Beruflich Dokumente
Kultur Dokumente
So Paulo
2009
So Paulo
2009
COMISSO EXAMINADORA
Prof.
Prof.
Prof.
AGRADECIMENTOS
RESUMO
Nesta monografia ser abordado como funciona e como criada e implantada uma
Poltica de Segurana da Informao em uma empresa. Com os avanos
tecnolgicos nas ltimas dcadas e a informao tornando-se a grande valia das
organizaes, seus dados comearam a ficar muito expostos, sendo alvos de
ataques e roubos. Assim faz-se necessria a implantao de uma Poltica de
Segurana da Informao baseada em normas, regras e procedimentos que possam
auxiliar a moldar um formato compatvel com cada tipo de empresa.
ABSTRACT
In this moment there will be approached how a Security Information Policy works and
how it will be deployed. With the technological advances from the recent decades
and the information is becoming the great value of the organizations, their data
become to be very exposed. Then, its necessary a deployment of a Security
Information Policy based in norms, rules and procedures that will be assist to shape
a compatible format according with each type of company.
LISTA DE ABREVIAES
LISTA DE FIGURAS
Figura 1 Melhores Prticas Utilizadas .................................................................... 38
Figura 2 Dados Cadastrais ..................................................................................... 51
Figura 3 Classificaes e categorias de websites .................................................. 55
Figura 4 Legenda das classificaes e categorias de websites ............................. 55
SUMRIO
1. INTRODUO ...................................................................................................... 13
1.1 Objetivo ............................................................................................................... 14
1.2 Metodologia ......................................................................................................... 14
1.3 Justificativa .......................................................................................................... 15
2. A INFORMAO ................................................................................................... 16
2.1 Histrico .............................................................................................................. 16
2.2 O Valor da Informao ........................................................................................ 18
2.3 Propriedades da Informao ............................................................................... 19
3. SEGURANA DA INFORMAO ........................................................................ 21
3.1 Ameaas ............................................................................................................. 23
3.1.1 Vrus de Computador ....................................................................................... 23
3.1.2 Engenharia Social ............................................................................................ 24
3.1.3 Ataques DoS .................................................................................................... 25
3.2 Vulnerabilidades .................................................................................................. 25
3.3 Proteo .............................................................................................................. 26
3.3.1 Firewall ............................................................................................................. 27
3.3.2 Antivrus ........................................................................................................... 27
3.3.3 Backups............................................................................................................ 28
3.3.4 Restries de Acesso ....................................................................................... 28
3.3.5 Criptografia ....................................................................................................... 30
3.3.5.1 Chave Privada ou simtrica........................................................................... 30
13
1. INTRODUO
14
Como o mercado est cada vez mais competitivo, crucial para uma
empresa ter suas informaes mais relevantes bem protegidas para que estas no
sofram danos ou sejam roubadas, assim prejudicando-a. Alm disso, nunca as
informaes de um modo geral estiveram to ameaadas como atualmente, com a
facilidade de interconexo que a Internet proporciona entre o mundo todo.
1.1 Objetivo
1.2 Metodologia
15
1.3 Justificativa
16
2. A INFORMAO
2.1 Histrico
17
conseguiu disseminar informaes de gerao a gerao, contribuindo para a
histria da humanidade. Por dcadas, a impresso foi utilizada para transmitir idias
e acontecimentos (SILVA, 2005, p.6).
Com o desenvolvimento da escrita alfabtica, surgiram novos meios
de transmitir as informaes, e a possibilidade das mesmas poderem estar
acessveis a outros povos e culturas diferentes, atravs do desenvolvimento de
meios de transportar tais informaes, como pombo-correio, telgrafo, entre outros.
Assim, no era mais necessria a presena fsica do homem para portar e transmitir
a informao (NEITZEL, 2003).
A partir do sculo XIX, comearam a surgir os inventos baseados em
eletricidade, e que influenciaram muito a transmisso das informaes. Em 1837 o
alfabeto foi digitalizado no cdigo Morse, e nos anos seguintes, o homem ainda criou
o telgrafo, a mquina de escrever, o fongrafo, o telefone e o rdio (DIAS, 1999).
Com a inveno do rdio, estabeleceu-se um novo marco na histria
das comunicaes. Segundo Neitzel (2003) [...] este tinha possibilidades de alcance
muito maior e chegava mais rapidamente que qualquer outra mdia [...]. Ouvindo o
rdio, o ouvinte era conduzido pela imaginao, vivenciando virtualmente o que lhe
era passado.
Mas um marco no sculo XX foi o surgimento da televiso. A partir
de ento, as informaes eram vistas, lidas e faladas ao receptor.
18
Com toda essa evoluo dos meios de comunicao at ento,
surge uma tecnologia que praticamente engloba todos os modos de disseminar
informao. Havendo interao, o indivduo no tem s um papel de receptor, mas a
opo de escolha, de tomar decises. As informaes so processadas numa
velocidade sem igual, tendo a possibilidade de acessar e ter conhecimento de
notcias de qualquer parte do mundo, ouvir msicas, trabalhar, comunicar, tudo isso
em um nico aparelho, o computador. E toda essa gama de informaes acessveis
do computador s foi possvel graas a outros milhares deles interligados no mundo
todo, formando uma rede, conhecida como Internet (SILVA, 2005, p.5).
Segundo Dias (1999), com a popularizao da internet os servios
que ela oferece s foram aumentando, como correio-eletrnico, transferncia de
arquivos, comrcio eletrnico, entre uma infinidade de outros servios relacionados
a textos, sons e imagens.
Assim, entende-se que o homem foi buscando durante sua trajetria
mais fontes e acessos informao.
19
Sendo a informao o maior poder de uma organizao, ela deve
ser bem classificada de acordo com seu impacto no negcio para que seu grau de
proteo seja correto.
20
no pode negar o fato, pois h mecanismos que provam o
acesso e a possvel alterao
A partir dessas definies, surge uma preocupao: Como proteger
as informaes que so to importantes para uma organizao?
21
3. SEGURANA DA INFORMAO
22
estando desde os ambientes de escritrio at servidores de grande porte,
quebraram o paradigma de acesso local a informao, e chegaram a qualquer lugar
do mundo com os notebooks e atravs da rede mundial de computadores, a Internet.
Porm, com a Internet tornando-se o principal canal de distribuio
de informaes, ela comea a ser visada por ladres que atacam digitalmente, os
hackers. A revista PROMON (2005, p.3) comenta sobre o aparecimento da Internet
e o aumento de ataques s informaes:
23
3.1 Ameaas
24
o sistema, o worm se desloca sozinho. O grande perigo desse
vrus sua grande capacidade de se replicar em grande
volume.
Cavalo de Tria (trojan): Assim como o mitolgico Cavalo de
Tria parecia ser um presente, mas na verdade escondia
soldados gregos em seu interior que invadiram e tomaram a
cidade de Tria, esse tipo de vrus so programas de
computador que, a principio, parecem ser teis, mas na
verdade causam inmeros danos.
Phishing Scan: Tipo de ataque que visa roubar senhas do
usurio, por meio da engenharia social.
25
3.1.3 Ataques DoS
3.2 Vulnerabilidades
26
Terremotos, tempestades
Falta de energia
Enchentes, incndios
Fatores Tecnolgicos:
Falha em recursos de hardware (Erros de instalao,
desgastes, etc)
Falha
em
recursos
de
software
(Erros
de
visto
anteriormente,
tem-se
idia
de
que
as
vulnerabilidades podem ser originadas de diversas fontes, mas sempre ter uma
maneira de evit-las ou reduzi-las. Tambm h variaes desses incidentes em uma
organizao e outra.
3.3 Proteo
27
3.3.1 Firewall
3.3.2 Antivrus
28
3.3.3 Backups
Cada usurio deve possuir uma nica identificao, ou User ID, que
ser sua identificao prpria. Todos os usurios necessitam do seu User ID, seja
ele um cdigo de caracteres ou um carto inteligente. Por meio dessa unicidade
29
permite-se um controle das aes praticadas por cada usurio por meio dos logs.
(DIAS, 2000, p.86)
Dias, (2000, p.87) ainda fala que logo aps a identificao do
usurio, o sistema confirma ou no se ele mesmo e, caso sim, permite o acesso
aos recursos computacionais da empresa. Essa liberao do usurio de ingressar no
sistema conhecida como autenticao do usurio. A maioria dos sistemas solicita
o User ID e uma senha (que supostamente somente o usurio conhece).
3.3.4.2 Senhas
3.3.4.3 Biometria
30
uma impresso digital e voz nicas, o roubo de informaes para acesso se torna
quase impossvel.
3.3.5 Criptografia
31
delas para cada um dos interlocutores, especificamente uma privada e outra pblica
para o remetente, e o destinatrio. Desta forma, no preciso compartilhar uma
nica chave entre os interlocutores. Basta o remetente ter a chave pblica do
destinatrio para garantir a confidencialidade da mensagem e para permitir que o
destinatrio consiga decifrar a mensagem.
32
4. POLTICA DE SEGURANA DA INFORMAO
4.1 Normas
33
vez que as evolues tecnolgicas criam constantes necessidades de atualizaes
desses modelos.
34
Gerenciamento de incidentes
Gerenciamento da continuidade do negcio
Conformidade
Incorporando os principais aspectos que uma poltica de segurana
deve se preocupar, entende-se que crucial para uma organizao seguir as
normas propostas pela ISO / IEC 27001:2005.
4.1.2 CobiT
4.1.3 ITIL
35
4.2 Desenvolvimento da Poltica
36
discutidos com a alta administrao e formalizao dos
procedimentos para integr-los s polticas corporativas
Fase IV Reviso, aprovao e implantao da Poltica de
Segurana da Informao: Efetiva implantao das polticas,
normas e procedimentos de segurana da informao, por
meio de divulgaes para colaboradores, funcionrios e a alta
administrao da organizao
documentao
dos
procedimentos
de
37
Como exemplos de benefcios em mdio prazo:
Padronizao dos procedimentos de segurana incorporados
no dia-a-dia da empresa
Novos processos do negcio adaptados com maior segurana
Qualificao e quantificao dos sistemas de resposta a
incidentes
Conformidade com padres de segurana
Como exemplos de benefcios em longo prazo:
Retorno sobre o investimento realizado, por meio da
diminuio de incidentes relacionados segurana
Consolidao da imagem da empresa associada Segurana
da Informao
38
8
5. ES
STUDO DE CASO
5.1 Melhores
M
Prticas
Para pro
opiciar um ambiente seguro
s
s informa
es, a equipe de TI e
de segurana
s
a baseiam
m-se nas normas mais
m
utiliza
adas no q
que diz respeito
r
segu
urana pa
ara desenvvolver sua
a prpria poltica, como
c
o C
CobiT parra normass
adm
ministrativass, o ITIL para
p
norma
as gerenciais e a IS
SO27001 p
para as po
olticas de
e
segu
urana, conforme mo
ostra a figu
ura 1.
39
5.2 Objetivo
5.3 Auditoria
40
A empresa considera razes empresariais legtimas os seguintes
itens:
Identificar e diagnosticar problemas de hardware e software
Prevenir o uso incorreto do sistema da empresa
Investigar possveis condutas ilegais por parte dos usurios, e
atividades no ticas e inadequadas
Assegurar conformidade com os direitos de propriedade,
licenas e obrigaes contratuais
Proteger os interesses empresariais da organizao
Qualquer irregularidade ou divergncia em relao a esta norma
deve ser avisada imediatamente rea de Segurana da Informao da empresa,
que tomar medidas para regularizar a situao.
O no cumprimento das normas implantadas pela equipe de
Segurana da Informao ser considerado falta grave, sujeitando o infrator a uma
ao disciplinar apropriada podendo, inclusive, motivar demisso por justa causa.
41
5.4.1 Identidades Digitais
5.4.2 Senhas
42
5.4.3 Controle de Acesso
5.5 Software
43
As necessidades de software devem ser submetidas rea de TI,
que efetuar um estudo de viabilidade da aquisio e homologao dos mesmos,
como forma de garantir sua aderncia aos padres e poltica de segurana da
empresa.
Toda contratao de servios de informtica, tais como treinamento,
desenvolvimento e consultoria, deve ser submetida apreciao prvia da rea de
TI, que dever providenciar uma anlise de custo/benefcio para aprovao da
diretoria da rea.
No permitida a duplicao, emprstimo, transferncia ou retirada
de software para outros equipamentos, dentro ou fora da empresa, assim como o
uso de jogos e protetores de tela (exceto os do Windows ou distribudos pela
empresa). A utilizao de programas de licena gratuita (freewares), de validade
temporria (sharewares) ou fornecida como demonstrao (demos) s poder ser
feita em casos de comprovada necessidade para o negcio, de forma legal e
suportada por autorizao formal do gestor da rea usuria e da rea de TI, desde
que no haja programas para a mesma finalidade j adquiridos ou homologados
pela empresa.
Para nenhum fim permitida ao usurio a utilizao de programas
no autorizados que afetem a segurana da informao tais como: programas para
descobrir senhas, rastrear portas e acessos, rastreamento de teclados, cavalos de
tria, vrus, ferramentas utilizadas por hackers, etc.
5.6 Hardware
44
As necessidades de hardware, bem como as expanses da infraestrutura de informtica (redes, servidores, novas tecnologias), devem ser
submetidas rea de TI, que efetuar um estudo de viabilidade da aquisio e
homologao dos mesmos, como forma de garantir sua aderncia aos padres e
poltica de segurana da empresa.
Os drives de todos os micros, com exceo dos equipamentos
portteis, estaes de suporte e micros multimdia, devero ser desabilitados e os
novos computadores j devero ser instalados com os drives desabilitados (inclusive
CD-ROM). Se houver alguma necessidade especfica de se manter drives
habilitados (inclusive CD-ROM), deve-se conseguir autorizao formal do gestor da
rea.
No ser permitido que micros conectados rede tenham modems
ativados. A instalao de modem deve ser restrita aos casos de comprovada
necessidade e suportados por autorizao formal do gestor da rea. Sua utilizao
ser permitida apenas quando o micro estiver desconectado da rede.
vedada ao usurio a abertura ou tentativa de qualquer tipo de
manuteno nos equipamentos. Sempre que possvel, antes do envio de
equipamentos para manuteno, venda ou doao, as informaes neles contidos
devem ser removidas.
45
particulares tolerado, desde que no interfira nas atividades profissionais do
usurio e no comprometa o desempenho e a disponibilidade tais recursos.
No uso destes recursos, no permitido o acesso, a baixa
(download), a carga (upload), a armazenagem, o recebimento, o envio e a
retransmisso de material (comunicao, arquivo, mensagem, etc.) que possa ser
considerado por qualquer pessoa como discriminatria, obscena, ilegal ou ofensiva,
ou que contenha qualquer informao considerada confidencial ou de uso restrito
dentro da empresa.
A baixa de software deve ser submetida rea de TI, para
assegurar a no exposio da empresa a processos de utilizao indevida.
No permitida a transmisso ou retransmisso de propagandas,
boatos, piadas, correntes ou coisas do gnero, bem como mensagens que
contenham documentos anexos de remetentes desconhecidos. Se houver
necessidade de distribuir mensagens para grandes grupos de usurios e/ou arquivos
de grande volume, o emissor deve juntamente com a rea de TI pensar em uma
forma que no prejudique o trfego da rede.
No devem ser colocadas imagens contendo assinaturas nos
documentos que circulam na Intranet, Internet ou no correio eletrnico, pois o
usurio deve estar ciente de que a empresa reserva-se o direito de monitorar a
utilizao e inibir o mau uso destes recursos.
46
responsabilidade do usurio a guarda, segurana e o backup dos
arquivos contidos em seu equipamento, devendo utilizar racionalmente o espao em
disco reservado para seu setor, mantendo rotinas freqentes de remoo de
arquivos no mais utilizados e tendo sempre em mente que o espao em disco um
recurso esgotvel com alto custo de manuteno.
Os usurios de equipamentos portteis devem providenciar cpias
de segurana dos seus arquivos em unidades de disco (drives) da rede.
5.9 Antivrus
47
5.11 Comunicao Interna e Externa
troca
de
mensagens
com
usurios
externos
(clientes,
48
rede, recomenda-se a utilizao de redes com fio. Tal recurso restrito a
profissionais registrados nos domnios de controle de acesso da organizao.
As informaes trafegadas atravs da rede sem fio da empresa so
criptografadas utilizando sempre os algoritmos mais robustos disponveis na infraestrutura instalada, e sempre autenticando os usurios utilizando estrutura de
chaves publicas e grupos de acesso.
Somente redes sem fio devidamente homologadas pela empresa
podem ser utilizadas dentro das dependncias de suas unidades de negcio, sendo
mantidos registros de acesso para fins de auditoria e anlises gerais.
O acesso sem fio direto entre dispositivos mveis (Ex.: Notebook
para Notebook) no autorizado.
5.14 Padres de TI
49
Dados Cadastrais
Conta de correio eletrnico (e-mail)
Limites para envio e recebimento de e-mails
Limites para Caixa de Entrada de e-mail (mailbox)
Bloqueio no envio/recebimento de e-mails
Configurao para software de contedo de acesso Internet
Regras para servidores de arquivos
Requerimentos para Redes sem Fio
50
ext.joaquimla (Joaquim Lopes Almeida)
ext.elisangelapf (Elisangela Perez Fagundes)
Para descrever o nome do prestador de servio, deve-se utilizar o
nome completo, sem abreviaes e apelidos, mais o nome da empresa a qual ele
pertence.
Paulo Jose Cunha IBM
Marilia Gomes - CISCO
H alguns casos em que criado um ID genrico, que no seguem
os padres de senha, validade dos demais usurios, sendo feitos da seguinte
maneira:
producao (usurios da rea de produo da empresa)
embalagem (usurios da rea de embalagem da empresa)
Nestes casos, a senha no pode expirar e o ID no tem acesso email e Internet, por exemplo.
51
52
Beatriz Leite Figueiredo = ext.beatriz.figueiredo@empresa.
com.br
Augusto Chavedar = ext.augusto.chavedar@empresa.com.
br
53
5.14.6 Bloqueios no envio/recebimento de e-mails
54
Os arquivos ficaro guardados em uma rea de quarentena e, caso
sejam relacionados s atividades profissionais, podem ser repassados para os
destinatrios do e-mail atravs de aprovao da rea de TI.
Ser bloqueado todo o tipo de palavres, palavras de baixo-calo,
textos padres para correntes, HOAX (boatos falsos) ou phishing scan, palavras de
cunho discriminatrio, tanto no envio quanto no recebimento dos e-mails. No caso
do e-mail ser interno, o mesmo eliminado da caixa de sada do emissor e
enviado um e-mail indicando o motivo do bloqueio. Para o recebedor apenas o email eliminado automaticamente antes que possa ser lido.
55
56
Podem existir categorizaes de websites que no atendam s
necessidades das empresas, ento poder ocorrer a recategorizao destes
websites aps avaliao da equipe de TI da Empresa.
A cada binio o subcomit de Segurana dever avaliar os softwares
de controle de acesso Internet disponveis no mercado e, caso identifique que
existe um software que traga melhores benefcios e controles para a empresa,
dever sugerir a substituio do mesmo.
exemplo
de
limite
para
pastas
pessoais
para
funcionrios/estagirios, temos:
Limite: 70MB
Seguindo a Poltica de Segurana, visando melhor desempenho e
segurana, ser bloqueada a gravao de arquivos com as seguintes extenses nas
pastas pessoais nos servidores de arquivos:
57
mp2, mp3, mp4, mpe, mpeg,mpg, wmf, wmv, wav, bmp, gif,
jpeg, jpg, tiff, pst, ost
Os limites para pastas departamentais em servidores de arquivos
so definidos de acordo com a quantidade de funcionrios em cada setor,
multiplicando o nmero de usurios do departamento pela quantidade de espao de
500 MB.
Por questes de segurana e desempenho ser bloqueada a
gravao de arquivos com as seguintes extenses nas pastas departamentais nos
servidores de arquivos:
mp2, mp3, mp4, mpe, mpeg,mpg, wmf, wmv, wav, bmp, gif,
jpeg, jpg, tiff, pst, ost
Existem alguns departamentos que utilizam arquivos com as
extenses acima para atividades profissionais. Nestes casos o bloqueio removido.
58
equipamento registrados no servio de diretrio da empresa, e possui um certificado
digital especfico para utilizao deste servio com o perodo de validade de 1 ano. A
autenticao para utilizao baseada no protocolo EAP-TLS utilizando uma
estrutura de certificados digitais.
Os registros de autenticao de acesso dos usurios devem ser
mantidos por um perodo de 30 dias.
5.16 Incorfomidades
59
seja vasculhando o lixo ou tentando se esquivar do sistema de controle de acesso,
isto por que h interesse de fora maior.
O tipo mais comum de incidncia a contaminao do ambiente por
trojans e vrus. Apesar dos controles de Internet os usurios ainda acabam clicando
em links indevidos que possuem agentes maliciosos, prejudicando o ambiente.
Na empresa no existe penalidade, o foco sempre dar instruo
para o colaborador que no cumpriu com as normas estabelecidas, tendo premissa
que h um grande investimento no funcionrio para penaliz-lo e perder o
investimento at ento realizado. Dessa forma, a empresa visa sempre instruir o
funcionrio de modo a mudar seu comportamento, mostrando que o no
cumprimento das normas pode prejudicar os objetivos da empresa.
6. CONSIDERAES FINAIS
60
pretendem interceptar sua transmisso passivamente, ou seja, buscando o
conhecimento sem prejudicar a integridade dos dados ou ativamente, ou seja,
destruindo ou danificando seu contedo.
Polticas de segurana tendem, por princpio, a minimizar o risco
integridade dos dados, fazendo-se valer de regras impostas aos usurios como o
proposto pela norma ISO 27001. Tais regras s se fazem teis com a
conscientizao dos usurios, para que sigam as recomendaes e as burlem,
mesmo que, para isso, haja a necessidade de imposio de punies.
Pelo que pudemos verificar, pelo exposto no estudo de caso, mesmo
com as atuaes de pessoas ligadas empresa que tentam burlar as polticas de
segurana, elas so minoria e os ataques de ladres virtuais e engenheiros sociais
tm sido dificultado.
REFERNCIAS
61
DIAS, C.A. Hipertexto evoluo histrica e efeitos sociais, 1999. Disponvel em:
<http://www.scielo.br/scielo.php?pid=S0100-19651999000300004&script=sci_arttex
t&t lng=es>. Acesso em 10 mar. 2009.
INFOWESTER,
Firewall,
conceitos
e
tipos.
Disponvel
<http://www.infowester.com/firewall.php>. Acesso em 14 fev. 2009b.
em:
INFOWESTER,
Introduo
Biometria.
Disponvel
<http://www.infowester.com/biometria.php>. Acesso em 10 maio. 2009c.
em:
KAHN, David. Histria da criptologia Histria antiga, fevereiro 2004. Disponvel em:
<http://www.numaboa.com.br/criptologia/historia/antiga.php>.
62
MICROSOFT, O que um vrus de computador? Disponvel em:
<http://www.microsoft.com/brasil/athome/security/viruses/intro_viruses_what.mspx>.
Acesso em: 20 abril. 2009b.