segurana da Informao descrevem que o Brasil possui uma longa jornada pela frente rumo a segurana eletrnica das informaes, uma vez que a presena das empresas brasileiras na web representativa, assim como as ameaas e as vulnerabilidades que tendem a crescer, representando riscos e exigindo maiores nveis de segurana e conseqentemente a capacitao, a responsabilidade dos funcionrios passa a ser observada como item fundamental, para a proteo das informaes estratgicas. (Mdulo Security Solutions, 2000, www.modulo.com.br)

Observando-se o avano da tecnologia da informao e a globalizao do mercado, como fatores que influenciam diretamente o modo como as empresas devem compelir, a palavra segurana passou a ser sinnimo de credibilidade. Desta forma, podemos analisar que a segurana da informao da organizao deve ser includa no plano de retorno sobre os investimentos (ROI), pois como observamos a segurana viabiliza e agrega valor aos negcios e aplicaes; aumentando sua participao no mercado, garantindo a satisfao dos seus clientes, elevando a produtividade dos seus colaboradores, reduzindo os riscos provocados pelas ameaas e mantendo a integridade da imagem que a empresa construiu no mercado. (Maia, 2001, www.modulo.com.br)

10

4. CLASSIFICAO DA INFORMAO A informao pode ser classificada conforme o grau que ela representa para a empresa, relacionando a nossa realidade seu grau de sigilo e teor crtico, que se reverter em valor, pois de acordo com a forma, como a informao manipulada pelos sistemas as informaes podem ficar mais sensveis e o seu grau de proteo conseqentemente aumentar. Nos dias atuais a informao vista como o principal ativo da organizao, devendo ser tratada de modo adequado e para isso deve-se classific-la de acordo com o seu grau de sigilo e seu teor crtico. (Loss Control, 2001). A informao possui valor intrnseco, podendo ser avaliada em funo de sua importncia e/ou utilidade e/ou valor financeiro, permitindo-nos classific-la de acordo com critrios de proteo, tais como: destruio e revelao. A poltica de classificao e informaes est subordinada a poltica de segurana da organizao, baseando no valor das informaes que esto sendo protegidas e no custo da proteo. Analisando-se o valor que esta informao representa para a companhia e o custo dela. De forma que se este for proibitivo ou ultrapasse o valor desta informao para a organizao, deve-se analisar se esta informao deve permanecer sendo considerada como sigilosa ou sua importncia para a continuidade do negcio, sendo conveniente fazer uma anlise de todo o processo de manuseio do fluxo desta informao. Sendo a poltica de classificao de informaes importante, principalmente pela vulnerabilidade tcnica, diversidade humana e as influncias externas e/ou internas. (Caruso, Steffen, 1991, pg 29 e 31) Devendo-se informar aos usurios, funcionrios e gerentes das exigncias obrigatrias para proteger seu patrimnio tecnolgico e de informaes, especificando os mecanismos atravs dos quais essas exigncias podem ser cumpridas, tais como: Emitir diretrizes para aquisio, configurao e auditoria de sistemas e redes de computadores para atende poltica; Explicitar quais usurios podem e no podem fazer nos vrios componentes do sistema, incluindo o tipo de trfego permitido nas redes; Evitar ambigidades e mal entendidos.

11

Definido-se na poltica, quem deve se envolver com a segurana: Administrador de segurana do site3; Pessoal de informtica; Administradores de grupos grandes de usurios, tais como: diviso de negcios, departamento de cincia da computao de uma universidade, etc; Brigada de segurana (equipe de emergncia acionada em caso de invaso); Representantes dos grupos de usurios afetados pela poltica de segurana; Gerncia responsvel; Departamento jurdico, caso seja apropriado; Auditoria.

O mesmo que localidade, um servidor de dados.

12

4.1. NVEIS DE CLASSIFICAO Os nveis de classificao so definidos conforme o grau de sigilo e teor crtico, cada grau determina a proteo que cada informao deve possuir e os procedimentos necessrios para sua proteo. Sendo definidos as formas a serem adotadas de proteo relacionadas criao, divulgao, transporte, armazenamento e destruio da informao. (Loss Control, 2001). A informao deve ser analisada cuidadosamente, pois as facilidades de cruzamento de dados nos sistemas, podem gerar informaes mais sensveis que as originais, desta forma a classificao das informaes relacionadas ao grau de proteo contra destruio importante para a continuidade operacional dos negcios da organizao, assim como a classificao quanto ao grau de sigilo de suma importncia para a estratgia dos negcios. Desta forma podemos classificar as informaes atravs de uma questo de grau. (Caruso, Steffen, 1991, pg 29)

13

4.2. RESPONSABILIDADES Existem fatores para os quais devem ser atentados, pois o sucesso de uma Poltica de Segurana depende de: Ser implementvel pelos procedimentos administrativos de sistema; Ser aplicvel e sancionvel pelas ferramentas de segurana; Definir responsabilidades dos usurios, administradores e gerncia.

Tendo como componentes: Diretrizes de aquisio de informtica; Poltica de privacidade, tal como monitorao de correio eletrnico, registro de digitao e acesso a arquivos de usurios; Definio dos direitos e dos privilgios de acesso; Poltica de responsabilidades para os usurios, equipe operacional e gerncia, devendo-se especificar mtodos de auditoria; Poltica de autenticao; Esquema de disponibilidade do sistema; Poltica de manuteno da rede e dos sistemas, permitindo ou no acesso remoto e definindo seu controle. Poltica de registro e aviso de violaes; Informaes de suporte; Exigncias regulamentares, como monitoramento de linha.

A poltica de classificao das informaes deve estabelecer a distribuio da responsabilidade de todas as reas envolvidas no manuseio das informaes, assim como onde for necessrio o atendimento a requisitos especficos e como isso deve ser feito. Definidas regras, tais como:

14

Responsabilidade; Regras de identificao e classificao; Regras gerais; Regras especficas; Regras especiais.

Observando e analisando o cumprimento das regras, utilizando bom senso para situaes novas que no tenham sido cogitadas na poltica, solicitando sua devida justificativa. (Caruso, Steffen, 1991, pg 32, 33 e 34) As pessoas devem estar envolvidas com a proteo das informaes, atravs de conscientizao e divulgao para os colaboradores das responsabilidades do seu relacionamento com a informao classificada. A informao pode ser manuseada por trs categorias distintas, tais como: O gestor; O custodiante e O usurio.

Atentando para as organizaes que possuem auditoria interna e disponham de servios de autoria externa, no correto cumprimento das normas especificadas. (Loss Control, 2001). A utilizao dos servios da auditoria de sistemas implica em certificar-se que: As informaes estejam corretas; Existncia de um processamento adequado das operaes; As informaes estejam protegidas contra fraudes; Existncia de proteo das instalaes e equipamentos; Existncia de proteo contra situaes de emergncia.

De modo geral, necessrio ter conhecimento se a invaso em curso na rede est sendo utilizada para invadir outras redes, caso isso seja confirmado, se torna importante avisar aos administradores das redes envolvidas de forma a demonstrar uma poltica de cooperao mtua em busca da origem da invaso.

15

4.3. IMPLEMENTAO Existem dois extremos basicamente, no que se refere ao modelo de segurana, que se pode adotar. O modelo de negao total, em que a premissa bsica : O que no permitido proibido, aquele em que a princpio todos os servios possveis so negados e que todas as restries possveis so aplicadas. proporo, que houver necessidade de liberao de servio e concesso de permisso, vai-se concedendo. o modelo que apresenta maior eficincia em termos de segurana, porm maior grau de dificuldade de implementao, j que todas as brechas possveis de segurana tm que ser identificadas e fechadas. O modelo de permisso total exatamente o oposto. Apresentando um mnimo de segurana aplicvel, medida que vo surgindo problemas relativos segurana, vo sendo implementadas restries, este modelo mais fcil de implementar, porm mais frgil em segurana. Estes modelos so aplicveis a sistemas de seguranas, sendo utilizado conforme o nvel de segurana que se queira aplicar ao ambiente. O cuidado deve ser tomado na opo destes, evitando-se aplicar o mesmo modelo para necessidades de segurana diferente, ao mesmo tempo evitar que servidores com um tipo de modelo no venham a comprometer a segurana e a operao de servidores com outro tipo de modelo. Assim como, a implementao da classificao das informaes visa a melhor identificao dos acessos, de acordo com a mdia em que a informao armazenada, conforme o definido na classificao das informaes, favorecendo a localizao e a definio de acesso de forma rpida e atentando para a poltica de classificao da informao.
No caso de informaes em meio magntico4, o nvel de classificao diferencia os diversos nveis de acesso para leitura, sendo que a alterao da informao deve permanecer, sempre, sob responsabilidade do gestor. A fim de que no haja possibilidade de exposio indevida, os meios de armazenamento devem ser manipulados de acordo com os procedimentos estabelecidos para as informaes neles armazenadas que estiverem classificadas com o maior nvel. (Loss Control, 2001).

So recursos utilizados para a alocao de informaes, tais como: disquete, cd, fitas, etc.

16

A poltica de classificao estruturada para atender as necessidades de segurana da informao dentro da organizao, preparando uma poltica detalhada ou dirigida para ambientes especficos se torna mais difcil de ser entendida ou seguida por usurios, que no possuam acesso autorizado. Geralmente, as pessoas no se sentem responsveis por regulamentos que no digam respeito a situaes que manuseiem como porte de suas tarefas funcionais (Caruso, Steffen, 1991, pg 34). Podendo a poltica de classificao da informao ser utilizada por toda e qualquer organizao, adaptando-a conforme a necessidade dos diferentes padres culturais.

17

5. SEGURANA FSICA O Controle de acesso fsico visa impedir que pessoas estranhas ao ambiente tenham acesso as dependncias, protegendo os equipamentos que tratam ou armazenam as informaes, atravs da implementao de acessos restritos a esses ambientes, buscando a preveno de possveis perdas, roubos ou vazamentos de informaes. A segurana fsica tem como principais objetivos: garantir a continuidade das rotinas; assegurar a integridade dos ativos; manter a integridade e confidencialidade das informaes.(Fontes, 1991, pg 21). Um ponto normalmente negligenciado por quem pensa em segurana o acesso fsico a terminais e outros dispositivos da rede. Manter cpias de backup5 seguras contra roubo, alm dos cuidados normais para manter a integridade do backup, assim como, notebooks e outros terminais portteis tambm representam riscos em caso de roubo ou acesso no autorizado. Deve-se ter cuidado em relao aos dados armazenados nos discos rgidos e memrias desses terminais, outros lugares a serem protegidos so os armrios de distribuio de cabos, servidores, roteadores e servidores de nomes. Assim como, o acesso pblico projetado para oferecer comodidade aos usurios, que desejam se conectar com a rede distncia, quer seja por um terminal estabelecido pela empresa ou um ponto de rede para conexo de equipamentos portteis. Este tipo de acesso permite o uso de IPs6 falsos, rastreamento de pacotes, etc. Caso seja necessrio oferecer este tipo de servio ao pblico, torna-se interessante execut-lo separadamente da rede interna da empresa, assim como se deve vigiar escritrios vazios e desconect-lo fisicamente do quadro de distribuio de cabos, monitorando toda tentativa de conexo no autorizada. A preveno na segurana de acesso evita problemas de integridade ou at mesmo confidencialidade violada. Um dos pontos fundamentais da segurana fsica o controle de acesso. Ele est baseado no fato de que nem todas as pessoas devem ou precisam ter acesso a todas as reas da organizao.(Loss Control, 2001).

Backup: rotina de salvar dados para um ou outro local/mdia, com o objetivo de recuperao em caso de danos aos dados no local original. 6 Internet Protocol. Juntamente com o TCP, o protocolo em que se baseia o funcionamento da Internet.

18

A poltica e o investimento no controle de acesso fsico adotada pela empresa estar diretamente ligada importncia de seus ativos, observando sempre a relao dos modelos de segurana do que apenas o uso de tecnologia. Nesse sentido, fundamental a anlise do perfil de cada empresa para a definio de uma poltica de controle de acesso fsico que se encaixe nas necessidades do cliente. Quanto maior o investimento em preveno menor ser o prejuzo em caso de Sinistro. O investimento em questo no se refere apenas ao uso de tecnologia avanada, mas forma como a empresa lida com a conscientizao de seu quadro de funcionrios. (Haical, 2000, www.modulo.com.br)

O controle de acesso fsico pode ser implantado de diversas formas, tais como: Grades e muros: Estabelece limites com o objetivo de inibir a presena de curiosos. As grades devem possuir ter alarmes ou estarem sob vigilncia de guardas, cachorros ou monitores de TV; Guardas: Devem ficar posicionados na entrada das instalaes consideradas estratgicas, a fim de controlar o acesso e permitir a entrada somente de pessoal autorizado; Crachs: A travs deste mtodo, funcionrios e visitantes so obrigados a us-lo para obterem acesso ao ambiente desejado. Esse sistema no est diretamente envolvido com tecnologia e sim relacionado ao seguimento de procedimentos. So recomendadas que os crachs possuam poucas informaes, devendo ser evitados assinaturas e detalhes por escrito. A identificao pode ser feita atravs de cdigos de barra, cdigos, cores, nmero de srie, leitura tica, sendo a instalao dos leitores programados para permitir a entrada somente de pessoas autorizadas, facilitando a deteco de intrusos; Sistemas com portas duplas: Sistema utilizado para identificao de pessoas, que desejem ter acesso ao ambiente. Este tipo de sistema conveniente para prevenir a entrada de intrusos, em reas restritas; Travas e chaves: Devido p controle de cpias de chaves ser bastante falho, o sistema cipher locks (combinao de travas com botes que abrem a porta aps a digitao de uma seqncia) tm sido utilizado em muitas instalaes. Nesse processo, deve-se ocultar a digitao do cdigo de acesso sob pena de invalid-lo;

19

Controle de acesso biomtrico, como: verificao de digitais, geometria das mos, padro de voz, leitura de retinas, leitura de ris, padres de assinatura, reconhecimento facial, etc. (Haical, 2000, www.modulo.com.br)

Esta lista tem como finalidade apresentar os principais itens a serem avaliados num trabalho de diagnstico, para que os responsveis pelas decises da organizao, aps o check-list7 tenham condies para escolher sobre onde e quanto investir na segurana fsica, com uma viso mais clara de suas vulnerabilidades: Itens a pontos a serem avaliados: Exposio ao fogo; Materiais utilizados na construo do prdio e na instalao interna (combustilidades); Localizao do estoque de papis e materiais inflamveis; Local de armazenamento de meios magnticos (fitoteca); Vedao contra passagem de fogo e gases entre ambientes; Condies de conservao e limpeza do piso elevado e do forro; Existncia de janelas; Uso de carpetes, cortinas e mveis combustveis; Dispositivos de deteco, alarme e combate ao fogo (localizao, quantidade, qualidade, condies de funcionamento); Dispositivos de desligamento de energia em caso de emergncia (existncia e localizao); Portas e paredes corta-fogo; Iluminao de emergncia e sinalizao; Treinamento do pessoal de brigada e exerccios de abandono em todos os turnos de trabalho, etc.

Consiste em uma srie de itens a serem verificados antes, durante ou aps um determinado procedimento/operao.

20

Danos pela gua: Condies do subsolo; Condies de telhados e lajes; Condies dos materiais utilizados nas tubulaes; Localizao adequada das tubulaes; Drenagens sob o piso elevado e proteo em relao ao piso superior; Riscos de enchentes (localizao), etc. Exclusividade do sistema; Dimensionamento adequado do equipamento; Redundncias (e reservas); Material de isolamento dos dutos e filtros; Rotina de manuteno do sistema; Localizao de aberturas externas (troca de ar); Existncia de dampers corta-fogo e gases no interior dos dutos; Controle e registro de temperatura e umidades, etc. Qualidade das instalaes (cabos, transformadores, estabilizadores e no-breaks8); Exclusividade das instalaes eltricas; Qualidade do fornecimento (energia comercial); Dimensionamento, qualidade e testes do conjunto de energia alternativa; Existncia de pra-raios e distncia do local de risco; Condies do aterramento, etc.

Climatizao:

Eletricidade:

Equipamento ligado rede eltrica para em caso de queda ou interrupo do fornecimento de energia, manter o funcionamento, por um tempo pr-determinado, de computadores e outros recursos (equipamento de rede, etc.). Um no-break constitudo por baterias eletroqumicas (acumuladores) e um circuito conversor de corrente contnua em corrente alternada.

21

Controle de acesso, monitoramento e sensoriamento: Adequao do tipo de controle; Treinamento do pessoal de segurana e usurios; Sensoriamento de portas, janelas, duros e superviso predial; Existncia de sala central de controle de segurana e sua localizao; Meios de identificao e registro do pessoal autorizado; Avaliao do permetro e reas externas ao prdio; Riscos de vizinhana. Sistema de admisses e demisses; Pessoal treinado em outras funes (em caso de contingncia); Procedimentos em caso de greves; Procedimentos na ocasio do dispensa de funcionrio; Informao e treinamento quanto Poltica de Segurana; Treinamento em situaes de emergncia, primeiros socorros, planos de abandono, procedimento fora de expediente, etc. Meios de arquivo: Fitoteca de segurana existncia, localizao, procedimentos de envio e retirada, controle de acesso, segurana contra incndio, isolamento; Procedimentos de destruio de dados confidenciais; Procedimentos e meios de transporte e armazenagem de mdia magntica; Procedimentos sobre o controle de verses mantidas em segurana; Testes peridicos de recuperao de sistemas (contingncia), etc.

Pessoal:

(Caruso, 2000, www.modulo.com.br)

22

5.1. ANLISE DE RISCOS Ao se investir em segurana fsica, deve ser realizada uma anlise de riscos e vulnerabilidades fsicas a que a organizao possa ser exposta. Costuma-se julgar, que a forma mais adequada de se obter a anlise de riscos, por meio de especialistas no assunto, por possurem profundo conhecimento na rea e experincia de situaes e ocorrncias anteriores, priorizando-se os prestadores de servios externos a empresa, a fim de evitar conflitos relacionados a projetos propostos no passado que obtiveram ou no xito.
Um guia contendo elementos necessrios para estruturao da segurana de empresas, que traz desde informaes sobre a segurana fsica do ambiente at formas de como contratar servios terceirizados, passando pela classificao de dados e a abordagem da segurana no trato com pessoas. Parece bom? Pois a isso e a muito mais a que a ISSO/IEC/ 17799-1, baseada na norma britnica BS 7799 se prope. Criada pelo British Standard Institution (BSI) em 1995 para orientar as empresas locais, a norma ganhou aceitao entre pases europeus como Sua, Sucia e Polnia - que em dezembro de 1999 foi submetida aos organismos internacionais de padres International Organization for Standardization (ISSO) e ao International Electrotechnical Commission (IEC). Depois das consideraes dos pases integrantes, entre eles o Brasil, em setembro de 2000 a norma ganhou status internacional, passando a se chamar oficialmente de ISSO/IEC/ 17799-1 em dezembro do mesmo ano. (Modulo e-Security News, 2001, www.modulo.com.br)

A anlise de riscos deve retratar as principais deficincias da empresas e os pontos a serem melhorados, assim como sugestes para melhorar ou manter o nvel de segurana fsica e no como uma crtica ao que foi feito ou no no passado. Destacando aspectos tais como: localizao, segurana com contra fogo, ar condicionado, energia eltrica, energia alternativa, controle de acesso, sensoriamentos e monitorao instalao da fitoteca de segurana, transporte das mdias para a fitoteca de segurana, concluso a respeito do resultado dos levantamentos e as tendncias registradas nos CPD9s europeus norte-americanos. (Caruso, Steffen, 1991, pg 114 a 118)

Centro de Processamento de Dados

23

... a segurana fsica, apesar de seu conceito tradicional estar ligado solidez e estabilidade, precisa ser flexvel e capaz de absorver as diferentes tecnologias que surgem ao longo do tempo. segurana fsica. (Barbosa, 2001, www.modulo.com.br) Empresas precisam estar constantemente revisando e reorganizando seus componentes e processos de

Os principais riscos apresentados, atravs da no priorizao da segurana fsica, podem ser representados por fatores, tais como: Emprego de materiais comburentes no piso, teto, decorao, divisrias e mobilirio; Ausncia de cuidados indispensveis ao sistema eltrico, como: instalaes adaptadas, m distribuio de cabos, fios descobertos, suportes de alumnio para o piso falso, etc. Ausncia de blindagem adequada na passagem de cabos e dutos por paredes ou pisos; Dutos de ar-condicionado revestidos com materiais comburentes, ou que geram gases txicos; Irregularidades, rebaixados; Falta de sistema alternativo de fornecimento de energia; Inexistncia de sistema de monitorao de acesso; Falta de pra-raios; Rede de comunicao vulnervel; Os setores no so separados por porta corta-fogo; Os funcionrios desconhecem os procedimentos recomendados para casos de sinistros. (Fontes, 1991, pg 21). ou impropriedades, nos pisos elevados ou

24

A 6 Pesquisa Nacional sobre Segurana da informao, apresenta uma estatstica sobre as principais ameaas as informaes da empresa, destacando- se que dos executivos entrevistados Apenas 24% responderam que o nvel de adeso poltica alto, revelando que o desafio atual aumentar a participao dos funcionrios (Mdulo Security Solutions, 2000, www.modulo.com.br). Enquanto:
Aproximadamente 47% dos executivos dos executivos entrevistados afirmam que o principal obstculo na implementao da poltica de segurana a falta de conscincia dos funcionrios, que muitas vezes apresentam resistncia em adotas tais prticas. (Mdulo Security Solutions, 2000, www.modulo.com.br) Os funcionrios continuam sendo os principais responsveis pelos problemas de segurana computados. Porm, o resultado deste ano (33%) est dois pontos percentuais abaixo do apontado no ano anterior (35%). (Mdulo Security Solutions, 2000, www.modulo.com.br)

Aps a anlise de riscos fsicos, pelos profissionais responsveis pelos levantamentos das informaes inerentes a segurana fsica, adquire-se o conhecimento sobre os recursos a serem disponibilizados como: equipamentos de monitorao, energia, climatizao, ambientes de segurana para os equipamentos crticos, poltica de segurana de acesso fsico s informaes e ambientes distintos da organizao, dentre os diversos componentes e processos que devem ser envolvidos num projeto de segurana fsica. Sendo a implementao deste um complemento de projeto maior de continuidade de negcios. Aps realizar os investimentos e implementar o plano, a empresa dever estar constantemente revendo o plano e modificando o que for necessrio, o que demonstra ser um plano contnuo e 360.(Barbosa, 2001, www.modulo.com.br)

25

6. SEGURANA LGICA A segurana lgica tem por finalidade proteger as informaes, essa proteo tem como meta impedir a alterao, divulgao ou destruio, intencional ou no, atentando para os cuidados que devem ser tomados na criao e utilizao de senhas. Seu uso deve ser concedido apenas as pessoas que necessitem dela, para o desempenho de suas atividades.
O relatrio da Comisso Especial 21 de Proteo de Dados, da SEI, assim define: Segurana lgica consiste de um conjunto de mtodos e procedimentos automatizados destinados a proteger os recursos computacionais contra a sua utilizao indevida ou desautorizada, intencional ou no. Compreende o controle de consultas, alteraes, inseres e excluses de dados e o controle do uso de programas e outros recursos. (Fontes, 1991, pg 25).

Podendo-se entender segurana lgica, de maneira a estabelecer os controles de acesso a informao, objetivando a integridade e a manuteno da confidencialidade da informao protegida. Definindo-se as permisses de acesso a aqueles previamente autorizados e negando o acesso daqueles que no gozem dos mesmo direitos, principalmente em ambientes que concentrem um percentual elevado de informaes, como exemplo, as redes de comunicao ou os grandes centros de processamento de informaes das organizaes.(Loss Control, 2001). As organizaes devem possuir regras claras, para seus funcionrios quanto ao sigilo e a privacidade das informaes, a fim de preservar a imagem da empresa perante o mercado atuante, pois uma informao mal interpretada por terceiros, pode dar incio a boatos ocasionando srios prejuzos instituio.
Em primeiro lugar, deve ser estabelecido que o campo de abrangncia do sigilo envolve tanto a organizao em si, com seus negcios, polticas e estratgias cuja publicidade seja indesejada, quanto s pessoas e demais organizaes com as quais ela se relacione e sobre as quais no possa divulgar qualquer informao, seja por fora de lei ou de acordos e contratos comerciais. Por outro lado, a privacidade do cidado , sem dvida, um de seus valores mais caros, de modo que nenhuma organizao deve descuidar de qualquer informao pessoal que lhe seja confiada. (Loss Control, 2001).

26

Quanto maior for a utilizao do processamento eletrnico de dados, maior ser o aumento de sua vulnerabilidade, sendo desta forma necessrio a utilizao de meios de segurana mais eficientes para a proteo dos dados manuseados. O estabelecimento de controles para segurana lgica dos dados deve ser avaliada pelo aspecto custo/benefcio... (Fontes, 1991, pg 25), pois a reduo dos riscos s informaes aumenta em contra partida a confiabilidade dos dados, assim como, aumenta a sobrecarga dos computadores, alongando os tempos de resposta e os custos.
Segundo Donn Parker, a segurana de um sistema de proteo mede-se por seu ponto mais fraco, que no caso e o elemento humano. O computador um a mquina programvel, que executa as instrues recebidas: se for programada para errar e roubar, ele errar e roubar. Os programas, chamados software, so desenvolvidos por pessoas comuns, sujeitas s mesmas falhas que ns. Se a empresa no contar com pessoal de confiana e capaz, todas as demais medidas de segurana sero inteis. (Fontes, 1991, pg 26).

Primeiramente, os mecanismos de segurana utilizavam as senhas como medida de controle de acesso, mas as senhas se revelaram um mecanismo muito frgil e atualmente o papel dela baseiam-se em autenticar a identidade dos usurios que esto tentando acessar determinado ambiente protegido. O acesso passou a ser controlado por mecanismos de listas de acesso, que descrevem os usurios que possuem permisso de acesso e o nvel permitido. A segurana de acesso no est relacionada diretamente a rea de informtica, pois este est submetido s atividades de controle e a auditoria, normalmente existente nas organizaes que adotam a poltica de segurana da informao. (Caruso, Steffen, 1991, pg 45)

27

6.1. SENHAS Representa o controle de acesso mais antigo, utilizado pelo homem visando impedir o acesso de pessoas no autorizadas. Elas foram e so utilizadas para controlar os acessos de recursos, entretanto este meio de segurana apresenta riscos de revelao. Os mtodos de controles atuais tendem a utilizar as senhas como mecanismo de autenticao de identidade de usurios, atravs da atribuio de senha individual para cada chave de acesso, sendo esta senha pessoal e intransfervel. (Caruso, Steffen, 1991, 48). Atualmente, grande parte das pessoas possui uma quantidade variada de senhas, como a senha bancria, de acesso Internet, do logon10 na rede da empresa onde trabalhamos, na caixa postal do celular e etc. Contudo, devem ser tratadas da maneira mais adequada e com a devida seriedade, pois a senha ou password constituda por uma seqncia de caracteres que em conjuntos com um cdigo de identificao ou logon, que faculta o acesso individual a algum servio ou informao, uma vez concedido formalmente e de acordo com as necessidades de suas tarefas. As senhas no devem ser compartilhadas, por que caso contrrio no existe tecnologia capaz de proteger seus sistemas. Observando a necessidade de uma boa senha, que a ferramenta de maior importncia capaz de garantir 90% de segurana de seus sistemas. Pode-se classific-la como de boa qualidade ou facilmente decifrvel, sendo: Boas Senhas Devem ter caracteres maisculos e minsculos; Dgitos e/ou caracteres de pontuao; Fceis de lembrar; Ter no mnimo 7 caracteres.

Seqncia de operaes para acesso a um sistema em que o usurio conecta-se, identificando-se com um user e uma senha prpria.

10

28

Senhas Ruins So aquelas fceis de descobrir; Baseadas em informaes pessoais; Com poucos dgitos; Nomes prprios; Palavras em qualquer lngua; Combinaes de teclado (exemplo: qwerty); Todas as anteriores de trs para frente;

Recomendaes bsicas para senhas Os usurios devem poder mudar suas senhas; As senhas iniciais devem ser geradas automaticamente e devem ser trocadas logo no primeiro acesso; Bloqueie o acesso as senhas criptografadas; Force mudanas regulares de senhas; Contas com data de expirao ou force a sua renovao peridica; No imponha regras extremamente rgidas, seno os usurios anotaro a senha em papel; Tente quebrar suas prprias senhas; No use a mesma senha em ambientes distintos; Remova senhas inativas; (Machado, 2000, www.modulo.com.br)
A Comisso de Economia, Indstria e Comrcio da Cmara dos Deputados aprovou o projeto de lei 2.310/00, de autoria do deputado Themstocles Sampaio (PMDB-PI), que obriga o uso de senha para efetuar compras com carto de crdito. A idia tornar o uso do carto mais seguro. Para o relator do projeto, deputado Rubem Medina (PFL-RJ), a senha ou qualquer outro meio eletrnico de identificao uma garantia adicional que vai dar mais segurana s operaes com carto de crdito, favorecendo o usurio e as prprias administradoras do carto. O projeto seguir para a Comisso de Defesa do Consumidor, Meio Ambiente e Minorias. (Agncia Cmara, 2001, www.modulo.com.br)

29

Esta forma de identificao exige sigilo absoluto, uma vez que permite que o usurio seja identificado. Devendo atentar para a sua efetividade e a periodicidade obrigatria para a sua troca, assim como a obrigatoriedade de sua definio pelo prprio usurio. (Loss Control, 2001).

30

7. PLANO DE CONTINGNCIA O Plano de Contingncia visa a continuidade das atividades necessrias organizao, para a continuidade dos negcios permitindo superar com xito qualquer situao adversa. Estando toda e qualquer instalao sujeita a hiptese de desastres de diversas naturezas, sendo estas ameaas de origem natural ou acidental. A ocorrncia de um desastre pode proporcionar a paralisao total ou parcial dos ambientes tecnolgicos, ocasionando perda de informao e vulnerabilidade, assim como perda financeira para a empresa sinistrada. Desta forma, se faz necessria elaborao de um plano que garanta a continuidade, segurana do tratamento e a disponibilidade das informaes em caso de sinistro.
Os planos de recuperao mais freqentes, alm de se preocuparem com a continuidade do negcio de produo e vendas, so muito focados para enfrentarem desastres que podem atingir seus sistemas em computador. Com o advento da Internet e os crescentes ataques de hackers e invasores, a preocupao aumentou... Uma pesquisa nos Estados Unidos com 1500 empresas, publicada no jornal USA Today, demonstra os tipos de planos de recuperao mais focados pelas empresas americanas: - Plano de recuperao de sistemas em computados 61% - Linhas de comunicao (telefonia, redes e satlites) 13%. - Recuperao de negcios 12% - Apenas procedimentos de evacuao de funcionrios 9% - Outros 5 (Caruso, 2001, www.modulo.com.br)

O planejamento de segurana pode ser resumido, como: Descobrir como aconteceu o incidente de segurana; Descobrir como evitar a explorao da mesma vulnerabilidade; Evitar a escalada de mais acidentes; Avaliar o impacto e os danos do incidente; Recuperar-se do incidente; Atualizar as polticas e procedimentos conforme a necessidade; Descobrir quem fez (se apropriado e possvel).

31

Conforme o plano de ao estabelecido, para os casos de invases pode-se negar acesso ao servidor do invasor ou a todos os usurios que venham de fora da rede, ou travar todas as contas de usurios ou chegar a ponto de matar todos processos de usurios e rebootar11 os servidores. Ao se desenhar o plano de contingncia em caso de incidentes de segurana, os administradores podem deparar-se como alguns dilemas. Do tipo, se um sistema considerado como crtico e deve permanecer no ar, ao restaur-lo, por exemplo, recuperando um backup, pode-se apagar os eventos que poderiam ajudar na anlise posterior do incidente. Portanto, necessrio no s considerar tais ocorrncias como determinar as vrias prioridades dentro do plano de contingncia. As prioridades variam de organizao para organizao, mas como exemplo podemos sugerir: Proteger a vida humana e a integridade fsica das pessoas; Proteger dados sigilosos; Proteger dados tais como dados proprietrios, cientficos e gerenciais; Impedir danos aos sistemas; Minimizar a indisponibilidade de recursos computacionais.

Providncias imediatas devem ser tomadas em casos de sinistros, analisando os procedimentos de recuperao dos sistemas corporativos, observado o tempo de espera previsto para o restabelecimento da atividade definidos pelos Gestores das informaes, conforme a criticidade da informao, pois cada sistema corporativo, possui hierarquicamente seu grau crtico de processamento, devendo possuir previso de tempo de paralisao e aes subseqentes para o seu restabelecimento. (Loss Control, 2001).
O objetivo deste plano de contingncia manter em funcionamento as atividades administrativas necessrias para a continuidade do negcio da organizao, atravs do seguinte: - Reduzir o impacto de desastres; - Restaurar as condies operacionais normais; - Retornar normalidade. (Caruso, Steffen, 1991, pg 235)

11

Rebootar os servidores = reiniciar os servidores

32

O plano de recuperao de desastres ou plano de contingncia deve ser desenvolvido e testado com freqncia mnima de duas vezes ao ano, simulando condies emergenciais definido-se a equipe responsvel por inspecionar os itens da poltica, assim como examinar o cumprimento das rotinas especificadas relatando administrao o resultados dos testes, caso o plano de recuperao de desastres apresente falhas detectadas no decorrer das inspees, estas devero ser corrigidas de forma breve atendendo as necessidades da poltica de segurana da organizao. (Fontes, 1991, pg 303 e 304). A Metodologia do Plano de Contingncia apresenta um leque de projetos capazes de disponibilizar, para a organizao requisitos mnimos de Segurana da Informao: Definio: qualquer evento calamitoso, ou sucesso de eventos que coloque em risco processos vitais para a consecuo dos objetivos da Empresa. Sistemas Crticos: so sistemas cuja inoperabilidade implica em perdas irreversveis de cunho financeiro, jurdico ou de imagem da Empresa e sua atividade produtiva deve acontecer em at 24 horas aps a ocorrncia do desastre.

Desastre: a ocorrncia de qualquer tipo de anormalidade que impea ou impacte a atividade de produo dos sistemas crticos. Recuperao: o restabelecimento da atividade produtiva dos sistemas crticos, mesmo que paleativa ou parcialmente, no caso do desastre se efetivar. Ativao e Desativao do Plano de Contingncia: O Plano de Contingncia ativado e desativado pelos Executivos da Empresa consubstanciados pelas informaes prestadas pelo Gerente do CPD e pelas Equipes de Contingncia.

33

Pontos Bsicos: Para a elaborao do Plano de Contingncia, necessrio que sejam levantados alguns itens, tais como: Quais so os sistemas crticos que garantem a continuidade do negcio da empresa: - Anlise de Impacto nos Negcios; - Anlise de Riscos para os principais Negcios; - Homologao dos sistemas crticos por parte dos Executivos da Empresa. De que recursos de hardware, software e infraestrutura tais sistemas dependem: - Software12: - Hardware14: Configurao; Up-Grade15; Configurao; Verso/Release13; Nvel de atualizaes; Customizaes; Fornecedores.

12 13

Qualquer programa que nos possibilite tirar proveito dos recursos do computador Em geral o release uma verso dentro da verso. Na prtica, o nmero da verso e do realease formam um nmero decimal adotados para identificar a atualizao de um software. Exemplo: Netscape 4.1. Nesse caso temos o release 1 da verso 4 do software (browse) navegador da Internet. 14 toda a parte fsica do computador, material. Exemplo: monitor, teclado, mouse e o prprio computador. 15 A expresso tanto pode se referir a uma verso de um hardware ou software, quanto ao ato de moderniza-lo. Fazer Up-grade no comprar um novo programa ou novo computador, mas sim modernizar aquele que temos em mos.

34

Espao em disco para o sistema operacional e sistemas crticos;

- Ambincia: -

MIPS16 utilizado; Memria; CPU17; Controladora de Discos; Controladora de Mdia Magntica; Mdias Magnticas; Fornecedores.

Definio de carga de refrigerao; Temperatura; Umidade; Alimentao de energia eltrica; No-Break; Gerador de energia; Bateria de energia; PABX e telefonia em geral; Prdios inteligentes e elevadores.

16 17

Milhes de informaes por segundo Central Processing Unit: Unidade Central de Processamento

35

Levantamento e atualizao da documentao dos sistemas muito crticos: - Objetivos do sistema; - Analistas responsveis; - Usurios Gestores e usurios Finais; - Backup dirio, semanal, mensal, semestral e anual - Reteno de arquivos; - Fases do sistema e sua descrio; - Relao de programas utilizados - Batch18 - Cdigo e descrio; - Relao de programas utilizados On line - Cdigo e descrio; - Interfaces: Interna - Arquivos de entrada; Interna - Arquivos de sada; Externa - Arquivos de entrada; Externa - Arquivos de sada.

- Identificao dos servios crticos dentro dos sistemas prioritrios programas e tabelas; - O que deve ser retido no perodo de contingncia para recuperao dos sistemas no crticos;
18

So programas de computador que so executados no necessariamente de imediato. Por exemplo, em grandes companhias, h o processamento batch na madrugada, onde os dados foram fornecidos durante todo o dia e ao final de um determinado momento noite ou madrugada, estes programas so executados e processados.

36

- Servios que devem ser considerados crticos j que so essenciais para recuperao de sistemas no crticos; - Quais so os componentes crticos dos sistemas crticos. Backup: - Tamanho em Bytes19 dos dados necessrios para funcionamento dos sistemas crticos; - Volume de mdias magnticas que fazem atualmente o Backup externo dos sistemas crticos; - Espao fsico, estimado, para guarda do Backup externo dos sistemas crticos; - Forma de criao do backup externo (link20 especfico / transporte); - Relao do backup dos sistemas crticos; - Hierarquia a ordem cronolgica de baixa dos backups. Definio do backup-site: - Definio do Modelo de Backup_site (espelhamento, transmisso remota...). - Cold-Site 21prprio; - Cold-Site de Terceiros; - Hot-Site 22prprio;
19

Um conjunto de 8 (oito) bits. Um byte uma unidade que determina uma informao, que pode ser um caractere ou um cdigo para um desenho na tela. Exemplo: 00010111 20 Elemento de uma pgina html que leva a uma nova localizao na mesma pgina ou em outra pgina inteiramente diferente. 21 Cold site - instalao que oferece infra-estrutura bsica (local adequado, cabeamento eltrico, dispositivos de resfriamento de gua, ar condicionado, piso falso etc.) No caso de um desastre, o cliente s precisa deslocar seus equipamentos para o local preparado. Em comparao com o hot site, esta alternativa mais barata, porm pode levar um tempo maior para ser ativada com todos os equipamentos necessrios, uma vez que o cliente precisa deslocar seus equipamentos para este local.

37

- Hot-Site de terceiros; - Hot-Site prprio compartilhado. - Forma de atualizao dos dados no Site Backup. Decises Ps-Desastre para a Recuperao: - Evitar novos danos, executando os procedimentos de emergncia; - Identificar os hardwares e os materiais que podem ser salvos; - Auxiliar a equipe de logstica na movimentao de recursos salvos; - Informar as equipes de telecomunicao e de hardware do andamento dos trabalhos de salvamento; - Avaliao do desastre no aspecto de estrutura fsica; - Laudo e estimativa de recuperao da estrutura fsica; - Avaliao do desastre no aspecto de parque computacional; - Laudo e estimativa de substituio do parque computacional; - Deciso quanto localidade e formas de processamento psdesastre dos sistemas crtico; - Deciso quanto localizao e forma de processamento psdesastre dos demais sistemas. Plano de Retorno: - Definio de datas e procedimentos para retorno s atividades normais; - Retorno do CPD e estrutura bsica;
22

Hot site - instalao (empresa) que oferece servios de restaurao de sistemas de informtica. Oferecem salas equipadas, compatveis com os recursos computacionais do cliente, para operar em substituio instalao original. Provem ainda suporte tcnico e servios de telecomunicao.

38

- Definio de estrutura de apoio; - Definio das datas de retorno; - Criao de relatrios histricos. (Plano de Contingncia, 1999, www.modulo.com.br)

39

7.1. EQUIPES DE CONTINGNCIA A Equipe de Contingncia ou Grupo de Coordenao selecionada, a fim de favorecer o gerenciamento do plano de contingncia em caso de sinistro, administrando e promovendo o restabelecimento da normalidade dos processamentos dos sistemas crticos da organizao durante e depois do sinistro. (Loss Control, 2001). Nomeados os integrantes da equipe responsvel, estes responderam integralmente pela eficincia do Plano.(Fontes, 1991, pg 304). Conforme consultas ao site da Mdulo Segurana da Informao, pode-se definir e segregas as equipes de contingncia, da seguinte forma: 1) Equipe Executiva / Coordenao Misso: Garantir que a restaurao do processamento ocorra dentro do prazo estipulado no Plano de Contingncia conforme criticidade de cada sistema. Exercer a coordenao geral do Plano. Tarefas Pr-Desastre Avaliar e aprovar gastos financeiros necessrios ao

desenvolvimento e manuteno do Plano; Definir local do Centro de Operaes Alternativo com o apoio da Equipe de Hardware; Definir local do Centro de Comando em caso de desastre; Estabelecer as polticas e diretrizes do Plano; Definir recursos necessrios ao Plano;

40

Designar lderes, seus substitutos e demais membros das outras equipes; Distribuir cpias do Plano e normas a todos os envolvidos no Plano; Reviso e atualizao peridica do Plano; Coordenar as atividades das demais equipes; Organizar e coordenar a execuo de testes do Plano; Definir e montar a estrutura de retorno normalidade. Dar apoio a todos os envolvidos. Tarefas Durante o Desastre Avaliar a situao posicionando aos Executivos da Empresa para deciso sobre ativao do Plano; Coordenar a ativao do Plano; Ativar local do Centro de Operaes Alternativo; Coordenar as atividades do Plano e das demais equipes; Estabelecer diretrizes para situaes no previstas; Acionar as pessoas-chave para recuperao do ambiente

operacional; Acionar as providncias para recuperao do ambiente operacional; Emitir relatrio situacional aos Executivos da Empresa; Realizar reunies peridicas com os coordenadores das demais equipes de forma a manter integrado o grupo de recuperao de desastres e manter atualizado o Plano.

41

Tarefas Ps-Desastre Coordenar as atividades de retorno normalidade. 2) Equipe de Salvamento e Rescaldo Misso: Combater o sinistro; Prestar os primeiros socorros; Salvar o que puder ser salvo; Avaliar a extenso dos danos s instalaes, equipamentos e recursos humanos; Prover a EQUIPE EXECUTIVA de informaes. Tarefas Pr-Desastre Manter documentao, fora da instalao, de plantas, desenhos e especificaes da mesma. (hidrulicas, eltricas, ar, etc.); Manter relao de todos os hardwares existentes na instalao. Tarefas Durante o Desastre Executar os procedimentos de emergncia (evacuao dos ambientes, desligamento de equipamentos e quadros, etc.); Combate do sinistro e prestao dos primeiros socorros s vitimas encaminhando-as ao atendimento especializado; Estabelecer a segurana na instalao que sofreu o desastre; Emitir RELATRIO DE OCORRNCIAS completo a EQUIPE EXECUTIVA; Efetuar a limpeza do ambiente e descartar o entulho; Identificar hardware e materiais a serem salvos;

42

Fornecer suporte logstico para a mudana do equipamento salvo para a nova instalao; Manter informadas as equipes de COMUNICAES e

HARDWARE sobre o andamento dos trabalhos; Emitir RELATRIO DE PROVIDNCIAS. Tarefas Ps-Desastre Executar os procedimentos necessrios recuperao das instalaes fsicas. 3) Equipe de Logstica (Apoio Administrativo / Instalaes Fsicas) Misso: Assegurar a disponibilidade de recursos necessrios, de servios administrativos e de comunicaes para as demais equipes, imediatamente aps a ocorrncia do desastre e da deciso de ativar o Plano; Assegurar que as instalaes onde ser recuperado, em definitivo, o Centro de Processamento (incluindo as reas administrativas) estejam prontas para receber pessoas e equipamentos quando necessrio. Tarefas Pr-Desastre Manter atualizados os meios de comunicao dos envolvidos no Plano (nmeros de telefone, fax, bips etc.); Manter lista de facilidades (fornecedores, contatos de emergncia, usurios, etc.); Manter atualizada a relao de todos os hardwares existentes na instalao; Manter atualizada a relao de todos os softwares disponveis na instalao, identificando sua utilizao; 43

Manter lista de suprimentos necessrios em caso de desastre; Garantir que qualquer suprimento que demore mais de 24 horas para ser obtido tenha um estoque guardado fora da instalao; Manter procedimentos para prover recursos necessrios

(Transportes, alojamento, compras, etc.); Interagir com as Seguradoras ou com a rea responsvel pelo seguro dos equipamentos e da instalao; Colaborar com a Equipe Executiva nas providencias para reconstruo do Centro de Processamento. Tarefas Durante o Desastre Coordenar com a Equipe de Salvamento a mudana de equipamentos resgatados para uma instalao provisria para guarda; Supervisionar os servios de eletricidade, telefonia, cabeamento lgico, instalao fsica de hardware e mobilirios da Instalao Alternativa, efetuando os ajustes necessrios ao incio do processamento dos sistemas crticos; Fornecer meios de transporte s pessoas, equipamentos e materiais; Fornecer alojamento, alimentao e suprimentos bsicos aos empregados e contratados; Providenciar recursos humanos temporrios, quando necessrio; Prover meios alternativos para comunicaes pessoais. (bips, telefone celular etc.); Emitir relatrio de OCORRNCIA DE SINISTRO ao setor competente para incio do processo de indenizao;

44

Manter Equipe Executiva informada. Tarefas Ps-Desastre Prestar todo apoio administrativo e tcnico necessrio restaurao do CPD e no retorno do processamento normalidade.

4) Equipe de Hardware / Software Misso: Identificar o hardware mnimo necessrio para processamento dos sistemas muito crticos e crticos; Garantir a disponibilidade do software bsico e de apoio necessrios a operacionalidade. Tarefas Pr-Desastre Fornecer Equipe de Logstica os dados necessrios para manter atualizada a relao de hardwares / softwares; Pesquisar um Centro de Processamento de Dados alternativo com caractersticas necessrias contingncia; Definir configurao similar na impossibilidade de se obter uma igual existente na ocasio do desastre; Contatar principais fornecedores envolvendo-os no Plano no que se refere ao fornecimento de materiais e prestao de servios emergenciais; Criar e manter atualizado um sistema operacional para o equipamento alternativo, se for o caso; Identificar o software a ser disponibilizado no site-backup; Manter esquema de copias de contingncia para todos os softwares que faro parte do Plano de Desastre; 45

Assegurar que todos os softwares rodem no ambiente alternativo; Manter conjunto de manuais essenciais atualizados e guardados a salvo. Tarefas Durante o Desastre Ativar o site-backup junto com a Equipe de Salvamento tornando-o operacional; Ativar o sistema operacional e os softwares de contingncia na instalao alternativa; Manter Equipe Executiva informada. Tarefas Ps-Desastre Requisitar manuteno / substituio de equipamentos danificados; Providenciar a reinstalao dos equipamentos na instalao danificada ou em novo local; Trabalhar junto com a Equipe de Salvamento e Logstica na movimentao e na instalao dos equipamentos salvos e dos novos; Coordenar com a Equipe de Desenvolvimento as mudanas no planejadas necessrias para acomodar o novo hardware / software; Dar suporte e resolver situaes imprevistas relacionadas aos hardwares / softwares. 5) Equipe de Comunicaes Misso: Garantir que os equipamentos de comunicaes e as linhas telefnicas estejam prontos. Tarefas Pr-Desastre

46

Manter atualizada a relao de todas as linhas de comunicao, softwares de comunicao, hardware necessrios e perifricos da instalao; Manter documentao da configurao atual, incluindo caminhos, velocidades, protocolos (topologia da rede); Saber a importncia das aplicaes criticas na Rede de TP; Manter relao de principais fornecedores de linhas, links23 de satlites, telefones celulares, etc; Viabilizar rotas alternativas para as linhas de comunicao do CPD e testa-las. (Pr-requisito: definio do site-backup); Traar planos junto Cia de Telecomunicao para estar apto a estabelecer a comunicao de dados. (Pr-requisito: definio do site-backup); Requisitar linhas de comunicaes e equipamentos necessrios; Providenciar a instalao de linhas de comunicao para o local onde se processara a contingncia; Manter o conjunto de manuais necessrios a salvo mais acessvel em caso de desastre. Tarefas Durante o Desastre Ativar a configurao alternativa de telecomunicao; Auxiliar a Equipe de Logstica em mudanas nos procedimentos relacionados a teleprocessamento; Ativar servios de teleprocessamento; Manter a Equipe Executiva informada.
23

Ligao. Em Internet, consiste de ligaes automticas de uma pgina para outra.

47

Tarefas Ps-Desastre Restaurar os servios de telefonia; Restabelecer a comunicao de dados. 6) Equipe de Planejamento / Produo Misso: Assegurar que os processamentos dos sistemas crticos possam ser retomados to logo os dados, os equipamentos e as comunicaes necessrias estejam disponveis. Tarefas Pr-Desastre Desenvolver as rotinas destinadas aos servios crticos; Garantir que os backups armazenados fora da instalao estejam seguros e possam ser facilmente recuperados pelas pessoas autorizadas; Definir e manter os procedimentos de recuperao das aplicaes e dos dados crticos; Prover todo o material de backup, inclusive documentao, conforme definido no procedimento de recuperao cada aplicao; Analisar e definir alternativas para o processamento das funes criticas; Manter atualizadas e em lugar seguro copias da documentao dos sistemas aplicativos; Prever e desenvolver rotinas para atender a todas as condies de retorno normalidade.

48

Tarefas Durante o Desastre Preparar o ambiente de produo. Processar os sistemas crticos de acordo com os procedimentos e rotinas previamente estabelecidos. Efetuar comunicao com os usurios informando-os sobre a situao de suas aplicaes. Manter Equipe Executiva informada. Tarefas Ps-Desastre Executar os procedimentos de recuperao das aplicaes criticas, recuperando-as de forma coordenada. Operar as rotinas necessrias para restaurar os arquivos para o retorno normalidade. Efetuar comunicao com os usurios informando-os sobre a situao de suas aplicaes. 7) Equipe de Desenvolvimento Misso: Apoiar as demais equipes para que toda a aplicao considerada critica sejam recuperadas dentro do prazo estabelecido, sem perda de dados / informaes e de acordo com suas especificaes. Tarefas Pr-Desastre Identificar aplicaes e sistemas crticos para os negcios. Informar aos demais envolvidos no Plano quanto s atualizaes sofridas pelos sistemas quanto sua criticidade. Manter um canal de comunicao permanentemente aberto com os gestores, de forma a estar sempre informado de quais so os dados e as aplicaes criticas. 49

Tarefas Durante o Desastre Manter os usurios informados sobre a situao de suas aplicaes. Tarefas Ps-Desastre Dar apoio ao grupo do CPD nas rotinas de retorno normalidade. 8) Equipe de Segurana Misso: Participar da criao do Plano, determinando polticas de segurana e garantindo que um nvel mnimo de segurana seja observado durante o processo, visando manter os nveis de servios pactuados com os usurios. Tarefas Pr-Desastre Definir diretrizes / critrios para segurana fsica e para acesso lgico Definir critrios para transporte de material classificado como de alto risco (fitas backup do sistema e dos dados). Participar dos testes do Plano de Desastre. Manter um canal de comunicao com o site-backup, mantendo o nvel de compatibilidade entre os dois ambientes. Tarefas Durante o Desastre Participar da avaliao da situao do desastre. Acompanhar a execuo dos procedimentos de segurana para situaes de desastre. Manter a Equipe Executiva informada.

50

Tarefas Ps-Desastre Acompanhar a volta normalidade Garantir que no sejam deixados no site-backup, aps o retorno normalidade, nenhuns resduos de informaes / dados manipulados durante a contingncia. (Plano de Contingncia, 1999, www.modulo.com.br)

51

8. VRUS Em nosso dia a dia, usamos o computador como uma ferramenta indispensvel e estamos sujeitos ao ataque dos vrus, entendo que estes so programas que se encaixa nos arquivos da mquina alvo. Durante a anexao, o cdigo original do vrus anexado nos arquivos da vtima. Esse procedimento denominado infeco, aps a infeco, este se converte em um arquivo comum portador, da em diante o arquivo infectado tem a possibilidade de infectar os demais arquivos sadios. Processo esse denominado replicao, atravs da replicao o vrus pode alastrar-se por todo o disco rgido, podendo ocasionar problemas de software e de hardware. (www.modulo.com.br)
Um vrus biolgico costuma introduzir-se num organismo, apossando-se das clulas e obrigando-as a reproduzir milhares de cpias do vrus original. O vrus do computador, imitando o da natureza, atua de maneira semelhante: trata-se de um pequeno programa (conjunto de instrues) cujo objetivo, alm de instalar-se, reproduzir-se e dominar o organismo que o aloja. (Caruso, Steffen, 1991, pg 92)

Os vrus so programas geralmente so pequenos e invisveis, para a deteco do sistema operacional, eles no so referenciados em nenhuma parte dos seus arquivos e no costumam exibir-se antes do ataque. Em linhas gerais, um vrus completo (entenda-se por completo o vrus que usa todas as formas possveis de contaminar e se ocultar) chega at a memria do computador de duas formas.
A primeira e a mais simples so a seguinte: em qualquer disco (tanto disquete, quanto HD) existe um setor que lido primeiro pelo sistema operacional quando o computador o acessa. Este setor identifica o disco e informa como o sistema operacional (SO) deve agir. O vrus se aloja exatamente neste setor, e espera que o computador o acesse. A partir da ele passa para a memria do computador e entra na segunda fase da infeco. Mas antes de falarmos da segunda fase, vamos analisar o segundo mtodo de infeco: o vrus se agrega a um arquivo executvel (fica pendurado mesmo nesse arquivo!). Acessar o disco onde este arquivo est no o suficiente para se contaminar. preciso executar o arquivo contaminado. O vrus se anexa, geralmente, em uma parte do arquivo onde no interfira no seu funcionamento (do arquivo), pois assim o usurio no vai perceber nenhuma alterao e vai continuar usando o programa infectado.

(www.anti-hackers.com.br)

52

8.1. COMO ATUAM Os vrus atuam de forma discreta, anexando-se aos arquivos e aps a execuo destes, ficam armazenados na memria do computador infectando todos os discos ligados a esta mquina, alojando-se no setor de boot24, pois desta forma, toda vez que o computador for reiniciado e a rea de boot for acionada automaticamente o vrus ser ativado e estar pronto para infectar todos os discos rgidos utilizados nesta mquina, desta forma o vrus ir se alastrar. Os vrus em alguns casos contaminam o mesmo arquivo vrios vezes, que este passa a ocupar um espao maior que o devido, em contra partida outros, se encondem entre os espaos do programa original para no ser detectado.(www.anti-hackers.com.br) Cada vrus possui sua particularidade e maneira de ataque, como exemplo: Arquivos apagados; Travamentos no sistema operacional; Documentos no salvos; Mensagens inofensivas; Estragos irreparveis no disco rgido; Ataque por data, como exemplo: o vrus mais famoso Sexta-Feira 13 e um dos mais temidos Chemobil (Win.CIH) dia 26 de todos os meses e mais maldoso dia 26 de abril; Dentre outros.

24

BOOT o processo bsico que o microcomputador realiza para carregar qualquer tipo de sistema operacional, geralmente.

53

Uma outra espcie de vrus, chamados de "Vrus de Macro", no contaminam arquivos executveis, mas sim documentos de aplicativos que possuem linguagem de programao, como o Word, da Microsoft. Nestes aplicativos, possvel escrever programinhas para automatizar uma srie de tarefas, e os vrus consistem em programas que alteram as caractersticas do aplicativo, retirando opes dos menus, salvando arquivos vazios ou com nomes errados, etc. Mesmo estes vrus, que se escondem dentro de documentos, precisam ser abertos (ou lidos) no aplicativo que o criou para que a contaminao seja feita. Aps contaminado, o aplicativo faz uma cpia do vrus para todos os documentos abertos aps a contaminao, alastrando ainda mais o problema. Dependendo do grau de "liberdade" que a linguagem macro contida nestes aplicativos possui, um vrus de macro pode at mesmo apagar todos os seus arquivos. Os antivrus mais novos detectam e corrigem arquivos com estes vrus. (www.anti-hackers.com.br)

Os vrus podem utilizar-se de vrias formas de infestao, sendo: Criao: um programa desenvolvido com objetivo de inserir-se em outros programas, proliferando-se e executando as tarefas a que est programado em um dado momento; Disseminao: quanto um vrus fica atrelado a um software que se torna seu cavalo de tria, propagando-se toda vez que o usurio do software troca softwares com outros usurios por meio de redes pblicas ou disquetes; Contgio: quanto mais o programa hospedeiro se propaga, mais o vrus se reproduz e logo est se difundindo com outros usurios; Ataque: quando o vrus programado para funcionar, atravs de poca determinada, o pode vir do relgio/calendrio interno que os computadores utilizam para controlar seu processamento, para comear a atacar o computador. (Caruso, Steffen, 1991, pg 92 e 93)

54

Atualmente, estamos sofrendo ataques de vrus polimrficos, estes so vrus so chamados de polimrficos quando no podem ser detectados com as chamadas mscaras de vrus - as partes do cdigo especfico do vrus no modificvel. Isso feito de duas formas, atravs da criptografia do cdigo principal do vrus com uma chave no constante, constituda de conjuntos aleatrios de comandos de descriptografia ou pela modificao do cdigo executvel do vrus. Existindo outros exemplos poucos exticos de polimorfismo, por exemplo: o vrus de DOS Bomber no criptogrado, mas a seqncia de instrues que passa o controle para o corpo do vrus totalmente polimrfica. (AVP, 2000, www.modulo.com.br) Atualmente no mercado, se encontram disponveis dois tipos de programas antivrus, os que possibilitam a deteco de vrus j instalados em um sistema e os que evitam a instalao dos vrus, independente de serem ou no conhecidos. Os softwares que identificam a existncia de vrus acusam sua presena desde que faa parte de uma lista pr-existente de assinaturas de vrus. Enquanto os que procuram evitar a instalao do vrus, o fazem verificando a ocorrncia de comportamentos tpicos de vrus de computador, esses antivrus no aceitam mudanas em arquivos de programas, solicitam ao usurio autorizao quando um software tenta ficar residente na memria, assim como no permite a execuo de um programa que no esteja numa lista de aplicaes previamente testada e aprovada. Devido a isso, aconselhvel a utilizao de um antivrus reconhecido pela sua eficincia e eficcia. (Loss Control, 2001). Conforme informaes da 6 Pesquisa Nacional sobre a Segurana da Informao:
Os vrus (75%) permanecem como a maior ameaa segurana da informao nas empresas. Apesar de 93% das corporaes afirmarem j adotar sistemas de preveno contra vrus, 48% sofreram contaminao nos ltimos seis meses e apenas 11% das empresas entrevistadas declaram nunca ter sido infectadas. (Modulo Security Solutions, 2000, www.modulo.com.br)

55

9. BACKUP Backup um termo ingls utilizado para gerar cpia da informao gerada, por motivo de segurana. Tendo como objetivo preservar as informaes contra danos causados por acidentes ou no, informaes estas que podem significar horas ou meses de trabalho. A falta de cpias de segurana pode ocasionar prejuzos com a recuperao das informaes danificadas ou perdidas, assim como acarretar a paralisao das operaes da organizao.
A finalidade do Backup permitir a pronta recuperao de dados em caso de perdas acidentais ou intencionais e, desse modo, necessrio que toda informao fundamental ao funcionamento da organizao tenha a sua cpia de segurana, guardada em local adequadamente protegido. (Loss Control, 2001).

Segundo informaes da 6 Pesquisa nacional sobre Segurana da Informao. Entre as medidas de segurana mais adotadas esto: a preveno contra vrus (93%), o sistema de backup (915) e o firewall (89%). (Modulo Security Solutions, 2000, www.modulo.com.br) Assim como, em recente pesquisa divulgada pela empresa Iomega (fabricante de Zipdrivers e Zipdisks) 25% dos usurios de PCs tiveram problemas de perda de dados, podendo ser por causa de vrus ou de crackers25, a mesma pesquisa informa que mais de dois teros dos entrevistados admitem ter receio de perder dados importantes pelo mesmo motivo, problemas com energia tambm foram indicados como causador de perda de informaes. Conforme informaes da pesquisa, usurios domsticos e corporativos no tm o hbito de fazer backups de suas informaes e so constantemente surpreendidos por intrusos e pragas digitais, como podemos observar abaixo: 41% no fazem backup de seus dados; 69% dos usurios domsticos fazem backup esporadicamente; 46% dos usurios corporativos fazem mensais, quando lembram. (Iomega, 2001, www.modulo.com.br)

56

Um Backup bem feito, testado e corretamente armazenado, constitui o meio mais eficiente e seguro para minimizar as conseqncias de uma eventual perda de informaes, seja por acidente ou outro motivo qualquer. (Loss Control, 2001).

Os vrus de computador alteraram a maneira e as razes pelas quais os backups so feitos. Antigamente os backups eram feitos, em funo da preocupao de uma falha no disco rgido pudesse destruir os arquivos, e apenas os dados novos que tivessem sido inseridos recentemente seriam perdidos, os backups eram feitos freqentemente para que a perda fosse mnima. Atualmente, os backups so feitos com a preocupao de se restaurar as informaes em caso de ataque de vrus de computador, alm das preocupaes de falhas de hardware. Uma outra razo para fazer backup ajudar os Administradores de Rede a recuperarem os dados que um usurio eliminou por acidente. (Ximenes, 1993, pg 231)

25

Pessoas que se esforam para quebrar a segurana de um sistema pelo simples prazer de conseguir, quando comea a fazer pr maldade, para roubar ou enganar, este deixa de ser um cracker e passa a ser um hacker.

57

10. LEGISLAO VIGENTE A questo da segurana da informao na legislao vigente tem sua devida importncia na medida em que os sistemas de informao evoluem cada vez mais. E a necessidade de se manter uma legislao que iniba e penalize a prtica de delitos torna-se uma realidade no momento em que crimes so cometidos atravs da Internet, por agressores, que no necessitam sair d suas casas para execut-los, estes crimes podem ser praticados no estrangeiro assim como no Brasil, pois estamos vulnerveis a estes ataques. A Internet nos deixa vulnervel a incidncia de crimes virtuais, sem uma punio estabelecida em lei vigente.
A Internet , tambm, um caminho eficaz para diversos tipos de estelionato, lavagem de dinheiro, pornografia infantil, violaes a direitos autorais, divulgao de informaes sobre preparo de drogas, confeco de armas, propagandas ou comportamentos ilegais ou que violem direitos fundamentais, entre outras modalidades de crime. (Pannunzio, 2000, www.modulo.com.br)

Na tentativa de regularizar o uso dos sistemas de proteo da informao existem projetos de lei j em andamento no Congresso Nacional, que tratam das questes prticas em relao ao uso da Internet.
Art. 1 Os provedores de acesso a redes de computadores destinados ao uso pblico inclusive a Internet devero manter controle dos usurios de seus sistemas e registros das transaes efetuadas nos termos da lei. Art. 2 Consideram-se provedores de acesso para os efeitos desta lei: I. As empresas e instituies autorizadas a prestar servios de acesso Internet; II. Os estabelecimentos educacionais, as instituies de ensino e pesquisa e demais entidades, que ofeream servios de acesso, interconexo ou rateamento de trfego de rede de computadores, destinada a uso pblico, inclusive a Internet; III. Os rgos e entidades da administrao pblica direta e indireta que estejam interconectados a rede de computadores destinados ao uso pblico, inclusive a Internet. Art. 3 obrigatrio o registro de cada transao iniciada ou recebida pelo provedor de acesso, devendo conter a identificao da origem da transao e do seu destinatrio, o horrio de incio e concluso e a quantidade de dados enviados ou recebidos.

58

Art. 4 Os provedores de acesso devero manter cadastro de seus usurios permanentes e eventuais, atualizados periodicamente incluindo nome ou razo social, endereo, nmero de registro no cadastro de pessoas fsicas ou no cadastro geral de contribuintes da secretaria da receita federal e, quando for o caso, identificao da linha telefnica usualmente utilizada para o acesso discado a rede. Art. 5 Para cada conexo efetuada por um usurio, o provedor de acesso registrar o endereo de rede correspondente, o horrio de incio e trmino da conexo e a origem da chamada. Art. 6 As informaes de que trata esta lei devero permanecer em arquivo, podendo ser requeridas pela autoridade judiciria... (Projeto de lei n 3016, 2000, www.modulo.com.br)

O projeto de lei 3016 de 2000, ao tratar do registro de transaes de acesso a redes de computadores vem possibilitar o conhecimento daqueles que por ventura venham a praticar um crime atravs do uso dessa rede de informaes, ou seja, a segurana da informao estabelece a segurana de todo o sistema. Novas legislaes vem por uma necessidade da sociedade do Governo acompanhar a evoluo dessa nova era e sobre os aspectos de privacidade e segurana temos o Decreto-Lei n 3.505, de 13 de junho de 2000.
Art. 1 Fica instituda a Poltica de Segurana da Informao nos rgos e nas entidades da Administrao Pblica Federal, que tem como pressupostos bsicos: I - assegurar a garantia ao direito individual e coletivo das pessoas, inviolabilidade da sua intimidade e ao sigilo da correspondncia e das comunicaes, nos termos previstos na Constituio; II - proteo de assuntos que meream tratamento especial; III - capacitao dos segmentos das tecnologias sensveis; IV - uso soberano de mecanismos de segurana da informao, com o domnio de tecnologias sensveis e duais; V - criao, desenvolvimento e manuteno de mentalidade de segurana da informao; VI - capacitao cientfico-tecnolgica do Pas para uso da criptografia na segurana e defesa do Estado; e VII - conscientizao dos rgos e das entidades da Administrao Pblica Federal sobre a importncia das informaes processadas e sobre o risco da sua vulnerabilidade... (Decreto-Lei n 3.505, de 13 de junho de 2000, www.modulo.com.br)

59

Existe tambm em relao legislao penal o projeto de reforma do Cdigo Penal Brasileiro, que inclui em sua pauta de discusso os crimes virtuais, no que diz respeito informao, o furto de dados, violao e ataque virtual. Deve-se levar em considerao tambm que j existe na legislao vigente o direito de autoria nos softwares, o que impede de certa forma a violao da propriedade intelectual de programa de computadores e sua comercializao no pas. Neste sentido a lei 9.609 de 19 de fevereiro de 1998 vem respaldar este direito.
Art. 12 Violar direitos de auto de programa de computador: Pena deteno, de seis meses a dois anos ou multa. Pargrafo 1 - Se a violao consistir na reproduo, por qualquer meio, de programa de computador, no todo ou em parte, para fins de comrcio, sem a autorizao expressa, do autor ou de quem o represente: - Pena recluso de um a quatro anos e multa... (Lei 9.609, 1998).

60

11. AUDITORIA DE SISTEMAS A Auditoria de Sistemas objetiva promover a adequao e recomendaes, para o aprimoramento dos controles internos nos sistemas de informao da empresa, bem como na utilizao dos recursos humanos, materiais e tecnolgicos envolvidos nos processamentos dos mesmos. A auditoria de sistemas deve atuar em qualquer sistema de informao da empresa, quer no nvel estratgico, gerencial ou operacional.(Arima, 1994, pg 23). A funo do auditor de sistemas zelar para que as providncias planejadas estejam sendo desempenhadas conforme o previsto e planejado, analisando-se aspectos como o de atendimento aos recursos orados, sigilo das informaes a dados processados pelos sistemas de informaes empresariais, manuteno do processo de produo de software em bons termos, conforme planos empresariais, cuidando para que sua funo seja desempenhada no mximo sigilo, discrio, responsabilidade, compreenso dos envolvidos e atualizada nos termos tcnicos que dizem respeito produo de software.
Trocando em midos, o auditor, quando lidando com a produo de software, um profissional que, obedecendo a um plano de auditoria empresarial, avalia o processo de produo e seus desdobramentos, cuidando para que esteja sendo seguido e criticado ativamente pela empresa, promovendo sua alterao quando necessrio, mas nunca da aderncia aos padres instrudos. Ele realizar seu trabalho de verificaes, uso de mtricas de software, criao de mecanismos de gesto de riscos e treinamento em esferas diversas (gerenciais, operacionais, usurios, etc). (Jamil, Developers abril 2001, pg 44).

Englobando algumas etapas, a execuo de uma auditoria de sistemas, tais como: Planejamento: dividindo-se em planejamento geral e planejamento dos trabalhos em campo; Levantamentos iniciais; Elaborao do programa de trabalho; Execuo do programa de trabalho; Relatrios de auditoria; Concluso do trabalho. (IBRACON, 1999, pg 93 a 101).

61

Etapas estas que envolvem o desenvolvimento da auditoria dos sistemas de informao, implicando na validao e avaliao do controle do sistema de informaes em processamento eletrnico de dados, atentando para; Fidelidade da informao em relao ao dado; Segurana fsica; Segurana lgica; Confidencialidade; Segurana ambiental; Obedincia legislao em vigor; Eficincia; Obedincia s polticas da alta administrao.

A auditoria coleta dados que devem incluir qualquer tentativa de acessar um nvel de segurana diferente por qualquer pessoa, processo ou outra entidade da rede. Isso inclui login, logout, acesso de super usurio ou administrador, ou qualquer mudana de nvel de permisso. de especial importncia observar acessos anonymous ou guest a servidores pblicos. H trs meios bsicos de armazenagem de dados de auditoria: - O primeiro em arquivos comuns em disquetes ou discos rgidos em servidores; - O segundo em mdia apenas de leitura e - O terceiro em papel impresso. Obviamente, o meio mais inseguro em mdia magntica, j que o invasor pode apagar seu rastro durante uma invaso. Por outro lado o meio mais barato e permite anlise de dados por programas de auditoria. Desta ltima vantagem tambm goza a mdia apenas de leitura. O problema est no custo da mdia e do espao necessrio para sua armazenagem. Assim tambm o caso do papel impresso, porm para todos os meios imperativo manter segura conexo entre o dispositivo que propriamente realiza o registro dos dados e o que os armazena. Para que os dados coletados sejam de utilidade em caso de demandas judiciais, aconselhvel procurar orientao legal para saber que dados coletar. Se esses dados no forem definidos adequadamente antes de um incidente, isso pode resultar em falta de recursos para defesa em caso de um incidente.

62

Toda empresa que mantm dados de auditoria deve estar consciente de que muitos desses dados podem conter informaes pessoais cuja visualizao, mesmo em caso de uma pesquisa de rotina pelo sistema de segurana, pode representar um caso de invaso de privacidade.

63

CONCLUSO Como dito anteriormente Poltica de Segurana da Informao, um conjunto de normas que tem como finalidade informar aos usurios da informao a maneira adequada de utiliz-la e proteg-la, afim de que sejam evitadas fraudes e possveis invases, gerenciando, protegendo e distribuindo suas informaes e recursos. A Poltica de Segurana apresentada-se sob os seguintes aspectos: Poltica baseada em regras as regras deste tipo de poltica indicam o tipo de acesso que pode ser efetuado, como no caso de uma rede de computadores, os dispositivos que implementam os canais de comunicao, quando permitido transmitir dados nesses canais, etc. Poltica baseada em segurana o objetivo deste tipo de poltica permitir a implementao de um esquema de controle que possibilite especificar o que cada usurio pode ler, modificar ou usar para desempenhar suas funes na organizao. Envolver a rea de gesto e de tecnologia antes de conhecer qualquer sistema de informao fundamental, pois o sistema deve gerar confiana entre os usurios. Ao contrrio, do que comprar um sistema pronto e implant-lo sem conhecer as necessidades da empresa o mesmo que montar uma rede de gesto da informao sem atribuir claramente os deveres e direitos de cada usurio. Desta forma, pode-se assegurar a segurana da Informao, orientando aos usurios sobre a importncia e a necessidade de utiliz-la e respeit-la. Em nosso cenrio tecnolgico, financeiro, enfim mercadolgico esperar acontecer para comear a se preocupar, pode significar a perda da diferena competitiva, ou seja, permitir que o concorrente tenha seu maior bem, a informao, e esta pode ser fornecida por usurios internos ou externos, atravs de espionagens, invases ou falta de prudncia, respondendo assim o porque, das empresas se preocuparem com este assunto to importante. Segundo Strassmann, ex-CIO do Pentgono: Tecnologia como munio numa guerra.

64

Conforme Strassmann, ex-CIO26 do Pentgono, 10 dicas so sugeridas aos administradores para uma melhor anlise e aproveitamento da Tecnologia da Informao:
1. Faa uma anlise estratgica. Compare sua posio com a dos concorrentes e verifique como o computador pode fortalec-la. 2. Se um concorrente investe em algo, no significa que voc deva faz-lo. Se voc for forte, no vale a pena copiar o fraco. Se for fraco, no tem o mesmo flego. 3. Nunca decida gastar baseado apenas em questes tecnolgicas. 4. Nos clculos, no atribua tecnologia ganhos que podem ser obtidos por mudanas em processos estabelecidos. 5. Crie indicadores numricos precisos baseados nos objetivos estratgicos (como fatia de mercado ou taxa de crescimento). 6. Use tcnicas de justificativa que traduzam custos e benefcios em moeda corrente. Mas cuidado: no esquea indicadores estratgicos. 7. No esconda os custos recorrentes ao longo do projeto e faa uma anlise de riscos. 8. Cuidado com os mtodos dos vendedores em geral ele tm distores para favorecer a venda. 9. o presidente quem deve pedir rea de tecnologia o que for necessrio, no o contrrio. 10. Computadores no passam de plstico, vidro e metal. S as pessoas so importantes.
(Teixeira JR, Negcios Exame, Setembro 2001, pg 20).

Comentrios como os de Adjarma Azevedo, presidente da Alcoa latino-americana: Investimos horrores num sistema que prometia economizar em estoque e aumentar o capital de giro. Nada se comprovou. Estvamos no caminho errado. Gastamos a fundo perdido. So depoimentos de empresrios como este citado, que demonstra a importncia da integrao com os fornecedores, assunto de suma importncia para que a organizao cumpra com seus prazos e compromissos.

26

Chief Information Officer diretor de tecnologia e informao. o responsvel pela implantao e gerenciamento de sistemas, muitas vezes o CIO tambm cuida do site de comrcio eletrnico da empresa.

65

A logstica, assim como os demais departamentos possuem sua importncia na organizao, porm se destaca devido agregar valor ao estoque, distribuio do produto, enfim ao planejamento da empresa, esta pode ser influenciada e implementada pela TI (Tecnologia da Informao), atravs de sistemas que interligam empresas e seus fornecedores, planejam a produo e controlam estoques, para o ganho de produtividade e de tempo na fbrica, dando maior eficincia administrao, porm ressalta lembrar que a anlise se torna fundamental em qualquer momento, devido a prazo e comprometimento, assim como podemos analisar o comentrio a seguir. Tentamos comprar material de escritrio em mercados eletrnicos, na Web, mas desistimos. A demora na entrega no compensou os bons preos. Helio Durigan, diretor de materiais da Furukawa no Brasil. O departamento de marketing, a relao cliente X fornecedor, as campanhas promocionais e conseqentemente as vendas, que geram receita. Esbarram em um assunto delicado para os executivos conhecido como: investimento e custo, assunto este, que deve ser analisado e ponderado, porm sem muita demora, devido o avano da concorrncia a novos horizontes e maiores fatias do mercado atual e prspero. Os sistemas para anlise de dados dos clientes, gerao e controle de campanhas de marketing, devem possuir uma base de dados unificada que centralize as informaes dos diversos sistemas da empresa, para chegar a obter essencialmente bons resultados, comeando primeiramente com campanhas pequenas permitindo avaliar sua eficincia e servindo de aprendizado para projetos melhores e maiores. Ao invs, de campanhas abrangentes sem segmentao dos clientes, alm de custar caro, tm pouco sucesso, assim como, campanhas isoladas na empresa, que no envolvam equipes de marketing, vendas e atendimento, tm mais chances de fracassar. Como observamos, o planejamento se faz necessrio em qualquer momento da existncia da organizao, para auxiliar nesta tarefa a Tecnologia da Informao, prezando o maior ativo da empresa, a informao, disponibiliza aos administradores instrumentos para melhor gerenciar este bem, com sistemas que centralizam e gerenciam todos os canais de comunicao do cliente com a empresa, como exemplo: telefone, fax, e-mail e web. Identificando os clientes, o perfil, as necessidades, para oferecer o melhor atendimento de forma diferenciada e gil, garantindo a qualidade e a rentabilidade, atravs de sites e telefones de auto-atendimento poupando tempo do cliente e reduzindo custos para a empresa.

66

Por falar em reduzir custos, as invases, as espionagens e os famosos e-mails de correntes e piadas, tem por hbito congestionar a rede, o que impede a chegada de pedidos e atrapalha o fechamento de negcios, dentre outros assuntos corporativos, para amenizar este tipo de situao a Tecnologia da Informao, disponibiliza ferramentas de filtragem de contedo, tais como Firewall, que impedem o acesso a sites inadequados e bloqueiam e-mail de correntes de piadas, assim como funciona literalmente como uma porta corta-fogo contra tentativas de invaso da rede interna da empresa, conseqentemente reduzindo custos e possibilitando o aumento da receita. A implantao da Poltica de Segurana exige a necessidade de um consultor ? Qual a necessidade da empresa ? At que ponto deve-se investir ? Possumos profissionais capacitados para o assunto ? Estes so questionamentos que os executivos se fazem antes de ceder aos encantos de uma consultoria, mas qual deve ser nossa posio antes de contratar qualquer consultor ? Primeiramente devemos descobrir o que a empresa precisa, j diminui o gasto em horas com a consultoria, pois muitas organizaes desconhecem sua real necessidade, posteriormente conhecer a capacidade dos profissionais que esto sendo contratados para efetuar o servio, analisando experincias passadas e verificando o quanto estes entendem do negcio da empresa contratante, sendo interessante analisar experincias passadas, pois o custo se torna maior, uma vez que se utiliza profissionais da prpria organizao, que no esto atualizados com o resultado buscado pela empresa, que demandaria demora nas pesquisas e nos resultados, devido a isto a consultoria se torna mais rentvel, mesmo porque o consultor vive esta realidade e possui experincias anteriores de diversas organizaes, o que implica em um resultado mais enxuto e eficaz. Deve-se acompanhar todos os passos da consultoria, negando o controle do projeto ao consultor, o que pode ser o primeiro passo para o fracasso. Deve-se definir e tornar as todas as regras bem claras antes de assinar qualquer contrato de prestao de servios, definindo as medidas de retorno sobre o investimento at o perfil do consultor que executar o projeto. Assim como, os servios de terceirizao, se a empresa no tem experincia com terceirizao, essencial criar projetos pilotos para aprender a medir resultados. Nos contratos de terceirizao, de grande valia se precaver para garantir que, no caso de insatisfao, uma desistncia seja indolor e barata, pois um nvel elevado de pessoal terceirizado, pode fazer a empresa perder funcionrios estratgicos, o que nos leva a ponderar se vale pena prosseguir.

67

O planejamento, como dito anteriormente a alma de qualquer empresa, principalmente quando estamos nos referindo a atualizao de equipamentos e programas. Sem deixar que o parque fique defasado, prolongue ao mximo sua vida til, isso pode ser feito, por exemplo, reaproveitando micros mais antigos em reas menos crticas da empresa. Ao contrrio de depreciar os equipamentos no balano de modo enganoso, ou seja, considerar sem valor o que ainda est funcionando ou dar valor quilo que j sucata, devendo-se considerar equipamentos e programas apenas como despesas. Pesquisando preos e tipos de servios, testando todas as tecnologias possveis, esse o nico jeito de descobrir qual o servio ideal para a empresa. Caso, o negcio dependa de agilidade da informao, no hesite: alugue uma rede de dados e um link para Internet. Ao contrrio, de pagar interurbanos para filiais e escritrios da empresa, pois sai mais barato ter uma rede de voz, e exagerar na capacidade de transmisso da rede pode ocasionar custo, pois rede ociosa sinnimo de prejuzo.

68

BIBLIOGRAFIA ALVIM, Paulo. Enterprise Information Portals: integrando Aplicaes na Web. Developers. Ano 5 - n 56. Abril/2001. COZER, Alberto. Existem Solues Viveis para um Mundo Pequeno. Developers. Ano 5 n 56. Abril/2001. ERNSBERGER, Richard. EMERSON, Tony. The Shadowy World of SOFTWARE PIRACY. Newsweek. April 9, 2001. GUROVITZ, Helio. Falta de medida. Exame. 18 de abril de 2001. JAMIL, George Leal. Auditor de Segurana/Sistemas: Xerife em Cena. Developers. Ano 5 - n 56. Abril/2001. LOSS CONTROL Consultoria e Assessoria Ltda Autotreinamento em Segurana da Informao em CD-ROM da LOSS CONTROL MEIRELES, Andrei. PEDROSA, Mino. O painel do senado confirma S FALTA CASSAR. ISTO . 25 de Abril/2001 n 1647. MOLINARI, Leonardo. Security & Network Testing: a Fronteira Final de uma Rede. Developers. Ano 5 - n 56. Abril/2001. SANTOS, Manoel Antnio dos. Combate ao software pirata chega ao usurio domstico. PC WORLD. Abril 2001. n 106. TEIXEIRA JR, Srgio. D para se defender do desperdcio? Negcios Exame. Ano 2 N 9 Edio 12. VERGARA, Sylvia Constant. Relatrio de Projetos de Pesquisa em Administrao. So Paulo: Atlas, 1999. WANGENHEIM, Aldo Von. KRECHEL, Dirk. JR BARROS, Euclides. BIASI, Herculano de. RIBEIRO, Leonardo Andrade. Integrando Servios de Radiologia Atravs de um Portal de BDs. Developers. Ano 5 - n 56. Abril/2001. BRASIL, Decreto-Lei n 3.505, de 13 de junho de 2000. Institui a Poltica de Segurana da Informao nos rgos e entidades da administrao Pblica Federal. Dirio Oficial [da Repblica Federativa do Brasil], 14 jun. 2000.

69

BRASIL, Lei n 9.609, de 19 de fevereiro de 1998. Dispe sobre a proteo da propriedade intelectual de programa de computador, sua comercializao no pas e d outras providncias. Organizador: Luiz Flvio Gomes. So Paulo: editora Revista dos Tribunais, 1999 (RT mini cdigos).

WWW.ABES.ORG.BR WWW.DEVELOPERS.COM.BR WWW.SUNSOFTWARE.COM.BR WWW.MODULO.COM.BR

70