Instituto Federal de Cincias, Educao e Tecnologia do Sul de Minas Gerais

CURSO SUPERIOR EM REDES DE COMPUTADORES

3 perodo

MATEUS OLIVEIRA CABRAL

Estratgias de segurana para gerencia de usurios e grupos

Inconfidentes 2012

1. Estratgia: O que e a que Veio

Diversos autores tm discutido sobre as origens e o significado do termo estratgia. Alguns, como Sacconi (1998), afirmam que estratgia pode ser entendida como o conhecimento necessrio para a realizao de desgnios hbeis que determinam uma posio privilegiada para a organizao. Deste modo, oferece-se uma perspectiva apropriadamente racional para o ato estratgico, definindo-o como ato que no prescinde de cientificidade e coerncia e que caracterizado por aperfeioar a realizao de um plano hbil (estratagema). De acordo com Sacconi, a estratgia fruto da atividade criativa do ser humano, de sua argcia administrativa que norteia as decises institucionais. Por sua vez, Maslow (2001) assevera que caractersticas psicolgicas particulares motivam posturas especficas nos ambientes organizacionais.

Entretanto, estratgia no se limita to somente a estratagemas, alcanando uma proporo que vai alm da elaborao de um simples ardil. A idia do termo estratgia se ligava originalmente, em grego, a um magistrado ou comandante-chefe militar. O estrategista como comandante militar tem por responsabilidade privilegiar seus potenciais militares e foras sob seu comando a fim de maximizar as oportunidades de sucesso em conflitos. Na viso de Ferreira (1994), estratgia a arte militar de planejar e executar movimentos e operaes que visam alcanar ou manter posies relativas e potenciais blicos favorveis a futuras incurses de exrcitos. Assim, a estratgia como atitude lgica e engenhosa cujo objetivo privilegiar uma organizao especfica se origina da necessidade militar de sobrepor interesses e posies de vantagem de uma armada sobre outra. Ainda que no haja guerras no mercado alm das comerciais, a estratgia utilizada pelas corporaes no mesmo sentido, procurando vantagens sobre seus concorrentes.

Atualmente, os gestores organizacionais, em especial os de alto escalo, tm por finalidade a promoo da instituio, seus produtos, servios e ativos, de tal modo que estes sejam bem sucedidos no mercado a partir de aes racionais, seguras e afinadas com os mecanismos de interao do mercado. Por tanto, o estrategista organizacional tem necessidade de dados e informaes que possibilitem tomadas de decises fundamentadas. Assim, as decises sero tomadas a partir de uma anlise que pondere as relaes internas e externas organizao. Alis, as condies econmicas, culturais e sociais so determinadas por informaes e relaes de dados que emergem destes mesmos entes em um processo iterativo, em rede, complexo e multivariante.

A estratgia organizacional tambm uma forma de inserir a cultura organizacional nas atitudes dos administradores, em especial dos de alto escalo. Castor (2000) discorre acerca da condio brasileira de mercados, governo e burocracia, revelando condicionantes culturais nas aes de administradores de empresas nacionais. Assim, as estratgias so particulares de cada instituio e so, ao mesmo tempo, uma resposta adaptativa ao meio. A estratgia como resultante dos esforos racionais da organizao em resposta aos

desafios que o ambiente externo lhe interpe. O mesmo pode ser dito em relao ao desenvolvimento das capacidades internas no sentido de se aperfeioarem para que a instituio corresponda s expectativas de seus acionistas, participantes, clientes,

organizaes parceiras, sociedade, etc. Assim, estratgias organizacionais podem, ao mesmo tempo, atenderem a imperativos externos e internos, independente de reas e departamentos, de segmentos e localizao de mercados e de atividades organizacionais. O processo organizacional opera taticamente no processo dialtico entre a negao de

estratgias que se esgotaram e estratgias a serem implementadas no intento de satisfazerem tais imperativos. Cunha e Cunha (1999) corroboram tal percepo. Tanto o mercado como as organizaes so entes dinmicos que evoluem, ora em sentidos opostos, ora no mesmo sentido, mas que sempre buscam um discurso e prtica consensual, dada influncia mtua que exercem entre si. Em especial, a gesto estratgica de informaes e dados fundamental para as organizaes, uma vez que possibilita tomadas de deciso que sustentam outros processos de gesto e outros processos estratgico destacasse a necessidade de dados e informaes para o estabelecimento de estratgias. Assim, passa-se a discorrer acerca da importncia da informao nos processos estratgicos.

2. A importncia da Informao nos Processos Estratgicos

O domnio da informao sempre teve fundamental importncia para as corporaes do ponto de vista estratgico e empresarial. Dispor da informao correta, na hora adequada, significa tomar uma deciso de forma gil e eficiente. Com a evoluo dos sistemas de informao, ganhou-se mobilidade, inteligncia e real capacidade de gesto. A informao substrato da inteligncia competitiva e deve ser administrada em seus particulares, diferenciada e

salvaguardada. Ela funciona como um recurso essencial para a definio de estratgias alternativas e para a constituio de uma organizao flexvel, onde o aprendizado constante. Ela ajuda na identificao das ameaas e das oportunidades para a empresa e cria o cenrio para uma resposta competitiva mais eficaz. Nem toda informao crucial ou essencial a ponto de merecer cuidados especiais. Por outro lado, uma determinada informao pode ser to vital que o custo de sua integridade, qualquer que seja, ainda ser menor que o custo de no dispor dela adequadamente.Classifica-se a informao em nveis de prioridade, respeitando a necessidade de cada empresa assim como a importncia da classe de informao para a manuteno das atividades da empresa:

Pblica. Informao que pode vir a pblico sem maiores conseqncias danosas ao funcionamento normal da empresa, e cuja integridade no vital. Interna. O acesso livre a este tipo de informao deve ser evitado, embora as conseqncias do uso no autorizado no sejam por demais srias. Sua integridade importante, mesmo que no seja vital. Confidencial. Informao restrita aos limites da empresa, cuja divulgao ou perda pode levar a desequilbrio operacional, e eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo. Secreta. Informao crtica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um nmero reduzido de pessoas. A segurana desse tipo de informao vital para a companhia. Independente da relevncia ou do tipo da informao, a gesto dos dados organizacionais estratgica porque possibilita a tomada de decises em qualquer mbito institucional. De fato, algumas informaes so centrais para a organizao, e sua divulgao parcial ou total pode acarretar repercusses cuja complexidade pode ser pouco ou nada administrvel pela organizao. E necessrio cuidado com a integridade, a preciso, a atualidade, a interpretao e o valor geral da informao. A divulgao das informaes confidenciais ou secretas pelos elementos que participam da organizao constitui-se em uma falta tica e moral grave, na economia do conhecimento, a divulgao de dados ou informaes organizacionais pode trazer perdas econmicas ou danos

3. Critrios para Segurana da informao

evidente que os negcios esto cada vez mais dependentes das tecnologias e estas precisam proporcionar confidencialidade, integridade e disponibilidade. H trs princpios bsicos para garantir a segurana da informao: Confidencialidade. A informao somente pode ser acessada por pessoas explicitamente autorizadas. a proteo de sistemas de informao para impedir que pessoas no autorizadas tenham acesso. Disponibilidade. A informao deve estar disponvel no momento em que a mesma for necessria. Integridade. A informao deve ser recuperada em sua forma original (no momento em que foi armazenada). a proteo dos dados ou informaes contra modificaes intencionais ou acidentais no-autorizadas. O item integridade no pode ser confundido com confiabilidade do contedo (significado) da informao. Uma informao pode ser imprecisa, mas deve permanecer integra (no sofrer alteraes por pessoas no autorizadas). Alguns autores defendem que para que uma informao seja considera segura, o sistema que o administra ainda deve respeitar os seguintes critrios: Autenticidade. Garante que a informao ou o usurio da mesma autntico. No repdio. No possvel negar (no sentido de dizer que no foi feito) uma operao ou servio que modificou ou criou uma informao; no possvel negar o envio ou recepo de uma informao ou dado. Legalidade. Garante a legalidade (jurdica) da informao; a aderncia de um sistema legislao; e as caractersticas das informaes que possuem valor legal dentro de um processo de comunicao, onde todos os ativos esto de acordo com as clusulas contratuais pactuadas ou a legislao nacional ou internacional vigente. Privacidade. Foge do aspecto de confidencialidade, pois uma informao pode ser considerada confidencial, mas no privada. Uma informao privada deve poder ser vista / lida / alterada somente pelo seu dono. Garante ainda, que a informao no ser disponibilizada para outras pessoas (neste caso atribudo o carter de confidencialidade

informao). a capacidade de um usurio realizar aes em um sistema sem que seja identificado. Auditoria. Rastreabilidade dos diversos passos de um negcio ou processo, identificando os participantes, os locais e horrios de cada etapa. A auditoria aumenta

4.Linux: Gerenciamento de usurios, grupos e permisses

O gerenciamento de usurios no Linux um tema bem conhecido, mas, ao mesmo tempo, fonte de vrias dvidas. Este um mini-tutorial sobre o gerenciamento de usurios, grupos e permisses de acesso via linha de comando, onde voc pode tirar suas dvidas. Como bem sabemos, o Linux um sistema multiusurio, cujas razes remetem aos sistemas Unix. O sistema pode ser usado por inmeros usurios simultaneamente, sem que um atrapalhe as atividades do outro, nem que possa alterar seus arquivos. Dois exemplos extremos seriam um servidor LTSP, onde dezenas de usurios podem rodar aplicativos simultaneamente, via rede, atravs de terminais burros conectados ao servidor principal, e um servidor web de shared hosting, que pode hospedar milhares de sites diferentes, cada um administrado por um usurio diferente. As restries bsicas de acesso so implementadas atravs de um sistema de permisses simples, porm eficiente, que consiste num conjunto de trs permisses de acesso (ler, gravar e executar) e trs grupos (dono, grupo e outros), que combinadas permitem fazer muita coisa. Os dois comandos mais bsicos so o "adduser" e o "passwd", que permitem, respectivamente adicionar novos usurios e alterar as senhas de acesso posteriormente, como em: # adduser joao

(cria o usurio joao, especificando uma senha inicial) # passwd joao

(altera a senha posteriormente)

O prprio usurio pode alterar a senha usando o comando "passwd", desde que ele saiba a senha antiga. Se o usurio esqueceu a senha, voc pode definir uma nova executando o comando como root; nesse caso o sistema pede a nova senha diretamente, sem solicitar a senha antiga. Os usurios so cadastrados no sistema atravs do arquivo "/etc/passwd". Se tiver curiosidade em olhar dentro do arquivo voc ver uma entrada para cada usurio, incluindo o diretrio home e o shell usado, como em: joao:x:1001:1001:,,,:/home/joao:/bin/bash

Assim como qualquer outro arquivo de configurao, o "/etc/passwd" pode ser editado manualmente, ou com a ajuda do comando "usermod". Existem diversas situaes em que voc pode desejar trocar o shell padro ou o diretrio home do usurio, de forma a limitar o acesso ao servidor. Em um servidor web compartilhado por muitos usurios, por exemplo, o diretrio home de cada usurio seria a pasta contendo os arquivos do site, e o shell padro seria um aplicativo como o MySecureShell, destinado a limitar o acesso do usurio a esta pasta especfica. Para alterar o shell do usurio voc usa o parmetro "-s", como em: # usermod -s /usr/bin/rssh manuel

Para alterar o home, voc usa o parmetro "-d", como em: # usermod -d /var/www/manuel manuel

Voc pode tambm especificar estes parmetros diretamente ao criar o usurio, como em: # adduser --home /var/www/manuel --shell /usr/bin/rssh manuel

Bem antigamente, as senhas eram salvas no prprio arquivo "/etc/passwd", juntamente com as demais informaes, o que abria brecha para diversos tipos de ataques. A partir de um certo ponto (por volta de 1996) todas as distribuies passaram a utilizar o sistema shadow, onde as senhas so armazenadas de forma encriptada em um arquivo separado, o "/etc/shadow". Dentro do arquivo voc ver entradas contendo a senha encriptada, como em: joao:$1$LpQPRMC5$eHXLjiW7ks80LQcepW0Rz.:13993:0:99999:7:::

As senhas so encriptadas usando um algoritmo de mo nica, que permite apenas encriptar as senhas, mas no recuper-las. Durante o login, o sistema aplica o mesmo algoritmo senha digitada pelo usurio e compara a string resultante com a armazenada no arquivo. Se o resultado for o mesmo, o sistema sabe que a senha confere e o acesso autorizado. Este sistema faz com que as senhas no sejam recuperveis, j que a senha propriamente dita no salva em lugar nenhum. Se o usurio esqueceu a senha, voc pode usar (como root) o comando "passwd" para definir uma nova, mas no possvel recuperar a senha antiga. Ferramentas como o John the ripper permitem descobrir as senhas armazenadas no arquivo "/etc/shadow" usando um ataque de fora bruta, que consiste em simplesmente testar todas as possibilidades (incluindo alguns refinamentos, como descobrir senhas fceis, baseadas em palavras do dicionrio) at descobrir a senha. Este mtodo funciona bem em senhas fceis, com at 6 caracteres, mas invivel no caso de boas senhas, com 8 caracteres ou mais. A senha referente ao usurio "joao", que usei como exemplo, poderia ser descoberta rapidamente. Baixe o programa no http://www.openwall.com/john/ (ou instale-o usando o apt-get/yum) e tente descobrir qual :) Continuando, para remover um usurio anteriormente criado, utilize o comando "deluser", como em: # deluser joao

Por questo de segurana, o comando remove apenas a conta, sem apagar o diretrio home, ou outras pastas (como o diretrio de spool dos e-mails). O diretrio home especialmente importante, pois ele guarda todas as configuraes e os arquivos do usurio, de forma que em

um servidor voc s deve remov-lo depois de ter realmente certeza do que est fazendo. Para remover o usurio apagando tambm o diretrio home, adicione o parmetro "--removehome", como em: # deluser joao --remove-home

Como comentei, o diretrio home importante, por concentrar todos os arquivos do usurio. Uma opo saudvel ao remov-lo criar um backup, de forma que voc possa restaur-lo mais tarde caso necessrio. Para isso, use a opo "--backup", que cria um arquivo compactado, contendo os arquivos do usurio, salvo no diretrio onde o comando for executado: # deluser joao --remove-home --backup

Se executasse o comando "ls" depois de remover o usurio "joao" usando a opo de backup, veria que foi criado o arquivo "joao.tar.bz2", referente ao backup. Voc tambm pode bloquear temporariamente um usurio, sem remover o home ou qualquer outro arquivo usando o comando "passwd -l", como em: # passwd -l joao

O "passwd -l" realmente trava a conta, fazendo com que o sistema passe a recursar qualquer senha inserida na hora do login. Para desbloquear a conta posteriormente, use o "passwd -u", como em: # passwd -u joao

O Fedora e o CentOS incluem o system-config-users, um utilitrio grfico de administrao de usurios. Uma verso levemente modificada dele pode ser encontrada no Ubuntu e em outras verses baseadas no Debian, na forma do "users-admin", que faz parte do pacote "gnome-system-tools".

Alm da configurao dos usurios, temos a configurao dos grupos, que permitem organizar os usurios, definindo as permisses de acesso de forma mais granular. Imagine um caso em que voc tenha um servidor compartilhado entre vrios usurios, onde apenas trs deles, "maria", "jose" e "joao" devem ter acesso pasta "/var/www/intranet", que contm os arquivos do site interno da empresa. Uma forma simples fazer isso criar um grupo, adicionar os trs usurios ao grupo e ajustar as permisses da pasta de forma que o grupo tenha permisso de escrita. Para adicionar o grupo, usamos o comando "groupadd", como em: # groupadd intranet

Para adicionar os usurios desejados ao grupo, usamos o prprio comando "adduser", seguido pelo login e o grupo ao qual ele deve ser adicionado (um de cada vez), como em: # adduser maria intranet

No CentOS e em outras distribuies derivadas do Red Hat, o comando "adduser" um link para o comando "useradd", que no suporta essa opo. No caso delas, usamos o comando "usermod -a -G", seguido do usurio e do grupo ao qual ele ser adicionado, como em: # usermod -a -G maria intranet

Se voc est usando o system-config-users, ou o users-admin, pode tambm adicionar os usurios ao grupo acessando as propriedades do grupo:

Existem algumas outras pequenas diferenas entre as opes aceitas pelo comando "adduser" entre distribuies derivadas do Debian e derivadas do Red Hat, pois ele na verdade um script, que pode ser alterado pelos desenvolvedores para adicionar atalhos ou funes diversas. Voltando ao tema principal, depois de adicionar os usurios ao grupo, falta ajustar as permisses de acesso, o que feito usando os comandos "chmod" e "chown". O primeiro permite ajustar as permisses dos arquivos e pastas, enquanto o segundo permite transferir a posse, dizendo a qual usurio e a qual grupo determinada pasta ou arquivo pertence. No Linux, as permisses so agrupadas em 3 atributos

principais: leitura, gravao eexecuo (no caso dos arquivos) ou listagem do contedo (no caso das pastas). Eles so representados, respectivamente, pelas letras r, w e x. As permisses so definidas de forma separada para o dono, o grupo (que inclui todos os usurios includos nele) e para os outros ou seja, todos os demais usurios do sistema. Em geral, o dono tem acesso completo, o grupo tem permisses variveis, de acordo com a funo da pasta, e os demais podem apenas ler os arquivos, sem alterar o contedo. Se a pasta "/var/www/intranet" no nosso exemplo anterior foi criada pelo root, as permisses de acesso (informadas pelo comando "ls -l") sero: drwxr-xr-x 2 root root 4096 Jun 18 09:43 intranet

O primeiro "d" indica que se trata de um diretrio. As trs letras seguintes (rwx) indicam as permisses de acesso para o dono da pasta, que no caso possui acesso completo. Em seguida, temos as permisses de acesso para o grupo (r-x), cujos integrantes podem listar o contedo da pasta (x) e podem ler os arquivos (r), sem poderem alterar nada. As trs ltimas letras (r-x) indicam as permisses para os demais usurios, que tambm podem apenas ler. O "root root" indica o dono e o grupo ao qual pertence a pasta, no caso o root. Ao cadastrar um usurio no sistema sempre criado um grupo com o mesmo nome (contendo apenas o prprio usurio), o que explica o fato da pasta pertencer ao usurio "root" e tambm ao grupo "root". :) Para que os usurios do grupo "intranet" possam alterar o contedo da pasta, o primeiro passo alterar as permisses, transferindo a posse do grupo "root" para o grupo "intranet". Nesse caso no precisamos alterar o dono da pasta, que pode continuar sendo o root: # chown -R root:intranet /var/www/intranet

O "-R" no exemplo faz com que a alterao seja aplicada de forma recursiva, afetando todos os arquivos e sub-pastas. Sem ele, a alterao seria aplicada apenas pasta propriamente dita, mas no ao seu contedo. Em seguida, especificamos o novo dono e o novo grupo, separados por ":", seguido da pasta. Com isso, as permisses sero alteradas para: drwxr-xr-x 2 root intranet 4096 Jun 18 09:51 intranet

Falta agora alterar as permisses de acesso para o grupo, de forma que os usurios possam finalmente escrever na pasta. Para isso, usamos o comando "chmod -R g+rw", que especifica que o grupo (g) ter permisso de leitura e escrita (+rw): # chmod -R g+rw /var/www/intranet

Se voc quisesse fazer o oposto, ou seja, remover a permisso de escrita para o grupo, usaria o "chmod -R g-w /var/www/intranet", se quisesse remover a permisso de leitura para todos os

demais usurios usaria o "chmod -R o-r" e, se quisesse abrir as permisses para todo mundo, usaria o "chmod -R ugo+rwx". Aqui vai uma pequena cola com os parmetros: -R : Recursivo, altera as permisses de todo o contedo da pasta, opcional. u : Permisses para o dono da pasta (user). g : Permisses para o grupo (group). o : Permisses para os demais (others). + :Adiciona a permisso

- : Remove a permisso r :Permisso de w :Permisso de leitura escrita

x : No caso dos arquivos indica permisso de escrita e, no caso da pasta, permisso para ver o contedo. Voc pode tambm especificar as permisses de acesso no formato clssico, onde as permisses so representadas por trs nmeros, como em: # chmod -R 775 /var/www/intranet

Nesse caso, os trs nmeros indicam, respectivamente, as permisses de acesso para o dono, grupo e para os outros. Cada nmero representa a soma das permisses desejadas, sendo que: 4 :Leitura 2 :Gravao 1 : Execuo / listagem Voc simplesmente soma estes nmeros para ter o nmero referente ao conjunto de permisses que deseja: 0: Sem permisso alguma. Acesso negado.

1 : Permisso apenas para executar (no possvel ler o arquivo ou alter-lo, apenas executar um programa) ou, no caso das pastas, permisso apenas para ver a lista dos arquivos dentro da pasta, sem poder abr-los.

4 : Apenas leitura. Se usado em uma pasta, o usurio no conseguir listar o contedo, ou

seja, conseguir

abrir

os

arquivos

apenas

caso

indique

o caminho completo.

5 (4+1): Ler e executar (no caso de um arquivo) ou ver os arquivos e abri-los, no caso de uma pasta. 6 (4+2): Leitura e gravao. Assim como no caso do "4", se usado em uma pasta faz com que o usurio no consiga listar o contedo, apenas acessar os arquivos diretamente. 7 (4+2+1): Controle total.

5.Crescimento das Ameaas Cibernticas Impulsionando Estratgias de Segurana

Quase 50% das empresas globais, acreditam possuir uma estratgia de segurana eficaz de informao e so pr-ativas ao executar seus planos, colocando-os na categoria de informaes de segurana "front runners". De acordo com um estudo feito pela especialista em auditoria e consultoria de segurana, PwC, 25% dos inquiridos se identificaram como estrategistas, enquanto o restante se identificou como "firefighters", ou seja, remediam ao invs de prevenir.

A nona pesquisa anual, realizada entre mais de 9.600 executivos de segurana de 138 pases, descobriu que 72% dos inquiridos confia no relatrio de eficcia das atividades realizadas na sua organizao. No entanto, a confiana diminuiu acentuadamente desde o ano de 2006.

Com a pesquisa realizada, foi possvel enxergar uma nova definio de um lder de segurana da informao. Aqueles identificados como lderes, exibem uma estratgia global de segurana ajustada, medindo e analisando a eficcia da poltica de segurana aplicada, alm de haver uma melhor compreenso das falhas de segurana que a organizao enfrentou no ano passado.

6.Maior

Percepo

Sobre

as

Ameaas

de

Crimes

Cibernticos

De acordo com Mark Lobel, um dos principais consultores da PwC, as empresas agora tm percepes maiores do que nunca com a paisagem dos crimes cibernticos e outros eventos de segurana, e assim, traduzem essa informao em investimentos voltados especificamente

trs reas: preveno, deteco e operacional, relacionados com as tecnologias web.

Apenas alguns anos atrs, quase metade dos que responderam a pesquisas desse tipo, no conseguiam responder s perguntas mais bsicas sobre segurana, relacionadas com violaes. Aproximadamente 80% ou mais dos entrevistados, podem fornecer informaes especficas sobre a freqncia, tipo e fonte de brechas de segurana que suas organizaes enfrentaram durante este ano de 2011.

Lobel tambm disse que, aps trs anos de corte de oramentos na rea da segurana da informao, os entrevistados mostraram-se bastante otimistas em relao aos gastos com segurana. Porm, muitas das vulnerabilidades que comearam a surgir no ano passado - dois anos aps a crise econmica mundial, ainda esto presentes e requerem muita ateno.
7.Planejando uma estratgia de segurana: Trs perguntas centrais para se fazer

Com ameaas de cibersegurana cada vez maiores e o acesso disseminado a informaes, CISOs esto sobrecarregados por uma necessidade urgente e recorrente de revisar a infraestrutura de segurana da sua organizao enquanto protegem seus ativos de informaes. Simultaneamente, os CEOs esto pensando em como descobrir maneiras de baixo custo para aplicar recursos e dlares para ajudar a garantir a segurana por toda a organizao, que frequentemente ultrapassa fronteiras geogrficas. A busca por uma resposta simples para uma questo complexa um problema comum tanto a CISOs quanto a CEOs. "Com que produto devo comear?" uma pergunta inicial comum, mas tambm pode ser a pergunta errada a fazer. A menos que tenha experimentado um claro sintoma bvio, como violao de segurana, essa pergunta prematura. A estratgia prtica para uma implementao de segurana tem muito mais probabilidade de ser desenvolvida atravs de um processo mais prescritivo. Antes de prescrever um remdio, cada organizao precisa olhar para si prpria e para as suas motivaes, realizando uma autoavaliao diagnstica. H, como um mnimo, trs perguntas centrais que toda organizao, executivo de nvel C, consultor de segurana ou outros devem poder responder sinceramente antes de receber um diagnstico de segurana adequado. Embora venham centenas de perguntas adicionais, essas trs perguntas-chave devem ser feitas ao se considerar por onde comear:

Pergunta 1: Por que voc est fazendo isso? Ningum decide que precisa de uma segurana melhor porque teve uma epifania e agora acredita que segurana est acima de todas as outras prioridades organizacionais. sempre porque algo aconteceu. Uma aula, um webcast ou um seminrio que oferece percepo sobre ameaas de segurana pode ser o catalisador. Talvez a segurana da organizao tenha sido violada, ou algum ouviu dizer que uma empresa na sua rea foi violada. Frequentemente, a equipe simplesmente solicitada a abordar questes de segurana ou aumentar sua postura de segurana por um gerente, um auditor ou um executivo. Dependendo de qual a sua motivao, seu primeiro passo pode ser diferente. Se a sua segurana foi violada, voc claramente precisa concluir qualquer triagem e limpeza que esteja realizando. Alm disso, necessrio estabelecer meios de proteo contra nova infeco ou ressurgimento de remanescentes da mesma explorao. A resposta breve para a pergunta principal de por que voc est fazendo isso que a sua organizao est interessada em segurana. Assim, comear por entender os motivos pelos quais a sua organizao no est protegida o suficiente um bom ponto inicial. Isso fornece uma meta muito mais focada e tambm linguagem e contexto comuns em que falar sobre sua segurana interior.

Pergunta 2: O que voc est tentando proteger? Essa uma pergunta particularmente esclarecedora para indivduos que so mais novos na rea, mas pode fornecer muita percepo para membros experientes da equipe que pensam nas implicaes desse processo de reviso. Para muitos, a reao instintiva sobre o que voc est tentando proteger "minhas redes", mas quando pressionados ou quando tm mais tempo para pensar, podem responder "meus dados", "meu negcio", "minha reputao" ou "meu tempo". Dependendo da sua meta, sua resposta a essa pergunta pode levar a uma sequncia de outras perguntas sobre os detalhes de qualquer conjunto de recursos que voc precisa proteger. Segurana est entre as disciplinas mais obscuras e requer exame cuidadoso para render uma base slida sobre o que voc realmente precisa. Na ausncia de uma estratgia real, pode-se argumentar que qualquer coisa vai torn-la melhor, mas poucas organizaes desejam apenas "melhorar". A maioria das organizaes deseja pelo menos ser "boa o suficiente", e ser "boa o suficiente" est intimamente relacionado quilo que deve ser protegido e quo protegido deve ser.

Pergunta 3: O que acontecer se voc no fizer isso direito? A natureza humana, ou pelo menos os seus componentes nobres, nos tornam propensos a querer fazer o que certo. Acredito que as pessoas pedem aconselhamento sobre segurana porque realmente desejam estar mais bem informadas e fazer um trabalho melhor, o que tudo fazer o bem. Infelizmente, em muitos casos, o desejo de ter uma segurana confivel tende a esfriar abruptamente quando surge a dura realidade de financiamento, inconvenincia e mudana. Segurana no gratuita, e boa segurana no barata nem conveniente. No comeo de qualquer novo processo de segurana, ou no comeo de uma ampliao de um programa de segurana existente, muito importante fazer a pergunta "o que acontecer se eu no fizer isso direito", porque saber se imperativo ou apenas interessante far toda a diferena no que diz respeito a fazer as escolhas necessrias. Se falha significar perda de trabalhos, receita e reputao, haver um suporte robusto para a pessoa que aposta a carreira em criar meios eficazes de abordar problemas de segurana, mesmo se esses meios no forem fceis. Se, por outro lado, falha significar que o relatrio de status de uma pessoa est amarelo (sinal de alerta), que os gerentes precisam assinar uma dispensa, ou que um fornecedor obtm uma carta rspida, o defensor da segurana deve ter em isso em mente quando considerar necessrio insistir mais e escalar ou comprometer-se e decidir sobre a questo. Segurana no uma palavra com um significado rigidamente definido, ento quase sempre pode ser abordada com uma perspectiva de acordo com a situao. As trs perguntas aqui e as perguntas que, por sua vez, sero geradas ajudaro a criar um ambiente em que haja equilbrio entre a inteno de segurana e a provvel disposio da organizao a torn-la uma realidade.

Bibliografia:

http://www.dsc.ufcg.edu.br/~peter/cursos/prc/material/p3-4-2p.pdf http://www.mlaureano.org/projects/seguranca/economia_tecnologia_seguranca.pdf http://www.infowester.com/usuarioslinux.php http://under-linux.org/crescimento-de-tentativas-de-fraude-e-ataques-%C3%A0-servidoresweb-4710/ http://www.ibm.com/developerworks/br/rational/library/09/planningasecuritystrategy/