Seguranca e Auditoria de Sistemas

Segurana e Auditoria de Sistemas
UNIS Centro Universitrio do Sul de Minas

Av. Cel. Jos Alves, 256 - Vila Pinto Varginha - MG - 37010-540 Tele: (35) 3219-5204 - Fax - (35) 3219-5223
Instituio Credenciada pelo MEC Portaria 4.385/05 Centro Universitrio do Sul de Minas - UNIS Unidade de Gesto da Educao a Distncia GEaD Mantida pela Fundao de Ensino e Pesquisa do Sul de Minas - FEPESMIG
Varginha/MG
PIURCOSKY, Fabrcio Pelloso. Guia de Estudo Segurana e Auditoria de Sistemas. Fabrcio Pelloso Piurcosky - Varginha: GEaD-UNIS, 2010. 87p. 1. Segurana 1. 2. Auditoria 1. 3. Sistemas de Informao 1. I. Ttulo.
Todos os direitos desta edio reservados ao Centro Universitrio do Sul de Minas UNIS-MG. proibida a duplicao ou reproduo deste volume, ou parte do mesmo, sob qualquer meio, sem autorizao expressa do UNIS-MG.
REITOR Prof. Ms. Stefano Barra Gazzola GESTOR Prof. Ms. Wanderson Gomes de Souza Supervisora Tcnica Prof. Ms. Simone de Paula Teodoro Moreira Design Instrucional Prof. Celso Augusto dos Santos Gomes Jacqueline Aparecida Silva Coord. do Ncleo de Comunicao Renato de Brito Coord. do Ncleo de Recursos Tecnolgicos Lcio Henrique de Oliveira Coordenadora do Ncleo Pedaggico Terezinha Nunes Gomes Garcia Equipe de Tecnologia Educacional Danbia Pinheiro Teixeira Maria Carolina Silva Castro Oliveira Reviso ortogrfica / gramatical Gisele Silva Ferreira
Autor Fabrcio Pelloso Piurcosky MBA em Gesto de TI, Especialista em Redes de Computadores, Bacharel em Cincia da Computao e atualmente Mestrando em Engenharia Eltrica pela UFSJ. Leciona desde 2006 em cursos de graduao e ps-graduao do Unis, foi gestor de TI do Unis at 07/2009 e desde 2006 Coordenador do Curso de Cincia da Computao do Unis.
CONES
REALIZE. Determina a existncia de atividade a ser realizada. Este cone indica que h um exerccio, uma tarefa ou uma prtica para ser realizada. Fique atento a ele. PESQUISE. Indica a exigncia de pesquisa a ser realizada na busca por mais informao.
PENSE. Indica que voc deve refletir sobre o assunto abordado para responder a um questionamento. CONCLUSO. Todas as concluses, sejam de ideias, partes ou unidades do curso viro precedidas desse cone. IMPORTANTE. Aponta uma observao significativa. Pode ser encarado como um sinal de alerta que o orienta para prestar ateno informao indicada.
HIPERLINK. Indica um link (ligao), seja ele para outra pgina do mdulo impresso ou endereo de Internet. EXEMPLO. Esse cone ser usado sempre que houver necessidade de exemplificar um caso, uma situao ou conceito que est sendo descrito ou estudado. SUGESTO DE LEITURA. Indica textos de referncia utilizados no curso e tambm faz sugestes para leitura complementar. APLICAO PROFISSIONAL. Indica uma aplicao prtica de uso profissional ligada ao que est sendo estudado. CHECKLIST ou PROCEDIMENTO. Indica um conjunto de aes para fins de verificao de uma rotina ou um procedimento (passo a passo) para a realizao de uma tarefa. SAIBA MAIS. Apresenta informaes adicionais sobre o tema abordado de forma a possibilitar a obteno de novas informaes ao que j foi referenciado.
REVENDO. Indica a necessidade de rever conceitos estudados anteriormente.
SUMRIO
SUMRIO ................................................................................................................................................................... 6 EMENTA ...................................................................................................................................................................... 8 APRESENTAO .......................................................................................................................................................... 9 INTRODUO ........................................................................................................................................................... 10 DINMICA ................................................................................................................................................................ 11 AVALIAO ............................................................................................................................................................... 11 SEGURANA DA INFORMAO ................................................................................................................................. 12 1.1 CONCEITOS E PRINCPIOS DE SEGURANA DA INFORMAO ................................................................................................. 13 1.2 A SEGURANA E O CICLO DE VIDA DA INFORMAO .......................................................................................................... 15 1.3 CLASSIFICAO E CONTROLE DOS ATIVOS DE INFORMAO .................................................................................................. 18 1.4 CLASSIFICAO DO ATIVO DA INFORMAO ...................................................................................................................... 19 1.4.1 Quanto Confidencialidade ........................................................................................................................... 19 1.4.2 Quanto Disponibilidade ............................................................................................................................... 21 1.4.3 Quanto Integridade ..................................................................................................................................... 22 1.4.4 Quanto Autenticidade ................................................................................................................................. 22 1.4.5 Monitoramento Contnuo ............................................................................................................................... 22 1.5 ASPECTOS HUMANOS DA SEGURANA DA INFORMAO..................................................................................................... 23 1.5.1 Segurana nos Termos, Condies e Responsabilidades de Trabalho ............................................................. 26 1.5.2 Segurana no Processo de Seleo de Pessoal e Treinamento de Usurios .................................................... 26 1.6 SEGURANA DO AMBIENTE FSICO .................................................................................................................................. 28 1.6.1 Segurana em Escritrios, Salas e Instalaes de Processamento de Dados .................................................. 28 1.6.2 Segurana de Equipamentos .......................................................................................................................... 29 1.6.3 Segurana de Documentos em Papel e Eletrnicos ........................................................................................ 30 1.6.4 Segurana no Cabeamento............................................................................................................................. 31 1.7 SEGURANA DO AMBIENTE LGICO ................................................................................................................................ 32 1.7.1 Segurana em Redes ....................................................................................................................................... 32 1.8 CONTROLE DE ACESSO.................................................................................................................................................. 33 1.8.1 Controle de Acesso Lgico .............................................................................................................................. 34 1.8.2 Controle de Acesso Fsico ................................................................................................................................ 35 1.9 A ORGANIZAO DA SEGURANA .................................................................................................................................. 35 1.10 A SEGURANA NO CONTEXTO DA GOVERNANA DE TI ..................................................................................................... 37 SEGURANA NO DESENVOLVIMENTO DE SOFTWARES .............................................................................................. 42 2.1 MODELOS DE ESPECIFICAO DA SEGURANA ................................................................................................................... 43 2.2 ESPECIFICAO DA SEGURANA DESEJADA ....................................................................................................................... 44 2.3 ESPECIFICAO DA SEGURANA DA APLICAO ................................................................................................................. 45 2.4 SEGURANA DO AMBIENTE DE DESENVOLVIMENTO ............................................................................................................ 45 2.5 SEGURANA NO CICLO DE VIDA DE DESENVOLVIMENTO DA APLICAO .................................................................................. 47 AUDITORIA EM SISTEMAS DE INFORMAO ............................................................................................................ 50 3.1 FUNDAMENTOS EM AUDITORIA ...................................................................................................................................... 51 3.2 TIPOS DE AUDITORIA .................................................................................................................................................... 52 3.3 METODOLOGIA DE AUDITORIA DE SISTEMAS DE INFORMAO .............................................................................................. 53 3.3.1 Planejamento e Controle do Projeto de Auditoria de Sistemas de Informao .............................................. 53 3.3.2 Levantamento do Sistema de Informao a ser Auditado .............................................................................. 54

3.3.3 Identificao e Inventrio dos Pontos de Controle ......................................................................................... 54 3.3.4 Priorizao e Seleo dos Pontos de Controle do Sistema Auditado .............................................................. 55 3.3.5 Avaliao dos Pontos de Controle .................................................................................................................. 55 3.3.6 Concluso da Auditoria .................................................................................................................................. 55 3.3.7 Acompanhamento da Auditoria .................................................................................................................... 56 3.4 FERRAMENTAS DE AUDITORIA DE SISTEMAS DE INFORMAO ............................................................................................... 56 3.5 TCNICAS DE AUDITORIA DE SISTEMAS DE INFORMAO ..................................................................................................... 58 3.6 MELHORES PRTICAS DE AUDITORIA DE SISTEMAS DE INFORMAO ...................................................................................... 59 3.6.1 Comit de Padres da Associao de Controle e Auditoria de Tecnologia da Informao ............................. 59 3.6.2 Associao de Auditores de Sistemas e Controles (ISACA) ............................................................................. 60 POLTICA DE SEGURANA ......................................................................................................................................... 63 4.1 OS PLANOS DE SEGURANA .......................................................................................................................................... 64 4.1.1 Plano Diretor de Segurana ............................................................................................................................ 65 4.1.2 Plano de Continuidade de Negcios ............................................................................................................... 67 4.1.3 Plano de Administrao de Crise .................................................................................................................... 70 4.1.4 Plano de Continuidade Operacional ............................................................................................................... 74 4.2 CICLO DE VIDA DE DESENVOLVIMENTO SEGURO................................................................................................................. 75 4.3 FORENSE COMPUTACIONAL ........................................................................................................................................... 75 BIBLIOGRAFIA ............................................................................................................................................................87
EMENTA
Os conceitos e os tipos de ameaas, riscos e vulnerabilidades dos sistemas de informao. O conceito e os objetivos da segurana de informaes. O planejamento, implementao e avaliao de polticas de segurana de informaes. O conceito e os objetivos da auditoria de sistemas de informao. O planejamento, implementao e avaliao de auditorias de sistemas de informao.
APRESENTAO
Prezado aluno:
Vivemos na chamada Era da Informao, por isso, vital sabermos utilizar o que ela tem de mais interessante e tambm estarmos preparados para ela. Com o aumento do uso da tecnologia da informao, novos problemas e desafios surgem diariamente para a sociedade: malwares, spam, crakers, engenharias sociais e outros. Cada vez mais, os profissionais de computao necessitam saber como ter segurana em suas aplicaes. Estaremos construindo nosso conhecimento por meio de fruns, leitura de artigos, reportagens, exemplificaes e discusses. Para isso, temos o apoio do nosso ambiente virtual de aprendizagem, com o qual, sem dvida, todos j devem estar habituados. O grande empresrio J. Willard Marriott disse certa vez: "A boa madeira no cresce com sossego; quanto mais forte o vento, mais fortes as rvores". Portanto, esperamos que soprem fortes ventos em nossa caminhada, pois, assim, todos se tornaro valorosos, quer profissionalmente, quer pessoalmente.
Contem comigo, forte abrao! Professor Fabrcio Pelloso Piurcosky
INTRODUO
Na disciplina de Segurana e Auditoria de Sistemas estudaremos os conceitos e os tipos de ameaas, riscos e vulnerabilidades dos sistemas. Conceituaremos o que segurana e os objetivos de se manter uma poltica que cuide disso. Tambm conceituaremos auditoria de sistemas e veremos a importncia de implementar e planejar aes assim. Teremos quatro unidades: na Unidade I, estudaremos o que Segurana da Informao, veremos seu conceito, classificao, aspectos humanos, segurana fsica e lgica e o contexto da mesma em relao Governana de TI. Na Unidade II, abordaremos a importncia da segurana no desenvolvimento de softwares. Abordaremos modelos de especificao de segurana, ambiente de desenvolvimento, segurana da aplicao. Tambm veremos os conceitos e os tipos de ameaas, riscos e vulnerabilidades. Na Unidade III, conceituaremos o que auditoria, destacando as metodologias existentes, ferramentas, tcnicas, melhores prticas e outros aspectos ligados ao tema. E, finalmente, na Unidade IV, falaremos sobre poltica de segurana, apresentando exemplos de ciclo de vida de desenvolvimento seguro, NBR ISO/IEC e Planos de Segurana. A Ementa de nossa disciplina : Os conceitos e os tipos de ameaas, riscos e vulnerabilidades dos sistemas de informao. O conceito e os objetivos da segurana de informaes. O planejamento, implementao e avaliao de polticas de segurana de informaes. O conceito e os objetivos da auditoria de sistemas de informao. O planejamento, implementao e avaliao de auditorias de sistemas de informao.
DINMICA
Nossa disciplina ter atividades pelo ambiente virtual e encontros presenciais. As atividades sero publicadas com prazos de incio e trmino (por meio da agenda da pgina principal). Ressalto que os prazos sero seguidos rigorosamente. Teremos como local de comunicao,
exclusivamente, o ambiente, pois l encontramos todas as ferramentas (correio, mural, frum, portflio e bate-papo) necessrias para tal. Assim o e-mail externo no ser utilizado. Disponibilizarei um cronograma com todas as atividades que devero ser cumpridas, alm de uma sugesto de ritmo de leitura do nosso material.
AVALIAO
Na Etapa I (avaliao a distncia), sero distribudos 45 pontos nas atividades orientadas como: produo, interao, anlise e aplicao dos conhecimentos adquiridos; auto-avaliao; fruns; chats e portflio. Na Etapa II (avaliao presencial), sero distribudos 55 pontos, em avaliaes que exigiro uma reviso do guia de estudo que ser trabalhado durante o mdulo. Podero ser utilizadas provas individuais, em duplas, relatrios e grupos de discusso. As provas tero questes abertas e fechadas.
SEGURANA DA INFORMAO SEGURANA DA INFORMAO
META
Apresentar conceitos de Segurana, caractersticas da Informao e seu Ciclo de Vida, Segurana em Ambiente Fsico e Lgico, Segurana no Contexto da Governana de TI
OBJETIVOS DA UNIDADE
Esperamos que, aps o estudo do contedo desta unidade, voc seja capaz de: conceituar segurana da informao; identificar as caractersticas da informao, seu ciclo de vida e a importncia dela em ambientes fsico e lgico; conceituar a segurana no contexto da governana de TI.
12
1.1 Conceitos e Princpios de Segurana da Informao

Com certeza um dos assuntos mais discutidos e importantes na atualidade Segurana da Informao. Recentemente, a revista
InformationWeek, publicou uma retrospectiva de alguns dos maiores acontecimentos mundiais ligados tecnologia e olhe s o que temos:
Figura 1: Retrospectiva de Acontecimentos (Fonte: Revista InformationWeek, 2009)
Temos uma notcia que mostra a importncia do tema que estamos estudando. Se no conseguiu observar, volte e olhe mais uma vez a figura. Notou agora? Isso mesmo! O ataque ao World Trade Center mudou a forma das empresas pensarem em segurana e contingncia. Pense um pouco no caso e com base no que leu a respeito, reflita um pouco agora na importncia do tema que estudaremos. Antes de passarmos diretamente ao tema de segurana, vamos relembrar alguns conceitos importantes. De acordo com Filho (2008), informao a forma final da transformao ou processamento dos dados originais, em algo com valor e significado para o usurio. Todo o dado trabalhado, til, tratado com valor significativo atribudo ou agregado a ele e com um sentido natural e lgico para quem usa a informao. Assim, estas tm importncia fundamental nas empresas. Vivemos a chamada Sociedade da Informao e do Conhecimento (informao disponvel e fluindo a toda velocidade), mercados globalizados (a informao estratgia de competio). Filho (2008) destaca a importncia da 13
informao para as empresas, evidenciando que um ativo nas organizaes e estas devem trat-la como um bem, pois representa a inteligncia
competitiva. Dessa forma, para se montar uma estratgia ou um planejamento vital ter total confiana nas informaes que transitam nos sistemas de informao da empresa, afinal de contas, elas sero a base para a tomada de deciso. Mas e quanto ao valor da informao? Voc sempre l que informao o bem mais precioso, mas como quantificar? No difcil, analise comigo:
Se uma informao de previso de mercado usada para produzir um novo produto que ir responder por um lucro X, neste caso, essa informao possui esse valor X. Se um novo sistema computadorizado de pedidos custa R$ 100.000,00, mas isto poder gerar um adicional de R$ 150.000,00 nas vendas, o valor adicionado pelo novo sistema de R$ 50.000,00
Vrios autores j concordam que o valor econmico gerao, do uso e da venda da
advindo da
informao est crescendo muito mais
depressa que o valor agregado pela produo tradicional de bens e servios. Por essa ideia, j consegue notar como esse tema vai ganhar importncia cada vez mais?
Temos dois exemplos de como medir o valor de uma informao. Conseguiria realizar isso tendo como base algum sistema implantado em sua empresa ou que voc tenha criado ou baseado em alguma pesquisa. Vamos l, mos obra! Tente mensurar o valor de uma informao. Faa isso em um documento .doc e poste em seu portflio individual.
Lyra (2008) destaca que a segurana da informao tem vrios aspectos importantes, mas sem dvida trs deles se destacam: Confidencialidade capacidade de um sistema de permitir que 14
alguns usurios acessem determinadas informaes ao mesmo tempo em que impede outros, no autorizados a veja. Integridade a informao deve estar correta, ser verdadeira e no estar corrompida. Disponibilidade a informao deve estar disponvel para todos que precisarem dela para a realizao dos objetivos empresariais.
Estes trs aspectos so os principais, muitos autores concordam que se a informao contiver todos eles podem trat-la como uma informao segura. No entanto, alm destes trs aspectos, ainda temos: Autenticao garantir que um usurio de fato quem alega ser; No-Repdio capacidade do sistema de provar que um usurio executou uma determinada ao; Legalidade garantir que o sistema esteja aderente legislao pertinente; Privacidade capacidade de um sistema de manter annimo um usurio, impossibilitando o relacionamento entre o usurio e suas aes; Auditoria capacidade do sistema de auditar tudo que foi realizado pelos usurios, detectando fraudes ou tentativas de ataque.
Um bom exemplo de um sistema com privacidade trata-se das urnas eletrnicas utilizadas pelo TSE. Utilizamos o sistema para realizar nosso voto no relacionando o usurio com a ao executada, garantindo assim que o nosso voto seja secreto.
1.2 A Segurana e o Ciclo de Vida da Informao

Quando realizamos um levantamento de informaes para uma implantao ou um desenvolvimento de um sistema, vital ter uma preocupao em como a informao ir fluir na organizao. Assim, a identificao das necessidades e dos requisitos da informao quem ditar o ciclo da mesma. Lyra (2008) destaca a sequncia a que a informao 15
submetida: obteno, tratamento, armazenamento, distribuio, uso e descarte da informao. Analise a figura abaixo:
Meio Externo
Identificao Necessidades e Requisitos
Obteno
Tratamento
Armazenamento
Distribuio
Uso
Descarte
Meio Interno
Figura 2: Ciclo de Vida da Informao. (Fonte: Lyra, 2008)
Conforme a Figura 2, a identificao das necessidades e requisitos fundamental para que o restante do projeto consiga uma boa fluidez e sucesso. Voc j deve ter lido, estudado ou praticado algumas das tcnicas que auxiliam neste processo. Podemos at mesmo destacar algumas, tais como a observao pessoal, entrevistas e questionrios. No h uma receita de bolo que devemos seguir sempre que precisamos realizar um levantamento de informaes. Isso depender da situao do ambiente, do tempo que temos e da possvel reao dos usurios. A figura tambm serve para refletirmos um pouco em como difcil darmos segurana informao. Observem que tanto na Obteno como na Distribuio h relacionamentos com o meio externo e com o meio interno. Estes so dificultadores que no podem ser restringidos, pois ao mesmo tempo em que podem trazer problemas, eles tambm podem ser importantes na obteno e seleo da informao. Lyra (2008) explica cada componente deste ciclo de vida: 16

Identificao das necessidades e dos Requisitos geralmente dentro de uma organizao nossa principal funo desenvolver produtos e servios informacionais com especificidade. Isso pode ser desde um simples relatrio, um produto ou um novo processo. Ser que voc conseguiria fazer isso sem conhecer as necessidades e as caractersticas que envolvem a situao? De forma alguma, por isso importante gastar tempo nesta etapa. Obteno nesta etapa so desenvolvidos procedimentos para a captura e recepo da informao originria de uma fonte externa ou mesmo em como ela ser criada. Para o primeiro caso (fonte externa), necessrio que voc se preocupe com a integridade da informao, garantindo que ela genuna, produzida por uma pessoa ou entidade autorizada e que, portanto, est completa e compatvel com os requisitos que foram levantados anteriormente. Tratamento antes da informao ser utilizada ou consumida, imprescindvel que ela seja classificada, formatada, organizada. Tambm interessante torn-la mais acessvel e de fcil utilizao. Mas aqui vai um alerta! Depois de tratada, preciso dar a garantia de que ela continue ntegra, bem como confidencial. Distribuio esta etapa um verdadeiro desafio! Mais frente veremos o por qu. Consiste em levar a informao at quem ser seu consumidor. Para isso quanto mais capilar for a rede de distribuio, melhor e mais seguro ser. Uso aqui que veremos o quanto a informao ser til para gerar valor organizao. Devemos aplicar, portanto, os conceitos de disponibilidade, integridade e confidencialidade. Armazenamento importante para que futuramente a informao possa ser utilizada novamente. Ela ser mais onerosa se a informao estiver em vrios formatos ou mdias. A preocupao com a integridade e a disponibilidade deve ser constante, bem como
confidencialidade, se a mesma for sigilosa. 17

Descarte Beal (2005) diz que quando uma informao torna-se obsoleta ou perde a utilidade para a organizao, ela deve ser objeto de processo de descarte obedecendo a normas legais, polticas operacionais e exigncias internas. Isso ajudar no processo de gesto da informao.
O Descarte uma etapa muito importante para as organizaes, uma vez que auxilia a gesto da informao. Faa uma pesquisa sobre o tema e apresente quais so algumas das formas que as empresas utilizam para a realizao dessa etapa e os cuidados necessrios para tal.
1.3 Classificao e Controle dos Ativos de Informao

De acordo com Lyra (2008), a classificao da informao o processo pelo qual estabelecemos o grau de importncia das informaes frente a seu impacto no negcio ou processo que elas suportam. Entendemos assim que, quanto mais ela for estratgica ou decisiva para o negcio mais importante ela ser. A figura 3 ilustra como os ativos da informao podem ser divididos em grupos:
Software
Fsico
Servios
Pessoas
Doc em papel
Informao
Ativos da Informao
Figura 3: Ciclo de Vida da Informao. (Fonte: Lyra, 2008)
18
Voc no consegue classificar os ativos da informao sem ter um bom conhecimento do negcio. Isso permitir que voc julgue o grau de importncia de cada um. Outro ponto que preciso levar em conta a definio clara dos critrios de classificao que sero adotados, regras, exigncias e normas corporativas.
O ideal seria que todos conseguissem ler a Norma ISO 17.799, no entanto, ela sai a mais de R$150,00 atualmente. Assim coloquei em nossa Midiateca um checklist de uma auditoria sobre os itens mais importantes. Assim voc poder ter uma ideia do que se trata. Vamos leitura, pois citaremos vrias vezes no decorrer do guia!
1.4 Classificao do Ativo da Informao

Lyra (2008) destaca que existem vrias formas de classificar o ativo da informao, no entanto, esta no deve ser difcil de compreender e deve constar na poltica de segurana. Deve ter um nmero equilibrado de nveis de classificao e servir para demonstrar a diferenciao entre a importncia dos ativos. Esta, ento, deve estar centrada em quatro eixos:
confidencialidade, disponibilidade, integridade e autenticidade. Vamos ento tratar de cada um desses quatro eixos.
1.4.1 Quanto Confidencialidade

Nvel 1: Informao Pblica aqui devem estar os ativos pblicos ou no classificados. Como entendemos isso? Ora, so informaes que se forem divulgadas fora da organizao no traro impactos para o negcio. No vital a integridade e seu uso livre.
19
Um bom exemplo de informao pblica trata-se dos folders corporativos, brochuras, etc.
Nvel 2: Informao Interna ativos cujo acesso do pblico externo deve ser evitado, mas se por acaso estes venham a ter acesso, as consequncias no so crticas ou preocupantes
Listas de Telefones e ramais, agendas dos executivos, planejamento semanal Nvel 3: Informao Confidencial os ativos devem ter acesso restrito dentro da organizao e protegidos do acesso externo. O acesso no autorizado pode trazer comprometimento s operaes da organizao e causar at mesmo perdas financeiras.
Dados de clientes, senhas de acesso, informaes sobre vulnerabilidades da organizao
Nvel 4: Informao Secreta nesse nvel o acesso tanto interno como externo pode ser crtico para a organizao. Deve-se controlar o nmero de pessoas que tem acesso a ela, a integridade das informaes e criar regras restritas para o uso das mesmas.
Podemos citar informaes de concorrentes, contratos confidenciais, informaes estratgicas, etc.
20
1.4.2 Quanto Disponibilidade

Geralmente sentimos falta ou avaliamos o quanto uma informao importante quando precisamos dela e no conseguimos acess-la. J aconteceu isso com voc? Com todos ns. Quem j no precisou acessar um site que disponibilizaria o resultado de um processo de seleo ou de um concurso? Se a informao atrasa 10 minutos do horrio proposto ficamos totalmente indignados. Nesse momento, quanto valeria essa informao? Valeria muito, no mesmo? Agora, pense em outra situao: voc acessa uma informao nesse instante e em meia hora ela no est mais disponvel. Qual a falta que a informao faz? Isso depender da importncia dela. Mas imagine que voc administrador de um site de e-commerce e um cliente solicitou seu nmero de pedido de compra, mas ao entrar no site no consegue recuperar esse nmero. Isso poderia causar alguns problemas. Dessa forma, podemos estabelecer uma ordem para recuperao de informaes em casos de indisponibilidade, seria assim: Nvel 1 Informaes que devem ser recuperadas em minutos Nvel 2 Informaes que devem ser recuperadas em horas Nvel 3 Informaes que devem ser recuperadas em dias Nvel 4 Informaes que no so crticas
No h dvidas de que a classificao dos nveis de uma informao no deve ser feita apenas pela equipe de Tecnologia da organizao. Esta deve ser feita por um comit especfico da empresa. Faa uma pesquisa e aliste pelo menos duas formas de recuperao de informao existentes no mercado. Tente se possvel, listar o custo dessas formas de recuperao.
21
1.4.3 Quanto Integridade

A depender da deciso a ser tomada, se a informao estiver errada, isso pode significar transtornos e problemas srios. Assim, conseguir realizar um trabalho de identificar as informaes que so relevantes ao negcio far com que voc consiga direcionar seus esforos para os alvos corretos, permitindo controlar, prevenir, detectar e corrigir as informaes que a empresa, de fato, precisar.
1.4.4 Quanto Autenticidade

A ISO 17.799 recomenda que tanto dados como informaes que sero acessadas por meios externos devem apresentar requisitos de verificao da autenticidade. Dessa forma, mais uma vez voc dever estabelecer em conjunto com a empresa quais as informaes que sero tratadas neste contexto.
1.4.5 Monitoramento Contnuo

Lyra (2008) argumenta que aps a classificao dos ativos da informao, necessrio elaborar e manter procedimentos de reavaliao peridica dos mesmos. Como fazer isso? Tanto a rea de segurana como os proprietrios da informao, deve reavaliar a pertinncia da categoria atribuda a cada ativo para assegurar que os mesmos esto adequadamente classificados. Vamos fazer uma avaliao das informaes em nosso ambiente? Tarefa 1: Divida os ativos da Informao Tarefa 2: Classifique o ativo software quanto Confidencialidade Tarefa 3: Classifique o ativo software quanto Disponibilidade em todos os nveis
22
1.5 Aspectos Humanos da Segurana da Informao

Filho (2008) destaca que a segurana da informao se preocupa com os objetivos de garantir a continuidade do negcio, minimizar as perdas do negcio pela preveno e reduo do impacto de incidentes de segurana, habilitar as informaes a serem compartilhadas enquanto estabelece a proteo da informao e do acesso aos Sistemas de Informaes. Isso se torna cada vez mais difcil porque o cenrio da tecnologia mutante e evolutivo. H algumas dcadas a realidade de tecnologia e as preocupaes trazidas por ela eram totalmente diferentes das principais atenes que precisamos ter hoje. Analise que na maioria das casas j existe uma rede de Computadores, a Evoluo da Internet algo mundial e a diversidade de sistemas. Assim, dizemos que a informao segura e que cumpre seu propsito quando informao certa comunicada s pessoas certas (na hora certa). Pessoas so os elementos centrais para que a segurana da informao acontea. Todos os incidentes sempre envolvero pessoas, seja pelas vulnerabilidades que foram exploradas, seja pelas ameaas que exploram as vulnerabilidades. muito comum a ideia de que manter a informao segura papel obrigatrio da equipe de tecnologia. Alm disso, muitos ainda acham que somente eles devem se preocupar com isso. Na verdade, essa preocupao deve ser de toda a organizao. Se isso no estiver claro em um ambiente corporativo, pode-se investir milhes em segurana que o retorno no ser o esperado. Acesse o site do CERT.BR (http://www.cert.br/stats/incidentes/) e analise os incidentes de segurana registrados no ano de 2009. Compare com os incidentes reportados nos ltimos 5 anos. Analise que ataques tem crescido mais e veja como cada dia que passa mais difcil manter a informao segura. 23
Com o crescimento dos nmeros de vrus e de casos de invaso, cada vez mais veremos a figura de um novo profissional nas empresas: Security Officer ou CSO (Chief Security Officer). Este tem o papel de coordenar, planejar, implementar, monitorar e melhorar o Sistema de Segurana da Informao. Ele deve ter as seguintes atribuies:
Coordenar rea de segurana e de infraestrutura organizacional Planejar investimentos de segurana Definir ndices e indicadores para segurana da corporao Definir, elaborar, divulgar, treinar, implementar e administrar a poltica de segurana, plano de continuidade de negcios e de contingncia Investigar incidentes de segurana Analisar riscos envolvendo segurana
Pense nas atribuies que falamos para o profissional de segurana. Quais delas voc j fez na empresa em que atua? Qual delas considera mais importante? Que ao prtica envolvendo os usurios da empresa que voc atua poderia ser implementada? O SANS Institute define Engenharia Social como a arte de utilizar o comportamento humano para quebrar a segurana sem que a vtima sequer perceba que foi manipulada. O CERT.BR define como um mtodo de ataque onde algum faz uso da persuaso, muitas vezes abusando da ingenuidade ou confiana do usurio, para obter informaes que podem ser utilizadas para ter acesso no autorizado aos ativos da informao. Esta prtica acaba fazendo com que pessoas desavisadas passem informaes importantes, pois confiam demais no seu atacante. Ela pode ser dividida em duas categorias: fsica e psicolgica. Lyra (2008) apresenta as aes relacionadas categoria fsica como sendo: procura de informaes no lixo, presena fsica, observao do comportamento, escuta de conversa telefnica, busca de papis e relatrios 24
sobre as mesas da organizao, uso de portas USB e roubo de pen drives. Nas questes psicolgicas o problema est relacionado ao comportamento humano e tendncia do ser humano em ser prestativo, corts e de no ver maldade nas pessoas. Dessa forma, o atacante consegue informaes para preparar o seu ataque.
Voc recebe um telefonema de um pesquisador que muito educado e fala muito bem, aos poucos ele pode extrair informaes tais como tipo de rede, sistema operacional utilizados, etc.
No h dvidas de que o elo mais fraco do sistema quando este interage com humanos. Dessa maneira, preciso desenvolver interfaces que faam a segurana de forma menos inoportuna e intrusiva. Quando se fala sobre pessoas, devemos tambm lembrar que os problemas de comportamento acontecem em qualquer nvel, desde os que esto no topo at os que nem mesmo utilizam computador. Nesse aspecto, pense no zelador que vai abrir a sala de servidores para limpeza do cho e que por descuido deixa a porta aberta enquanto vai buscar a vassoura em outro lugar do prdio. Nestes poucos minutos como se a empresa estivesse totalmente desprotegida ou escancarada.
Em nossa Midiateca, temos um artigo chamado Engenharia Social. Ele traz informaes importantes sobre as formas de ataque mais comuns e outras informaes sobre essa prtica cada vez mais comum.
A figura 4 retrata um ambiente que em alguns aspectos podemos at ver em nosso dia a dia. Poste no portflio individual o que est sendo pedido e tente apontar 5 aes urgentes a serem tomadas neste ambiente que no envolveria custos para a empresa na sua implantao.
25
Vamos identificar as vulnerabilidades presentes neste ambiente ?
Figura 4: Ambiente com Vulnerabilidades (Fonte: Espode,
1.5.1 Segurana nos Termos, Condies e Responsabilidades de Trabalho

necessrio precaver-se para que exista um mnimo de garantia de responsabilidade daqueles que utilizaro a informao da empresa. Deve ser claro que responsabilidade de todos a segurana da informao e que as aes dos funcionrios devem ser de acordo com a poltica de segurana. Lyra (2008) destaca que os termos e condies de trabalho devem conter o que est relacionado ao cargo, as obrigaes, cuidados e condutas relativas segurana da informao. Tais itens devem estar registrados no contrato de trabalho. A isso, pode ser adicionado ainda um termo de confidencialidade por ocasio da admisso do colaborador.
1.5.2 Segurana no Processo de Seleo de Pessoal e Treinamento de Usurios

O processo de seleo deve ser alvo de ateno da segurana da informao uma vez que a porta de entrada da organizao. Nem sempre referncias, cpias de documentos e currculo suficiente para ter confiana no entrevistado. preciso aes de checagem de informaes, confirmao 26
de dados, entrar em contato com as pessoas e empresas citadas, confirmar diplomas nas instituies de ensino alistadas, verificar conduta, etc. No podemos falar em segurana da informao sem mencionar algo fundamental que treinar, educar e conscientizar os usurios. Todos os colaboradores (internos e/ou externos) devem conhecer a poltica de segurana da empresa, diretrizes, entender os conceitos de confidencialidade, integridade e disponibilidade e os desdobramentos das mesmas. Somente assim pode-se cobrar uma conduta compatvel com as boas prticas de segurana. Um erro bastante comum o de fornecer treinamento num determinado perodo e no repetir os mesmos. Ora, as pessoas mudam, as formas de ataque mudam, os sistemas mudam. Isso implica ento, em treinamentos peridicos e sistemticos, desenvolvendo a cultura da segurana da informao.
Entrevista de Kevin Mitnick CNN: http://www.cnn.com/2005/TECH/internet/10/07/kevin.mit nick.cnna/index.html Um bom mercado de atuao o de fornecer treinamentos e capacitaes de segurana para as empresas. No so raras as empresas e rgos que no detm nenhum tipo de cuidado com as suas informaes. Recentemente fui convidado para ministrar uma palestra sobre Segurana e a grande maioria dos funcionrios no tinha nenhum tipo de cuidado com as senhas pessoais do sistema. Algo que encaramos como premissa bsica de segurana. Eram vrios os casos de funcionrios que acessavam o sistema com o usurio e senha do colega.
No ano passado convidei um ex-aluno do curso de Cincia da Computao do Unis para ministrar uma palestra. Na oportunidade ele falava como Gerente de uma Unidade Bradesco de So Paulo e nos falou um pouco sobre as polticas de segurana da entidade. Entre as aes citadas, ele nos mostrou que se o funcionrio se levantar para buscar uma gua ou um caf norma da empresa ele bloquear o computador, se no o fizer ele advertido. Isso uma norma imposta pela poltica de segurana.
27
1.6 Segurana do Ambiente Fsico

Um problema comum que deve ser evitado o de preocupar-se somente com a segurana lgica. Muitas vezes so esquecidas as medidas de preveno, deteco e reao a possveis incidentes de segurana fsica dos ativos. Sobre isso a ISO 17.799 chama de barreira de segurana qualquer medida preventiva que sirva para impedir um ataque a algum ativo da informao. Mas o que poderia ser encarado como barreira de segurana ou medida preventiva? Estas podem ser de trs tipos: Fsicas muros, cercas, trancas Lgicas senhas de logon Combinao das Anteriores - token
Alm de tais cuidados importante definir um permetro de segurana. Mas o que vem a ser isso? Trata-se de um contorno ou linha imaginria que delimita uma rea ou regio separada de outros espaos fsicos por um conjunto de barreiras de segurana. E aqui vai uma dica: quanto mais clara for a definio desse permetro mais acertados sero os investimentos e as barreiras a serem implementadas. Surge outra pergunta: Que permetros podem ser protegidos? Bem, isso depender de cada situao, mas podemos citar prdios, geradores, cofres, etc. Mas, se pensarmos somente na informao e sua segurana, teremos os permetros que seguem nos prximos itens do guia.
1.6.1 Segurana em Escritrios, Salas e Instalaes de Processamento de Dados

A ISO 17.799 recomenda a elaborao de um projeto de reas de segurana. Este deve contemplar escritrios fechados ou com vrias salas dentro de um permetro seguro que considere as ameaas de fogo, poeira, 28
fumaa, vibrao, vazamento de gua, exploso, manifestaes civis ou desastres naturais. necessrio ainda um cuidado especial com equipamentos instalados em reas comuns. Nesses casos muito til aplicar medidas especficas de proteo contra acesso no autorizado, dano ou furto. A norma sugere, inclusive, mecanismos de bloqueio, como time-out e treinamento especfico para prestadores de servios de limpeza e manuteno.
No difcil encontrarmos empresas em que a impressora fica numa rea de livre circulao. Conseguem perceber o perigo que isso tem? Algum manda imprimir um documento importante, algum passa uma ligao
importante. Enquanto atende essa ligao, que pode ser demorada pode passar algum e levar a informao impressa. E grandes problemas podem surgir.
1.6.2 Segurana de Equipamentos

Um medo mrbido que todos ns temos o de falha de energia. Geralmente isso acontece quando menos esperamos, e, detalhe, quando a energia retorna ela traz consigo uma srie de problemas. A norma ISO mais uma vez fornece auxlio. Ela aponta algumas opes para garantir a continuidade do fornecimento eltrico, veja: Alimentao com mltiplas fontes Uso de nobreaks Geradores de reserva Outro aspecto que voc no pode esquecer o hardware. Estes so defeitos inerentes, podem estar funcionando muito bem e podem no estar no minuto seguinte. Assim, algumas medidas podem ser tomadas, como por exemplo: 29
Planejamento de manutenes peridicas Treinamento de melhores prticas de utilizao dos equipamentos
1.6.3 Segurana de Documentos em Papel e Eletrnicos

Geralmente quando se fala em segurana da informao,
instantaneamente pensamos na segurana atravs do computador. No entanto, de nada adianta termos um perfeito esquema de segurana para os meios eletrnicos ou que geram a informao se no h nenhuma estrutura segura para a guarda das informaes fsicas. Lyra (2008) prope a adoo de procedimentos de tratamento das cpias, armazenamento, transmisso e descarte seguros. necessrio preocupar-se com umidade, acidez do papel, tcnicas de restaurao, etc. lgico que de acordo com o negcio da organizao ser decidido que papis devem ser guardados e existe uma lei que rege sobre o tempo de guarda de cada documento. Se a organizao precisar guardar documentos ela ento precisa dispor de controles, que podem ser:
Uso de rtulos para identificar documentos Poltica de armazenamento de papis em local adequado Procedimentos especiais para impresso, cpia e transmisso Recepo e envio de correspondncias sigilosas
interessante
ainda
criar
procedimentos
especiais
para
armazenamento e manipulao de papis sensveis luz e ambiente como cheques e notas fiscais.
Um bom mercado de atuao hoje em dia o de digitalizao de documentos. H empresas especializadas nisso. Pense em uma instituio de ensino como o Unis. Existe h mais de 40 anos. Imagine que amanh aparea um aluno que perdeu o seu diploma e necessite de uma cpia ou 30
uma nova emisso. Detalhe: ele formou em Engenharia Mecnica em 1975, por exemplo. Para terem uma ideia, entrei como aluno no Unis em 2000 e atuo profissionalmente l desde 2003. De 2000 para c, o Unis trocou de Sistema de Informao 3 vezes. Perceberam a importncia de manter em segurana os documentos impressos? No exemplo que citei a instituio na oportunidade no possua nem mesmo sistema computacional. Uma boa sada para garantir essas
informaes seria a digitalizao de todos os documentos que a instituio possui. Agora imaginem quanto mercado este tipo de ao tem.
Mas e quanto aos documentos salvos na rede da empresa ou mesmo nos computadores?Estes documentos eletrnicos trazem trs preocupaes:
dispor de um aparato de tecnologia que os deixe visveis e compreensveis aos seus usurios; manter a integridade da informao, pois o documento eletrnico pode ser mais facilmente alterado que o documento em papel; no esquecer das evolues tecnolgicas (migrar documentos armazenados em disquetes e fitas); estabelecer procedimentos de backup.
Sobre o ltimo item, essencial criar como isso vai funcionar e controlar tambm o acesso a essas informaes e quando e como devem ser descartadas.
1.6.4 Segurana no Cabeamento

Mais uma vez a norma ISO nos auxilia, ela recomenda controles para cabeamento eltrico e de telecomunicaes:
31
sempre que possvel utilizar linhas subterrneas; proteger cabeamento de rede contra interceptaes no autorizadas ou danos; separar cabos eltricos dos cabos de comunicao; uso de conduites blindados e salas trancadas para os sistemas crticos.
1.7 Segurana do Ambiente Lgico

1.7.1 Segurana em Redes
Lyra (2008) destaca que as preocupaes neste aspecto passam pelos problemas de autenticao de usurios e equipamentos e de restrio de acesso os usurios aos servios autorizados, buscando com isso estabelecer interfaces seguras entre a rede interna e a rede pblica ou de outra organizao. A norma mais uma vez nos ajuda. Ela menciona diversos mecanismos de proteo de redes, tais como criptografia, tokens, VPN's, antivrus, gateways e firewalls, que podem controlar o trfego, estabelecer rotas de redes obrigatrias e dividir grandes redes em domnios lgicos separados, sendo que com isso pode-se dar proteo por permetros de segurana especficos. Embora alguns dos mecanismos de proteo voc j conhea, convm que o apresentemos para relembrar alguns conceitos. Quando a norma cita firewall, isso representa recursos de segurana com objetivo de controlar o acesso s redes. Serve como uma barreira de proteo entre um computador e seu ambiente externo. Com isso, possvel examinar e bloquear o trfego. Mas que desvantagem esse mecanismo traz? Se voc respondeu gargalo na rede, acertou. Pelo fato de todo trfego passar por ele, necessrio dimensionar de forma correta o seu servio, seno fatalmente ocorrer lentido na rede. J os permetros lgicos ou zonas desmilitarizadas (DMZ), protegem o computador ou segmento da rede que fica entre uma rede interna e a 32
Internet. Assim, podemos entender que ela atua como intermediria tanto para o trfego de entrada quanto para o de sada. As VPN's outra alternativa para racionalizar os custos de redes corporativas, dando confidencialidade e integridade no transporte de informaes por meio das redes pblicas. H vrios exemplos de softwares de VPN's que criam tneis virtuais criptografados entre os pontos autorizados para a transferncia das informaes.
Em grupo vocs devero fazer uma pesquisa sobre as outras formas de mecanismos de segurana abaixo: 1 Criptografia 2 Esteganografia 3 Assinatura e Certificado Digital 4 Sistemas de Deteco de Intrusos
Pense que vocs foram designados responsveis pela empresa para realizar um curso sobre segurana da informao. Para isso vocs devero preparar uma apostila que ser lida por todos os funcionrios, abordando os quatro itens acima. Mos obra! Ao final poste no portflio de grupo
1.8 Controle de Acesso

Se no houver um controle de acesso informao, impossvel garantir os trs princpios bsicos de segurana. Porm, este controle no pode engessar a organizao, no deve impedir os processos de negcio da mesma. O item 11 da norma citada todo dedicado a esse assunto. Recomenda que nada deve ser permitido, tudo deve ser proibido, a menos que se tenha permisso expressa para tal. 33
1.8.1 Controle de Acesso Lgico

Para esse controle preciso que voc preste ateno a recursos comumente usados como arquivo-fonte, sistema operacional, bancos de dados, utilitrios, etc. Para estes ativos temos de estabelecer, de acordo com Lyra (2008), os seguintes controles: Identificao e Autenticao do Usurio a identificao se faz atravs da criao de contas de usurios com uma identificao nica. Dessa forma, possvel autenticar o usurio atravs da senha de acesso que o prprio usurio sabe. As melhores prticas recomendam troca peridica de senhas, identificao de senhas fceis, bloqueio de acesso aps certo nmero de tentativas erradas. Se possvel, muito interessante que voc agregue autenticao baseada em algo que o usurio tem (token, smart card, carto com chip). Alm disso, cada vez mais comum ser a utilizao do que o usurio . Caractersticas fsicas como impresso digital, reconhecimento facial, voz, ris, etc. so cada vez mais comuns. Administrao dos Privilgios de Usurios importante realizar uma administrao adequada dos privilgios concedidos. O uso de perfis e grupos de usurios com diferentes necessidades e permisses permite o gerenciamento de forma mais eficiente dos privilgios e os acessos aos ativos. Deve-se revisar frequentemente os perfis e os componentes dos grupos, uma vez que pessoas so trocadas de cargos e responsabilidades, so demitidas e nem sempre o departamento de tecnologia comunicado. Monitorao do Uso e Acesso ao Sistema imprescindvel que os sistemas possuam registros das atividades de cada usurio. Embora isso represente uma carga de informaes a mais no servidor, afetando sua performance, esses mecanismos, ou log's,devem registrar data e hora, tipo de atividade e eventuais alteraes de dados. Isso ser importante para a comprovao de uma futura auditoria em caso de violao da integridade da informao. Hoje h sistemas que 34
permitem o cadastro do intervalo de tempo em que o usurio est autorizado a utilizar o sistema.
1.8.2 Controle de Acesso Fsico

necessrio controles de entrada apropriados para evitar que pessoas no autorizadas obtenham acesso aos recursos de informao. Estes precisam ser proporcionais importncia da informao ou criticidade da mesma. Como exemplo, temos crachs de identificao, carto com PIN, dispositivos de senha nas portas de acesso, etc.
1.9 A Organizao da Segurana

Smola (2003) prope um modelo de gesto corporativa de segurana da informao cclico e encadeado, este prev que cada etapa gera resultados que sero importantes para a prxima. Ele formado pelas etapas que seguem: Comit Corporativo de Segurana da Informao papel de orientar as aes corporativas, medindo os resultados parciais e finais; alinhar o plano de ao s diretrizes estratgicas do negcio; coordenar os agentes de segurana em seus Comits Interdepartamentais; e garantir o sucesso de implantao, pois dar autonomia na gesto dos seus associados e promover a consolidao do modelo como um processo auto-gerido Mapeamento de Segurana identificar o grau de relevncia e as relaes diretas e indiretas entre os diversos processos de negcio, permetros e infraestruturas; inventariar os ativos fsicos, tecnolgicos e humanos que sustentam a operao da empresa; identificar o cenrio atual ameaas, vulnerabilidades e impactos e especular a projeo do cenrio desejado de segurana; e mapear as necessidades e as relaes da empresa associadas ao manuseio, armazenamento, 35
transporte e descarte de informaes. Estratgia de Segurana definir um plano de ao, geralmente plurianual, considerando todas as particularidades estratgicas, tticas e operacionais do negcio, bem como aspectos de risco fsicos, tecnolgicos e humanos; e criar sinergia entre o cenrio atual e desejado, buscando apoio explcito dos executivos s medidas propostas. Planejamento de Segurana organizar os Comits
Interdepartamentais, deixando claro as responsabilidades, escopo de atuao; iniciar aes preliminares de capacitao dos executivos e tcnicos, com objetivo de direcionar para os desafios; elaborar Poltica de Segurana de Informao slida, considerando as caractersticas de cada processo de negcio permetro e infraestrutura, procurando criar diretrizes, normas, procedimentos e instrues que oficializaro o posicionamento da empresa destacando as melhores prticas; e realizar aes corretivas emergenciais de acordo com o que foi levantado no mapeamento. Implementao de Segurana divulgar para toda a corporao a Poltica de Segurana, com vistas a torn-la um instrumento oficial; capacitar e conscientizar os usurios em relao ao comportamento; e implementar mecanismos de controle fsicos, tecnolgicos e humanos. Administrao da Segurana monitorar os controles que foram implantados, medindo eficincia e mostrando as possveis mudanas que interferem no negcio; projetar a situao do Retorno sobre o Investimento (ROI), identificando os resultados alcanados; garantir a adequao e a conformidade do negcio com normas associadas, padres e legislao; e manter planos estratgicos para contingncia e recuperao de desastres. Segurana na Cadeia Produtiva equalizar as medidas de segurana adotadas pela empresa aos processos de negcio comuns, mantidos junto aos parceiros da cadeia produtiva: fornecedores, clientes, 36
governo, etc. Isso deve ser com objetivo de nivelar o fator de risco sem que uma das partes exponha suas informaes compartilhadas.
1.10 A Segurana no Contexto da Governana de TI

O Control Objectives for Information and Related Technology (COBIT) trata-se de um guia dirigido para a gesto de Tecnologia da Informao. Este recomendado pelo Information Systems Audit and Control Fundation (ISACA) e possui uma srie de recursos que podem servir como modelo de referncia para a gesto. Inclui ainda controle de objetivos, mapas de auditoria, ferramentas para a sua implementao e tcnicas de gerenciamento. um meio de otimizar os investimentos, melhorar o ROI percebido com mtricas para avaliao de resultados. COBIT abrange quatro domnios: Planejar e Organizar cobre o uso de informao e tecnologia e como isso pode ser usado para que a empresa atinja seus objetivos e metas. Como objetivos de alto nvel para esse domnio esto: Definir um Plano Estratgico de TI e orientaes; Definir Arquitetura de informao; Determinar o gerenciamento tecnolgico; Definir os processos de TI; Gerenciar o investimento em TI; Comunicar os objetivos de gerenciamento e orientar; Gerenciar os recursos humanos de TI; Gerenciar a qualidade; Estimar e gerenciar os riscos de TI e Gerenciar projetos. Adquirir e Implementar este domnio cobre os requisitos de TI, aquisio de tecnologia e sua implementao dentro dos processos de negcios da empresa. Foca ainda o desenvolvimento do plano de manuteno. Como objetivos de alto nvel temos: Identificar solues automatizadas; Adquirir e manter software de aplicao; Habilitar operao e uso; Obter recursos de TI; Gerenciar mudanas; Instalar e credenciar solues e mudanas. 37
Entregar e Dar Suporte foca a execuo de aplicaes dentro do sistema de TI e seus resultados, alm do suporte dos processos. Podese incluir questes de segurana e treinamento. Para esse domnio temos os seguintes objetivos de controle: Definir e gerenciar nveis de servio; Gerenciar servios de terceiros; Gerenciar performance e capacidade; Assegurar servio contnuo; Assegurar segurana de sistema; Identificar e alocar recursos; Treinar usurios; Gerenciar servios de escritrio e incidentes; Gerenciar a configurao; Gerenciar problemas; Gerenciar dados; Gerenciar o ambiente fsico e Gerenciar operaes. Monitora e Avaliar este domnio lida com a estimativa estratgica das necessidades da organizao e avalia se o atual sistema atinge os objetivos que foram especificados para tal. Cobre ainda questes de estimativa independente da efetividade do sistema de TI e sua capacidade de estar alinhado s estratgias. Essa avaliao ainda feita por auditorias internas e externas. Tem por objetivos de alto nvel: Monitorar processos; Assegurar avaliao dos controles internos; Obter avaliao independente e Prover auditoria
independente. Em nossa Midiateca temos o texto COBIT. Apresenta de forma sucinta e muito clara essa ferramenta. Leitura Obrigatria. Para mais detalhes sobre COBIT: http://www.isaca.org/Template.cfm?Section=COBIT6&Tem plate=/TaggedPage/TaggedPageDisplay.cfm&TPLID=55&C ontentID=7981
Outro modelo de referncia para gerenciamento de TI o ITIL. Voc dever montar uma apresentao em .ppt sobre o tema acima e postar em seu portflio individual. Ao final da 38
apresentao, no esquea da bibliografia e um ltimo slide comentando se em seu departamento voc desempenha alguma ao parecida e se seria difcil implementar esse modelo.
39
CONCLUSO
A base de todos esse conceitos que vimos e revimos, pode-se observar como cada vez mais com a evoluo dos dispositivos, a globalizao e o contnuo aumento de uso da tecnologia vai ser ainda mais desafiador manter a informao segura. Nos Estados Unidos, os dados sobre roubo de identidade so cada vez mais alarmantes, a privacidade cada vez menor. Assim, se as empresas no levarem a srio os investimentos em segurana e os departamentos de tecnologia no forem criativos grandes perdas acontecero. Vimos ainda que existe vrias formas, e muitas delas so simples, de fornecer um nvel melhor de segurana. Daqui para frente, veremos uma nova figura dentro das empresas, que o profissonal responsvel somente pela segurana da informao. Tambm importante ressaltar o quanto a norma ISO 17.799 nos ajudou nas definies. Mais frente notamos que pessoas o elo fundamental para ter segurana. No basta apenas investimentos em segurana lgica, cada vez mais os incidente acontecem no meio fsico, envolvendo pessoas. O alerta foi at mesmo envolvendo a contratao de pessoas. O COBIT e o ITIL so os modelos mais amplamente usados no mundo. Muitas das aes propostas so prticas de nosso dia a dia, no entanto, precisamos colocar isso no papel, tentando tangibilizar nossas aes e criar um escopo de aplicao dessas prticas. Enfim, conclumos que tanto as organizaes como as pessoas no podem ignorar as normas de segurana e as boas prticas de uso da tecnologia. O preo pode ser altssimo!
40
APONTAMENTOS SOBRE A PRXIMA UNIDADE

Em nossa prxima unidade veremos a importncia de desenvolver software com tcnicas de segurana. Veremos modelos de especificao de segurana para a aplicao, para o ambiente de desenvolvimento e no ciclo de vida da aplicao.
41
SEGURANADESENVOLVIMENTO DE NO DESENVOLVIMETO SEGURANA NO SOFTWARES DE SOFTWARES
META
Apresentar a importncia da segurana no desenvolvimento de softwares. Modelos de especificao de segurana, ambiente de desenvolvimento, segurana da aplicao. Tambm veremos os conceitos e os tipos de ameaas, riscos e vulnerabilidades.
Esperamos que, aps o estudo do contedo desta unidade, voc seja capaz de: construir um software atravs de um modelo de segurana; conceituar e identificar as maiores ameaas e riscos quanto segurana
42
2.1 Modelos de Especificao da Segurana

Common Criteria nome do padro de mercado que deu origem Norma ISO/IEC 15.408. Seu objetivo fornecer um conjunto de critrios para especificar a segurana de uma aplicao de forma clara, estabelecendo caractersticas para o ambiente de aplicao e definindo formas de garantir a segurana da aplicao para o cliente final. Em suma, ele pode ser usado para desenvolver um sistema seguro ou ainda, realizar a avaliao de um j existente. Mas a voc pergunta: o que faz com que um sistema seja seguro? Este padro nos d resposta. Ele estabelece que qualquer sistema para ser seguro, precisa ter seu Security Target (objetivo ou alvo de segurana) elaborado. Este deve indicar quais aspectos de segurana foram considerados importantes para o sistema em questo. Ele define ainda sete nveis de garantia de segurana. A cada nvel h um maior rigor nos testes. Esses so chamados de EAL (do ingls Evalution Assurance Level, ou nvel de garantia da avaliao) e so classificados entre os nveis 1 a 7, sendo o nvel 7 o mais alto. Atingir este ltimo nvel no fcil, envolve tempo e dinheiro. Podemos afirmar que atingir o nvel 3 j seria bastante interessante para a maioria dos aplicativos comerciais. preciso dizer que aplicar a norma em questo em sua totalidade seria bastante oneroso. Embora seja muito interessante, possvel atingir um bom nvel de segurana no sendo necessrio aplicar a norma totalmente. Albuquerque & Ribeiro (2002) apresenta um modelo mais simples, e, portanto, mais interessante e plausvel de aplicao. Se for iniciar uma aplicao do zero, ele apresenta quatro passos, quais so: Especificar a segurana na fase de anlise gerar um documento de especificao utilizando a ISO/IEC 15.408 como guia. No necessrio aqui seguir o padro imposto por ela no que tange ao Security Target; Manter ambiente de desenvolvimento e testes seguros e capazes de 43
atender ao EAL3; Desenvolver aplicao utilizando boas prticas de programao e fazer uso dos requisitos de segurana criar processo de desenvolvimento definido e planejar implantao dos requisitos especificados, e Testar sistema internamente gerar as evidncias para verificar aderncia s especificaes realizadas anteriormente, como EAL3. Ser que so os mesmos passos se a aplicao j estiver desenvolvida? No, necessrio realizar algumas adaptaes, que seguem:
Especificar a segurana para a aplicao usando ISO/IEC 15.408; Levantar quais requisitos de segurana a aplicao possui e quais esto presentes em seu ambiente de desenvolvimento; Verificar se os requisitos implementados atendem necessidade de segurana verificada na especificao inicial, e Escolher um nvel de garantia de segurana (somente at EAL3, pois nveis 4 a 7 exigem testes e procedimentos durante a implementao e portanto inviveis para aplicaes prontas) e fazer os testes para garantir a segurana da aplicao.
2.2 Especificao da Segurana Desejada

Assim como na anlise de sistemas, em segurana tambm necessrio conhecer as necessidades do cliente, bem como do usurio. Essa preocupao com segurana vlida tendo em vista as legislaes e polticas de segurana estabelecidas e as ameaas ao negcio. Dessa maneira, a primeira ao a ser feita levantar as necessidades legais e as polticas de segurana que vertem sobre a aplicao. Tambm deve ser realizado um levantamento dos tipos de ameaas. Com tais levantamentos em mos, hora de consolidar os objetivos de segurana. Cada um deles deve estar ligado a pelo menos uma ameaa ou a uma legislao ou norma. 44
2.3 Especificao da Segurana da Aplicao

Para conseguir realizar esta especificao primordial identificar as ameaas, pontos crticos, os ativos valiosos, legislao aplicvel e as medidas de contingncia existentes no ambiente. (LYRA, 2008) Como realizar isso? Mais uma vez a norma ISO/IEC 15.408 nos auxilia. Ela sugere a realizao de uma busca extensiva, passando por quatro aspectos: Poltica de segurana documento de normatizao, sendo importante levantar os motivos dos requisitos existirem; Ameaas levantar somente as que so significativas, que podem ocorrer com maior probabilidade e com impacto; Objetivos de segurana trata-se da segurana que ser implementada; Premissas ambiente esperado para a construo do sistema, lembrando que deve ser autorizado pelo usurio; Estratgia procurar atender cada objetivo de segurana anterior.
2.4 Segurana do Ambiente de Desenvolvimento

Lyra (2008) diz que no possvel desenvolver uma aplicao segura em um ambiente no seguro. Abaixo temos um modelo esquemtico de como seria esse ambiente, tendo por base as normas:
45
Gerncia de Configurao Objetivo Preservar Integridade do Sistema Como? Prevenindo mudanas, acrscimos e excluses sem autorizao na documentao do sistema
Distribuio Objetivo No comprometer a transio entre desenvolvimento e a produo Como? Assegurar verso com especificaes de segurana
Desenvolvimento Objetivo Representar as funcionalidades de segurana em todas as fases de desenvolvimento Como? Particionar as especificaes de segurana
Documentao Objetivo Operao segura do sistema Como? Manual com orientaes de configurao, manuteno e administrao do sistema
Suporte ao Ciclo de Vida Objetivo Atingir requisitos funcionais de segurana Como? Utilizao de modelos como CMMI, RUP
46
Testes de Segurana Objetivo Garantir que sistema est atendendo aos requisitos de segurana Como? Testes de unidade, integrao, sistema, instalao e aceitao
Avaliao de Vulnerabilidades Objetivo Analisar ameaas que podem ser exploradas Como? Procurar por possibilidades de falhas, quer nos mecanismos de segurana, quer na documentao, quer no uso do sistema
Muitas ferramentas CASE oferecem suporte automatizado ao processo de teste. H tambm boas ferramentas para auxiliar na
documentao de softwares Escolha um dos dois itens acima e faa uma pesquisa apresentando as principais ferramentas de mercado. Escolha uma delas e procure utilizar de alguma forma. Ao final apresente um relatrio sobre a ferramenta que voc utilizou, evidenciando pontos positivos e negativos
2.5 Segurana no Ciclo de Vida de Desenvolvimento da Aplicao

Lyra (2008) aconselha a escolha de uma metodologia de desenvolvimento. No entanto, alm disso, ele cita as boas prticas de programao:
47
criar funes intrinsecamente seguras; usar funes intrinsecamente seguras; testar o retorno de funes; documentar funes corretamente; tratar as entradas de dados; ter uma poltica de verso consistente; usar componentes e bibliotecas confiveis; evitar informaes sensveis em arquivos temporrios; no armazenar senhas e chaves criptogrficas no cdigo; operar com o privilgio necessrio, e tratar todas as entradas do sistema como no seguras. Temos um Frum chamado Boas Prticas de Programao. Antes de postar sua participao voc dever escolher duas boas prticas e pesquisar o que de fato elas significam e comentar se voc tem o costume de utiliz-la.
Para finalizar nossa unidade, disponibilizei em nossa Midiateca, uma monografia com o tema: Um Guia para Implantao de Segurana Bsica em Sistemas. Vocs devero ler da pgina 12 a 48, em que so apresentados os principais problemas e aspectos de segurana. Aps a leitura dever ser construda uma resenha com metodologia cientfica (vide manual de normatizao do Unis pginas 79 e 80 disponvel em www.unis.edu.br, portal do aluno).
48
CONCLUSO
Nesta unidade vimos a importncia de construir aplicaes com segurana, ou mesmo verificar em aplicaes j implantadas. Importante ressaltar que nada disso pode ser feito do nada, existem ferramentas, metodologias, prticas e normas para nos auxiliar neste aspecto. Dessa forma, responsabilidade nossa cada vez mais cuidar disso. Percebe que no basta simplesmente ser um bom programador, ter uma boa lgica se no h cuidado nenhum com a segurana. Vimos que importante comear a tratar do assunto ainda nas primeiras fases de levantamento de requisitos.

Em nossa prxima unidade veremos os conceitos de auditoria, fudamentos, metodologias, ferramentas e prticas. Veremos que ela importante em vrias fases como: aquisio, desenvolvimento, documentao e manuteno de sistemas
49
AUDITORIA EM SISTEMAS DE INFORMAO AUDITORIA EM SISTEMAS DE INFORMAO
META
Apresentar conceitos de auditoria, destacando as metodologias existentes, ferramentas, tcnicas, melhores prticas e outros aspectos ligados ao tema.
Esperamos que, aps o estudo do contedo desta unidade, voc seja capaz de: Conceituar Auditoria de Sistemas Entender o objetivo e importncia das Auditorias Aprender sobre as melhores prticas e ferramentas
50
3.1 Fundamentos em Auditoria

O objetivo de realizar uma Auditoria de um Sistema de Informao o de conseguir adequar, revisar, avaliar e recomendar alteraes positivas nos processos internos, bem como avaliar a utilizao dos recursos humanos, materiais e tecnolgicos envolvidos (LYRA, 2008). Gil (2000) destaca que a Auditoria de Sistemas importante tendo em vista os recentes altos investimentos das organizaes em sistemas, a necessidade de segurana dos computadores e seus sistemas e a garantia do alcance da qualidade dos sistemas computadorizados. Podemos resumir que a Auditoria de Sistemas de Informao possui alguns objetivos principais, quais so: Integridade ter confiana nas transaes processadas pelo sistema. Isso permite que os usurios tomem decises sem receio, sem desconfiana. Muitas vezes dentro de empresas ao extrair um relatrio ningum se compromete em assin-lo ou em tomar uma deciso tendo somente ele por base de informaes. Confidencialidade informaes reveladas somente s pessoas que de fato precisam delas. muito comum em empresas, um funcionrio assumir outra funo ou no ter mais uma funo anterior e continuar com acesso s informaes do cargo anterior. Privacidade enxergar apenas as informaes que lhe so cabveis para execuo de suas atividades. Acuidade validar as transaes realizadas. Evitar que dados incompatveis populem o sistema, gerando transaes indevidas ou invlidas. Disponibilidade sistema disponvel para realizar as tarefas. Queda ou problemas no sistema podem gerar despesas ou prejuzos incontveis. Lembram da queda de servio do Speed? 51

Auditabilidade documentar logs operacionais. Embora isso possa trazer um pouco de lentido ao sistema, maiores gastos em infraestrutura computacional, extremamente vantajoso. Versatilidade sistema deve ser amigvel, adaptvel e ter condies de uso para exportar e importar dados. Nos dias atuais extremamente importante no ter aes de digitao nos sistemas, quanto mais se conseguir automatizar as tarefas, menos erros ocorrero. Manutenibilidade os procedimentos devem conter controles. Estes devem incluir testes, converses e documentao. Em nossa Midiateca temos um Glossrio com termos utilizados em Auditoria. A Leitura ajudar na
compreenso mais fcil dos termos. Leitura Obrigatria.
3.2 Tipos de Auditoria

H vrias modalidades de Auditoria, porm tendo em vista o assunto que discutimos e de acordo com Lyra (2008), destacamos:
Auditoria Durante o Desenvolvimento de Sistemas: auditar todo o processo de construo do sistema, desde a fase de requisitos at a implantao, passando ainda pela metodologia de desenvolvimento. Auditoria de Sistemas em Produo: auditar os procedimentos e resultados dos sistemas j implantados. Auditoria no Ambiente Tecnolgico: auditar o ambiente de informtica, no que tange a estrutura organizacional, contratos, normas tcnicas, custos, planos, etc. Auditoria em Eventos Especficos: auditar eventos novos ou eventos no detectados por auditorias anteriores.
52
3.3 Metodologia de Auditoria de Sistemas de Informao

Quando falamos em metodologia necessrios uma palavra de cautela. Nem sempre podemos seguir risca, com os olhos fechados uma metodologia do incio ao fim. Cada empresas, cada poca, cada situao tem as suas particularidades. No entanto, estabelecer um norte de atuao sempre til, mas no se deve deixar de lado o chamado jogo de cintura, pois assim o trabalho torna-se peculiar e mais interessante. A metologia proposta por Lyra (2008) est descrita abaixo e dividido em fases, conforme poder ver:
3.3.1 Planejamento e Controle do Projeto de Auditoria de Sistemas de Informao

Para isso interessante levar em considerao a abrangncia das aes, o enfoque desejado, alm de um levantamento do quantitativo de sistemas que sero auditados. Este ser ento o planejamento inicial das aes e dos recursos necessrios para executar a auditoria. Mas a voc pergunta, como vou fazer isso de forma correta? A vo algumas dicas ou recomendaes: forme uma Equipe de Trabalho; divida essa Equipe em dois grupos: Coordenao e Execuo; coordenao: composto pelo gerente de auditoria, gerente da rea usuria responsvel pelo sistema de informao, gerente da rea de TI e gerente ou responsvel tcnico do sistema; execuo: composto por auditores e tcnicos da rea de informtica e da rea usuria; o grupo Coordenao dever: definir procedimentos a serem 53
utilizados durante o trabalho de auditoria, escolher alternativas para acompanhar trabalhos, acompanhar e controlar resultados obtidos; o grupo Execuo realizar a Auditoria; utilizar ferramentas e mtodos consagrados como PMBoK para auxiliar no planejamento das atividades.
3.3.2 Levantamento do Sistema de Informao a ser Auditado

Aps essa primeira fase necessrio levantar as informaes relevantes sobre o sistema. Este deve ser o mais abrangente possvel, para que assim exista um entendimento das caractersticas do sistema. Neste ponto voc deve aplicar o que aprendeu em Anlise e Projetos de Sistemas. Isso mesmo! hora de entrevistas, analisar documentaes existentes, criar diagramas, grficos, etc. Lembra de algumas ferramentas para auxiliar nisso? Se voc lembrou de DFD, MER, dicionrio de dados, casos de uso, diagramas de classe, sequenciais voc acertou. hora de utilizar esses conceitos e ferramentas. Ajudaro a explicar o comportamento do sistema e como ele figura nos processos da empresa. No esquea de que nessa fase o mais importante conseguir determinar o escopo. Com isso voc poder determinar a abrangncia da auditoria e o seu possvel alcance.
3.3.3 Identificao e Inventrio dos Pontos de Controle

O objetivo desta etapa voc conseguir determinar os pontos de controle que precisam ser validados. Isso o inventrio de pontos de controle. Eles podem ser encontrados em documentos de entrada do sistema, relatrios de sada, telas, arquivos, pontos de integrao, bancos de dados. Cada ponto deve estar relacionado e seus objetivos tambm devem ser conhecidos. O resultado deste levantamento deve ser enviado ao Grupo Coordenao para uma validao de pertinncia. 54
3.3.4 Priorizao e Seleo dos Pontos de Controle do Sistema Auditado

Essa etapa seleciona e prioriza os pontos de controle inventariados anteriormente. Mas como selecionar esses pontos? Essa seleo deve ser baseada no Grau de Risco existente no ponto, na existncia de ameaas e na disponibilidade de recursos. Quando se fala em Grau de Risco isso consiste em verificar os prejuzos que podero ser acarretados pelo sistema a curto, mdio e longo prazo. Prev as ameas provveis de um ponto. Sobre a existncia de ameaas, consiste em classificar os pontos e dar ateno primeiro aos que possuem forte ameaa. Finalmente, sobre Disponibilidade de Recursos inclui dar ateno aos pontos que podem ser atendidos dentro do que foi levantado como recursos para a auditoria. Levando em conta essas trs caractersticas pode-se conseguir elencar os pontos de controle que devero ser revisados e auditados com maior prioridade.
3.3.5 Avaliao dos Pontos de Controle

Somente nesta fase comea a Auditoria realmente. aqui que os testes dos pontos de controle selecionados sero feitos. As tcnicas aplicadas devero procurar falhas e pontos que podem ser melhorados. Para isso interessante aplicar ferramentas e tcnicas para um melhor resultado. Apresentaremos algumas destas um pouco mais frente.
3.3.6 Concluso da Auditoria

Ao trmino da execuo dos testes, voc dever elaborar um relatrio contendo o resultado encontrado. Detalhe: o resultado deve ser o encontrado, independente se for ruim ou bom. 55
O que voc acha que deve conter um relatrio assim? Ele deve conter o diagnstico da situao atual dos pontos de controle, e se existir, as falhas ou fraquezas dos controles internos. Se encontrar um ponto de controle que possui fraqueza ou falha este se transforma em Ponto de Auditoria. Voc poder ento apontar melhorias ou solues para este ponto. Estes Pontos de Auditoria devero periodicamente sofrer avaliaes ou revises para verificar se a falha ou fraqueza foi sanada. Esta anlise pode ser feita por analistas ou usurios responsveis.
3.3.7 Acompanhamento da Auditoria

O Acompanhamento da Auditoria ou follow-up, deve ser feito at que todas as recomendaes tenham sido atendidas em um nvel satisfatrio. Este deve verificar se os Pontos de Auditoria esto sendo revistos e avaliados e o comportamento referente aos mesmos.
Temos um Frum chamado Auditoria. Poste qualquer experincia que tenha tido com Auditoria. No se esquea de mencionar tcnicas utilizadas, melhorias apontadas,
ferramentas, etc. Se voc no passou por uma experincia assim, pesquise sobre o tema e poste algo relacionado.
3.4 Ferramentas de Auditoria de Sistemas de Informao

Imagine extrair, sortear, selecionar dados e transaes sem o apoio de ferramentas computacionais. Seria muito exaustivo. H uma grande variedade de ferramentas para auxiliar neste aspecto. 56
Entre essas ferramentas h softwares de uso em ambiente batch que podem processar, simular, analisar amostras, gerar dados, apontar duplicidade, entre outros. Entre as vantagens da utilizao de uma ferramenta podemos destacar o fato de um aplicativo conseguir processar vrios arquivos ao mesmo tempo, processar vrios arquivos de diferentes formatos, integrar sistemicamente com vrios tipos de estruturas diferentes, reduzir a dependncia do auditor em relao ao pessoa da TI da empresa. Este tipo de sistema chamado de ferramentas generalistas. Abaixo temos exemplos: Audit Command Language (ACL) extrao e anlise de dados Interactive Data Extraction & Analisys (IDEA) extrao e anlise de dados Audimation extrao e anlise de dados Galileo gesto de auditoria, incluindo gesto de risco, documentao e emisso de relatrios; Pentana permite a elaborao de um planejamento estratgico de auditoria, com planejamento e monitoramento de recursos, controle de horas, registro de checagens e desenho e gerenciamento de plano de ao.
Surge uma dvida: a utilizao de ferramentas como as que vimos apresentam somente vantagens? No. H algumas desvantagens como a no utlizao das mesmas em ambiente online e quando se torna necessrio a execuo de clculos mais complexos que no podem ser resolvidos por ferramentas generalistas. Em vista disso, existem as chamadas ferramentas especializadas. Trata-se de sistemas desenvolvidos para execuo de tarefas em cirscuntncia definida. Estas podem ser desenvolvidas pelo auditor, pelo especialista da empresa ou por outros. A vantagem desse tipo de ferramenta est no fato de conseguir atender necessidades especficas. As desvantagens esto em custo e em problemas de atualizao de sistema. H ainda os programas utilitrios que realizam tarefas comuns como ordenar um arquivo, concatenar textos, sumarizar, etc. Estes so verdadeiros 57

quebra-galhos para algumas aes que poder economizar principalmente tempo e esforo.
Este espao abaixo para voc complementar este guia. Pesquise, converse com colegas, entreviste auditores e liste outras ferramentas de auditoria utilizadas hoje em dia. Procure alistar vantagens e desvantagens das mesmas.
3.5 Tcnicas de Auditoria de Sistemas de Informao

Lyra (2008) afirma que as varidas metodologias de auditoria podem ser chamadas de tcnicas. Em vista disso, selecionamos algumas delas que podero orientar sobretudo se for ter uma primeira experincia neste mbito. Lyra (2008) afirma que as varidas metodologias de auditoria podem ser chamadas de tcnicas. Em vista disso, selecionamos algumas delas que podero orientar sobretudo se for ter uma primeira experincia neste mbito. DADOS DE TESTE envolvem o uso de um conjunto de dados especialmente projetados e preparados com o objetivo de testar as funcionalidades de entrada de dados no sistema. interessante realizar uma entrada com os mesmos e verificar os resultados obtidos. Ser que este resultado era o esperado ou existe alguma discrepncia? Quanto mais combinaes de transaes puderem ser feitas no arquivo de carga, maior ser a cobertura do teste. FACILIDADE DE TESTE INTEGRADO melhor aplicada em ambientes online e real time. Os dados de teste so introduzidos nos ambientes reais de processamento, formando assim uma linha de produo. Envolve aplicar situaes inusitadas e novas ao sistema para avaliar seu comportamento e consistncia. Pode-se confrontar dados reais com os dados fictcios lanados. SIMULAO PARALELA envolve utilizar um programa desenvolvido de forma especial que simule as funcionalidades do 58
programa em produo. So realizadas transaes em ambos e compara-se os resultados. Este interessante principalmente para rotinas que apresentam inconstncia em seus resultados. LGICA DE AUDITORIA EMBUTIDA NOS SISTEMAS incluso da lgica de auditoria nos sistemas em fase de desenvolvimento. Criar relatrios de auditoria para acompanhamento dos procedimentos. RASTREAMENTO E MAPEAMENTO elaborar e implementar uma trilha de auditoria para acompanhar os principais pontos de lgica do processamento das transaes crticas, registrando seu comportamento e resultados para uma anlise a ser feita futuramente. Essas trilhas, na verdade, so rotinas de controle para permitir o alcance da informao tanto aps o processamento como antes. ANLISE DA LGICA DE PROGRAMAO certificao de que as instrues construdas para execuo pelo computador esto de acordo com as regras de negcio da empresa e de acordo com o que foi passado para a Auditoria.
3.6 Melhores Prticas de Auditoria de Sistemas de Informao

Ainda no h uma conveno de padro para Auditoria de Sistemas de Informao. Lyra (2008) informa que vrias associaes apresentam regras do exerccio da profisso que servem para nortear a atuao de seus membros.
3.6.1 Comit de Padres da Associao de Controle e Auditoria de Tecnologia da Informao

Trata-se de uma associao norte-americana que d recomendaes para quem trabalha com auditoria de tecnologia da informao. (LYRA, 2008). Entre as recomendaes temos: 59
Responsabilidade, Autoridade e Prestao de Contas: estas devem estar documentadas em uma carta proposta ou de aderncia ao escopo. Independncia Profissional: auditor deve ser independente em atitude e aparncia. Ele deve ser independente inclusive da rea auditada para que assim seu trabalho tenha uma concluso objetiva. tica Profissional e Padres: o zelo profissional e a observncia dos padres profissionais de auditoria devem ser exercidos em todos os aspectos do trabalho do auditor. Competncia: deve possuir habilidades e conhecimento necessrios para a execuo do seu trabalho. Deve manter a competncia tcnica por estar sempre se aprimorando. Planejamento: deve ter um bom planejamento que permita atingir seus objetivos. Deve supervisionar sua equipe e ter capacidade de analisar e interpretar informaes permitindo uma concluso lgica. Emisso de Relatrio: na concluso de seu trabalho deve ser elaborado um relatrio contendo escopo, objetivos, perodo de abrangncia, natureza e extenso do trabalho. Deve ainda elaborar observaes, concluses, recomendaes e possveis solues para as situaes encontradas durante a auditoria. Atividades de Follow-up: deve requisitar e avaliar as informaes apropriadas sobre pontos, concluses e recomendaes anteriores. Assim tem condies de avaliar se foi conseguido solucionar os pontos em tempo satisfatrio.
3.6.2 Associao de Auditores de Sistemas e Controles (ISACA)

Ela criou um cdigo de tica profissional com objetivo de guiar as atividades de seus membros. Entre as aes que eles devem fazer, esto: apoiar a implantao e encorajar o cumprimento com os padres sugeridos dos procedimentos e controles dos sistemas de informaes; 60
exercer suas funes com objetividade, diligncia e zelo profissional, de acordo com os padres profissionais e as melhores prticas; servir aos interesses dos stakeholders de forma legal e honesta, atentando para a manuteno de alto padro de conduta e carter profissional, e no encorajar atos de descrdito profisso; manter privacidade e confidencialidade das informaes obtidas no decurso de suas funes, exceto quando exigido legalmente. Tais informaes no devem ser utilizadas em vantagem prpria ou entregue a pessoas dasautorizadas; manter competncia nas respectivas especialidades e assegurar que nos seus exerccios somente atua nas atividades em que tenha razovel habilidade para competir profissionalmente.
Imagine que voc foi chamado para participar de uma Auditoria de Sistemas de Informao. Voc ento dever tentar montar esse processo. Para isso voc dever montar inicialmente quatro fases, quais so: Planejamento da Auditoria, Definio da Equipe, Documentao do Trabalho e Produtos Gerados pela Auditoria. Monte esse processo com detalhes em cada fase.
61
CONCLUSO
Nesta unidade vimos a importncia que as Auditorias tem dentro das organizaes. Embora possam existir dificuldades para a sua realizao, tais como defasagem tecnolgica, falta de bons profissionais, falta de cultura da empresa e tecnologia variada e abrangente ela ganha fora a cada dia. Isso porque, conforme vimos, os resultados so tangveis, expressos em relatrios e de fcil verificao de seus resultados. Vimos ainda a variedade de ferramentas existentes e tambm um passo a passo para uma primeira auditoria. Tente realizar isso internamente, prove o que a Auditoria pode fazer por voc e seu departamento. Os resultados podem surpreender!

Em nossa prxima unidade veremos poltica de segurana, apresentando exemplos de ciclo de vida de desenvolvimento seguro e Planos de Segurana.
62
POLTICA DE SEGURANA POLTICA E SEGURANA
META
Apresentar importncia do estabelecimento de uma poltica de segurana, destacando exemplos de ciclo de vida de desenvolvimento seguro e Planos de Segurana
Esperamos que, aps o estudo do contedo desta unidade, voc seja capaz de: elaborar uma poltica de segurana; entender o objetivo e importncia de um plano de segurana; conhecer um ciclo de vida de desenvolvimento seguro.
63
4.1 Os Planos de Segurana

Uma Poltica de Segurana no pode ser criada da noite para o dia. Trata-se de um processo cultural. Para tal necessrio que todos os que compem a empresa, mais os parceiros ou terceiros estejam interessados em tal. Wanderley e Moura (2000), abordam a importncia de utilizar boas tecnologias para isso. A necessidade e o medo so tantos que muitas vezes pensamos em construir algo como demonstra a figura 5. Em muitas empresas, h resistncia por parte da gerncia no que tange a investir em programas ou polticas de segurana. Isso se deve muitas vezes ao fato de economizar recursos, manter satisfao dos funcionrios em no ser vigiados ou dar liberdade na utilizao dos equipamentos. Porm, a conta pode sair muito cara. muito melhor iniciar um investimento de conscientizao, criao de uma poltica a ser estabelecida, criar normas que perder dados ou no ter segurana nas informaes transacionadas internamente.
Figura 5: Segurana. (Fonte:www.gta.ufrj.br/.../images/antispam_2.png) O uso de Certificados Digitais, bem como criptografia no apenas uma opo para quem vai construir um Plano de Segurana. Antes, trata-se de uma necessidade. A figura abaixo nos mostra uma viso geral de uma poltica de segurana, de acordo com Wanderley e Moura (2000). 64
Figura 6: Poltica de Segurana (Fonte: Wanderley e Moura, 2000) A figura mostra o que necessrio em uma poltica de segurana para estabelecer aes para autenticao e autorizao: Servidor Web configurar para requerer certificados dos clientes; Certificados de clientes obtidos pelos usurios e instalados em seus navegadores Web; Diretrio de usurio projetado para armazenar chaves pblicas e informaes sobre usurios; Definies de grupos e regras dar ou negar acesso aos recursos; Cdigo fonte da aplicao checando o acesso e regras de controle.
4.1.1 Plano Diretor de Segurana

O primeiro passo para quem quer dar segurana sua informao criar um plano diretor de Segurana. Ele no deve ser algo muito rgido, antes, deve ser flexvel e pronto para se ajustar s necessidades de segurana da organizao. Este plano deve objetivar o fornecimento de orientaes sobre como 65
ser o comportamento da organizao em relao segurana. Assim, no possvel estabelecer um plano e dizer que ele serve para todo e qualquer ambiente corporativo. H determinadas aes que para uma empresa seria um risco elevado de segurana e para outras um risco moderado. Assim cada uma pode estabelecer como agir de acordo com sua realidade. Ele tambm deve, de acordo com Lyra (2008),
montar um mapa de relacionamento e dependncia entre processos de negcio, aplicaes e infraestrutura fsica, tecnolgica e humana. Embora no exista uma receita de bolo para guiar a construo deste plano, Smola (2003) prope uma metodologia para elaborar este plano. Em nossa Midiateca temos um arquivo pds.ppt que contm as seis etapas distintas proposta por Smola (2003) para a criao de um Plano Diretor de Segurana. Leia, Confira!
Nesta proposta identifica-se claramente que as aes de segurana devem ter foco no negcio da empresa e nas informaes que sustentam esse negcio. Assim primordial conseguir levantar quais so os processos mais vitais. Quem deve participar desse levantamento obrigatoriamente a alta gerncia, pois ela conhece quais processos so essenciais para sua tomada de deciso. Aps esse mapeamento deve-se estabelecer a relevncia de cada um realizando uma classificao dos mesmos. Isso tambm deve ser feito junto com gestores que conhecem a organizao como um todo. Para isso pode-se criar uma escala de 1 a 5 para realizar a pontuao (1 menos relevante e 5 mais relevante). Depois de descobrir quais processos so mais importantes hora de relacion-los com incidentes de segurana. Para este estudo de impacto pode ser feita uma anlise CIDAL (conceitos de confidencialidade, integridade, disponibilidade, autenticidade, legalidade). Nesse ponto no se leva em conta o todo e sim uma viso mais pontual do processo. Deve-se 66
ento analisar o processo e verificar o que poderia acontecer se ocorresse uma quebra em um dos trs aspectos de segurana (CID) ou nos aspectos de segurana (AL). O prximo passo seria estabelecer uma prioridade para cada processo sob ameaa. Esta prioridade pode ser montada atravs de uma matriz GUT (Gravidade, Urgncia, Tendncia). Vide arquivo pds.ppt na MIDIATECA. Depois de todas estas atividades importante identificar os ativos (infraestrutura, tecnologia, aplicaes, informaes e pessoas). Estes ativos so os que fazem os processos de negcio existir e acontecer. Eles possuem falhar e fraquezas em relao segurana. E somente as pessoas que trabalham nesse ambiente sabero exatamente os pontos que devem ser melhorados. Agora, portanto, hora de esquecer alta gesto e trabalhar com o pessoal tcnico. Por ltimo, a montagem do plano. Que solues so mais interessantes? Que projetos podero j ser implantados? Que aes ocorrero em ambientes e permetros distintos e isolados? Portanto, nessa fase que so indicadas as atividades e/ou projetos juntamente com um cronograma.
4.1.2 Plano de Continuidade de Negcios

Lyra (2008) aborda este tipo de plano como tendo por objetivo assegurar a continuidade das atividades exercidas por cada processo dentro da organizao. Entre seus objetivos, destaca-se: garantir segurana dos empregados e visitantes; minimizar danos imediatos e perdas numa situao de emergncia; assegurar a restaurao das atividades, instalaes e equipamentos o mais rpido possvel; assegurar a rpida ativao dos processos de negcio crticos; fornecer conscientizao e treinamento para as pessoas-chave encarregadas desta atividade.
Lyra (2008) cita o Disaster Recovery Institute (DRI International) que 67
elaborou uma proposta de um padro de desenvolvimento de um Plano de Continuidade de Negcios. As etapas devem ser feitas na ordem em que aparecem, sendo sucessivas: 1 - Incio e Administrao do Projeto definir o escopo/necessidade para o PCN, incluindo questes sobre patrocnio, organizao e gerenciamento de projeto 2 - Avaliao e Controle dos Riscos definir os possveis e provveis cenrios que fazem parte da organizao e que podem afetar o ambiente. Determinar os dados que podem vir a existir e que medidas podem ser tomadas para reduzir o problema. Uma boa alternativa uma anlise ROI (Return of Investment) para justificar o investimento em segurana ou no plano. 3 - Anlise de Impacto nos Negcios identificar e avaliar os impactos de uma possvel interrupo e dos cenrios pessimistas. Definir a criticidade dos processos, prioridades de recuperao e interdependncia. 4 - Desenvolvimento de Estratgias de Continuidade de Negcio definir as estratgias operacionais para a recuperao dos processos e dos componentes de negcios dentro dos prazos de recuperao esperados. Pode-se dividir os procedimentos em Plano de Recuperao de Desastres que seria um plano para atividades relacionadas recuperao ou substituio de componentes e Plano de Contingncia que a manuteno dos processos de negcios. 5 - Respostas e Operaes de Emergncia desenvolver e implementar procedimentos de resposta e estabilizao de situaes por meio de um incidente ou evento. Pode-se criar um Centro
Operacional de Emergncia (COE) que servir como central durante uma crise. 6 - Desenvolvimento e Implantao do PCN integrar todos os componentes elaborados e planejados. 7 - Implantao dos Programas de Treinamento desenvolver programa para incrementar a cultura corporativa, incentivar as habilidades necessrias, 68
executar Plano. O Treinamento das Equipes pode acontecer de vrias formas, mas um primeiro passo comea por distribuir o plano para conhecimento de todos. 8 - Manter e Exercitar os PCN's elaborar um pr-plano para coordenar exerccios do PCN, buscando avaliar os resultados obtidos. Deve-se analisar e atualizar constantemente o PCN para que o mesmo seja vlido. Procedimentos devem ser inclusos. Deve ser testado regularmente para garantir eficcia. 9 - Gerenciamento de Crise desenvolver, coordenar, avaliar e exercitar o manuseio de mdias e documentos. Assegurar o fornecimento de informaes para investidores. 10 - Parcerias com Entidades Pblicas estabelecer procedimentos e polticas de coordenao de respostas, atividades de continuidade e restaurao de negcios, buscando ajuda de rgos pblicos e cumprindo normas e leis. 11 - Parcerias com Entidades Privadas estabelecer diretrizes e coordenao de resposta, atividades de continuidade e restaurao de negcios, com ajuda de organizaes privadas. Ufa! O assunto bem extenso e d ampla margem para discusso e conversa. Mas, perceberam que na etapa quatro falamos sobre Plano de Contingncia. Este tipo de plano um dos mais falados hoje em dia. Por isso interessante explorar um pouco mais o tema. Quais seriam algumas das estratgias de contingncia? J precisou estabelecer alguma? Lyra (2008) destaca que uma das estratgias de contingncia o HOTSITE. Trata-se de uma iniciativa pronta para entrar em operao assim que uma situao de risco acontecer. O seu tempo de operacionalizao est diretamente ligada ao tempo de tolerncia a falhas do objeto. Outra estratgia o WARM-SITE, que se aplica a objetos com maior tolerncia falha ou paralisao, podendo ficar mais tempo indisponvel. A BUREAU DE SERVIOS possibilita a transferncia da atividade atingida para um ambiente terceirizado, fora da empresa, ou seja, no pertencente a ela. O ACORDO DE RECIPROCIDADE prope a aproximao e um acordo 69
formal com empresas que mantm caractersticas fsicas, tecnolgicas ou humanas semelhantes. Dessa forma, concordam em estabelecer um conjunto de situaes de contingncia em que compartilhariam recursos. COLD-SITE prope uma alternativa de contingncia a partir de um ambiente com os recursos mnimos de infraestrutura e telecomunicaes, mas sem
processamento de dados. Assim, torna-se interessante quando h tolerncia para as falhas. A AUTO-SUFICINCIA muitas vezes, a melhor ou a nica estratgia possvel para determinada atividade. Isso acontece quando nenhuma outra estratgia aplicvel, quando os impactos possveis no so altos ou inviveis em vrios aspectos. O que voc aprendeu ao ler sobre as estratgias? Um aspecto muito importante sempre se lembrar de que a escolha de qualquer estratgia depende diretamente do nvel de tolerncia que a empresa consegue suportar e o nvel de risco que a alta gesto est disposta a correr.
D exemplos de situaes em que poderia aplicar as estratgias citadas acima: DE HOT-SITE, WARM-SITE, BUREAU DE
REALOCAO
OPERAO
SERVIOS, ACORDO DE RECIPROCIDADE E COLDSITE
4.1.3 Plano de Administrao de Crise

De acordo com Lyra (2008), trata-se de um documento que tem a finalidade de definir como funcionar as equipes envolvidas com o acionamento da contingncia antes, durante e depois da ocorrncia de um incidente. Define ainda, procedimentos a serem executados quando tudo est normal. Uma ao que tambm tratada por esse documento como comunicar o incidente, sua soluo e seus possveis transtornos imprensa. muito comum, alm desse tipo de ao, criar um Grupo de Respostas a Incidentes de Segurana. 70
No site do CERT existe um documento traduzido com permisso especial do Software Engineering Institute, que citaremos a partir de agora. De acordo com o CERT (2010), manter a segurana da informao se torna mais difcil medida que so lanados novos produtos para a Internet e novas ferramentas de ataque so desenvolvidas. Assim, voc deve concordar que impossvel criar uma soluo nica, como um be-a-b de segurana. Mas o que fazer?
O CERT (2010) fala sobre a necessidade de ter uma estratgia de segurana composta de vrias camadas. Uma dessas camadas trata-se do Grupo de Resposta a Incidentes de Segurana em Computadores, conhecido como CSIRT (do ingls "Computer Security Incident Response Team"). Os motivos para essa ao esto em: aumento na quantidade de incidentes de segurana sendo reportados (vide site do cert.br) aumento na quantidade e na variedade de organizaes afetadas por incidentes de segurana em computadores uma maior conscincia da necessidade de polticas e prticas de segurana novas leis e regulamentos que afetam a maneira como as organizaes precisam proteger as suas informaes a percepo de que administradores de redes e sistemas no podem proteger sozinhos os sistemas e as informaes da organizao
Assim, o objetivo de criar um CSIRTs o de buscar respostas para a construo de um mecanismo de auxlio para os incidentes. Porm, isso no tarefa fcil, o CERT (2010) lista as dificuldades e questionamentos para tal: Quais so os requisitos bsicos para se estabelecer um CSIRT? Que tipo de CSIRT ser necessrio? 71
Que tipos de servios devem ser oferecidos? Qual deve ser o tamanho de um CSIRT? Onde o CSIRT deve estar localizado na organizao? Qual o custo para implementar e manter um CSIRT? Quais so os passos iniciais que devem ser seguidos para criar um CSIRT? Se voc est esperando uma resposta objetiva para cada pergunta acima, sinto em dizer que no existe. Cada CSIRT singular como a sua organizao. Assim, se hoje voc estabelece uma estrutura dessas em uma empresa e amanh est em outra empresa, o CSIRT da segunda no ser igual ao da primeira. Aps implementar o CSIRT voc ter as respostas para os questionamentos acima.
Embora no seja uma receita de bolo, o artigo supracitado considera alguns passos para a criao de um CSIRT: Obter o Apoio e a Aprovao da Administrao Superior sem a aprovao e o apoio da alta administrao fica muito difcil a criao de um CSIRT. Quando se fala em apoio isso significa recursos materiais e financeiros, e de tempo para trabalhar (tanto para a pessoa como para a equipe). Outro aspecto importante ouvir o que a administrao espera do CSIRT. Tambm, eles podem confirmar o compromisso de sustentar as operaes e a autoridade do CSIRT em longo prazo. Determinar o Plano de Desenvolvimento Estratgico do CSIRT esta ao deve procurar gerenciar o desenvolvimento do CSIRT. Para que isso seja feito de forma correta so recomendadas algumas questes: Quais questes administrativas e de gerncia do projeto devem ser consideradas? Existem prazos especficos a cumprir? Estes prazos so realistas? Se no, eles podem ser alterados?Existe um grupo de projeto? Qual a origem dos membros do grupo? Um bom 72
procedimento para fazer isso aplicar prticas em gerncia de projetos, teoria do comportamento organizacional e teoria da comunicao. Essas prticas podero fornecer um maior
embasamento s aes que se queira realizar, bem como garantir sucesso na implantao. Outra dica criar um ambiente online em que todos os componentes do grupo podem se comunicar e acessar documentos importantes e relevantes ao projeto. Coletar as Informaes Relevantes Este passo muito importante, pois permite que se saiba exatamente quais so as necessidades da organizao. vital coletar informaes de departamentos
estratgicos ao CSIRT e saber ouvir aqueles que podem contribuir. Para isso importante aplicar tcnicas de coleta de informaes. Isso vai ajudar a determinar que estratgias devero ser aplicadas primeiro, que alvos so mais necessrios ou que precisam de mais ateno. D exemplos de Tcnicas de Coleta de Informaes e tente levantar as vantagens e desvantagens de cada tcnica. Quase todos os dias as organizaes lidam com incidentes de segurana. Tente montar uma situao hipottica ou que seja comum e apresente como voc montaria uma resposta a esse incidente. Para isso tente utilizar o espao abaixo. Um exemplo de resposta atividade proposta acima dada pelo CERT(2010): Imagine que uma organizao foi vtima de um vrus ou worm, incidentes muito comuns. Sero necessrios
procedimentos de busca, eliminao e recuperao de vrus com ferramentas antivrus. Talvez ser necessrio treinamentos e produzir documentao para ajudar a desenvolver programas de conscientizao dos usurios.
73

Conceber a Viso do seu CSIRT o passo anterior ajuda a definir uma viso do CSIRT e seus objetivos e funes. Assim, vital alcanar um entendimento da definio e das expectativas para o CSIRT. No se pode esquecer que o foco principal prevenir e responder a incidentes. Assim o CERT (2010) cita que deve existir as seguintes preocupaes ao criar a viso: Identificar a comunidade a ser atendida Definir a misso e os objetivos do seu CSIRT Selecionar os servios a serem prestados comunidade (ou a outros) Determinar o modelo organizacional Identificar os recursos necessrios Determinar o modelo de financiamento do seu CSIRT. Comunicar a Viso do CSIRT Comunicar a viso criada no passo anterior fundamental. E isso deve ser feito a todos, da alta gerncia a toda a comunidade. Outro aspecto importante lembrar que ajustes so permitidos e devem ser feitos. Iniciar a Implementao do CSIRT Para implementar importante treinar o pessoal inicial do CSIRT, comprar os equipamentos e montar a infraestrutura de rede necessria para dar suporte ao grupo, desenvolver um conjunto inicial de polticas e procedimentos para o CSIRT, definir as especificaes para o sistema de acompanhamento de incidentes e implementar e, por fim, desenvolver recomendaes e formulrios para que todos possam reportar incidentes. Este aspecto muito importante, pois um incidente reportado de forma errada pode gerar esforos desnecessrios.
4.1.4 Plano de Continuidade Operacional

Objetivo de definir os procedimentos para contingncia dos ativos que suportam cada processo de negcio, com objetivo de reduzir o tempo de indisponibilidade e os possveis impactos. Alm disso, deve orientar as aes para que o servio da empresa no fique indisponvel por muito tempo. Um clssico exemplo disso seria uma queda da conexo Internet. Que aes deveriam ser feitas? Este plano traaria exatamente que aes deveriam ser feitas. (LYRA, 2008) 74
4.2 Ciclo de Vida de Desenvolvimento Seguro

Lyra (2008) apresenta um processo chamado SDL, sigla do ingls, que significa Trustworthy Computing Software Development Lifecycle.
O processo citado acima utilizado pela Microsoft e est disponvel no link abaixo: http://msdn.microsoft.com/pt-br/library/ms995349.aspx
Acesse o link citado e elabore um resumo detalhando como funciona o processo utilizado pela Microsoft.
4.3 Forense Computacional

Cada vez mais os crimes tornam-se mais invasivos e fortuitos. Isso tem obrigado as autoridades a estabelecer formas cada vez mais inteligentes de combate. Guimares et. al (2001) destaca que a eliminao de fronteiras realizada pela Internet gerou um grande problema para as instituies de combate ao crime. Ele aborda que os crimes eletrnicos passaram a ter vtima e criminoso em pases distintos. Com isso, nota-se uma obrigatoriedade de troca de informaes e evidncias eletrnicas entre as agncias de combate ao crime. No entanto, ainda no h padres internacionais, o que faz com que o valor jurdico de uma prova eletrnica seja contestvel. Voc ento se pergunta: como realizada uma verificao em um computador? Uma percia envolve uma srie de conhecimentos tcnicos e a utilizao de ferramentas. Para isso necessrio um conhecimento de alto nvel em relao aos sistemas operacionais. (GUIMARES, 2001). As ferramentas precisam ser especficas para o caso e no podem afetar ou perturbar o que est sendo analisado ou o alvo da percia. Uma das 75
atividades, por exemplo, anlise dos arquivos (MAC times). A ferramenta utilizada no pode perturbar estes arquivos, pois poderia facilmente rasurar as utilizaes recentes do computador. No Brasil no existem normas para a forense computacional, porm h leis que podem ser usadas ou citadas para este tipo de percia. Guimares et. al.(2001) fala que no caso de uma percia criminal existe a figura do Perito Oficial (dois para cada exame), onde o seu trabalho deve servir para todas as partes interessadas (Polcia, Justia, Ministrio Pblico, Advogados, etc.). Para desempenhar seu papel necessrio nvel universitrio e prestar concurso pblico especfico. Guimares et. al (2001) cita as principais entidades: IOCE (International Organization on Computer Evidence):
estabelecida em 1995 com o objetivo de facilitar a troca de informaes entre as diversas agncias. Investiga crimes envolvendo computadores ou outros assuntos relacionados ao meio eletrnico. Formula padres para evidncias computacionais e desenvolve servios de comunicao entre as agncias e organiza conferncias. SWGDE (Scientific Working Group on Digital Evidence): Criado em 1998 nos Estados Unidos se esfora em padronizar os conceitos sugeridos e conduzidos pela IOCE. HTCIA (High Technology Crime Investigation Association): Discute e promove a troca de informaes para auxiliar no combate ao crime eletrnico. IACIS (International Association of Computer Investigatibe
Specialists): Composta por voluntrios com objetivo de treinar novos peritos em forense computacional. SACC (Seo de Apurao de Crimes por Computador): Age no mbito do Instituto Nacional de Criminalstica/Polcia Federal, dando suporte em crimes ou incidente em que h presena de computadores.
76
Tente encontrar tcnicas utilizadas pelos peritos forenses. Descreva abaixo algumas tcnicas que voc encontrou e tente at mesmo realiz-las em seu computador.
4.4 Segurana da Informao necessidade latente
uma
Fernandes (2007) destaca que a Segurana da Informao uma prtica antiga. J no passado existiam prticas de criptografia. No entanto, foi a partir da dcada de 90, com a popularizao da Internet, que a Segurana ganhou outro enfoque. Assim, importante analisar neste ltimo captulo o contexto atual de Segurana da Informao. Os dados apresentados abaixo so de uma pesquisa anual realizada pela PricewaterhouseCoopers. (FERNANDES, 2007) 60 por cento das empresas possuem uma rea de segurana da informao com at quatro empregados; 30 por cento das empresas consideram sua estratgia de segurana alinhada ao negcio; 65 por cento das empresas j sofreram incidentes de segurana; 40 por cento das empresas j ficaram mais do que 4 horas com as operaes paralisadas em virtude de incidentes; 70 por cento das empresas identificam como interna a origem dos ataques e incidentes de segurana da informao, e 27 por cento das empresas possuem um processo nico e automatizado de gesto de identidades de usurios.
77
O que achou dos dados da pesquisa? Concorda que ficou evidente que a maioria das empresas ainda no possui uma estrutura encorpada de segurana? Ao analisar a pesquisa, Fernandes (2007) aborda que a minoria das empresas considera suas estratgias de segurana alinhadas ao negcio. Isso demonstra uma evoluo por parte das organizaes. Evidncia disso est em outro dado, em que 70 por cento das empresas entendem que a origem dos incidentes de segurana interna, mas apenas 27 por cento aplicam seus investimentos em solues relacionadas gesto de usurios e identidades digitais. Com tais aspectos considerados, concorda que necessrio cada vez mais ter uma viso holstica? Para tal, preciso considerar Processos, Tecnologia e Pessoas. Fernandes (2007) destaca que quando os esforos so direcionados para tratar das pessoas e da influncia das mesmas sobre o nvel de segurana, o desafio grande. A conscientizao pode ser desenvolvida de vrias formas, mas deve ser desenvolvida. Deve servir de suporte legal Poltica de Segurana da Informao. interessante observar que medida que o tempo passa, a segurana da informao comea a ser incorporada em outras reas, pois com o avano da tecnologia essas tornaram-se automatizadas. O site Universo Jurdico (www.uj.com.br) aborda sobre essa necessidade de segurana. Em um artigo sobre o assunto, o Mestre em Direito Jos Carlos de Arajo Almeida Filho analisa a necessidade da proteo de dados no sistema da informatizao judicial do processo, recm implantada pela Lei n. 11.419/2006. Esta fala sobre a transmisso de peas processuais atravs de meios eletrnicos Assim, o autor aborda a questo do GED gerenciamento eletrnico de documento, a questo da segurana da informao e a necessidade de normas previamente estipuladas e sempre de acordo com a ABNT27001. Em nosso pas, privacidade de dados se encontra regulamentada pelo Decreto 3505/2000, que institui a Poltica de Segurana da Informao nos 78
rgos e entidades da Administrao Pblica Federal. Entre seus atributos encontramos garantias como assegurar a garantia ao direito individual e coletivo das pessoas, inviolabilidade da sua intimidade e ao sigilo da correspondncia e das comunicaes, nos termos previstos na Constituio; uso soberano de mecanismos de segurana da informao, com o domnio de tecnologias sensveis e duais; criao, desenvolvimento e manuteno de mentalidade de segurana da informao; Notaram como muitos aspectos tratados pela Lei foram discutidos no decorrer do nosso Guia? Esta Lei foi construda e se refere apenas Administrao Pblica Federal. O autor aborda que a preocupao se justifica quanto possibilidade que as pessoas tm de consultar a Internet. Ele destaca, por exemplo, que a Internet no permite o esquecimento de dados. Estes ficam,
permanentemente, alocados nos servidores e possveis de serem analisados a qualquer momento. Exemplo dessa preocupao dado pela invaso de privacidade das comunidades de natureza virtual, como o Orkut e, agora, o Youtube, que violam, diariamente, os direitos mais sagrados do ser humano. Ele cita a obra do jornalista Herdoto Barbeiro: Hoje, usurios de microcomputador tm mais capacidade na ponta de seus dedos do que a NASA tinha como os computadores que usou na primeira viagem do homem Lua. A tendncia de uma capacidade, velocidade, reduo de preos e mobilidade cada vez maior ter enorme implicao poltica: milhares de pessoas e de pequenos grupos muitos dos quais nunca tiveram tanta capacidade no apenas de conectaro com os outros, mas tambm planejaro, mobilizaro e cumpriro tarefas com resultados potencialmente mais satisfatrios e eficientes do que seus governos poderiam imaginar. Isso certamente afetar o relacionamento entre indivduos, seus governos e diretrizes governamentais, bem como gerar presso em alguns governos para que respondam de maneira mais gil. Podemos concluir que trata-se de uma realidade impensada a tempos atrs e que seus efeitos ainda sero sentidos futuramente. 79
A seguir o autor do artigo destaca que um sistema seguro deve obrigatoriamente ter uma certificao digital. Ainda, destacando este aspecto, ele destaca os requisitos mnimos: adoo de portais com criptografia e sistema ssl; adoo de string a fim de restringir a busca atravs dos motores na Internet, como Google, Yahoo!, dentre outros; a necessidade de adoo de certificao digital, dentro da hierarquia ICP-Brasil, nos termos da Medida Provisria 2.200-2/2001; adoo das normas ABNT 27001/2006; adoo do GED com filtros informticos que impeam a visualizao do documento a no ser atravs de pessoas cadastradas. Em outro artigo, intitulado Necessidade de uma Poltica de Proteo Informao para o Legislativo Federal, Alexandre Bento Hilgenberg destaca a necessidade de segurana, sobretudo para as Comisses Parlamentares de Inqurito CPI's. Em seu artigo ele focaliza vrios casos em que houve vazamentos de informaes e isso prejudicou em muito o andamento das investigaes. Destaca ainda que isso desmoraliza o Parlamento, gerando desconfiana por parte da populao. Tambm apresenta aes necessrias para segurana, como: o treinamento do recurso humano; a preparao dos ambientes destinados a produo; anlise e arquivamento dessas informaes; a execuo de contra-medidas, ou seja, medidas de deteco das falhas de segurana e a conscientizao quanto a responsabilidade em preservar as informaes sigilosas. Essas informaes que nos consideramos leva uma boa reflexo. Notem que os rgos pblicos esto preocupados com a questo de segurana. Isso, sem dvida um aspecto interessante, pois demonstra que investimentos sero feitos e conseqentemente aportes para pesquisa nesse ramo sero destinados. Alm disso, percebemos que cada vez mais, os servios esto sendo convergidos para o meio digital. O primeiro artigo destacou a
sistematizao computacional na rea jurdica, o segundo destacou a 80
necessidade de segurana no Parlamento. Observem que estamos falando de aspectos profundamente importantes para um pas. Assim, se as camadas mais altas da repblica esto preocupadas com isso, quanto mais as empresas devem estar. Dessa forma, imperativo que a preocupao exista. Caminhamos para um mundo em que utilizaremos menos dinheiro (papel-moeda), este ser cada vez mais virtual (cartes de dbito, crdito) e com isso melhoramos a segurana fsica, mas precisaremos ainda mais da segurana lgica. No precisaremos sair de casa para realizar uma compra, mas precisaremos de investimentos para que a loja saiba que o cliente que est comprando trata-se do cliente real mesmo, e no algum se passando por ele. Alm disso transaes virtuais de negcios so realizados aos trilhes em todo mundo, sem nem mesmo s vezes ter um encontro formal de negcios. Julgamentos j podem ser realizados pelo Juiz via videoconferncia. O voto tambm eletrnico. Tais exemplos, apenas demonstram que a rea de segurana estar em crescente expanso sempre, pois sempre teremos novas tecnologias, novos servios e aspectos de segurana sendo quebrados e a necessidade, portanto, de se criar novas formas criativas e at certo ponto simples para garantir os nveis aceitveis do mundo virtual para o real. Lembro que h 8 anos atrs quando se falava em compras pela Internet, no raro as pessoas torciam o nariz. Hoje, j comprovamos que mais seguro fornecer o nmero de seu carto pela Web logicamente em um site com um bom nvel de segurana a dar seu carto nas mos do atendente da loja ou do mercado. Tudo isso que falamos somente nos mostra a necessidade enorme que teremos de ter pessoas para pensar em como prover melhor segurana aos dados que lhe interessa. J conversaram com algum que teve sua conta de e-mail ou da comunidade virtual invadida? Ou que comprou e no recebeu? Creio que todos ns j conhecemos algum. Com isso percebemos que realmente falta 81
bons e melhores mtodos de segurana tanto no nvel empresarial como no nvel pessoal. Isso importante destacar tendo em vista que os alvos so desde grandes corporaes reconhecidas por investir milhes em segurana at o mais simples usurio de Internet. Interessante isso no ? Isso somente refora o que estamos falando, pois se h ataques a todo o momento em instituies de grande porte, isso evidencia que o nvel de segurana no alto. Seno, os ataques seriam menores e certo desnimo em quebrar a barreira de segurana. Notem que no estou dizendo que as tcnicas de segurana so todas ruins. Estamos vivendo esse mundo agora, estamos construindo as barreiras de segurana a muito pouco tempo. Podemos comparar nossas seguranas atuais s armas que existiam nos perodos feudais. Mesmo grandes fortalezas eram invadidas. Um dia, algum descobria um ponto fraco. A segurana de sistemas igual. Por mais investimentos que se faa, por mais tcnicas que existam hoje, um dia algum descobre um ponto fraco. Mas notem que, a cada ano, surgem novos sistemas operacionais e novos aplicativos, que apresentam, por conseqncia, novos desafios para prover segurana. Mais um exemplo disso o artigo publicado na Revista InformationWeek de Edgar D'Andrea. Ele cita um estudo da Symantec que revelou que a Copa do Mundo o evento mais atrativo do ano para os autores de malwares e spams. Isso levou a empresas a monitorar e analisar o trfego de rede na frica do sul, com o objetivo de alertar o mercado sobre ameaas de segurana relacionadas ao evento. At aqui nenhuma novidade, mas o autor cita as tcnicas esperadas para os ataques, quais so: 82
Uso tradicionais tcnicas de spam Phising Roubo de identidade Venda de ingressos falsos Vrus, denial-of-service e cavalos de troia. Alm do prprio evento ser alvo, as possibilidades do pas-sede tambm ser alvo de ataques de hackers muito grande. Estes objetivam propagar o terrorismo, desmoralizar a organizao da Copa e manchar a imagem da nao. O artigo cita outra empresa, a McAffe. Segundo a revista, esta empresa menciona que o aumento das atividades de phising relacionadas ao Mundial e refora o ativismo poltico de hackers fora do eixo EUA-China, destacando atividades recentes de terrorismo via web em pases como Ir, Dinamarca, Sucia e Polnia. No entanto, o interessante o desfecho do autor. Ele nos cita como pas um alvo enorme durante a Copa. Por qu? Por causa da nossa paixo pelo futebol. Seria muito fcil conseguir com que usurios no Brasil abrissem mensagens maliciosas ou com contedo invasivo com desculpa de ser informaes sobre nossa Seleo. Recentemente, o portal Terra trouxe uma reportagem com nmeros interessantes nmeros citados no artigo acima. Apresentou dados da Symantec realizado em cerca de 20 mil sensores do DeepSight Threat Management System, instalados em mais de 180 pases. A avaliao mostra que 64% dos novos ataques visam vulnerabilidades com menos de um ano. Alm disso, 66% das invases detectadas no primeiro semestre deste ano usaram brechas de segurana classificadas como altamente crticas. O estudo ainda recomendou aos usurios e
administradores de rede a adoo das seguintes prticas para melhorar a segurana da Internet: desligue e remova servios desnecessrios; 83
mantenha os sistemas atualizados com os patches de correo, especialmente em computadores que hospedam servios pblicos e so acessveis por meio de um firewall, como servios de HTTP, FTP, e-mail e DNS; reforce a poltica de senhas; configure os servidores de e-mail para bloquearem ou removerem as mensagens que contenham arquivos anexados usados normalmente para disseminar vrus, como os arquivos .vbs, .bat, .exe, .pif e .scr; isole rapidamente os computadores infectados para prevenir futuros comprometimentos na empresa. realize uma anlise detalhada e restaure os computadores por meio de solues confiveis; treine os funcionrios para abrir arquivos anexados somente se forem documentos solicitados pelo usurio. Oriente-os tambm para no fazerem download de software pela Internet, a no ser que tenha sido verificado por um antivrus; certifique-se de que os procedimentos de respostas a emergncias foram implementados; teste a segurana para garantir que os controles adequados foram adotados. O que so essas aes acima? Como implement-las? Poltica de Segurana. Cada vez mais vital para sobrevivncia das organizaes. No h sada. Interessante que essa reportagem citada acima foi de 2004. Ela cita o Brasil em 15 lugar como alvo de ataques. No entanto, notem no dia 20 de abril o site da Revista Info publicou uma pesquisa realizada em 2009, em que coloca nosso pas em 3 lugar no ranking mundial. Um salto enorme em pouco tempo. A reportagem mostrou os Estados Unidos em primeiro, com 19%, a China em segundo, 8%, e o Brasil, terceiro, 84
com 6%. De acordo com o estudo, software de segurana falso foi o maior problema de segurana online para os usurios de computadores em 2009. Ressaltou ainda como novidade os grandes e fortes ataques aos sites de grandes empresas, como o Google. Apontou como forma mais comum de crime de computao o falso software de segurana. Isso seria um alerta que surge em na tela do usurio dizendo que o computador est infectado. Junto com isso h um link para um software ser baixado, mediante pagamento. O usurio, no entanto, em lugar de receber software de segurana recebe um vrus. Assim, mais uma vez comprovamos a necessidade urgente de cada vez mais pesquisa e desenvolvimento na rea de segurana. Abaixo, reservei um espao para que voc aliste algumas ideias inovadoras sobre segurana. Pense nas j existentes e tente mold-las para novas realidades, pensando em novas tecnologias. Bom trabalho!
85
CONCLUSO
Esta unidade objetivou evidenciar a importncia de estabelecer uma poltica de segurana. Um incidente pode acontecer a qualquer momento e, portanto, necessrio conseguir estabelecer um passo a passo de aes que devero nortear a recuperao ao incidente. Do contrrio, as aes sero desordenadas e no conseguiro estabelecer um plano inteligente e lgico. Embora no seja algo relativamente simples, importante estabelecer planos mesmo para pequenos incidentes, isso gera confiana e experincia tanto para soluo de problemas como para prever situaes mais crticas. Nesse aspecto, vimos ainda como importante incluir o corpo diretivo da organizao e conscientiz-lo de que no sero despesas, mas sim investimentos em segurana. primordial conseguir explicar a importncia disso e sempre que possvel tentar tangibilizar a soluo de incidentes. Isso implica em estabelecer valor para os servios e mostrar o quanto economizou ou o quanto de lucro foi gerado com a manuteno do servio.
86
BIBLIOGRAFIA
ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurana no desenvolvimento de Software. Rio de Janeiro: Campus, 2002. BEAL, Adriana. Segurana da Informao. So Paulo: Atlas, 2005. CERT. <http://www.cert.br/certcc/csirts/Creating-A-CSIRT-br.html> Acessado em 10/01/2010. ESPODE, Elton Rgis. Auditoria e Segurana de Sistemas. Santa Maria: 2008. (Notas de Aula da disciplina de Segurana e Auditoria de Sistemas, Curso de Sistemas de Informao, Unifra) FERNANDES, Marcelo Lemos. Tecnologia da Informao e da Comunicao A Busca de uma Viso Ampla e Estruturada. So Paulo: Editora Pearson, 2007 FILHO, Hlio Alano. Segurana e Auditoria de Sistemas. Salvador: 2008. (Apostila da disciplina de Segurana e Auditoria de Sistemas, Curso de Sistemas de Informao, Faculdade Hlio Rocha) GIL, Antnio de Loureiro. Auditoria de Computadores, 2000, Atlas, 5 Edio GUIMARES, Celio Cardoso, et al. Forense Computacional: Aspectos Legais e Padronizao. 2001:Unicamp LYRA, Maurcio Rocha. Segurana e Auditoria em Sistemas de Informao. Rio de Janeiro: Editora Cincia Moderna Ltda., 2008 SMOLA, Marcos. Gesto de segurana da informao: uma viso executiva. Rio de Janeiro: Campus, 2003. WANDERLEY, Euriclia Viana. MOURA, Maria Teresa. A Integrao de LDAP e Certificados Digitais em uma Poltica de Segurana. Boletim RNP: 2000
87

Seguranca e Auditoria de Sistemas

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Seguranca e Auditoria de Sistemas

Enviado por

Direitos autorais:

Formatos disponíveis

Segurana e Auditoria de Sistemas

Segurana e Auditoria de Sistemas

UNIS Centro Universitrio do Sul de Minas

Segurana e Auditoria de Sistemas

Segurana e Auditoria de Sistemas

Segurana e Auditoria de Sistemas

REVENDO. Indica a necessidade de rever conceitos estudados anteriormente.

Segurana e Auditoria de Sistemas

Segurana e Auditoria de Sistemas

Segurana e Auditoria de Sistemas

Segurana e Auditoria de Sistemas

Contem comigo, forte abrao! Professor Fabrcio Pelloso Piurcosky

Segurana e Auditoria de Sistemas

Segurana e Auditoria de Sistemas

Segurana e Auditoria de Sistemas

SEGURANA DA INFORMAO SEGURANA DA INFORMAO

Segurana e Auditoria de Sistemas

1.1 Conceitos e Princpios de Segurana da Informao

Figura 1: Retrospectiva de Acontecimentos (Fonte: Revista InformationWeek, 2009)

Segurana e Auditoria de Sistemas

Vrios autores j concordam que o valor econmico gerao, do uso e da venda da

informao est crescendo muito mais

Segurana e Auditoria de Sistemas

1.2 A Segurana e o Ciclo de Vida da Informao

Segurana e Auditoria de Sistemas

Identificao Necessidades e Requisitos

Figura 2: Ciclo de Vida da Informao. (Fonte: Lyra, 2008)

Segurana e Auditoria de Sistemas

confidencialidade, se a mesma for sigilosa. 17

Segurana e Auditoria de Sistemas

1.3 Classificao e Controle dos Ativos de Informao

Segurana e Auditoria de Sistemas

1.4 Classificao do Ativo da Informao

1.4.1 Quanto Confidencialidade

Segurana e Auditoria de Sistemas

Dados de clientes, senhas de acesso, informaes sobre vulnerabilidades da organizao

Podemos citar informaes de concorrentes, contratos confidenciais, informaes estratgicas, etc.

Segurana e Auditoria de Sistemas

1.4.2 Quanto Disponibilidade

Segurana e Auditoria de Sistemas

1.4.3 Quanto Integridade

1.4.4 Quanto Autenticidade

1.4.5 Monitoramento Contnuo

Segurana e Auditoria de Sistemas

1.5 Aspectos Humanos da Segurana da Informao

Segurana e Auditoria de Sistemas

Segurana e Auditoria de Sistemas

Segurana e Auditoria de Sistemas

Vamos identificar as vulnerabilidades presentes neste ambiente ?

Figura 4: Ambiente com Vulnerabilidades (Fonte: Espode,

1.5.1 Segurana nos Termos, Condies e Responsabilidades de Trabalho

1.5.2 Segurana no Processo de Seleo de Pessoal e Treinamento de Usurios

Segurana e Auditoria de Sistemas

Segurana e Auditoria de Sistemas

1.6 Segurana do Ambiente Fsico

1.6.1 Segurana em Escritrios, Salas e Instalaes de Processamento de Dados

Segurana e Auditoria de Sistemas

1.6.2 Segurana de Equipamentos

Segurana e Auditoria de Sistemas

Planejamento de manutenes peridicas Treinamento de melhores prticas de utilizao dos equipamentos

1.6.3 Segurana de Documentos em Papel e Eletrnicos

Segurana e Auditoria de Sistemas

1.6.4 Segurana no Cabeamento

Segurana e Auditoria de Sistemas