Segurança da Informação com Software Livre

Tamanho: px
Começar a partir da página:

Download "Segurança da Informação com Software Livre"

Transcrição

1 UNIVERSIDADE FEDERAL DO ESTADO DO RIO DE JANEIRO ESCOLA DE INFORMÁTICA APLICADA CURSO DE BACHARELADO EM SISTEMAS DE INFORMAÇÃO Segurança da Informação com Software Livre Autor Alexandre Vaz Monteiro Orientador Sidney Cunha de Lucena Setembro / 2011

2 Segurança da Informação com Software Livre Projeto de Graduação apresentado a Escola de Informática Aplicada da Universidade Federal do Estado do Rio de Janeiro (UNIRIO) para obtenção do titulo de Bacharel em Sistemas de Informação Autor Alexandre Vaz Monteiro Orientador Sidney Cunha de Lucena 2

3 Segurança da Informação com Software Livre Alexandre Vaz Monteiro Aprovada por: Sidney Cunha de Lucena, D.Sc. UNIRIO Leila Cristina Vasconcelos de Andrade, D.Sc. UNIRIO Maximiliano Martins de Faria, M.Sc. UNIRIO Rio de Janeiro, RJ Brasil. Setembro de

4 Índice Analítico 1 INTRODUÇÃO OBJETIVO ORGANIZAÇÃO DO DOCUMENTO SEGURANÇA DA INFORMAÇÃO PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO Confidencialidade Autenticidade (Autenticação) Integridade Disponibilidade Não Repúdio Controle de Acesso AMEAÇAS Tipos de ameaças Ataques a Aplicações Clientes Ataques a serviços de Sistemas Operacionais Ataque a Aplicações Web Ataques a Banco de Dados MEDIDAS DE PREVENÇÃO Senhas Processos Antivirus e Antispyware Proteção de portas Monitoração Comunicação Backup GERENCIAMENTO DE TECNOLOGIA DA INFORMAÇÃO Governança de TI Gestão de Serviços Política de Segurança da Informação PROCESSOS DE SEGURANÇA DA INFORMAÇÃO NORMA ABNT NBR ISO/IEC 27001: NORMA TÉCNICA ABNT NBR ISO/IEC Objetivo da Norma Análise/Avaliação e Tratamento de Riscos Política de Segurança da Informação Organizando a Segurança da Informação Gestão de Ativos Segurança em Recursos Humanos Segurança Física e do Ambiente Gerenciamento das Operações e Comunicações

5 3.2.9 Controle de Acesso Aquisição, desenvolvimento e manutenção de sistemas de informação Gestão de incidentes na segurança de informação Gestão da continuidade do negócio Conformidade MODELO FCAPS PROPOSTA DE PROCESSO DE SEGURANÇA DE INFORMAÇÃO Levantar requisitos de Tecnologia Levantar Riscos Analisar Riscos Definir Requisitos de Segurança de Informação Definir Controles Planejar controles Implantar Controle (Ferramenta) Checar Controle (Ferramenta) Manutenção da Ferramenta Melhorias FERRAMENTAS PARA SEGURANÇA DA INFORMAÇÃO FIREWALL Screening Router Bastion host Dual Homed Gateway Screened Host Gateway Screened Subnet Application Gateway Hybrid Gateways NAT - NETWORK ADDRESS TRANSLATION IDS - INTRUSION DETECTION SYSTEM CACHE ACL ACCESS CONTROL LIST ANTIVIRUS MONITORAÇÃO BACKUP NTP USO DE SOFTWARE LIVRE DEFINIÇÃO ESCOLHA DO SISTEMA OPERACIONAL ESCOLHA DO FIREWALL Escolha do Antivírus Clamav Clamwin LMD e RKHunter ESCOLHA DO SISTEMA DE MONITORAMENTO Munin Nagios com cacti e pnp4nagios

6 1.1.3 Pandora e Zabbix ESCOLHA DO BACKUP EXEMPLO DE IMPLEMENTAÇÃO DA PROPOSTA ANALISE TECNOLÓGICA Levantamento de requisitos tecnológicos Sistema de cadastro e comunicação entre alunos, professores e funcionários: Moodle Sistema para Google Mail - Gmail Sistema para serviço web: Apache Servidor de Arquivos: Samba LEVANTAMENTO DE RISCOS ANÁLISE DOS RISCOS REQUISITOS DE SEGURANÇA DEFINIÇÃO DE CONTROLES IMPLANTAÇÃO DE FERRAMENTAS MANUTENÇÃO DAS FERRAMENTAS ANÁLISE CRÍTICA DA SOLUÇÃO UTILIZANDO AS FERRAMENTAS PROPOSTAS PROCESSO DE MELHORIA CONTÍNUA CONCLUSÃO REFERÊNCIAS

7 Índice de Figuras TABELA 1. SERVIÇOS NO WINDOWS QUE PODEM GERAR AMEAÇAS 8 TABELA 2. PESQUISA DO LINUX JOURNAL 8 TABELA 3. PLANILHA DE RISCOS PROBABILIDADE/IMPACTO 8 TABELA 4. PLANILHA DE RISCOS SERVIÇO/CUSTO/SOFTWARE 8 TABELA 5. PLANILHA DE RISCOS AÇÃO/CUSTO 8 FIGURA 1: PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO 12 FIGURA 2: INCIDENTES REPORTADOS AO CERT.BR 38 FIGURA 3: SPAMS REPORTADOS AO CERT.BR 39 FIGURA 4: FCAPS 42 FIGURA 5: FIREWALL SCREENING ROUTER 47 FIGURA 6: FIREWALL BASTION HOST 48 FIGURA 7: FIREWALL DUAL HOMED GATEWAY 49 FIGURA 8: FIREWALL SCREENED HOST GATEWAY 49 FIGURA 9: FIREWALL SCREENED SUBNET 50 FIGURA 10: FIREWALL APPLICATION GATEWAY 51 FIGURA 11: FIREWALL HYBRID GATEWAY 52 7

8 Índice de Tabelas TABELA 1. SERVIÇOS NO WINDOWS QUE PODEM GERAR AMEAÇAS 18 TABELA 2. PESQUISA DO LINUX JOURNAL 59 TABELA 3. PLANILHA DE RISCOS PROBABILIDADE/IMPACTO 74 TABELA 4. PLANILHA DE RISCOS SERVIÇO/CUSTO/SOFTWARE 75 TABELA 5. PLANILHA DE RISCOS AÇÃO/CUSTO 75 8

9 1 Introdução Por conta de crescentes ameaças contra a informação de uma organização, que aparecem a cada dia, surge a necessidade de se implantar uma engenharia de segurança que alerte e atue de forma a defender a organização contra estas ameaças. Esta estratégia deve ser baseada em uma norma de segurança da informação, de maneira a seguir, de forma estruturada, os passos necessários para uma correta implantação de processos e sistemas, segundo uma definição de consenso dos especialistas da área. As normas nas quais será baseado o projeto serão a ISO/IEC ([ISO / IEC 27002]) e a ISO/IEC ([ISO / IEC 27002]). Um dos problemas para a implantação de uma política de segurança da informação é o seu custo. Uma das maneiras de se contornar esse problema é fugir dos altos custos das licenças de softwares proprietários. Percebe-se, portanto, que há possibilidade de se alcançar um ótimo ferramental que atenda as necessidades da norma utilizando-se software livre. Assim sendo, este trabalho se propõe a avaliar ferramentas de software que atendam às normas ISO/IEC e ISO/IEC 27002, que tenham um baixo custo de implantação e gerência e que se encaixem na categoria software livre. Este documento é especialmente dirigido aos administradores de redes, de sistemas e de segurança, ou seja, aqueles que costumam ser responsáveis pelo planejamento, implementação ou operação de redes e sistemas e possui foco na aplicação de segurança da informação em pequenas e medias empresas. O mesmo pode também ser útil e trazer algum esclarecimento a pessoas atuantes em áreas afins ou que necessitem desse conhecimento, como, por exemplo, gerentes de Tecnologia da Informação. 1.1 Objetivo O presente trabalho procura reunir um conjunto de práticas de instalação e configuração de ferramentas de software livre para atender uma política de segurança da informação mínima, mas que seja normativa. A implantação de um projeto baseado nesse documento minimiza as chances de ocorrerem problemas de segurança numa organização. Todavia, é importante lembrar que existem melhores maneiras para se implantar uma política de segurança da informação, Portanto, este documento apenas aborda algumas ferramentas que foram avaliadas perante uma norma válida. Este conjunto de ferramentas possui um mínimo necessário e indispensável para pequenas corporações que desejem implantar uma política de segurança da informação e que não detêm um capital necessário para o fazerem utilizando ferramentas de software proprietário. 9

10 Este trabalho, portanto, se propõe então a avaliar ferramentas de segurança de informação a partir de um processo criado para esse fim. Os quesitos avaliados devem atender às necessidades básicas da norma ABNT NBR ISO/IEC ([ABNT NBR ISO/IEC 27002]). Serão apresentadas e utilizadas as ferramentas básicas, enquadradas na categoria de software livre, para implantar uma segurança de informação mínima, mas funcional, e com um ótimo retorno sobre o investimento. Essas ferramentas serão avaliadas perante os requisitos e riscos existentes através de um estudo de caso. 1.2 Organização do Documento Os capítulos a seguir estão organizados da seguinte maneira: O capítulo dois mostra os princípios da segurança da informação, apresenta ameaças, cita formas de prevenção, apresenta a norma ABNT NBR ISO/IEC e também discute políticas e gerenciamento de segurança da informação. Além disso, sumariza os principais frameworks e boas práticas para a Governança de TI. O capítulo três é dedicado a elencar e mostrar processos de segurança da informação, bem como definir uma proposta de processo de segurança da informação que atenda a norma ABNT NBR ISO/IEC O capítulo quatro fala sobre os conceitos e ferramentas para assegurar uma segurança da informação. O capítulo cinco apresenta o conceito de software livre e mostra diversas ferramentas desta categoria que podem ser usadas para a segurança da informação. O capítulo seis apresenta um estudo de caso simples para análise das propostas contidas nesse projeto. Finalmente, o capítulo sete apresenta as conclusões. 10

11 2 Segurança da Informação Como qualquer outro ativo importante, a informação é um conjunto de dados que é essencial para os negócios de uma organização e necessita de proteção e cuidado. A informação vem sendo cada vez mais vista com maior importância. Com a integração e simplicidade de acesso crescendo, a exposição de pessoas a ameaças e riscos também cresce. É sempre recomendado que independente da forma que a informação esteja representada, essa seja protegida adequadamente. Com isso, segurança da informação é a proteção da informação às ameaças, na busca de manter a continuidade do negócio, diminuir os riscos e maximizar retornos. Para proteção da informação, sua segurança é obtida através da implementação de um conjunto de controles e técnicas adequadas, que precisam ser trabalhadas para que sejam atendidas as necessidades de segurança. Esse conjunto de controles e técnicas é chamado de SGSI (Sistema de Gerenciamento de Segurança da Informação). A norma ABNT NBR ISO / IEC fornece o método para a implantação do SGSI, orientando o processo de implantação de segurança da informação. A Segurança da Informação é necessária: São expostas a muitos tipos de ameaças contra a segurança da informação, as organizações, suas redes e seus sistemas, através de fraudes eletrônicas, sabotagens, inundação, incêndios, espionagem, e muitos outros tipos de problemas que têm ocorrido constantemente, na maioria das vezes causando danos irreparáveis. Surge então a necessidade da implantação da segurança da informação para os negócios dos setores públicos ou privados que possuem infraestruturas precárias. Facilitar os negócios eletrônicos, a troca de informações, compras, consultas, etc, reduzindo os riscos de tais procedimentos - está é a função da segurança da informação. Sendo assim surge uma necessidade maior de uma política de segurança. Atualmente, uma sugestão de padrão a ser utilizado para aplicar essa tão necessária segurança da informação é a norma ISO/IEC 27002, que pode ser utilizada em sua versão original ou em adaptações para diversas línguas, como a norma ABNT NBR ISO/IEC 27002, em português do Brasil, pela ABNT - Associação Brasileira de Normas Técnicas. 11

12 2.1 Princípios da Segurança da Informação Para entendermos melhor a segurança da informação devemos entender os seus princípios e o foco deste capítulo é estudar os princípios de uma comunicação segura. Na prática para que uma comunicação seja considerada segura é necessário a proteção, a detecção e a reação. Sendo assim, precisamos proteger a comunicação, a rede na qual a mesma trafega e o ambiente no qual a mesma se situa. Mas precisamos mais que isso, é necessário também a detecção de possíveis falhas na comunicação e ataques a rede. Além disso, é necessário existir uma reação no caso da detecção de algum perigo. Essa reação pode ser manual ou até mesmo automática para garantir a segurança do ambiente. Os princípios que vamos estudar são Confidencialidade, Autenticidade, Integridade, Disponibilidade, Não Repúdio e Controle de Acesso, que são mostrados na Figura 1. Figura 1: PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO Confidencialidade A confidencialidade é a garantia de que somente o remetente e o destinatário pretendido tenham o poder de entender a mensagem. É uma proteção das informações contra ataques passivos e análise de mensagens, quando em trânsito nas redes ou contra a divulgação indevida da informação ou até mesmo quando sob guarda. Com respeito à utilização indevida de conteúdos de mensagens, pode-se identificar diversos níveis de proteção para cada tipo de informação identificada. Podem ser definidos diversas formas para este serviços, incluindo a proteção de mensagens individuais ou até mesmo de 12

13 campos dentro desta mensagem. Este processo de identificação e refinamento daquilo que realmente deve ser protegido é bastante complexo e se reflete em toda a estrutura de segurança adotada. Para realizar a confidencialidade na prática deve-se cifrar a mensagem para o caso da mesma ser interceptada. Apenas aqueles que podem ler a mesmo que irão conseguir decifrá-la, para isso utilizamos técnicas de criptografia Autenticidade (Autenticação) Garantia de que as entidades identificadas em um processo sejam exatamente o que dizem ser e que a informação não foi alterada depois de uma validação. Informação, computadores e usuários sejam estes remetentes ou autores são identificados e validados quanto a sua autenticidade. O serviço de autenticação se relaciona com a garantia de que a comunicação é autêntica. No caso de uma simples mensagem, como é o caso de um sinal de alarme, a função da autenticação é garantir ao receptor que a mensagem é realmente originária da fonte informada. No caso de uma interação em tempo real, como a conexão de um computador com outro, pode-se considerar dois aspectos. O primeiro aspecto no momento do inicio da conexão, este serviço deve garantir que as duas entidades são autenticas, ou seja, que são quem alegam ser. Em segundo lugar, o serviço deve garantir que a comunicação deve ocorrer de forma que não seja possível a uma terceira parte se disfarçar e se passar por uma das partes já autenticadas no inicio da conexão para conseguir transmitir e receber mensagens de forma autorizada. Dentro da autenticidade, a Legalidade é uma característica de informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou legislação vigente Integridade A integridade está relacionada ao estado da informação entre o momento de sua geração e de seu resgate. A mesma não está relacionada com a exatidão da informação mas com a alteração do seu conteúdo entre o processo de geração e resgate. O serviço de integridade pode ser aplicado a todo um fluxo de mensagens de uma conexão a uma única mensagem ou a determinados campos desta mensagem. Uma conexão que tenha este princípio implantado garante que as mensagens serão recebidas como foram enviadas, sem duplicação, inserção indevida, modificação, sem reordenação ou repetições. A destruição de dados também é tratada neste serviço. Sob outro foco, este serviço trata tanto da modificação da mensagem como da negação de serviços. É possível fazer uma 13

14 distinção entre o serviço com e sem recuperação. Porque o serviço de integridade trata de ataques ativos, a atenção se concentra na detecção ao invés da prevenção. Caso uma violação de integridade seja detectada, então o serviço pode simplesmente informar esta violação, de forma que uma outra parte do software ou algum tipo de intervenção humana seja necessária para a recuperação de tal violação. De forma alternativa, existem mecanismos disponíveis para a recuperação de perda de integridade de dados. Esta última alternativa é a mais atraente Disponibilidade As pessoas autorizadas a terem conhecimento de uma informação precisam que a mesma esteja acessível ou disponível para o seu uso e conhecimento. Uma grande variedade de ataques pode resultar na perda ou redução da disponibilidade da informação. Alguns desses ataques são compensados através de medidas automatizadas, como a autenticação e a criptografia, ao passo que já outros requerem algum tipo de ação física para a prevenção ou recuperação das perdas de disponibilidade de elementos de um sistema distribuído Não Repúdio O Não Repúdio é a garantia do receptor que a mensagem é realmente oriunda do remetente indicado. Este serviço previne tanto o emissor contra o receptor, quanto previne contra a negação de uma mensagem transmitida. Desta forma, quando uma mensagem é enviada, o receptor pode provar que de fato a mensagem foi enviada pelo emissor em questão. De forma similar, quando uma mensagem é recebida, o emissor pode provar que a mensagem foi realmente recebida pelo receptor em questão Controle de Acesso O serviço de controle de acesso garante que a informação será acessada ou vista apenas por pessoas autorizadas. No contexto de segurança de rede, o controle de acesso é a habilidade de limitar ou controlar o acesso aos computadores hospedeiros ou aplicações através dos enlaces de comunicação e do controle de acesso físico ou lógico. Para tal, cada entidade que precisa obter acesso ao recurso, deve primeiramente ser identificado e autenticado de forma a que os seus direitos e permissões de acesso sejam atribuídos de acordo com o que foi definido e autorizado. 14

15 2.2 Ameaças Nessa sessão serão apresentados alguns conceitos fundamentais relacionados às ameaças tradicionais e mais comuns a segurança da informação. Iremos apontar algumas das principais falhas apontadas pela SANS. A mesma aponta muitas outras que não serão tratadas nesse documento, mas que são de grande importância para o profissional de Segurança da Informação. Toda ameaça a segurança da informação está diretamente ligada aos princípios de segurança da informação explicados anteriormente. Perda de Confidencialidade: Ameaça a quebra de sigilo de uma determinada informação levando a exposição de informações restritas a pessoas não autorizadas. Perda de Integridade: Ameaça de alteração não aprovada ou por pessoa não autorizada a uma informação. Perda de Disponibilidade: Ameaça da informação não estar acessível ao usuário autorizado quando o mesmo necessita dela, dentro de um período acordado de disponibilidade dos serviços vinculados à informação Tipos de ameaças Nesse item iremos apresentar algumas terminologias utilizadas e tipos de ameaças a Segurança da Informação a partir de informações coletadas em um centro de estudos nacional chamado CERT.BR ([CERT.BR]) que gera estatísticas sobre ameaças no Brasil. Um vírus de computador é um código ou conjunto de códigos maliciosos desenvolvidos para infectar um sistema e prejudicar a vitima. O mesmo pode fazer cópias de si mesmo com o intuito de tentar se espalhar para outros computadores. Um Worm é um programa auto-replicante e sua diferença para o vírus é que um vírus infecta um programa e necessita deste programa hospedeiro para se propagar, já o Worm é um programa completo e não precisa de outro programa para se propagar. O Rootkit é um vírus usado após ou durante uma invasão a fim de ocultar as ações do invasor no computador da vítima ou rede atacada. Já o Trojan ou cavalo de troia é um vírus usado para permitir o acesso indevido, abrindo portas no sistema operacional da vitima para acesso no futuro com maior facilidade que chamamos de backdoor, ou mesmo para monitorar o que a vitima digita, que chamamos de Keylogger ou Spyware. 15

16 Podemos chamar de Malware qualquer programa que tem como objetivo se infiltrar de forma ilícita ou causar dano ou roubo de informações. Os ataques são feitos a partir de Exploited, ou seja, pesquisas a vulnerabilidades. A partir dessa pesquisa de vulnerabilidades, podem-se inserir códigos maliciosos para invadir a vitima. Outra forma de ataque é a Engenharia Social ou Fraude que é a forma de obter informações importantes sobre uma vitima para, com isso, tirar vantagem, ludibriar ou lesar a mesma. Segundo Houaiss: qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro. Spam é uma mensagem eletrônica não solicitada, enviada em massa para s ou mesmo mensageiros eletrônicos ou celulares. Hoje o spam já possui inúmeras classificações, mas somente iremos abordar as utilizadas pela Cert.br que são: Spamvertised Website Sao máquinas que hospedam páginas com produtos e serviços sendo oferecidos no spam; Proxy Aberto São máquinas com serviço de proxy mal configurado, sendo assim abusadas por terceiros; Relay Aberto São máquinas com serviço de mal configurado, sendo assim abusadas por terceiros; Envio de Spam São máquinas que enviam o spam propriamente dito. Em criptografia, um ataque de Brute-Force ou Forca bruta é uma estratégia usada para quebrar a criptografia de dados. Trata-se de atravessar o espaço de busca de chaves possíveis até que a chave correta seja encontrada. De acordo com o Kurose e Ross ([Kurose & Ross 2006]), o Denial of Service (DOS) é um ataque de recusa de um serviço, em geral atacando o principio de Disponibilidade do mesmo (perda de Disponibilidade), deixando o serviço indisponível, fora do ar. Durante os últimos anos, esse é um dos mais númerosos ataques. A invasão é um ataque bem sucedido que resulta no acesso não autorizado a um computador ou rede. Em geral invasões são precedidas de um scan, que são varreduras nos computadores e/ou na rede verificando serviços disponibilizados, com o intuito de identificar potenciais alvos e associar possíveis vulnerabilidades Ataques a Aplicações Clientes As maiorias dos ataques a clientes são contra vulnerabilidades no browser, sistemas operacionais ou mesmo ferramentas cotidianas como planilhas e editores de textos, além de reprodutores de mídia. 16

17 Os ataques mais comuns via browser são feitos por ActiveX, por URL ou por plug-ins com dispositivos de mídia. Todos os browsers estão sujeitos a falhas, mas como o Internet Explorer e Firefox são os mais usados, são os que mais estão sendo atacados. A ferramenta com maior número de ataques computadas pela Cert.br, é o Internet Explorer. A Microsoft gera atualizações constantes para todos os seus produtos e para se manter menos vulnerável é aconselhável estar sempre atualizado. Todo plug-in de mídia esta sujeito à vulnerabilidade e a partir dessas que são reportados o maior número de ataques, que podem ser em qualquer tipo de Browser. Existem configurações nos browsers que o tornam mais seguros, procure respectivamente a área de segurança do site oficial do browser que você utiliza e se previna. Outro ataque à clientes é feito por ferramentas cotidianas, principalmente aquelas com acesso a conteúdo de noticias através de um serviço NNTP ou mesmo RSS. Os principais ataques são feitos nas ferramentas Office da Microsoft como Excel, Word e Visio, que também são as ferramentas mais utilizadas no mercado. Finalizando temos os Leitores de s que também estão sujeitos a ataques. Todos os leitores de estão dispostos a falhas mais como anteriormente os mais utilizados são os que computam o maior número de ataques. Toda versão do Outlook e do Thunderbird estão sujeitas a ataques, mas ambas disponibilizam atualizações de segurança para conter a maioria deles. Caso o ataque seja a partir de engenharia social, o usuário deve ter algumas prevenções em mente como não abrir s desconhecidos, mas principalmente fazer algumas configurações em seus leitores que podem ser encontrados nos sites dos mesmos. Em geral estas configurações se resumem em não abrirem anexos e imagens automaticamente e fazer com que o conteúdo temporário seja apagado quando o leitor for fechado Ataques a serviços de Sistemas Operacionais Para ataques ao sistema operacional ou seus serviços o mais comum é o Brute-Force. Esse ataque é principalmente utilizado em Sistemas operacionais baseados em UNIX ou MAC e são os mais difíceis e demorados de todos os ataques. Infelizmente existem falhas nos serviços que em geral os usuários nem sabem de sua existência. Por isso sempre deve-se ter apenas o mínimo de serviços em funcionamento e somente os indispensáveis ou ao menos configurados de maneira correta, através de informações do fabricante. No Sistema Operacional Windows existem muitas vulnerabilidades de serviços e em geral por falta de uma configuração de segurança, já que os mesmos estão instalados e acabam funcionando sem que o próprio usuário saiba. 17

18 Segue, em seguida, a Tabela 1, que é uma lista dos principais serviços atacados nos sistemas operacionais Windows do fabricante Microsoft. Tabela 1. SERVIÇOS NO WINDOWS QUE PODEM GERAR AMEAÇAS Nome do Serviço Alerter ClipSrv Browser Fax MSFtpsvr IISADMIN cisvc Messenger mnmsrvc RDSessMgr RemoteAccess SNMP SNMPTRAP SSDPSrv Schedule TlntSvr TermService Upnphost W3SVC Nome Exibido Alerter ClipBook Computer Browser Fax FTP Publishing IIS Admin Indexing Service Messenger NetMeeting Remote Desktop Sharing Remote Desktop Help Session Manager Routing and Remote Access SNMP Service SNMP Trap Service SSDP Discovery Service Task Scheduler Telnet Terminal Services Universal Plug and Play Device Host World Wide Web Publishing Ataque a Aplicações Web Baseados nas informações coletadas na Sans.org ([SANS.ORG]), aplicações Web podem ter vulnerabilidades e sabendo disso intrusos podem atacar exatamente essas falhas que podem estar na própria aplicação ou mesmo no serviço web. Existem riscos de vulnerabilidade em cada serviço que a aplicação utiliza. Caso seja necessário o uso de um serviço Web, um Aplication Server ou um serviço HTTP, provavelmente o mesmo contem erros lógicos ou falhas de validação. Essas falhas de segurança também podem estar relacionadas com o framework utilizado ou mesmo a linguagem. PHP Remote File Include: É uma vulnerabilidade no framework da linguagem PHP que por padrão habilita a funcionalidade allow_url_fopen onde pode ser incluído um script 18

19 por pessoas não autorizadas. Isso pode causar uma conexão remota com o usuário do serviço HTTP e instalação de rootkits. SQL Injection: Por alguma vulnerabilidade no acesso a aplicação o usuário não autorizado pode inserir código SQL que traz informações confidenciais. Cross-Site Scripting (XSS): É um ataque a vulnerabilidades de um serviço HTTP que pode ser um Denial of Service ou pode manter a aplicação rodando mais com algum código malicioso em JavaScript. Cross-site request forgeries (CSRF): Através de vulnerabilidades no serviço HTTP, o usuário legitimo do mesmo é forcado a usar comandos sem o seu consentimento Ataques a Banco de Dados Em Geral, é nos bancos de dados que estão as informações mais valiosas das corporações e a maior massa delas. Sendo assim, esses bancos são muito complexos e utilizam de alta taxa de criptografia. Além disso, a segurança quanto aos dados na maioria dos bancos é garantida, mas apenas se o administrador do mesmo tiver conhecimento suficiente para mantê-lo. Os ataques mais freqüentes a esses serviços estão ligados a falhas dos seus administradores como os relatados abaixo como mais comuns. - Uso de configurações padrão com nomes de usuário e senhas; Isso pode facilitar o roubo de senhas por engenharia social e logo gera vulnerabilidade nas informações. - Uso de funcionalidades injetoras de código SQL por usuários nas ferramentas de administração de bancos de dados que são publicadas como aplicação web; Isso pode causar um grande número de vulnerabilidades principalmente advindas de senhas fracas e buffer overflows nos processos que estão em portas em modo listen no servidor. 2.3 Medidas de Prevenção Existem algumas medidas de prevenção para evitarmos os ataques mais númerosos e mantermos a informação segura Senhas É recomendado que toda senha contenha um número mínimo definido de caracteres e principalmente o uso de números, letras e outros caracteres na mesma senha. Esse nível alto na dificuldade da senha dificulta invasões do tipo brutal-force e por engenharia social. 19

20 A alteração de senha de forma regular num período pré-definido também é uma boa prática para manter sempre a senha segura, evitando o uso de uma senha já roubada por um longo período de tempo. Portanto, na política de segurança de informação de uma corporação deve existir uma política de senhas. Um exemplo de senha utilizando essas boas práticas: O aconselhamento para este projeto é que se utilize mais de 6 caracteres onde um deles deve ser uma letra, outro um número e outro um símbolo e pode ainda ser diferenciado com maiúsculas e minúsculas. Neste caso a senha foi criada utilizando todas estas recomendações e ficou da seguinte forma: Processos É uma boa prática instalar os processos como serviços e configurar os mesmos para serem executados como usuários de sistema, além disso, o acesso desse usuário deve ser restrito ao processo que o mesmo é responsável. Esse tipo de prevenção evita a invasão por usuário administrador do sistema operacional que teria acesso a todos os serviços da máquina Antivirus e Antispyware Para evitar a grande maioria dos vírus e é aconselhável o uso de um antivírus. Antivírus são programas concebidos para prevenir, detectar, isolar e eliminar todo o tipo vírus. Já os antispyware são aplicativos utilizados para combater os spyware, adware e keyloggers. Esses são tipos de programas espiões que captam informações e disponibilizam para o individuo malicioso, outros podem simplesmente apresentar propagandas indesejadas Proteção de portas Para manter o servidor seguro prevenindo a maioria das invasões, é necessário o uso de um firewall, mas também a desativação de serviços não utilizados que podem conter vulnerabilidades. Isso faz a proteção das portas que além de seguras estão em número reduzido diminuindo a possibilidade de problemas. Uma forma de manter o servidor com o número mínimo de portas ativas é a instalação mínima do sistema operacional e de serviços, instalando apenas os necessários e configurando cada um deles, fazendo com que o administrador tenha um controle maior. 20

21 2.3.5 Monitoração A Monitoração é uma ferramenta importante para prevenção e detecção de falhas. Ativando nos servidores do parque de redes, pode-se ter informações sobre recursos de máquinas e serviços. Isso acarreta a prevenção de problemas e principalmente atitudes proativas. Com o uso de Logs, que são registros do que acontece com cada serviço, pode-se ter um relatório completo contento informações que juntas facilitam as atitudes proativas de reformulação do ambiente Comunicação A comunicação é uma grande forma de prevenção de falhas. A principal delas é a divulgação de um documento de educação de segurança contendo informações básicas para manter a segurança da informação pelos usuários. A Comunicação entre os administradores do ambiente também é importante e pode ser feita por registros como um Log de alterações, onde cada um documenta quais alterações foram feitas em determinadas configurações Backup O backup é uma copia de segurança dos dados de um dispositivo e caso haja perda desses dados originais, pode-se restaurar as informações sem perdas de informação. Para a garantia da qualidade do backup é necessário uma política de backup, que contem um planejamento e uma identificação de qual informação é necessária se ter uma copia, por quanto tempo e com qual janela de atualização. 21

22 2.4 Gerenciamento de Tecnologia da Informação Para avaliarmos a segurança da informação, precisamos avaliar a necessidade tecnológica da corporação e identificar quais os serviços de tecnologia da informação (TI) são necessários para melhoria dos processos da mesma. Sendo assim, existe a necessidade do alinhamento entre as diretrizes e objetivos estratégicos da organização com as ações de TI. Para isso, devemos organizar esse processo atribuindo os papéis e as responsabilidades de acordo com uma Governança de TI Governança de TI De acordo com o IT Service Management Forum ([ITSMF]), Governança de TI é um processo decisório que permite à gerência de TI sincronizar as suas estratégias com as do negócio, maximizando estas com resultados de investimentos que adicionem valor às organizações, mensurando e monitorando o desempenho dos seus projetos e serviços, buscando a qualidade dos seus processos e a disponibilidade de seus ativos. Então, o caminho para implantar a governança de TI é sincronizar os processos com a estratégia da organização, demonstrando que TI não apenas suporta, mas alavanca os negócios através de seus ativos operados em serviços ou gerados em projetos, com alta qualidade e em conformidade com leis, normas e políticas internas e baixo risco sobre os ativos envolvidos. Ainda temos outro termo mais genérico que é a Governança Corporativa e a sua definição foi registrada abaixo, com as palavras do próprio Instituto Brasileiro de Governança Corporativa, mas a qual não iremos utilizar, já que a própria Governança de TI atende ao alinhamento entre TI e corporação que queremos chegar. Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. As boas práticas de governança corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para a sua longevidade. [IBGC] Sendo assim, temos alguns métodos, métricas e boas práticas que devemos conhecer: BSC: A partir das informações do Balanced Scorecard Institute ([BSI]) entendemos que o BSC (Balanced Scorecard) é uma metodologia de medição e gestão de desempenho. Esse modelo baseia-se em outras metodologias e sistemas da área de TI e usam como apoio os 22

23 sistemas ERP tendo uma relação com a gestão do negócio, de serviços e de infra-estrutura, mas com uma garantia e foco em resultados. O BSC foi desenvolvido em 1992 na Harvard Business School por Robert Kaplan e David Norton. Essa metodologia foi apresentada inicialmente como um modelo de avaliação e performance empresarial, porém, a aplicação nessas empresas proporcionou seu desenvolvimento para uma metodologia de gestão estratégica, que incluem os passos abaixo através de indicadores de desempenho: Definição da estratégia empresarial; Gerência do negócio, gerência de serviços; Gestão da qualidade; Passos estes implementados. Os requisitos para definição desses indicadores tratam dos processos de um modelo da administração de serviços e busca da maximização dos resultados baseados em perspectivas que refletem a visão e estratégia empresarial: Financeira; Clientes; Processos internos; Aprendizado; Crescimento. CMM: De acordo com o Software Engineering Institute ([SEI]), o CMM (Capability Maturity Model) é um modelo de melhores práticas para diagnóstico e avaliação de maturidade do desenvolvimento de softwares de uma organização que descreve os principais elementos desse processo de desenvolvimento. Esse modelo identifica e avalia em que estágio de maturidade no desenvolvimento de um software uma empresa se encontra, através de uma avaliação contínua, de identificação de problemas e de ações corretivas, dentro de uma estratégia de melhoria dos processos. Este caminho de melhoria é definido por cinco níveis de maturidade: 1. Inicial 2. Repetível 3. Definido 4. Gerenciado 5. Otimizado Esse modelo também orienta em como evoluir no seu nível de maturidade, ganhando controle nos processos de desenvolvimento de software nas empresas, na sua gestão e 23

24 principalmente na sua cultura, onde existe mais dificuldade na evolução. Isso é feito para alcançar, através desses níveis de maturidade, um processo controlado e mensurado que tem como fundamento a melhoria contínua. A cada nível de maturidade corresponde um conjunto de práticas de software e de gestão específicas, denominadas áreas-chave do processo (Key Process Areas). Estas devem ser implantadas para que a organização possa atingir o nível de maturidade desejado. COBIT: O Cobit foi desenvolvido na década de 90, pela ISACA - Information System Audit and Control Association - e pode ser traduzido como Objetivos de Controle para a Informação e Tecnologia. Ele permite, basicamente, que a empresa tenha uma visão geral da importância da área de TI. Como sua estrutura se baseia em indicadores de performance, pode-se monitorar o quanto a Tecnologia da Informação está agregando valores aos negócios da organização. Como se pode observar, o CobiT atende principalmente as necessidades dos executivos, dos clientes e dos auditores de sistemas. Para os gerentes, que necessitam avaliar os riscos e controlar os investimentos de TI; Para os usuários, que precisam assegurar a qualidade dos serviços prestados para clientes internos e externos; Para os auditores que necessitam avaliar o trabalho de gestão de TI e aconselhar o controle interno da organização. ITIL: O IT Service Management Forum ([ITSMF]) diz que o ITIL (Information Technology Infraestructure Library) é uma biblioteca de Infra-estrutura de TI que descreve as melhorias práticas de gestão, especificamente elaborada para a área de TI. Criado no final dos anos 80 pela CCTA (Central Computing and Telecommunications Agency) para o governo britânico, o ITIL reúne um conjunto de recomendações, sendo divididas em dois blocos: suporte de serviços (service support), que inclui cinco disciplinas e uma função; e entrega de serviços (service delivery), com mais cinco disciplinas. Os pontos focados apresentam as melhores práticas para a central de atendimento, gerenciamento de incidentes, de problemas e gerenciamento financeiro para serviços de TI. No modelo ITIL, uma das disciplinas a serem desenvolvidas é o Incident Control, que tem a responsabilidade maior sobre todas as ocorrências registradas em um ambiente, incluindo as de segurança. Dessa forma, uma vez adotado o modelo ITIL, passa a ser da Gerência de Incidentes, paralela à de Segurança, a incumbência sobre a triagem, estudo, tratamento e resolução de incidentes. 24

25 ISO / IEC 20000: Conforme o APM Group ([APMG]), o ISO / IEC é a primeira norma mundial, especificamente destinada ao gerenciamento de serviços de TI. Essa norma descreve um conjunto integrado de processos de gestão para a efetiva prestação de serviços para a empresa e seus clientes. Baseia-se na norma BS (British Standard), mas é totalmente alinhada com o ITIL, com a intenção de complementar esse modelo. A norma é composta de duas partes: ISO / IEC :2005 Uma especificação formal que define os requisitos para uma organização com o intuito de oferecer serviços gerenciados com uma qualidade aceitável para seus clientes. O escopo inclui: Requisitos para um sistema de gestão; Planejamento e implementação de gerenciamento de serviços; Planejamento e implementação de serviços novos ou modificados; Processo de prestação de serviços; Processos de relacionamento; Processos de resolução; Processos de controle; Processos de liberação. ISO / IEC :2005 Código de Boas Práticas que descreve as melhores práticas para os processos de Gerenciamento de Serviços no âmbito da ISO / IEC O código de Prática será de uso particular para preparar as organizações a serem auditadas conforme a ISO / IEC ou melhorias no serviço de planejamento Gestão de Serviços A gestão de serviços tem por definição executar e manter os níveis requeridos de serviços para um conjunto de usuários de uma organização, de acordo com as prioridades do negócio e a um custo aceitável. Uma gestão de serviços efetiva requer que a organização entenda profundamente os seus serviços, incluindo a importância e a prioridade relativas de cada um deles para o negócio. Para este projeto, não iremos implantar uma governança de TI, mas sim utilizar algumas melhores práticas para a identificação dos serviços necessários para atender as necessidades do negócio. 25

26 O fluxo do processo utilizado para identificação dos serviços de uma empresa será de acordo com a seqüência abaixo: Identificação dos objetivos e requisitos: avaliar quais são os objetivos da empresa e os seus requisitos, como o custo (acrescentar mais um ou dois itens), entre outros. Diagnóstico da situação atual: identificar e mapear a situação atual, mesmo aqueles sem uso de tecnologia (os processos existem, somente podem não estar automatizados e mapeados). Avaliação de serviços necessários: a partir dos objetivos, requisitos e do diagnóstico da situação atual, verifica-se a necessidade de alteração no processo, automatizando-o com o uso de serviços de Tecnologia de Informação Política de Segurança da Informação A segurança da informação de uma corporação deve conter uma política de segurança da informação que deve estar baseada em alguma norma. Como estamos em um guia prático, não iremos abordar uma política, mas pela norma ABNT NBR ISSO/IEC 27002, a mesma se faz necessária e todos os procedimentos práticos devem estar baseados na mesma. 26

27 3 Processos de Segurança da Informação Os processos na área de segurança são importantes e nenhuma ferramenta ou implementação sem um processo bem definido, e utilizado de forma correta, são úteis. Ou seja, defina bem um processo e o utilize antes de implantar a segurança de informação na corporação. O processo que iremos utilizar foi criado para avaliar as ferramentas de acordo com a norma ABNT NBR ISO/IEC e foi baseado no ciclo de processo da norma ABNT NBR ISO/IEC e no framework FCAPS ([ABNT NBR ISO/IEC 27001]). Existem modelos de boas práticas que podem servir como base para definição de processos de Segurança da Informação. Eles não são específicos para o mesmo, mas são ótimas referências, como o CMMI ([CMM]) e o PMBOK ([ITSMF]). O CMMI é um modelo de referência que contém práticas necessárias para a maturidade e melhoria de um processo corporativo. Já o PMBOK é um conjunto de boas práticas que serve como base para geração de uma metodologia de gerenciamento de projetos. A seguir iremos apresentar a norma ABNT NBR ISO / IEC e o framework FCAPS, logo depois iremos propor um processo de segurança da informação. 3.1 Norma ABNT NBR ISO/IEC 27001:2006 Esta norma estabelece um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a Gestão de Segurança da Informação. A mesma é baseada no modelo de processo PDCA e aborda um processo para assegurar sistemas de informação e redes de computadores. A mesma ainda sugere o uso em conjunto da norma ABNT NBR ISO/IEC como orientação de implementação de controles de segurança. Essa norma enfatiza a importância das tarefas descritas abaixo: - Primeiro devem ser levantados os requisitos de segurança da informação de uma organização e estabelecer uma política e objetivos para a segurança de informação; - Segundo devem ser implementados controles para gerenciar os riscos de segurança da informação da organização; - Terceiro devem ser monitorados e analisados o desempenho e a eficácia do Gestão de Segurança da Informação; 27

28 - E por último devem implementar um processo de melhoria contínua baseada em medições objetivas. Abaixo segue o clico do processo base: Planejar (Plan): Estabelecer a política, objetivos, processos e procedimentos relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos da organização. Fazer (Do): Implementar e operar a política, controles, processos e procedimentos de Segurança. Checar (Check): Avaliar e medir o desempenho de um processo frente à política e objetivos da corporação. Ao final apresentar os resultados para a análise crítica pela direção. Agir (Act): Executar as ações corretivas e preventivas, com base nos resultados de uma auditoria interna e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua da Segurança. 3.2 Norma Técnica ABNT NBR ISO/IEC Com a necessidade de criar uma estratégia de segurança para as informações do Reino Unido, o DTI (Departamento de Comércio e Indústria do Reino Unido), criou em 1987 o CCSC (Comercial Computer Segurity Center), que tinha como objetivo criar uma norma de segurança que os atendesse. Várias empresas e instituições internacionais, com a alta necessidade, buscaram estabelecer metodologias e padrões que melhor ajudassem o mercado em suas pendências relativas à Segurança da Informação. Em 1989, foram criados vários documentos preliminares, mas somente em 1995, na Inglaterra, o CCSC criou a BS 7799 (Brithish Standart 7799). Essa foi uma norma de segurança da informação destinada a empresas e disponibilizada para consulta pública, dividida em duas partes: a primeira (BS ) em 1995, a segunda (BS ) em A parte da norma que é planejada como um documento de referência para pôr em execução boas práticas de segurança na empresa é a BS A parte da norma que tem o objetivo de proporcionar uma base para gerenciar a segurança da informação dos sistemas da empresa é a BS Foi aceita em dezembro de 2000, após um árduo trabalho de internacionalização e consultas públicas, a BS 7799 como padrão internacional pelos países membros as ISO. Isto implica 28

29 na junção de duas organizações ISO (International Standartization Organization) e IEC (International Engineering Consortium), sendo assim denominada ISO / IEC 17799:2000. Em 2005, houve uma revisão na norma ISO / IEC 17799:2000. Nessa revisão foram incluídas significantes atualizações, como a inclusão de uma nova seção para Gerenciamento de riscos de incidentes, entre pequenas atualizações e até mesmo uma alteração no formato para facilitar na orientação de uma implantação, essa versão da norma foi nomeada de ISO / IEC 17799:2005. Já em meados de 2007, para enquadrar a essa norma na família ISO / IEC 27000, a norma ISO / IEC 17799:2005 foi renomeada para ISO / IEC 27002, mantendo cada palavra, alterando apenas uma folha de rosto com um aviso sobre a alteração da nomenclatura. A ISO é uma organização internacional formada por um conselho e comitês com membros oriundos de vários países. Seu objetivo é criar normas e padrões universalmente aceitos sobre a realização de atividades comerciais, industriais, científicas e tecnológicas. A IEC é uma organização voltada ao aprimoramento da indústria da informação. A ABNT (Associação Brasileira de Normas Técnicas) resolveu também acatar em dezembro de 2000 a norma ISO como padrão brasileiro sendo publicada em 2001 como: NBR Código de Prática para a Gestão da segurança da informação. O importante é que a partir dessa publicação passamos a ter um referencial de aceitação internacional. No segundo semestre de 2005 foi lançada uma nova versão da norma, a norma ABNT NBR ISO/IEC 17799:2005, que cancelou e substitui a edição anterior. Mas logo em seguida, em 2007, foi lançada uma errata, como na versão original modificando a nomenclatura da norma para ABNT NBR ISO / IEC 27002, que foi utilizada como base para este trabalho de segurança da informação Objetivo da Norma Esta norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. [ABNT NBR ISSO/IEC 27002] A norma técnica ABNT NBR ISSO/IEC tem o objetivo de controle; controle com um intuito de identificar riscos e fazer uma análise e uma avaliação dos mesmos para saber como devemos atender melhor cada um. A norma ainda pode servir como um guia prático para um desenvolvimento de segurança e até mesmo criar confiança nas atividades baseadas na norma pela organização. 29

30 3.2.2 Análise/Avaliação e Tratamento de Riscos Dentre outras funções a análise de riscos vem com o intuito de identificar, qualificar e priorizar eventuais riscos, para orientar e determinar ações apropriadas e as prioridades para o gerenciamento da Segurança da Informação, podendo-se assim implementar controles selecionados, visando à proteção contra esses riscos. Este processo pode ocorrer de várias formas, várias vezes e podem cobrir diferentes partes de uma organização. É importante a análise/avaliação de risco acontecer periodicamente, para acompanhar as mudanças nos requisitos de Segurança da Informação e gerar uma metodologia que obtenha resultados comparáveis e reproduzíveis que incluam relacionamentos de análise/avaliações de outras áreas. A diferença entre análise de risco e avaliação de risco dá-se ao fato de que a análise de risco se baseia num enfoque sistemático de estimar a magnitude do risco enquanto a avaliação do risco se baseia no processo de comparação dos riscos estimados, contra os critérios de risco para determinar a significância do risco. Faz-se conveniente que a organização antes de levar em conta o tratamento de um risco, defina alguns critérios para determinar a aceitação ou não desses riscos, para isso é importante registrar essas decisões. Para o risco cuja decisão do tratamento do risco seja a aplicação de alguns controles, convém que estes controles sejam selecionados, implementados e reduzidos a um nível aceitável visando atender a requisitos identificados pela Análise/Avaliação. È importante frisar que determinados controles de Segurança da Informação devem ser específicos e considerados nos estágios iniciais dos projetos, para evitar custos adicionais, soluções menos efetivas ou incapacidade de se alcançar à segurança necessária. Deve-se frisar, também, que nenhum conjunto de controles garante a segurança completa. Porém são válidos para monitorar, avaliar e melhorar a eficiência da organização Política de Segurança da Informação Tem como objetivo promover um apoio e uma orientação para a direção da Segurança da Informação de acordo com os requisitos do negócio e com leis e regulamentos que são relevantes. A direção deve estabelecer uma política clara, que alinhada aos objetivos do negócio demonstre apoio e comprometimento com a Segurança da Informação por meio da política de Segurança da Informação para toda a organização. 30

31 Para utilização dessa política utiliza-se um documento que objetiva um controle que deve ser aprovado pela direção e publicado a todos os funcionários e partes externas interessadas, tomando os cuidados necessários com as informações. Esse documento deve ressaltar o comprometimento da direção e o enfoque da gerência da Segurança da Informação feita pela organização. A política de Segurança da Informação deve ser analisada de tempos em tempos de forma crítica verificando-se possíveis mudanças com o intuito de uma contínua eficácia. Faz-se importante o fato da política de Segurança da Informação ser gerenciada por um gestor que se responsabilize pelo desenvolvimento e análise da mesma Organizando a Segurança da Informação A empresa necessita possuir uma organização voltada à Segurança da Informação no intuito de cuidar, gerenciar e manter a segurança das informações trabalhadas e tratadas na empresa. Para isso convém que a organização se preocupe com dois focos principais que são: a infra-estrutura e as partes externas. A organização voltada à infra-estrutura é o responsável por gerenciar a segurança da informação dentro da organização. Ela necessita que alguns aspectos sejam levados em consideração como: o comprometimento da direção com a segurança da informação, atribuição de responsabilidades, bom contato com autoridades, contato com grupos especiais e uma análise crítica da informação. Exige também das partes responsáveis algumas ações como a criação de um acordo de confidencialidade, que contenha requisitos para a proteção da informação e requisitos para confidenciar o contato. Já a organização voltada a partes externas deve ser responsável por algumas medidas contra riscos, que provenham do envolvimento de negócio com partes externas, para que sejam identificados e controlados antes do acesso. Para isso é importante que acessos das informações da organização por partes externas não sejam fornecidos até que os controles tenham sido implementados Gestão de Ativos Tem como objetivo principal manter e alcançar uma proteção adequada aos ativos da Organização e a gestão de ativos é responsável de fato por parte da organização e alguns cuidados. Convém que cada ativo seja de responsabilidade de algum proprietário, que esses proprietários sejam identificados e que pertença a eles a responsabilidade pela manutenção dos controles dos mesmos. Cada ativo deverá ser identificado e deverá ser feito e mantido 31

32 um inventário de todos os ativos importantes, contendo em si as informações necessárias sobre a importância do ativo no negócio e que também permitam uma recuperação das informações caso seja necessária. Pois são os inventários que ajudam a assegurar a proteção do ativo, e podem ser requeridos para outras finalidades do negócio como, por exemplo, a saúde, a segurança. Segue alguns exemplos de ativos: Ativos de informação (arquivos, base de dados ); Ativos de Software (aplicativos, sistemas); Ativos Físicos (mídias removíveis, equipamentos computacionais); Serviços (iluminação, refrigeração); Pessoas e suas qualificações; Imagem da organização entre outros É importante o fato de a organização identificar, documentar e implementar algumas regras para serem seguidas pelos funcionários, fornecedores e terceiros. Quanto à informação é de responsabilidade do proprietário do ativo definir uma classificação para a mesma que deve ter como objetivo assegurar que a esta receba um nível adequado de proteção. Deve ser levado em consideração avaliar a confidencialidade, integridade, disponibilidade da informação e outros requisitos. Essa classificação deve ser feita para mostrar a necessidade e o nível esperado de proteção quanto ao tratamento da informação que possui vários níveis de importância e assim sabendo se são criticas ou não. Sendo que alguns desses níveis podem necessitar de uma proteção ou tratamento especial. Essa classificação deve ser usada para definir uma determinada proteção e as medidas corretas de tratamento para os níveis observados. Levando-se em consideração a necessidade de compartilhamento ou restrição das informações e dos negócios associados à necessidade da organização. No geral a classificação de informação é uma maneira de determinar como informação será protegida e tratada. Para ser tratada é aplicado um conjunto determinado de procedimentos para rotulação e tratamento da informação definindo e implementando um esquema de classificação, que será adotado pela organização. Os procedimentos para rotulação da informação precisam abranger tanto os ativos de informação no formato físico como no eletrônico. A rotulação vem a ser um tratamento seguro da classificação da informação sendo um requisito chave para os procedimentos de compartilhamento da informação. 32

33 3.2.6 Segurança em Recursos Humanos Avaliando o setor de recursos humanos, a segurança da informação basicamente, o divide em três etapas: Antes da contratação; Durante a contratação; Encerramento ou mudança da contratação. Todas elas são de responsabilidade do setor de recursos humanos, observando algumas regras na Segurança da Informação. Antes da Contratação O objetivo da Segurança da Informação em Recursos Humanos antes da contratação visa assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os papéis estabelecidos, visando reduzir riscos de fraude, e mau uso dos recursos. Existem alguns procedimentos a serem observados neste processo de pré-contratação como: as Leis da CLT, os candidatos, organizar cargos, definição de critérios e as limitações, entre outros fatores. Torna-se importante também que o processo de seleção seja ministrado por fornecedores e terceiros, e caso isso ocorra é importante que o contrato especifique responsabilidade, valores, horários, período e etc. Para estabelecer esse contrato convém que os interessados concordem e assinem termos e condições para o trabalho que se baseiem na política de Segurança da Informação da empresa. Durante da Contratação O objetivo é assegurar que os funcionários, fornecedores e terceiros estejam conscientes e preparados, sobre suas responsabilidades, obrigações e preocupações relacionadas à Segurança da Informação. È importante que a empresa se conscientize de suas necessidades e comportamentos no intuito de fornecer aos seus funcionários treinamentos que os permitam reconhecer problemas, e para que estes respondam de acordo com as necessidades do trabalho. É importante que exista um processo formal de disciplinas para funcionários que venham a cometer infrações e violações na Segurança da Informação, que aumentem o cuidado relacionado a procedimentos e políticas da Segurança da Informação na organização. Encerramento ou Mudança no Contrato 33

34 O objetivo da Segurança da Informação em Recursos Humanos durante o encerramento ou mudança da contratação, visa assegurar que os funcionários, fornecedores, e terceiros deixem a organização ou mudem de trabalho de forma organizada. Nisso observa-se a devolução dos ativos (como equipamentos, senhas, cartões, e tudo que pertença à empresa), e deve-se retirar o direito de acesso a sistemas e informações seguindo o contrato. Quando encerradas as atividades faz-se conveniente que estejam claramente atribuídos os responsáveis, definidos os ativos devolvidos e que o contrato seja encerrado na presença dos interessados Segurança Física e do Ambiente Neste universo de Segurança da Informação é importante observar cuidados também com a segurança física, com o intuito de prevenir o acesso físico não autorizado. Para evitar que outros usuários tenham acesso a áreas e informações da organização. Convém que instalações onde se encontram as informações sejam mantidas em áreas seguras, protegidas por um perímetro de segurança como: barreiras, controles de acesso, portões e etc. É importante não só a proteção contra o acesso de pessoas a locais e áreas não permitidas com também uma proteção física contra enchentes, falta de energia, incêndios, perturbações de ordem pública, desastres naturais ou causados pelo homem e etc. Para aumentar a segurança também se faz necessário cuidado com os equipamentos, para que eles sejam protegidos contra ameaças físicas, ameaças do meio ambiente, furtos, perdas, danos e etc. Porém caso ocorra é necessário uma manutenção correta para certificar a integridade completa da informação Gerenciamento das Operações e Comunicações Este item trata das principais áreas que devem ser objetivo de especial atenção da segurança, o gerenciamento das operações e comunicações. Concluídas e aprovadas as normas de segurança são implementadas e, por conseguinte, dependem diretamente da tecnologia utilizada e da forma como a empresa está organizada. Todos os procedimentos devem ter um mesmo formato, padronizado para toda a empresa. Neste formato devem ser considerados a versão do procedimento, as responsabilidades das áreas envolvidas, os formulários associados e a rotina de trabalho propriamente dita. Dentre estas áreas destacam-se as questões relativas à: Procedimentos e responsabilidades operacionais; 34

35 Gerenciamento de serviços terceirizados; Planejamento e aceitação dos sistemas; Proteção contra códigos maliciosos e códigos móveis; Cópias de segurança; Gerenciamento da segurança em redes; Manuseio de mídias; Troca de informações; Serviços de comércio eletrônicos; Monitoramento. Devido ao alto grau de risco na operacionalização dos sistemas internos e externos nas corporações podemos observar vários procedimentos detalhados para garantir operações segura nos recursos de processamento de informação. Itens como: backup, documentação de procedimento, segregação de funções, terceirizados, proteção contra códigos maliciosos, cópias de segurança, são discutidos minuciosamente para ter maior aproveitamento na elaboração da política de segurança da operacionalização dos sistemas. Quando colocamos uma informação, aplicativo ou sistema em produção, é necessária a observação do tráfego destas informações no ambiente de rede da corporação, adicionando controles que podem ser necessários para proteger informações sensíveis no tráfego sobre redes interna e externa. Controles adicionais como: controles de rede, manuseio de mídia, alerta na troca de informação, mensagem eletrônica, transações On-line, monitoramento do uso de sistema, registro de auditoria e sincronização de relógios, ajudam em vários segmentos da proteção da informação corporativa, evitando o vazamento da informação, pirataria e cópias não autorizadas, facilidade na auditoria e controle maior sobre o usuário Controle de Acesso Este item trata do Controle de Acesso ao sistema, podemos dizer que controle de acesso é um grupo de técnicas de segurança, como o uso de senhas ou de cartões inteligentes para limitar o acesso a um computador ou a uma rede somente a usuários autorizados. Dentre estas áreas destacam-se as questões relativas a. Requisitos de negócios para controle de acesso; Gerenciamento de acesso do usuário; Responsabilidade dos usuários; Controle de acesso à rede; Controle de acesso ao sistema operacional; Controle de acesso à aplicação e à informação; Computação móvel e trabalho remoto. Podemos observar neste capítulo a importância de se ter um controle de acesso devido à preocupação da disponibilização da informação corporativa, preocupação como: quem vem acessar? Como? Quando? O quê? Onde? Estas perguntas fazem com que o gestor de 35

36 segurança crie um controle de acesso que seja estabelecida, documentada e analisada criticamente. O controle de acesso é uma das mais importantes ferramentas de apoio à segurança da informação. O mesmo pode ser obtido através das ferramentas abaixo ou simplesmente através da fiscalização humana, que também precisa estar combinada com todas as outras opções: Design do ambiente; Barreiras de canalização do fluxo para pontos controlados; Sinalização ou de identificação; Equipamentos de ação mecânica; Dispositivos eletrônicos. Itens como os apontados abaixo são abordados minuciosamente nesta seção da norma: Política de controle de acesso; Registro de usuários; Gerenciamento de senhas e privilégios; Política de uso dos serviços de redes; Segregação de redes; Controle de conexão e roteamento de redes; Identificação de usuário; Uso de utilitários de sistema; Limitação de horário de conexão; Restrição de acesso à informação; Isolamento de sistemas sensíveis; Computação e comunicação móvel são itens detalhados Aquisição, desenvolvimento e manutenção de sistemas de informação. A aquisição, desenvolvimento e manutenção de sistemas de informação é uma das áreas mais atingidas pelos aspectos da segurança. Muitos dos problemas de segurança existentes hoje não são nem físicos, nem de procedimentos, mas sim devidos a erros de programação ou de arquiteturas falhas. Existe uma grande pressão nas equipes de desenvolvimento no sentido de construir um programa, ou uma aplicação, ou um sistema e fazer a entrega do produto o mais rápido possível ao usuário, deixando de lado um ponto importante na construção dos mesmos, que é visão de segurança nos programas elaborados. É de grande importância que o Gestor esteja sempre com os seguintes propósitos: 36

37 Garantir a segurança na parte integrante do sistema de informação; Prevenir a ocorrência de erros, perdas, modificações não autorizadas e o mau uso de informações nas aplicações; Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos; Garantir a segurança de arquivos de sistemas. O objetivo dessa seção é de fornecer sugestões para criar ambientes confiáveis no que se refere ao desenvolvimento e manutenção de sistema de informação. Dentre os tópicos a serem apresentados, na norma, estão: Requisitos de segurança de sistemas de informação; Processamento correto nas aplicações; Controles de criptográficos; Segurança dos arquivos do sistema Gestão de incidentes na segurança de informação Para possuirmos uma gestão de incidentes, temos que nos manter informados de acordo com o órgão que controla e analisa esses incidentes, que no Brasil é o CERT.BR. Além disso, temos que reportar ao mesmo, incidentes ocorridos nos nossos ambientes com o intuito de mantermos sempre os dados desse centro atualizados. O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil ([CERT.BR]), divulgou recentemente dados estatísticos dos incidentes de segurança registrados nos anos de 1999 até O CERT.BR analisa e gera estatísticas vindas de ataques reportados no Brasil. O centro divide esses ataques em 4 grupos: Tentativas de Fraude; Ataques a servidores Web; Varreduras e propagação de códigos maliciosos; Outros incidentes reportados. Esse centro ainda mantém uma estatística de spams que é contabilizada de acordo com as informações de duas entidades principais e outras fontes de menor influência. Dentro de cada uma dessas duas entidades se categorizada os spams em grupos conforme abaixo: SpamCop o Spamvertised Website; o Proxy Aberto; o Relay Aberto; 37

38 o Envio de Spam / Envio de Spam Agrupados; o Outras. Abusix.org o Envio de Spam / Envio de Spam Agrupados; o Outras. Outras Fontes Incidentes: Segundo a CERT.BR, o número de ataques reportados no segundo trimestre de 2011 chegou a pouco mais de 127mil, que representa um aumento de 40% em relação ao primeiro semestre e de 287% em relação ao segundo trimestre de De acordo com o relatório de incidentes, que está representado pela Figura 2, existe uma tendência ao crescimento de incidentes da categoria Outros. Figura 2: INCIDENTES REPORTADOS AO CERT.BR Spams: O número de spams reportados no semestre de 2011 chegou a pouco mais de 4,2 milhões, o que corresponde a menos de 11% do ano de 2010, conforme visualizamos na Figura 3. Mesmo ainda não existindo os dados do segundo semestre de 2011, já se verifica uma 38

39 queda considerável, tendo em vista que os valores do segundo semestre tendem a ser parecidos com os apresentados no primeiro de cada ano. Atualmente, as empresas têm procurado implantar mecanismos que possam facilitar na gestão de Incidentes de Segurança da Informação; Incidente é qualquer evento que não faz parte de uma operação padrão de um serviço e que cause, ou poderá causar, uma interrupção ou redução da qualidade do serviço ; apesar de todas as limitações de todos os níveis, podemos reparar um esforço e certa preocupação das empresas brasileiras de manter imune o seu setor tecnológico. Na versão ANBT NBR ISO / IEC 11799:2005 da norma, este capítulo foi adicionado, justamente para realçar as ideias e sugestões das políticas de segurança voltadas a incidentes, aqui estão abordados algumas sugestões que possibilitam o Gestor a assegurar as fragilidades e eventos de segurança da informação e assegurar também um enfoque e efetivo seja aplicado à gestão de incidentes de segurança da informação. Figura 3: SPAMS REPORTADOS AO CERT.BR O capítulo da norma está dividido em duas sessões: Notificação de fragilidades e eventos de segurança de informação; Gestão de incidentes de segurança da informação e melhorias. 39

40 Gestão da continuidade do negócio A tragédia Americana do dia 11 de Setembro foi um marco para área de Segurança da Informação, depois da catástrofe, várias empresas tiveram problemas para manter a produtividade, pois não existia um serviço de contingência e continuidade de negócios, vimos neste triste cenário que vários bombeiros deram suas vidas para salvar outras vidas. Será que dentro das empresas há aqueles técnicos que servem somente para apagar incêndios? Podemos reparar, que para a grande maioria das pessoas, muitas às vezes, este assunto não vale a pena ser discutido. Aliás, até mais do que isso: estes temas são tratados com uma conotação negativa, em que as pessoas acham que os profissionais do ramo somente pensam em problemas, desastres, sinistros, quando a empresa tem mais é que pensar em produtividade, se por acaso acontece problema desta natureza, o normal é achar o culpado. Este capítulo reforça a necessidade de ter um plano de continuidade e contingência desenvolvido, implementado, testado e atualizado. O processo de continuidade deve ser posto em prática para reduzir a interrupção causada por um desastre ou falha na segurança para um nível aceitável através de uma combinação de ações preventivas e de recuperação. As consequências de desastre, falhas de segurança e perda de serviços devem ser desenvolvidos e implementados para garantir que os processos do negócio podem ser recuperados no tempo devido; seguindo os itens abaixo: Notificação de fragilidades e eventos de segurança de informação; Gestão de incidentes de segurança da informação e melhorias. Com este panorama apresentado atualmente, verificamos que as diretrizes criadas nos segmentos da segurança da informação são imprescindíveis para as instituições, e que neste cenário empresarial está cada vez mais globalizado, sem limites geográficos para a concorrência, é necessário garantir a continuidade e competitividade no negócio. 40

41 Conformidade Publicado no Diário Oficial da União, do dia 14 de junho de 2000, seção 1 página 2, decreto número de 13 de junho de 2000 que Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Este decreto foi um marco inicial dentro do Governo Federal para a indicação e julgamento do Sistema Segurança da Informação, nas áreas públicas, levando as atividades e serviços a atender às exigências da especificação relevante do decreto publicado. Devido à sua importância, várias entidades privadas têm trabalhado e analisado o referido documento, voltado à conformidade da empresa. Conformidade é a propriedade de documentos, processos, ou produtos, de estarem de acordo com um padrão pré-estabelecido. O objetivo de implementar uma ISO 9000 em uma empresa, por exemplo, é deixar a empresa em questão, em conformidade com aquela Norma. O capítulo final aborda a necessidade de observar os requisitos legais, tais como a propriedade intelectual e a proteção das informações de clientes. O projeto, a operação, o uso e a gestão de sistemas de informação podem estar sujeitos a requisitos de segurança contratuais, regulamentos ou estatutos. Consultorias em requisitos legais específicos podem ser procuradas sem organizações de consultoria jurídica ou em profissionais liberais, adequadamente qualificados nos aspectos legais. O Capítulo da norma está dividido em três sessões: Conformidade com requisitos legais; Conformidade com normas e políticas de segurança da informação e conformidade técnica Considerações quanto à auditoria de sistemas de informação. 41

42 3.3 Modelo FCAPS O modelo FCAPS serve de base para definição das áreas funcionais da Gerencia de Redes. Seguem abaixo as mesmas: Figura 4: FCAPS Gerência de falhas (Fault Management): Esta é a Gerência responsável pela detecção, isolamento, notificação e correção de falhas na rede. Gerência de configuração (Configuration Management): Esta é a responsável pelo registro e manutenção dos parâmetros de configuração dos serviços da rede, como informações sobre versões de hardware e software. Gerência de contabilidade (Accounting Management): A mesma é responsável pelo registro do uso da rede por parte de seus usuários com objetivo de cobrança ou regulamentação de uso. Gerência de desempenho (Performance Management): Responsável pela medição e disponibilização das informações sobre aspectos de desempenho dos serviços de rede que são usados para garantir que a rede opere em conformidade com a QoS (Qualidade de Serviço) acordados com seus usuários. Esses dados também são usados para análise de tendência. Gerência de segurança (Security Management): Gerência responsável por restringir o acesso à rede e impedir o uso incorreto por parte de seus usuários, de forma intencional ou não. 42

43 3.4 Proposta de Processo de Segurança de Informação Levando como base as normas, manuais de boas práticas e modelos acima descritos, iremos propor uma atuação para seleção de um parque tecnológico que atenda a norma ABNT NBR ISO/IEC Levantar requisitos de Tecnologia Primeiro precisamos avaliar o objetivo do negócio em questão e a partir disso identificar quais são os requisitos tecnológicos necessários para melhorar e automatizar o que a corporação realmente necessita. Fazendo isso estaremos nos adequando a norma ABNT NBR ISO / IEC 27001:2006, alinhando os requisitos tecnológicos com o negocio. Nesse momento iremos levantar a necessidade de tecnologia e listar a infra-estrutura necessária para atender os requisitos de negócio Levantar Riscos Nessa etapa estaremos identificando os Riscos de Segurança da Informação nos baseando nos requisitos. De acordo com o PMBOK ([PMBOK 2004]), riscos são eventos ou falhas de percepção que aumentam as chances de não se atingir um determinado objetivo. Os mesmos estão ligados a incerteza sobre o acontecimento desses eventos ou falhas de percepção, assim como suas conseqüências. Ao final desta etapa teremos um documento contendo uma lista de Riscos da Segurança da Informação para a instituição em questão Analisar Riscos Nessa etapa estaremos analisando cada risco. O fundamento matemático para o risco é a teoria da probabilidade e assim estaremos a analisar a probabilidade de um risco e os possíveis impactos caso o mesmo se torne real, alinhando assim as boas práticas do PMBOK. Ao final desta etapa teremos um documento contendo a lista de Riscos da Segurança da Informação com prioridades, observando quais serão tratados ou contidos, aceitos, mitigados ou mesmo transferidos a terceiros de acordo com as recomendações do SRM ([SRM 2003]). 43

44 3.4.4 Definir Requisitos de Segurança de Informação Nessa etapa estaremos identificando o que será tratado pela segurança de informação. Iremos descrever os procedimentos atuais e identificar os desejos, intenções e dados na qual a segurança irá atuar. Aqui iremos utilizar os riscos identificados para definir alguns requisitos. Esse levantamento deve ser feito por um profissional com perfil de Analista de Segurança de Informação que contém conhecimentos da norma adotada. Caso a instituição possua uma Política de Segurança da Informação o Analista precisa possuir o conhecimento do conteúdo e se basear no mesmo para levantar os requisitos. Nesse momento será definida uma Política de acesso, contendo os perfis de acesso e que tipo de informação cada perfil pode ler, editar ou mesmo copiar. Dentro de cada perfil de acesso devem conter os usuários com seus cadastros atualizados. Ao final desta etapa teremos um documento contendo os Requisitos de Segurança Definir Controles Nesta etapa iremos identificar objetivo do controle e selecionar os controles. a. No primeiro momento estaremos identificando qual tratamento será utilizado para os riscos que serão contidos. b. No segundo momento iremos selecionar uma ferramenta ou procedimento para conter os riscos caso se tornem reais ou para se precaver dos mesmos. c. Por fim estaremos organizando de forma coerente os requisitos e identificando o que será tratado pela ferramenta em questão. Como na etapa anterior o perfil de Analista de Segurança será o responsável. Nessa etapa também será necessária a definição da qualidade do serviço (QoS Quality of Service) para cada serviço utilizado, desde sua disponibilidade até o seu desempenho. Ao final desta etapa teremos um documento contendo a lista de Riscos de Segurança, estes estarão planejados e com uma forma de conter o risco ou tratá-lo. Esse Tratamento pode ser um procedimento manual ou uma ferramenta automatizada. Caso seja um procedimento manual o mesmo estará no documento, caso for uma ferramenta teremos suas configurações. Teremos, também uma lista dos serviços com sua QoS definida. 44

45 3.4.6 Planejar controles Depois de definidos os controles precisamos planejar os mesmos de acordo com o modelo FCAPS. Primeiramente teremos que tratar as falhas, que consiste em planejar quais procedimentos serão responsáveis por detecção, isolamento, notificação e correção das falhas. No segundo momento iremos registrar as ocorrências, que consiste em avaliar se a ferramenta em questão possui um Log e qual o nível de registro do mesmo. Se for um procedimento manual, deve conter na descrição da tarefa a ação de registro das ocorrências Implantar Controle (Ferramenta) Nesta etapa iremos implantar propriamente a ferramenta selecionada de acordo com suas configurações previamente definidas. Será necessário avaliar qual a melhor configuração da ferramenta para atender a necessidade da corporação e documentar a mesma. Além disso, teremos um controle das versões das ferramentas utilizadas e identificação do hardware utilizado. Ao final desta etapa teremos o ambiente de Segurança em produção e suas configurações documentadas Checar Controle (Ferramenta) Nessa etapa iremos avaliar se o controle está sendo realizado de acordo com os requisitos. Caso estejamos utilizando alguma ferramenta para controle, as especificações do que a ferramenta implementa e se propõe deve ser avaliado dentro do objetivo de uso dessa ferramenta pela instituição. Será necessário, também, checar o desempenho e a disponibilidade do serviço para saber se o mesmo atende a QoS especificada para o mesmo. Um exemplo é um teste de acesso, checando todos os acessos no mês e avaliando se algum foi indevido. Também podemos analisar os Logs da ferramenta que contém informação sobre possíveis falhas de segurança ou mesmo verificar se um serviço esteve disponível no período especificado em sua QoS. 45

46 3.4.9 Manutenção da Ferramenta Nessa etapa estaremos fazendo possíveis atualizações da ferramenta utilizando e gravando copias de segurança (Backup) e trazendo informações perdidas através das copias. Lembrando sempre que deve existir um controle das versões de hardware e software utilizados e deve ser avaliado os riscos de migrar a versão de uma ferramenta Melhorias Essa etapa deve normalmente ocorrer na instituição para gerar melhorias na Segurança da Informação. Nessa etapa o Analista de Segurança avalia os requisitos atuais e controles utilizados e propõe melhorias. Estas melhorias podem ser configurações da ferramenta para atingir um melhor nível de segurança ou simplesmente um novo controle para atacar um novo risco. 46

47 4 Ferramentas para Segurança da Informação Quando se trata de Ferramentas para Sistemas de Segurança da Informação, vários são os dispositivos e mecanismos que auxiliam na Gestão de Segurança, como os listados neste capítulo conforme apontado por Oliveira e Costa ([Oliveira & Costa 2000]). 4.1 Firewall O firewall pode ser definido como um mecanismo ou dispositivo de rede que tem por objetivo aplicar uma política de segurança, separando e principalmente criando uma barreira de proteção entre redes de computadores. Assim um firewall é a camada de proteção entre internet e uma rede interna, fazendo um controle de acesso e do tráfego de dados entre essas redes. Seu objetivo é permitir somente a transmissão e a recepção de dados autorizados. Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software. Este último é o tipo recomendado ao uso doméstico e também é o mais comum. Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. À medida que o uso de informações e sistemas é cada vez maior, a proteção destes requer a aplicação de ferramentas e conceitos de segurança eficientes. O firewall é uma opção práticamente imprescindível. Um firewall pode ser mais simples ou complexo de acordo com a necessidade. Podemos então, desmembrar o firewall em componentes que o compõem Screening Router Figura 5: FIREWALL SCREENING ROUTER Esse componente básico pode ser o único componente de um firewall, já que define um firewall simples. É simplesmente um roteador com filtro de pacotes. 47

48 Roteadores são mecanismos do nível de rede, usando uma ou mais métricas para decidir sobre o melhor caminho para a transmissão de tráfego da rede. O envio de pacotes entre as redes pelos roteadores é baseado na informação fornecida sobre os níveis de rede. Filtro de Pacotes é um conjunto de regras que analisam e filtram pacotes enviados por redes distintas de comunicação. Esse filtro controla o acesso de portas e hosts específicos, além de bloquear tráfego entre redes. Essa filtragem é feita nas camadas 3 (Rede) e 4 (transporte) do protocolo TCP/IP, ou seja, nos cabeçalhos do IP e nos protocolos da camada de transporte utilizados (TCP, UDP, ICMP e outros) Bastion host Figura 6: FIREWALL BASTION HOST Esse componente é um servidor que serve como porta de entrada entre redes. Esse host é um local critico na segurança já que tem visibilidade para as redes as quais o mesmo não pertence, portanto deve-se ter um cuidado especial com essa máquina. Como essa é a porta de passagem entre as redes, pode-se ter uma auditoria regular nesse ponto. 48

49 4.1.3 Dual Homed Gateway Figura 7: FIREWALL DUAL HOMED GATEWAY Um Dual Homed Gateway por definição é um tipo de Bastion Host. Nesse caso temos dois Bastion Host, onde um se comunica com o outro e com a sua rede interna, mas o mesmo não pode se comunicar com a rede do outro, apenas com o Bastion Host dessa outra rede. Sendo assim para não haver tráfego entre as redes distintas é desabilitado o encaminhamento de pacotes, bloqueando o acesso de um host de uma rede ao host de outra rede Screened Host Gateway Figura 8: FIREWALL SCREENED HOST GATEWAY Esse componente na verdade é um tipo de firewall, um dos mais utilizados em redes privadas, ou é uma junção de dois componentes já mencionados, que são o Screening Router com o Bastion host. O mesmo funciona fazendo com que o Screening Router aponte para um Bastion host e esse seja o único host acessível a partir de outra rede. 49

50 4.1.5 Screened Subnet Figura 9: FIREWALL SCREENED SUBNET Esse componente é uma sub-rede isolada que fica situada entre a rede externa e a rede interna e é mais comumente chamada de DMZ (Demilitarized Zone) ou Rede de Perímetro. Os computadores contidos nessa sub-rede são acessados tanto pela rede privada como pela rede externa, mas essa rede está isolada e segura por um Screening Router, que através de níveis de filtros diferentes permite diferentes tipos de acesso, além do bloqueio do tráfego através dessa sub-rede. 50

51 4.1.6 Application Gateway Figura 10: FIREWALL APPLICATION GATEWAY Também conhecido como Proxy, esse componente é especializado em aplicações ou programas servidores, atende a requisições repassando os dados do requisitante ao serviço que esta inacessível diretamente. Esse componente é uma camada entre o serviço e o usuário desse serviço e atende a clausulas de segurança, chamadas de ACL (Access Control List), que podem permitir ou negar o acesso a um determinado serviço ou função. 51

52 4.1.7 Hybrid Gateways Figura 11: FIREWALL HYBRID GATEWAY São a junção de componentes diferentes de um firewall com mais algum serviço que não foi definido dentro desses componentes listados como tunelamentos utilizando diferentes tipos de protocolos ou serviços de analise de registros de incidentes, entre outros. 52

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Malwares. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são:

Malwares. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são: Malwares Códigos Maliciosos - Malware Códigos maliciosos (malware) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Algumas das diversas

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Segurança da Informação. Fundamentos do Modelo de Segurança da Informação

Segurança da Informação. Fundamentos do Modelo de Segurança da Informação Segurança da Informação Fundamentos do Modelo de Segurança da Informação A Segurança da Informação no Governo Federal OGoverno Federal, em diversas oportunidades, tem se manifestado no sentido de assegurar

Leia mais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais Segurança na Internet Disciplina: Informática Prof. Higor Morais 1 Agenda Segurança de Computadores Senhas Engenharia Social Vulnerabilidade Códigos Maliciosos Negação de Serviço 2 Segurança de Computadores

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS ESET Business Solutions 1/7 Vamos supor que você tenha iniciado uma empresa ou que já tenha uma empresa bem estabelecida, há certas coisas que deveria esperar

Leia mais

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL Gerenciamento de Serviços de TI com ITIL A Filosofia do Gerenciamento de Serviços em TI Avanços tecnológicos; Negócios totalmente dependentes da TI; Qualidade, quantidade e a disponibilidade (infra-estrutura

Leia mais

SEGURANÇA DA INFORMAÇÃO PARTE 2

SEGURANÇA DA INFORMAÇÃO PARTE 2 SEGURANÇA DA INFORMAÇÃO PARTE 2 Segurança da Informação A segurança da informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido, sabotagens, paralisações, roubo de informações ou

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

ITIL. Information Technology Infrastructure Library

ITIL. Information Technology Infrastructure Library Information Technology Infrastructure Library 34929 - Daniel Aquere de Oliveira 34771 - Daniel Tornieri 34490 - Edson Gonçalves Rodrigues 34831 - Fernando Túlio 34908 - Luiz Gustavo de Mendonça Janjacomo

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Melhores Práticas em TI

Melhores Práticas em TI Melhores Práticas em TI Referências Implantando a Governança de TI - Da Estratégia à Gestão de Processos e Serviços - 2ª Edição Edição - AGUINALDO ARAGON FERNANDES, VLADIMIR FERRAZ DE ABREU. An Introductory

Leia mais

Cartilha de Segurança para Internet

Cartilha de Segurança para Internet Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Parte VII: Incidentes de Segurança e Uso Abusivo da Rede Versão 3.1 2006 CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

Segurança em computadores e em redes de computadores

Segurança em computadores e em redes de computadores Segurança em computadores e em redes de computadores Uma introdução IC.UNICAMP Matheus Mota matheus@lis.ic.unicamp.br @matheusmota Computador/rede segura Confiável Integro Disponível Não vulnerável 2 Porque

Leia mais

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br Campanha da Política de Segurança da Informação Antonio Rangel arangel@modulo.com.br Um Caso Real Gestão de Riscos, Implementação de Controles, Correção, Plano de Contingência, Workflow, Gestão, Auditoria,

Leia mais

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT: Visão Geral e domínio Monitorar e Avaliar Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT O que é? Um framework contendo boas práticas para

Leia mais

Auditoria e Segurança em Tecnologia da Informação

Auditoria e Segurança em Tecnologia da Informação Auditoria e Segurança em Tecnologia da Informação @lucianodoll Conceitos de segurança Introdução Segurança Um computador é seguro se atende a 3 requisitos: Confidencialidade: a informação só está disponível

Leia mais

Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta

Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Sistemas de Informação Empresarial

Sistemas de Informação Empresarial Sistemas de Informação Empresarial Governança de Tecnologia da Informação parte 2 Fonte: Mônica C. Rodrigues Padrões e Gestão de TI ISO,COBIT, ITIL 3 International Organization for Standardization d -

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

Informe técnico: Segurança de endpoints Symantec Protection Suite Enterprise Edition Proteção confiável para ambientes de endpoints e mensageria

Informe técnico: Segurança de endpoints Symantec Protection Suite Enterprise Edition Proteção confiável para ambientes de endpoints e mensageria Proteção confiável para ambientes de endpoints e mensageria Visão geral O Symantec Protection Suite Enterprise Edition cria um ambiente de endpoints e mensageria protegido contra as complexas ameaças atuais,

Leia mais

Governança de T.I. Professor: Ernesto Junior E-mail: egpjunior@gmail.com

Governança de T.I. Professor: Ernesto Junior E-mail: egpjunior@gmail.com Governança de T.I Professor: Ernesto Junior E-mail: egpjunior@gmail.com Information Technology Infrastructure Library ITIL ITIL é um acrônimo de Information Technology Infraestruture Library. Criado em

Leia mais

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br Introdução a Segurança de Redes Segurança da Informação Filipe Raulino filipe.raulino@ifrn.edu.br Objetivos Entender a necessidade de segurança da informação no contexto atual de redes de computadores;

Leia mais

Evolução dos Problemas de Segurança e Formas de Proteção

Evolução dos Problemas de Segurança e Formas de Proteção Evolução dos Problemas de Segurança e Formas de Proteção Núcleo de Informação e Coordenação do Ponto.br Nic.br http://www.nic.br/ Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no

Leia mais

Correlação entre CobiT e ITIL e norma ISO 17799

Correlação entre CobiT e ITIL e norma ISO 17799 Correlação entre CobiT e ITIL e norma ISO 17799 1. Resumo A dependência atual das organizações da sua infra-estrutura de TI (Tecnologia da Informação), associado às oportunidades, benefícios e riscos inerentes

Leia mais

Alinhamento Estratégico da TI com o Modelo de Negócios da Empresa: um estudo sobre as melhores práticas da biblioteca ITIL

Alinhamento Estratégico da TI com o Modelo de Negócios da Empresa: um estudo sobre as melhores práticas da biblioteca ITIL Alinhamento Estratégico da TI com o Modelo de Negócios da Empresa: um estudo sobre as melhores práticas da biblioteca ITIL Fernando Riquelme i Resumo. A necessidade por criar processos mais eficientes,

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

Dicas de Segurança no uso de Computadores Desktops

Dicas de Segurança no uso de Computadores Desktops Universidade Federal de Goiás Dicas de Segurança no uso de Computadores Desktops Jánison Calixto CERCOMP UFG Cronograma Introdução Conceitos Senhas Leitores de E-Mail Navegadores Anti-Vírus Firewall Backup

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

Ameaças a computadores. Prof. César Couto

Ameaças a computadores. Prof. César Couto Ameaças a computadores Prof. César Couto Conceitos Malware: termo aplicado a qualquer software desenvolvido para causar danos em computadores. Estão nele incluídos vírus, vermes e cavalos de tróia. Vírus:

Leia mais

SEGURANÇA DA INFORMAÇÃO. Aguinaldo Fernandes Rosa

SEGURANÇA DA INFORMAÇÃO. Aguinaldo Fernandes Rosa SEGURANÇA DA INFORMAÇÃO DICAS Aguinaldo Fernandes Rosa Especialista em Segurança da Informação Segurança da Informação Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos

Leia mais

ESET NOD32 Antivirus 4 para Linux Desktop. Guia de Inicialização Rápida

ESET NOD32 Antivirus 4 para Linux Desktop. Guia de Inicialização Rápida ESET NOD32 Antivirus 4 para Linux Desktop Guia de Inicialização Rápida O ESET NOD32 Antivirus 4 fornece proteção de última geração para o seu computador contra código malicioso. Com base no mecanismo de

Leia mais

INE 5223 Informática para Secretariado

INE 5223 Informática para Secretariado 4. AMBIENTE INTERNET UFSC Prof.: Achilles Colombo Prudêncio 4. Ambiente Internet UFSC 4.2. Utilização de Recursos da Internet O uso dos recursos da Internet vem sendo comentado sempre, em todos os tópicos

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Questões Potenciais para a Prova Informática Questões Carlos Vianna

Questões Potenciais para a Prova Informática Questões Carlos Vianna 1. Questões Potenciais para a Prova Informática Questões Carlos Vianna 2012 Copyright. Curso Agora eu Passo - Todos os direitos reservados ao autor. 1.O comando pwd do Linux possibilita ao usuário efetuar

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Segurança da Internet no Brasil e Atuação do CERT.br

Segurança da Internet no Brasil e Atuação do CERT.br Segurança da Internet no Brasil e Atuação do CERT.br Aritana Pinheiro Falconi falconi@cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Núcleo de Informação e Coordenação

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Informação: o principal ativo de um negócio

Informação: o principal ativo de um negócio WHITE PAPER Informação: o principal ativo de um negócio Gestão de dados se tornou ponto crucial para sobrevivência das instituições, mas poucas ainda mantêm programa de treinamento em segurança. Fiscalização

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

Nettion Security & Net View. Mais que um software, gestão em Internet.

Nettion Security & Net View. Mais que um software, gestão em Internet. Nettion Security & Net View Mais que um software, gestão em Internet. Net View & Nettion Security Mais que um software, gestão em Internet. A Net View e a Nettion Security Software se uniram para suprir

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação 2 0 1 3 OBJETIVO O material que chega até você tem o objetivo de dar dicas sobre como manter suas informações pessoais, profissionais e comerciais preservadas. SEGURANÇA DA INFORMAÇÃO,

Leia mais

Disciplina: Administração de Redes de Computadores.

Disciplina: Administração de Redes de Computadores. Disciplina: Administração de Redes de Computadores. Abordagem: Segurança Prof. Leandro Meireles 2011.2 Sistema Seguro Confidencialidade Integridade Disponibilidade Porque se preocupar com a segurança?

Leia mais

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com /

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br APRESENTAÇÃO DO PROFESSOR Nome: André Luís Belini

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Códigos Maliciosos Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

REDES. Consiste em dois ou mais computadores conectados entre si e compartilhando recursos.

REDES. Consiste em dois ou mais computadores conectados entre si e compartilhando recursos. REDES Consiste em dois ou mais computadores conectados entre si e compartilhando recursos. TIPOS TIPOS LAN MAN WAN FUNCIONAMENTO DE UMA REDE TIPOS Cliente/ Servidor Ponto a ponto INTERNET Conceito 1.

Leia mais

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo Segurança na Internet A evolução da internet veio acompanhada de problemas de relacionados a segurança. Exemplo de alguns casos de falta

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Códigos maliciosos são usados como intermediários e possibilitam a prática de golpes, a realização de ataques e o envio de spam Códigos maliciosos, também conhecidos como pragas

Leia mais

Evolução Tecnológica e a Segurança na Rede

Evolução Tecnológica e a Segurança na Rede Evolução Tecnológica e a Segurança na Rede Miriam von Zuben miriam@cert.br! Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasill Núcleo de Informação e Coordenação do Ponto br

Leia mais

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B BlackBerry Professional Software para Microsoft Exchange Versão: 4.1 Service pack: 4B SWD-313211-0911044452-012 Conteúdo 1 Gerenciando contas de usuários... 7 Adicionar uma conta de usuário... 7 Adicionar

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Vírus é um programa. Sendo que este programa de computadores é criado para prejudicar o equipamento ou sabotar os dados nele existente.

Vírus é um programa. Sendo que este programa de computadores é criado para prejudicar o equipamento ou sabotar os dados nele existente. Segurança da Informação Prof. Jefferson Costa www.jeffersoncosta.com.br Engenharia Social Chama-se Engenharia Social as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações

Leia mais

Fundamentos em Segurança de Redes de Computadores. Pragas Virtuais

Fundamentos em Segurança de Redes de Computadores. Pragas Virtuais Fundamentos em Segurança de Redes de Computadores Pragas Virtuais 1 Pragas Virtuais São programas desenvolvidos com fins maliciosos. Pode-se encontrar algumas semelhanças de um vírus de computador com

Leia mais

Códigos Maliciosos.

Códigos Maliciosos. <Nome> <Instituição> <e-mail> Códigos Maliciosos Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente desenvolvidos para executar

Leia mais

Programas Maliciosos. 2001 / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador

Programas Maliciosos. 2001 / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador Programas Maliciosos 2001 / 1 Segurança de Redes/Márcio d Ávila 182 Vírus de Computador Vírus de computador Código intruso que se anexa a outro programa Ações básicas: propagação e atividade A solução

Leia mais

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp Aula 03 Malware (Parte 01) Visão Geral Prof. Paulo A. Neukamp Mallware (Parte 01) Objetivo: Descrever de maneira introdutória o funcionamento de códigos maliciosos e os seus respectivos impactos. Agenda

Leia mais

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guia de Inicialização Rápida O ESET Smart Security fornece proteção de última geração para o seu computador contra código malicioso. Com base no ThreatSense,

Leia mais

Engenharia de Software Qualidade de Software

Engenharia de Software Qualidade de Software Engenharia de Software Qualidade de Software O termo qualidade assumiu diferentes significados, em engenharia de software, tem o significado de está em conformidade com os requisitos explícitos e implícitos

Leia mais