DIRETRIZES DE SEGURANÇA PARA SERVIDORES LINUX DO ESTADO-MAIOR DA ARMADA,

Tamanho: px
Começar a partir da página:

Download "DIRETRIZES DE SEGURANÇA PARA SERVIDORES LINUX DO ESTADO-MAIOR DA ARMADA,"

Transcrição

1 LEONARDO BASEADO NA NORMA ABNT NBR ISO/IEC 27002:2005 DIRETRIZES DE SEGURANÇA PARA SERVIDORES LINUX DO ESTADO-MAIOR DA ARMADA, UNIVERSIDADE DE BRASÍLIA INSTITUTO DE CIÊNCIAS EXATAS DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO ESPECIALIZAÇÃO EM GESTÃO DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES CEGSIC 2009/2011 LEONARDO BOMFIM TARANTO DIRETRIZES DE SEGURANÇA PARA SERVIDORES LINUX DO ESTADO- MAIOR DA ARMADA, BASEADO NA NORMA ABNT NBR ISO/IEC 27002:2005 Brasília, OUTUBRO /

2 Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações LEONARDO BOMFIM TARANTO Diretrizes de Segurança para Servidores Linux do Estado-Maior da Armada, baseado na Norma ABNT NBR ISO/IEC 27002:2005 Brasília 2011

3 Leonardo Bomfim Taranto Diretrizes de Segurança para Servidores Linux do Estado-Maior da Armada, baseado na Norma ABNT NBR ISO/IEC 27002:2005 Brasília 2011

4 Leonardo Bomfim Taranto Diretrizes de segurança para Servidores Linux do Estado-Maior da Armada, baseado na Norma ABNT NBR ISO/IEC 27002:2005 Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações. Orientador: Prof. Msc. Osvaldo Corrêa do Nascimento Júnior Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Brasília Outubro de 2011

5 Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão da Segurança da Informação e Comunicações - CEGSIC 2009/ Leonardo Bomfim Taranto. Qualquer parte desta publicação pode ser reproduzida, desde que citada a fonte. Taranto, Leonardo Bomfim Diretrizes de segurança para Servidores Linux do Estado-Maior da Armada, baseado na Norma ABNT NBR ISO/IEC 27002:2005/ Leonardo Bomfim Taranto. Brasília: O autor, p.; Ilustrado; 25 cm. Monografia (especialização) Universidade de Brasília. Instituto de Ciências Exatas. Departamento de Ciência da Computação, Inclui Bibliografia. 1. Linux. 2. Hardening. 3. Segurança da Informação. I. Título. CDU

6 Ata de Defesa de Monografia Monografia de Especialização Lato Sensu, defendida sob o título Diretrizes de Segurança para Servidores Linux do Estado-Maior da Armada, baseado na norma ABNT ISO/IEC 27002:2005, por Leonardo Bomfim Taranto, em 25 de outubro de 2011, no Auditório do Departamento de Ciência da Computação da UnB, em Brasília - DF, e aprovada pela banca examinadora constituída por: Prof. ME Osvaldo Corrêa do Nascimento Jr. Universidade de Brasília Orientador <Prof. Dr/ME/Esp (usar o maior título) Outros Títulos (usar se relevante) Nome do 2º Membro da Banca> <Organização à qual é Vinculado> <Prof. (se aplicável). Dr/ME/Esp (usar o maior título) Outros Títulos (usar se relevante) Nome do Terceiro Membro da Banca> <Organização à qual é Vinculado> Prof. Dr. Jorge Henrique Cabral Fernandes Coordenador do Curso de Especialização em Gestão da Segurança da Informação e Comunicações CEGSIC 2009/2011

7 Dedicatória Dedico esta pesquisa a Deus, por nortear meus caminhos, à minha amada esposa Janaína por me apoiar e entender os momentos de ausência, especialmente aos meus pais pela formação do meu caráter, pelo amor, compreensão, carinho e dedicação, orientando-me sempre ao longo da minha vida e, finalmente, meu orientador Osvaldo Corrêa pela atenção e profissionalismo durante a orientação deste trabalho.

8 Agradecimentos Agradeço a Deus, primeiramente, por este curso, pela saúde, sabedoria e paz. Aos meus chefes imediatos a autorização e o apoio prestado. A minha equipe do Departamento de Informática, pelo apoio e ajuda na condução da pesquisa e estudo no Estado-Maior da Armada. A minha querida, linda e eterna namorada Janaína, pelo seu suporte e apoio, sendo fundamental pelo meu sucesso conquistado e materializado neste trabalho. Minha mulher virtuosa, onde o meu coração está confiado.

9 Consciência Treinamento Educação Não há conserto para a ignorância. Corey D. Schou, Phd. Professor Universitário de Informática. Professor de Sistemas de Informação de Computador. Diretor do National Information Assurence Training and Education Center.

10 Sumário Ata de Defesa de Monografia... 3 Dedicatória... 4 Agradecimentos... 5 Sumário... 7 Lista de Abreviaturas e Siglas Lista de Tabelas Lista de Figuras Resumo Abstract Delimitação do Problema Introdução Formulação da situação problema Objetivos e escopo Objetivo Geral Objetivos Específicos Escopo Justificativa Hipóteses Hipótese sobre configurações do Linux Metodologia Revisão de Literatura e Fundamentos Segurança da Informação A Norma ABNT NBR ISO/IEC

11 3.3 Hardening Técnicas de Hardening Hardening de sistema Software instalado Controle de Acesso Segurança do terminal local e remoto Gerenciamento de privilégios e autenticação Política de utilização de serviços de redes e serviços ativos Log de Eventos Firewall Cópias de Segurança Hardening de aplicação Web Server Banco de Dados MySQL Ferramentas de Segurança Resultados Norma de Tecnologia da Informação da Marinha - DGMM Atribuições dos Órgãos de TI Intranet/Internet Segurança das Informações Digitais Cenário de TI do EMA Discussão Segurança da Informação nas Organizações Militares Segurança nos Servidores do EMA Proposta de Diretrizes para os servidores Linux do EMA Conclusões e Trabalhos Futuros... 87

12 6.1 Conclusões Trabalhos Futuros Referências Bibliográficas Glossário A B C D H E F I J K M O P R S W... 96

13 Lista de Abreviaturas e Siglas ACL - Access Control List ADMIN Administrador de Rede Local APF - Administração Pública Federal CETELMA Central Telefônica da Marinha CGI - Common Gateway Interface DAC Discretionary Access Control DNS - Domain Name System EMA Estado-Maior da Armada ET- Estação de Trabalho FTP File Transfer Protocol GSIPR Gabinete Institucional da Presidência da República HRL Histórico da Rede Local IMO Organização Marítima Internacional IP Internet Protocol ISID Instrução de Segurança da Informação Digital MB Marinha do Brasil MTBF Mean Time Between Failures ODG Órgão de Direção Geral OM Organização Militar OSID - Oficial de Segurança da Informação Digital PAM Módulo de Autenticação Plugáveis PLCONT Plano de Contingência PSI Política de Segurança da Informação PSIL-MB Plano de Implantação de Software Livre da Marinha RAD Relatório de Auditoria RECIM Rede de Comunicações Integradas da Marinha SGBD Sistema Gerenciador de Banco de Dados SID Segurança da Informação Digital

14 SIDRL Segurança da Informação Digital em Redes Locais SL- Software Livre SOR Sistema Operacional de Rede SSH - Secure Shell SSL Secure Socket Layer TI Tecnologia da Informação VNC - Virtual Network Computing

15 Lista de Tabelas Tabela 1: Estatística de Ataques Mensal e Trimestral em Tabela 2: Modos de permissões especiais Tabela 3: Exemplo de permissões no sistema de arquivos Tabela 4: Exemplo de permissões no /etc/fstab Tabela 5: Diretrizes da política de acesso à interface de firewall Tabela 6: Principais ferramentas de análise de vulnerabilidades Tabela 7: Estrutura Organizacional de TI da Marinha Tabela 8: Relação de Documentos de SID do EMA Tabela 9: Alinhamento de Documentos... 79

16 Lista de Figuras Figura 1: Web Servers mais utilizados no Mundo Figura 2: Pirâmide da Segurança Figura 3: Política do firewall Figura 4: Diagrama Simplificado da Estrutura da RECIM Figura 5: Diagrama simplificado da estrutura da RECIM 7 Distrito Naval Figura 6: Gestão de Segurança da Informação e Comunicações na MB Figura 7: Plano Diretor de Tecnologia da Informação do EMA Figura 8: Tríade - Fortalecimento do Sistema Operacional Linux... 88

17 Resumo O Estado-Maior da Armada é uma organização militar secular, cuja missão é assessorar o Comandante da Marinha na direção geral da Marinha do Brasil, no desempenho de suas atribuições no Alto Comando das Forças Armadas e no Conselho de Defesa Nacional e, também, no exercício da coordenação e controle das atividades dos Órgãos de Direção Setorial. Portanto, no EMA, são tratados diversos assuntos, entre os quais: controle das atividades marítimas e ambientais; planejamento, execução e controle da participação do pessoal da MB em representações; coordenação dos assuntos da Organização Marítima Internacional; legislação, atos normativos e organização; Sistema Plano Diretor; estabelecimento de política, doutrina, estratégia, operações navais, inteligência, defesa nacional e ao planejamento de alto nível da MB; etc. Diante deste cenário, torna-se fundamental tomar as providências necessárias para aumentar nível de segurança lógica dos sistemas operacionais de redes que suportam todas essas informações. Devido a necessidade de segurança e padronização dos sistemas operacionais de redes e softwares, a MB, baseada no decreto n. 29 de outubro de 2003, que trata da implementação do software livre no governo federal, padronizou o Linux como seu sistema operacional de rede por meio da portaria n. 29 de 4 de fevereiro de 2010 do EMA, instituindo seu Plano de Implantação de Software Livre. Assim, devido à necessidade de minimizar e solucionar o problema de segurança, este trabalho tem como proposta a implementação de diretrizes para configuração dos sistemas operacionais de redes Linux, permitindo o aperfeiçoamento de controles de segurança aplicado ao sistema. Por fim, este trabalho visa a preencher a lacuna de padronização e configuração, estabelecendo o emprego de melhores práticas de segurança nos SOR Linux do EMA, por meio de uma pesquisa documental com os principais autores, padrões e práticas em conformidade com a norma ABNT NBR ISO/IEC 27002:2005.

18 Abstract The General Staff of the Navy is a secular military organization whose mission is to advise the Commander of the Navy in the general direction of the Brazilian Navy, in performing their duties in the High Command of the Armed Forces and National Defense Council and also in exercise of control and coordination of activities of the Board of Management Sector. Therefore, the GSN addresses several issues, including: control of maritime activities and environmental planning; execution and control of staff participation in the BN representations; coordination of affairs of the International Maritime Organization legislation, normative acts and organization; System Master Plan; the establishment of policy, doctrine, strategy, naval operations; intelligence, national defense and high-level planning of BN and so on. In this scenario, it becomes essential to take steps to increase security level logic of network operating systems that support all of this information. Because of the need for security and standardization of network operating systems and software, the BN, based on the Decree number 29 October 2003, which deals with the implementation of free software in the federal government, has standardized on Linux as its operating system network by Ordinance number 4 February 2010 GSN, instituting its Plan of Implementation of Free Software. Thus, due to the need to minimize and resolve the security problem, this paper proposes the implementation of guidelines for configuring the Linux network operating systems, allowing the improvement of security controls applied to the system. Finally, this work aims to fill the gap of standardization and configuration, establishing the use of best security practices in Linux NOS GSN, through documentary research with leading authors, standards and practices in accordance with ABNT NBR ISO/IEC 27002:2005.

19 16 1 Delimitação do Problema 1.1 Introdução Após meio século de uso intensivo de tecnologia, criou-se um mundo em que a TI está não apenas presente em toda parte, mas também difusa e complexamente interconectada dentro e fora das organizações. Vivemos uma revolução silenciosa, que atinge pequenas e grandes organizações, do setor público e privado: a revolução da informação. Nesse contexto, a informação tornou-se o principal ativo das organizações contemporâneas, cujos dados e informações aumentam de forma vertiginosa. Com isso, o número de ameaças existentes na Internet e dentro dos ambientes corporativos e institucionais cresce no mesmo ritmo. Nos dias de hoje, sabemos que o acesso instantâneo às informações é primordial para a execução dos processos organizacionais. São crescentes as ameaças e os ataques que as instituições sofrem de indivíduos com intenções ilícitas que procuram obter acesso para benefício próprio. Além da dificuldade de encontrar o equilíbrio correto entre controle de acesso e proteção das informações. Os administradores de redes de hoje precisam ser versáteis para controlar o acesso (segurança) e várias outras tarefas do dia a dia. Sendo assim, um sistema operacional atualizado ou não é a primeira linha de defesa para sistemas de computador (TERPSTRA, 2004). Diante desse cenário, a Marinha do Brasil estabeleceu, por meio da Portaria n 29, de 4 de fevereiro de 2010 do Estado-Maior da Armada, o Plano de Implantação de Software Livre da Marinha - PISL-MB(PORTARIA EMA N 29, 2010). Assim, o PISL-MB tem o propósito de aperfeiçoar o emprego de recursos de Tecnologia da Informação, aliando o aumento do nível de segurança da Rede de Comunicações integradas da Marinha e a redução da dependência tecnológica por

20 17 meio da implantação de soluções de TI baseados em Software Livre. Este Plano abrange as soluções de TI em Software Livre, de uso generalizado, voltadas para a execução de tarefas rotineiras nas Estações de Trabalho e nos servidores da MB. O Plano está organizado em subdivisões, sendo que uma delas prevê a adoção plena de servidores baseados no Sistema Operacional de Redes Linux em todas as Organizações Militares da MB. Assim como contexto deste trabalho, foi escolhido o Estado-Maior da Armada como o único Órgão de Direção Geral da Marinha do Brasil que possui uma estrutura extremamente sensível com informações trafegando vinte quatro horas por dia. Trata-se de uma organização militar da Marinha do Brasil responsável por assessorar o Comandante da Marinha na direção do Comando da Marinha e no desempenho de suas atribuições no Conselho Militar de Defesa e no Conselho de Defesa. Desta maneira, o departamento de informática do EMA é responsável por manter uma infraestrutura de tecnologia que suporta os processos críticos da instituição e que são essenciais ao pleno desempenho de sua missão, preservando as cinco principais propriedades de segurança do sistema: confidencialidade, disponibilidade, integridade, não repúdio, e autenticação. Este trabalho de pesquisa propõe a adoção de diretrizes para implementação de segurança em sistemas operacionais Linux no EMA, baseado na norma NBR ISO/IEC que apresenta um código de prática para a gestão da segurança da informação tendo como resultado uma perspectiva única e padronizada da segurança implementada no sistema, utilizando técnicas capazes de proporcionar maior segurança e estabilidade aos sistemas e maior tranquilidade ao administrador de redes. 1.2 Formulação da situação problema Em 2010, houve aumento de 56% nas notificações de ataques a servidores web em relação ao ano anterior, totalizando notificações (CERT.BR, 2010). Já, no quarto trimestre do ano, houve decréscimo de 4% em relação ao trimestre anterior e acréscimo de 74% em relação ao quarto trimestre de 2009 (CERT.BR, 2010).

21 18 A maioria dos ataques a servidores exploram vulnerabilidades em aplicações de rede e seus serviços. A partir desse vetor é possível hospedar páginas falsas para serem utilizadas em s de phishing, softwares maliciosos encapsulados em mensagens, possíveis ataques a outros servidores, base de envio de spam, scan de redes, ou ataque de negação de serviço. Com a tabela abaixo é possível verificar a estatística dos principais incidentes reportados no ano de 2010, tais como: propagação de códigos maliciosos, ataque de negação de serviço, ataque bem sucedido que resultou no acesso não autorizado a um computador ou rede, notificações de varreduras em redes de computadores, além de outras notificações de incidentes que não se enquadram nas categorias anteriores(cert.br, 2010). Mês Total Worm(%) Dos(%) Invasão(%) Web(%) Scan(%) Fraude(%) Outros(%) Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez Total Tabela 1: Estatística de Ataques Mensal e Trimestral em 2010 Fonte: CERT.BR, Esses servidores web, na maioria das vezes, necessitam de banco de dados para armazenar todas as informações das suas aplicações web envolvidas, sendo o sistema gerenciador de banco de dados o responsável por persistir toda essa diversidade de informações compiladas, que possivelmente contém dados confidenciais (detalhes pessoais, detalhes sobre clientes, informações estratégicas, etc.). Porém, esses dados necessitam ser armazenados com segurança e

22 19 protegidos contra divulgação não autorizada, violação ou uso mal intencionado (MYSQL, 2008). Os servidores Linux, responsáveis por suportar diversas aplicações, assim como todos os outros servidores e plataformas, estão cada vez mais sujeitos a atividades criminosas por ser a primeira linha de defesa de qualquer infraestrutura lógica computacional. Consequentemente, para aumentar o nível de segurança desses servidores é necessário iniciar um processo com uma série de etapas preliminares e decisivas de configurações (TERPSTRA, 2004). É necessária uma constante vigilância para garantir que o sistema esteja seguro, requerendo que sejam adotadas medidas preventivas antes mesmo de sofrerem os ataques à rede. Entretanto, para que proteção da informação seja eficaz no dia a dia da organização, os conceitos e os regulamentos de segurança precisam ser compreendidos e seguidos por todos os usuários (FONTES, 2006). Consequentemente, o usuário deve receber treinamento adequado sobre os mecanismos de segurança utilizados rotineiramente e sobre as principais recomendações de boas práticas de segurança, pois ele é o elo mais frágil da segurança da informação (SÊMOLA, 2003). Certamente, a maioria dos ataques é resultado das medidas ineficientes e inadequadas adotadas para proteger as redes e seus recursos. Além disso, certa deficiência na padronização das configurações de segurança dos servidores Linux e até mesmo a falta de capacitação e comprometimento dos administradores de redes, tornam-se uma influência negativa na segurança dos sistemas. Diante do exposto, como aumentar o nível de segurança lógica nos servidores operacionais de redes Linux no contexto do Estado-Maior da Armada? 1.3 Objetivos e escopo Objetivo Geral O objetivo geral deste trabalho é realizar uma pesquisa documental que permita elaborar diretrizes de segurança para a implementação de configurações

23 20 nos sistemas operacionais Linux do EMA, baseadas na norma NBR ISO/IEC 27002, possibilitando atingir um alto nível de segurança Objetivos Específicos A fim de atingir o objetivo geral deste trabalho, a pesquisa foi dividida em quatro etapas, que são: a) Fazer uma revisão bibliográfica dos principais autores especializados em sistemas operacionais Linux, com conceitos e suas principais práticas. b) Elencar os principais pontos da norma NBR ISO/IEC voltados para técnicas de Hardening pós-instalação de sistemas operacionais Linux. c) Proposição de elaboração de diretrizes com procedimentos de configuração de segurança com boas práticas a serem seguidas e implementadas. d) Base para a elaboração da política de segurança dos servidores Linux Escopo Este estudo, apesar de ter como foco o Estado-Maior da Armada, pode ser aplicado a qualquer organização da Administração Pública Federal ou privada que utilize o sistema operacional Linux. Nesse caso, no entanto, devem-se observar as características e os serviços do negócio para se implantar a estratégia mais adequada. Esse trabalho não resolve totalmente a segurança nos sistemas Linux, mas busca fornecer os requisitos necessários para desenvolver e implantar uma segurança sustentável, norteados pela norma NBR ISO/IEC A partir desse trabalho, a organização pode criar suas diretrizes específicas de configurações de acordo com cada cenário específico.

24 Justificativa A sociedade atual encontra-se cada vez mais dependente de aplicações e de sistemas que requerem conectividade permanente, e as organizações não estão fora disso. Atualmente, devido à popularização na utilização dos sistemas Linux para servidores, principalmente pelo governo federal, faz-se necessária a utilização de técnicas capazes de proporcionar maior segurança e estabilidade aos sistemas e, consequentemente, maior tranquilidade para os administradores de redes responsáveis por administrá-los. Logo, este trabalho visa a atender as necessidades dos administradores de sistemas Linux, implementando os controles recomendados e os requisitos da norma NBR ISO/IEC 27002, reunindo as melhores práticas de segurança da informação aceitas mundialmente. 1.5 Hipóteses Hipótese sobre configurações do Linux O sistema operacional Linux é um sistema gratuito e de fonte aberta para computadores utilizado de suporte pela maioria dos servidores web no mundo, sendo o Apache web Server o mais utilizado, conforme pesquisa realizada pela empresa NETCRAFT mostrada na figura abaixo. Figura 1: Web Servers mais utilizados no Mundo Fonte: (NETCRAFT,2009)

25 22 Assim, a maioria dos web servers Apache está rodando sobre sistemas operacionais Linux, necessitando de uma atenção especial a instalação e configuração desses sistemas operacionais com foco em segurança. Consequentemente, as aplicações web precisam armazenar suas informações em um banco de dados consistente e seguro, sendo seu gerenciamento feito através de sistemas gerenciadores de banco de dados que também são instalados sobre o sistema operacional Linux, possibilitando assim a persistência dos dados gerados. Logo, o conjunto formado por um banco de dados mais as aplicações que manipulam o mesmo é chamado de sistema de banco de dados. Sendo assim, há a necessidade tanto dos servidores web como dos sistemas gerenciadores de banco de dados estarem sob o gerenciamento e suporte de um sistema operacional Linux estável e confiável. Indubitavelmente, muitos administradores acabam configurando seus sistemas operacionais utilizando apenas as configurações básicas, deixando suas aplicações funcionando com configurações padrões. Com isso, vulnerabilidades podem ser exploradas no sistema, ocasionando um sério aumento nos riscos de segurança.

26 23 2 Metodologia O método de desenvolvimento deste trabalho será o estudo de caso. Utilizando uma abordagem qualitativa e bibliográfica, busca analisar as melhores práticas de segurança em servidores Linux norteadas pela norma NBR ISO/IEC e materializada na forma de diretrizes. Além disso, o estudo de caso é o preferido para eventos contemporâneos por sua capacidade de lidar com uma ampla variedade de evidências documentos, artefatos, entrevistas, observações etc. (YIN, 2010). Esta pesquisa caracteriza-se como uma pesquisa documental, que será organizada por capítulos. O Capítulo 1 é composto da introdução, objetivo geral, objetivos específicos, escopo do estudo de caso, justificativa para a realização da pesquisa seguido das hipóteses deste trabalho. No Capítulo 3, são apresentados os principais conceitos, técnicas e padrões de segurança em servidores Linux baseados em controles da norma NBR ISO/IEC sobre segurança da informação, hardening, segurança pós-instalação do sistema, log de eventos, backup, firewall e principais ferramentas de segurança open source. No Capítulo 4, são apresentados os dados coletados para análise da organização estudada, sobre a perspectiva de segurança e controles que se encontram implementados, apresentando os principais serviços utilizados pela organização e sua estrutura de TI. No capítulo 5, é efetuada a análise dos servidores Linux do Estado-Maior da Armada, sobre a ótica das diretrizes de segurança obtidas, apresentando os principais serviços. No sexto e último capítulo, conclui-se o trabalho de pesquisa, ressaltando os resultados alcançados com as inferências realizadas e elencando as possibilidades

27 24 de futuras pesquisas que possam elucidar pontos relevantes ou correlatos que ficaram fora do escopo desta pesquisa.

28 25 3 Revisão de Literatura e Fundamentos Este capítulo aborda conceitos de segurança da informação, hardening e suas principais técnicas e a norma NBR ISO/IEC 27002, servindo de base para segurança pós-instalação do sistema. Nas seções subsequentes, são descritos o log de eventos, a importância dos backups, barreiras de firewall, hardening de aplicação, incluindo as principais ferramentas de análise de vulnerabilidade open source e proprietária. 3.1 Segurança da Informação O advento da internet, no campo tecnológico, e da globalização, no campo socioeconômico, transformaram completamente o mundo em que vivemos. Novos paradigmas afetam diretamente as organizações, promovendo uma profunda reavaliação de suas prioridades. Diversos problemas são enfrentados pelas organizações em todo o mundo: terrorismo religioso, ideológico ou criminoso, altos índices de criminalidade nos países em desenvolvimento, explosão dos crimes eletrônicos, aprimoramento do direito internacional, crescimento inabalável de softwares maliciosos, pirataria em geral, espionagem industrial, guerra cibernética, fraudes financeiras e contábeis no meio empresarial etc. (RAMOS, 2006). Todos esses problemas impedem que as organizações atinjam seus objetivos, trazendo uma série de problemas de segurança. Existem diversos tipos de ativos que são divididos basicamente em três categorias: lógico, físico e humano. São elencados respectivamente dentre vários exemplos desses ativos como, por exemplo, dados armazenados em um servidor, estação de trabalho e empregados. Afinal, proteção é toda medida visando evitar que os ativos sejam submetidos a situações que possam trazer prejuízos. Da mesma maneira que os ativos, as proteções também podem ser classificadas de diversas formas: lógica, física e administrativa. Seus exemplos são respectivamente: permissão em sistema de arquivos, portas e políticas ou normas. Sendo assim, uma implementação de

29 26 segurança eficaz baseia-se na utilização de tipos diferentes de proteções, variando quanto à forma de atuação. Dessa forma, essas proteções complementam-se, sobrepõem-se e oferecem redundância entre si, caso alguma delas falhe, ou seja, violada (RAMOS, 2006). A Segurança da Informação é a proteção de vários tipos de ameaças para garantir a continuidade do negócio, minimizar os riscos, maximizar o retorno sobre os investimentos e as oportunidades de negócio (SÊMOLA, 2003). É obtida através de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Na segurança da informação, lidamos com um tipo específico de ativo que chamamos de ativo de informação, isto é, ativos que geram, processam, manipulam, transmitem e armazenam informações, além das informações em si. Logo, a tecnologia da informação envolve, basicamente, o uso de software e hardware para processar informações em sistemas de forma automatizada. As informações da organização incluem conversas telefônicas, relatórios impressos ou no formato digital. Isso mostra um campo de atuação bastante amplo. De forma simplificada, a segurança busca a proteção contra situações nas quais os prejuízos são devidos a danos causados aos ativos ou por situações prejudiciais inesperadas. Especificamente, no caso da segurança da informação devemos preservar três propriedades básicas: confidencialidade, integridade e disponibilidade. Quando falamos de confidencialidade, basicamente, falamos de sigilo. Preservar a confidencialidade significa garantir o acesso à informação apenas às pessoas que tem devem conhecer o seu conteúdo. A preservação da integridade envolve proteger as informações contra alterações em seu estado original. Essas alterações podem ser tanto intencionais quanto acidentais. Uma informação disponível é aquela que pode ser acessada por aqueles que dela necessitam, no momento em que precisam. Novamente, aqui podemos ter situações acidentais ou intencionais que comprometeriam este aspecto (RAMOS, 2006).

30 27 È necessário então garantir as propriedades básicas da informação, certamente incluindo outros componentes, que segundo Ramos (2006) são de extrema importância para aplicar os investimentos da organização de forma adequada: Valor - Propriedades mensuráveis dos ativos das organizações e seus valores. Ameaça - Causa potencial que possa comprometer com danos os ativos de organizações. Vulnerabilidade - Possível falha ou brecha que pode ser explorada por uma ameaça, causando danos a organização. Impacto - Declínio dos objetivos da organização em realizar sua missão. Risco - É a probabilidade de uma ameaça se concretizar causando danos de acordo com o nível de importância do ativo para a organização. A proteção fornecida pela segurança é necessária por uma razão muito simples: evitar e minimizar prejuízos. Os problemas de segurança ocorrem em diversos níveis e afetam diferentes pontos da organização. Alguns problemas, por serem mais visíveis, costumam ser muito priorizados. As medidas preventivas contra furtos de computadores são um ótimo exemplo. Outros problemas, como um vírus que contamina e tira do ar algumas estações de trabalho, são vistos como incidentes pontuais que geram uma perda de produtividade sem maior relevância (RAMOS, 2006). Hoje, o grande problema é o fato de os incidentes terem aumentado muito, tanto em quantidade como na gravidade de suas consequências. As organizações não só têm enfrentado mais problemas de segurança como também têm tido que lidar com situações que causam muitos prejuízos. Esses problemas afetam, em última instância, os objetivos estratégicos e operacionais da organização e não

31 28 devem ser vistos como casos pontuais com efeitos pulverizados e imperceptíveis que ocorrem em apenas alguns departamentos ou sistemas. Sendo assim, da mesma forma que não existem fechaduras intransponíveis também não existem sistemas de segurança totalmente confiáveis. O problema maior é o fato de que muitos dos padrões e tecnologias largamente utilizados hoje tiveram pouca ou nenhuma preocupação com segurança, o que agrava em muito a situação. Desta forma, devemos nos preparar para lidar com um cenário de constante transposição de controles e de muitas falhas que surgem diariamente, demandando que o profissional se mantenha atualizado e preparado para lidar com novos problemas a todo o momento (RAMOS, 2006). 3.2 A Norma ABNT NBR ISO/IEC A Norma ABNT NBR ISO/IEC 17799, que, a partir do ano de 2008 foi renomeada para 27002, estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta norma proveem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação. A implementação dos objetivos de controle e os controles da norma têm como finalidade atender aos requisitos identificados por meio da análise/avaliação de riscos. Esta norma pode servir como um guia prático para o desenvolvimento de procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades inter organizacionais. Segundo Sêmola (2003), uma norma tem o propósito de definir regras, padrões e instrumentos de controle que deem uniformidade a um processo, produto ou serviço. Os administradores do sistema operacional Linux muitas vezes implementam a segurança do servidor de forma independente, básica ou otimizada, nem sempre padronizada e de acordo com a política de segurança da organização, ou com as

32 29 melhores práticas recomendadas. Sendo assim, como a norma visa a atender de uma forma mais abrangente a todos os sistemas e processos das organizações, verificou-se a possibilidade de aplicar os controles e requisitos da norma NBR ISO/IEC ao sistema operacional Linux, auxiliando seus administradores no processo de auditoria e verificação de segurança nesses sistemas. 3.3 Hardening Hardening são procedimentos de segurança ou técnicas para ajustes personalizados em um sistema voltados exclusivamente para aumento da segurança (MELO, 2006). Ou seja, são processos de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas aplicados à infraestrutura física e lógica dos servidores com o objetivo principal de torná-los preparados para enfrentar tentativas de ataque. Hardening é o processo de configurar o servidor de maneira segura tornando-o mais protegido contra ataques internos ou externos, suportados por diversas ferramentas e técnicas de segurança (RAMOS, 2008). Frisch (2002) enfatiza que o processo de hardening possui três fases: planejamento, configuração e manutenção. Hardening de sistema operacional são técnicas ou orientações para tornar o sistema mais seguro diminuindo o potencial de ataque ao sistema. É composto das fases de: planejamento, configuração e manutenção (FRISCH, 2002). Estes procedimentos têm como principal objetivo aumentar a segurança do sistema. Quando as técnicas de hardening são aplicadas, existem três fatores que devem ser considerados: segurança, risco e flexibilidade, assim equilibrando-os para melhor manter a continuidade do negócio com segurança (MELO, 2006). Partindo sempre da premissa de que não existem sistemas 100% seguros, porém quanto maior a segurança, menor será o risco e flexibilidade, e, quanto maior a flexibilidade, maior o risco e menor a segurança (MELO, 2006).

33 30 Figura 2: Pirâmide da Segurança Fonte: livro - BS7799 da tática à prática em servidores Linux (MELO, 2006) Turnbull (2005) enfatiza que a segurança do sistema depende de uma ampla variedade de elementos de configurações, tanto do sistema operacional, quanto das aplicações. Pela falta de conscientização e experiência, muitos servidores são instalados com as configurações básicas sem nenhuma padronização. Contudo, é importante ressaltar que nem todas as técnicas aqui apresentadas podem ser adequadas para todas as situações. 3.4 Técnicas de Hardening Basicamente, as principais Técnicas de Hardening utilizadas são: Hardening de Sistemas e Hardening de Serviços (aplicação). No Hardening de Sistemas as configurações já são personalizadas durante a própria instalação do sistema. O Hardening de Sistemas baseia-se, tipicamente, na implementação de medidas que permitam levantar restrições de acesso. As principais configurações efetuadas são: Segurança no sistema de arquivos;

34 31 Segurança no Boot do Sistema Arquivos com Suid Bit ativos; Segurança no Terminal; Gerenciamento de Privilégios; Procura por senhas fracas; Check-list nos Serviços do Sistema; Manutenção do Sistema Operacional Atualizado; Configuração de serviços e aplicativos removendo ajustes padrões; Ajustes do kernel do sistema; Sincronismo do relógio do sistema; No Hardening de Serviços (aplicações), o foco é direcionado para os serviços e conexões que estão rodando no sistema. O Hardening de Serviços baseia-se na configuração dos serviços ativos do sistema. Segue as principais configurações efetuadas: Proibir o login como superusuário; Alterar a porta padrão de serviços, como exemplo, o SSH de 22 para outra qualquer; Usar restrições de login: inatividade, PAM etc; Liberar acesso apenas para usuários específicos; Aplicar verificação DNS; Permitir login apenas de certos hosts; Bloquear as demais conexões; Auditar toda e qualquer atividade do serviço. Alterar configuração padrão como, por exemplo, banners. Manter atualizado a aplicação.

35 Hardening de sistema Para a implementação de segurança da informação é importante a definição de quais controles serão utilizados entre os vários existentes na norma considerada. A ABNT NBR ISO/IEC faz várias recomendações aos responsáveis que implementarão ou manterão a segurança da organização e seus sistemas. As recomendações deverão ser selecionadas de acordo com sua necessidade e aplicabilidade. Portanto, de acordo com os controles da norma NBR ISO/IEC serão elencados as diretrizes de segurança correspondentes para serem implementadas no sistema. Segundo os autores Terpstra (2004), Melo (2006), Turnbull (2005), Mobily (2004) e Horton (2004) são destacadas as seguintes técnicas de hardening: Software instalado O software oferece funcionalidade e capacidade de realizar tarefas específicas, mas também pode ser usado para atacar uma máquina por meio de uma vulnerabilidade ou de configuração inapropriada. Quanto menos softwares em execução no sistema operacional, menos vulnerabilidades em potencial para explorar o sistema. Com isso, o uso e a instalação dos softwares de aplicação devem ser restritos e estritamente controlados (ABNT, 2005). De acordo com essa premissa básica, Terpstra (2004) salienta quatro etapas necessárias para resolver essas vulnerabilidades: i. Identificação dos softwares necessários. ii. iii. iv. Determinação das dependências de software. Remoção ou restrição dos softwares desnecessários. Instalação de software com segurança. v. Teste e monitoramento do sistema.

36 Controle de Acesso O controle de acesso de rede impede que usuários não autorizados acessem o sistema indevidamente. O controle de acesso possui grande importância não só contra possíveis invasões como também para limitar o acesso de usuários autorizados a acessar seus próprios dados e, também, para manter seus dados protegidos. No entanto, a introdução de controle de acessos pode produzir severas limitações de produtividade nas organizações que precisam inovar. Por outro lado, o controle de acesso contribui para garantir a eficácia e eficiência de organizações cujas atividades fim são a segurança e o controle (FERNANDES, 2010). Desta forma, a NBR ISO/IEC recomenda que o acesso à informação e às funções dos sistemas de aplicação por usuário e pelo pessoal de suporte deve ser restrito, de acordo como definido na política de controle de acesso. O sistema de acesso aos arquivos no Linux é baseado em controle de acesso discricionário (Discretionary Access Controls DACs). Nesse tipo de ambiente, os proprietários dos recursos e os administradores controlam conjuntamente o acesso aos recursos. Esse modelo permite uma maior flexibilidade reduzindo drasticamente o sobrecarregamento administrativo dos recursos aos usuários. O próprio usuário pode estabelecer o privilégio de acesso a um determinado arquivo de que ele mesmo seja dono. O modelo DAC é mais simples de implementação e é por padrão utilizado no Linux. Nesse tipo de controle de acesso somente existem dois tipos de usuários: administradores e não-administradores. Por exemplo, caso necessite algum programa elevar o nível para ser executado, o usuário não-administrador não conseguirá executá-lo e será preciso conceder acesso administrativo para o usuário. O modelo DAC permite mudar permissões ou inserir atributos aos arquivos e diretórios (MELO, 2006). No Linux, os arquivos e diretórios detêm uma série de permissões que indicam o usuário e o grupo a que pertencem e para cada um destes pode-se ler, escrever e executar. Os modos básicos de todos os arquivos e diretórios são leitura, gravação e execução, mas existem outros três tipos de atributos que afetam o modo

37 34 como um arquivo é executado: SUID (Set User ID), SGID (Set Group ID) e modo sticky bit (de aderência), chamados modos de permissões especiais. Esses atributos funcionam de maneira distinta, conforme tabela abaixo. Permissões especiais de arquivo Atributo (modo) SUID (4) SGID (2) Sticky (1) Efeito quando aplicado a um arquivo O arquivo é executado em um processo cujo privilégio corresponde à UID (user identifier) do usuário proprietário do arquivo e não ao privilégio do usuário que executou o arquivo. É usado para permitir que um usuário execute um único programa sob um conjunto de privilégios diferentes. Em geral, um arquivo será SUID root (o que indica que ele é executado com privilégios de root independente da UID do usuário) para fornecer um recurso de nível do root a um usuário não-root. Dessa forma, os usuários não precisam ter uma senha de root nem fazer logon na conta root para poderem executar uma tarefa simples. É sempre melhor limitar o número de pessoas que têm acesso à senha do root de um sistema. O arquivo é executado em um processo cujo privilégio corresponde à GID(group identifier) do grupo proprietário do arquivo e não ao privilégio do usuário que executou o arquivo. Nenhum. Permissões especiais de diretório SUID (4) SGID (2) Sticky (1) Nenhum. Quando um arquivo é criado no diretório SGID, o grupo proprietário é definido como o grupo proprietário do diretório SGID, e não a GID do usuário que criou o arquivo. Esse procedimento pode ser adotado para garantir que todos os usuários em um grupo específico possam acessar, modificar e apagar arquivos em um diretório. Os cenários comuns são ambientes de desenvolvimento, repositórios de documentos compartilhados ou compartilhamentos de arquivos. Observe se um usuário pode afetar arquivos de qualquer outro usuário. Quando esse bit é usado, deposita-se uma maior confiança nos usuários designados a um grupo. Quando um arquivo é criado no diretório sticky, somente o usuário proprietário do arquivo ou o root pode apagá-lo ou renomeá-lo. Isso substitui as permissões implícitas do diretório. Por exemplo, se um diretório puder ser lido e gravado por outros, então, todos os usuários poderiam criar, apagar e modificar arquivos criados por qualquer outro usuário. Isso impede que outros usuários com permissões para um arquivo excluam. Esse modo é mais comumente observado no diretório /tmp. Tabela 2: Modos de permissões especiais Fonte: TERPSTRA, A norma ABNT NBR ISO/IEC menciona a necessidade de se proteger a integridade do software e da informação e ter um controle contra códigos maliciosos. Sendo assim, Melo (2006) descreve que o sistema de arquivo deve ser particionado e a execução de arquivos e a permissão especial de SUID deve ser desabilitada, de acordo com a necessidade do cenário proposto. Dessa forma, será impossibilitada a execução de qualquer binário ou arquivo executável dentro da partição na qual essa opção está ativada, além de não permitir a execução do arquivo com o direito de root (superusuário). No momento da instalação do sistema, é necessário definir quais diretórios e partições possuirão o direito de execução de

38 35 usuário (SUID), grupo dono (SGID) e sticky bit, no sistema de arquivos de acordo com a política de segurança. Geralmente, os diretórios ou partições /home, /usr, /boot são habilitados sem suid e sgid, o /tmp (diretório temporário) sem sticky bit e o / sem nenhum direito especial, fazendo com que nenhum usuário tenha direitos de administrador nessas partições. Além disso, é necessário restringir a execução de arquivos em certos diretórios e partições, evitando assim a execução de códigos maliciosos, limitando apenas o usuário root com esse privilégio. A tabela abaixo exemplifica como essas opções podem ser aplicadas aos diretórios montados em partições diferentes, após a instalação do sistema. Ponto de Montagem nosuid noexec / - - /boot x - /usr x - /tmp x x /var x x /home x x Tabela 3: Exemplo de permissões no sistema de arquivos Fonte: Mello, 2006 # vi /etc/fstab /dev/hda1 /boot ext3 defaults,nosuid,no 0 2 /dev/hda3 / ext3 defaults 0 1 /dev/hda4 /home ext3 defaults,nosuid, noexec 0 2 /dev/hda5 /usr ext3 defaults,nosuid 0 2 /dev/hda6 /tmp ext3 defaults,nosuid,noexec 0 2 /dev/hda7 /var ext3 defaults,nosuid,noexec 0 2 /dev/hda2 none swap sw 0 2 Tabela 4: Exemplo de permissões no /etc/fstab Fonte: Mello, 2006 Pode-se também utilizar o recurso de quota de discos, que é outra forma de controlar a utilização dos sistemas de arquivos entre todos os usuários. Assim, impediremos que um único usuário com poder de escrita em seu diretório pessoal exceda os limites físicos de espaço em um sistema de arquivos e comprometa a

39 36 utilização dos outros usuários. Esse procedimento irá preservar e manter em níveis aceitáveis o tamanho dos dados do backup tornando-o condizente com a infraestrutura suportada, obtendo assim um melhor gerenciamento e controle sobre o mesmo. Esse procedimento é configurado no mesmo arquivo que controla as partições do sistema, conforme exemplo mostrado, bastando alterar os atributos da partição para usrquota e grpquota Segurança do terminal local e remoto O acesso ao sistema Linux para inserção de comando, por meio de linhas de comando, pode ser, basicamente, por terminais de duas vias: local ou conexão remota. Por meio dessas entradas, podemos controlar todo o acesso remoto ou físico ao sistema, bastando, por exemplo, possuir uma sessão com privilégios de root do sistema. O usuário que possui todos os privilégios administrativos dentro do sistema Linux pode manipular todos os recursos do sistema operacional. Indubitavelmente, devemos restringir o acesso ao sistema a fim de evitar acessos não autorizados e de não fornecer informações desnecessárias (ABNT, 2005). Por isso, alguns controles para gerenciar esses acessos serão descrito abaixo. Melo (2006) recomenda que para o acesso local aos servidores estejam desabilitadas as teclas CTRL+ALT+DEL para impedir a reinicialização do sistema, evitando assim a baixa total. É também recomendável a desabilitação de todos os terminais, deixando um número mínimo carregado, limitando também o tempo mínimo de inatividade dos mesmos. É também necessário até mesmo inserir senha criptografada para o gerenciador de boot, evitando assim um acesso mal intencionado e com privilégios de superusuário (ABNT, 2005). As ferramentas padrão para o acesso remoto a máquinas Linux permitem estabelecer uma sessão de conexão remota exatamente como se o usuário estivesse presente localmente. Diversos serviços de conexão que podem ser utilizados no Linux para obter a comunicação entre máquinas de uma rede, como por exemplo: telnet, rsh, rcp, rlogin, openssh, tftp, ftp, rcp etc. Entretanto, o uso de

40 37 serviços como o telnet expõe a sessão de comunicação à ameaças que comprometem a segurança da conexão, por oferecer um protocolo não seguro e sem qualquer tipo de criptografia. O serviço mais comumente utilizado para comunicação é o openssh, que utiliza o protocolo SSH (secure shell). Este protocolo visa a realizar a comunicação entre dois hosts distantes através de uma autenticação segura, utilizando algoritmos de chave simétrica. Atualmente, existem duas versões desse protocolo: o SSH1 que se encontra ultrapassado e o SSH2 que é a versão atualmente utilizada. É fundamental que o servidor e os clientes estejam sempre com suas versões atualizadas e que algumas precauções sejam tomadas, tais como: Por permitir uma conexão mais segura devido a sua própria arquitetura, recomenda-se sempre a utilização de serviços de conexões com protocolo SSH sempre. Bloqueio de qualquer conexão direta utilizando o usuário root. Com isso será evitado qualquer ataque remoto por meio da força bruta (SIQUEIRA, 2009) Gerenciamento de privilégios e autenticação Na definição da política de controle de acesso, é necessário definir quais os usuários serão criados no sistema e quais serão seus direitos de acesso. É muito importante que cada um possua restrições para que não comprometa dados sensíveis, seja ele pertencente ao próprio sistema ou ao próprio usuário. A norma NBR ISO/IEC define que a concessão e o uso de privilégios devem ser restritos e controlados e que haja restrições nos horários de conexão, visando proporcionar segurança adicional para as aplicações de alto risco. Por isso, Melo (2006) recomenda a adoção de procedimentos para evitar que o usuário root tenha acesso direto ao sistema. Deve-se sempre utilizar contas de usuários comuns para acessar o sistema e só depois realizar, por meio do comando su (switch user) ou

41 38 sudo, a troca para o usuário administrador (root). Pode-se também bloquear todos os terminais locais para o login do usuário root, reforçando ainda mais a segurança. Com relação à conta de usuários, deve-se estabelecer a data de expiração da conta dos usuários. Isso garante que se o usuário não utilizar a conta por determinado tempo, ela será desativada no tempo especificado, garantindo que essa conta não será usada por terceiros com más intenções. Desabilite a shell dos usuários que não vão executar oficialmente o login no sistema, seja por meio de terminal local ou via protocolo SSH, adotando políticas para que qualquer usuário, como padrão, seja criado com uma shell inválida. Outro recurso de segurança do Linux é o Módulo de autenticação Plugáveis PAM. O PAM é um mecanismo de autenticação originário do sistema operacional Solaris, que é utilizado em vários sistemas, inclusive no Linux. Sua implementação permite que o administrador do sistema escolha a forma como os usuários deverão autenticar-se nos vários serviços (TERPSTRA, 2004). Ou seja, é um conjunto de bibliotecas compartilhadas que permitem ao administrador do sistema local definir como as aplicações autenticam os usuários, sem a necessidade de modificar e recompilar programas (SIQUEIRA, 2009). Ele permite ativar recursos de autenticação por serviço de alta segurança, senhas de sombra e funções mais seguras de hashing, como também alterar mecanismos em função de alterações dos requisitos do sistema. Um exemplo prático é o programa de login de sistema. É possível utilizar os módulos do PAM para várias outras funcionalidades tais como: limitar o número de usuários que podem logar no sistema, definir somente alguns grupos que podem fazer su no sistema, exigir senhas mais seguras, limitar usuários logados consecutivos etc. Essa flexibilidade na segurança traz como desvantagem maior complexidade, que é compensada pelas vantagens proporcionais (TERPSTRA, 2004). Quanto à validação do nível de segurança de senhas de usuários, é possível utilizar softwares como o John, the Riper. É uma ferramenta que emprega a técnica de força bruta ( bruteforce ) na qual se tenta descobrir as senhas do arquivo

42 39 /etc/shadow utilizando uma wordlist padrão (lista com senhas a serem tentadas) que pode ser incrementada. Esse programa identifica as senhas fracas de usuários do tipo , garantindo assim que os usuários sigam as boas práticas de segurança da informação na seleção e uso de senhas (ABNT, 2005). Portanto, a partir das práticas descritas, ter-se-á melhor gerenciamento e melhor controle para o gerenciamento de privilégios de usuários e o consequente aumento do nível de segurança do sistema Política de utilização de serviços de redes e serviços ativos Certamente, as redes de computadores facilitam o compartilhamento de muitos serviços e dados. Porém, essas conexões embora impliquem praticidade também acarretam vulnerabilidades de segurança. Com isso, deve-se limitar o uso de certos serviços e habilitar somente aqueles que serão realmente necessários. A própria norma NBR ISO/IEC recomenda que os usuários somente recebam acesso para os serviços a que tenham sido especificamente autorizados a usar e que sejam utilizados métodos apropriados de autenticações para controlar o acesso de usuários remotos. Recomenda-se que todos os serviços ativos nos sistemas estejam limitados somente ao usuário ou aos usuários que irão realmente utilizá-los (SIQUEIRA, 2009). Um exemplo disso é o serviço ftp (file transference protocol), cujo uso pode ser limitado a determinadas estações de trabalho (hosts). Os serviços ativos devem ser monitorados constantemente. A partir de um check-list pode-se obter um melhor controle do sistema e dos serviços que serão executados e saber o que eles fazem e por meio de qual porta se comunicam. Esse procedimento certamente identificará questões de segurança, tal como uma tentativa de execução de um código malicioso ativo no sistema, utilizando alguma porta qualquer para executar uma ação indevida ou, ainda, o roubo de informações.

43 Log de Eventos O monitoramento de sistemas e sua respectiva segurança são relevantes ao cotidiano de um profissional de TI. A necessidade de registrar as atividades dos usuários e dos serviços do sistema por meio de logs é, sem dúvida, fundamental para os administradores de rede (MELO, 2006). Os logs ajudam a descobrir, por exemplo, o motivo pelo qual determinada aplicação não funciona, indicando inclusive a linha em que se encontra o erro no arquivo de configuração. Auxiliam também na descoberta de acessos indevidos, tentativas de intrusão e problemas de hardware. Devido à importância da norma NBR ISO/IEC 27002, recomenda-se que os sistemas sejam monitorados e os eventos de segurança da informação sejam registrados, ou seja, que haja um aumento da probabilidade de detecção de atividades não autorizadas ou de um possível ataque ao sistema de processamento das informações, utilizando logs de eventos do sistema. Basicamente, os logs de eventos são úteis na solução de problemas do sistema e na compreensão dos fenômenos que ocorrem. Servem como um aviso antecipado dos eventos e da segurança do sistema, facilitando a ação pró-ativa e preventiva. Podem ser indispensáveis na reconstrução de eventos, na descoberta de uma ocorrência de invasão e, por exemplo, na execução de uma investigação judicial de acompanhamento ou na verificação da normalidade da atividade do sistema (TERPSTRA, 2004). Assim, Melo (2006) recomenda que é prioridade adotar uma política de segurança na qual os registros atendam aos seguintes requisitos: a. Identificação dos usuários; b. Datas e horários de entrada (login, logout); c. Identificação do terminal, nome da máquina ou IP; d. Registro das tentativas de acesso aos aceitos e rejeitados;

44 41 e. Registro das tentativas de acesso a outros recursos e dados aceitos e rejeitados; f. Alteração de arquivos; g. Uso de privilégios, aplicativos e utilitários do sistema. Do ponto de vista profissional, os arquivos de log permitem identificar se algo está errado pela familiaridade com a rotina da organização. Do ponto de vista da segurança, é fundamental saber distinguir, na rotina normal, a um possível ataque ao servidor ou à rede. Não é uma simples questão de reunir logs, mas de definir perfis de anormalidades, que exigem processamento e proteção. Portanto, as informações e os arquivos de registros (logs) devem ser protegidos contra falsificação e acesso não autorizado, utilizando controles de acesso a esses dados mediante o uso credenciais e senhas estabelecidas de acordo com a necessidade de conhecer (ABNT, 2005). É importante fazer as configurações corretas para obter a quantidade necessária de registros, classificando os registros em vários níveis de acordo com os serviços, para obter uma visualização melhor dos dados. É fundamental projetar e implementar uma política de logs que permita a documentação dos procedimentos para a criação de rotinas de registros. Sem as informações de log, é improvável detectar a ação de hackers invadindo repetidamente o sistema. Recomenda-se implementar um sistema centralizado de armazenamento de logs, localizado em servidor próprio e separado, pois, no caso de um ataque bem sucedido, não será possível eliminar as evidências. Outra razão para o armazenamento centralizado de arquivos de logs é a facilidade de administração que ele oferece. Como a varredura pode indicar atividades suspeitas em sistemas localizados em pontos distintos, seria uma tarefa onerosa examinar os logs de cada sistema. Portanto, para uma política eficiente de segurança de arquivos de log, algumas recomendações básicas para o melhor gerenciamento e a otimização de logs é seguida (TERPSTRA, 2004):

45 42 Requisitos para logging centralizado e seu gerenciamento: Os logs centralizados são mais fáceis de usar e evitam que dados importantes sejam perdidos por acidente ou excluídos ou alterados de propósito. Provisões para backup de arquivos de log: Os arquivos de log são dados organizacionais cruciais que precisam de backup e arquivamento. Se os trabalhos de backup forem grandes a ponto de necessitar a definição de grupos, estabeleça um grupo específico que abranja os arquivos de log do sistema operacional e dos aplicativos. Proteção dos arquivos de log: Os arquivos de log do sistema operacional devem ser de acesso restrito, visto que algumas vezes podem incluir senhas e outras informações confidenciais. Período de conservação dos arquivos de log: Arquivar arquivos de log eternamente não é uma solução viável. Um arquivo de log compactado ocupa muito menos espaço do que um não compactado; não é necessário descompactar o armazenamento off-line Firewall Firewall são mecanismos que controlam o acesso indevido baseado em certas regras de controle. Pode-se defini-lo como uma coleção de componentes ou mesmo um sistema colocado entre duas redes de comunicação, disposto na forma de software ou hardware e, também, na combinação de ambos denominados appliance. Geralmente, o firewall no Linux, funciona como um programa integrado ao núcleo do sistema (kernel) que tem como objetivo proteger a máquina contra acessos indesejados e contra o tráfego indesejado, protegendo serviços que estejam rodando na máquina e filtrando a passagem dos dados. Ele verifica e filtra todas as conexões vindas de uma rede externa para a rede interna e vice-versa através de um único ponto de acesso seguro, classificado em filtro de pacotes e de aplicação com as seguintes características básicas (VACCA, 2009):

46 43 Bloquear o tráfego indesejado; Tornar o tráfego de entrada mais confiável para os computadores internos; Isolar computadores nas redes internas que podem eventualmente possuir vulnerabilidades; Registrar o tráfego de entrada e saída; Controlar a Banda; Priorizar os pacotes. Sistemas de firewall são importantes, porém, se usados isoladamente não tem como garantir totalmente a segurança de uma rede de computadores. Além do uso desses dispositivos são necessárias uma administração e uma postura pró-ativa (TERPSTRA, 2004). Porém, sua importância é tão notória que a norma NBR ISO/IEC recomenda que a capacidade de os usuários conectarem-se à rede seja restrita, alinhada com a política de controle de acesso e, também, especificada um controle de roteamento na rede, de forma a assegurar que as conexões de computador e fluxos de informação não violem a política de controle de acesso das aplicações do negócio. A norma também recomenda a implementação de proteção dos serviços disponibilizados contra acessos não autorizados, ou seja, um trabalho para um sistema de filtragem de pacotes: firewall. No Linux, o filtro de pacotes nativo do núcleo do sistema (kernel) é o Netfilter (iptables). Funciona por meio de regras que podem ser estabelecidas na inicialização do sistema operacional, durante o qual todos os pacotes passam pelo kernel para serem analisados. As cadeias ( chains ) são as situações possíveis dentro do kernel, ou seja, é o local onde as regras do firewall são definidas pelo usuário, são por padrão, fixadas para rejeitar todos os pacotes, conforme exemplo da figura abaixo.

47 44 Figura 2: Política do firewall Quando um pacote entra no firewall, o kernel verifica o destino dele e decide qual chain manipulará esse pacote. Isso é chamado de roteamento interno. Os tipos de chain irão depender da tabela que está sendo utilizada (FERREIRA, 2008). O iptables é um sistema de firewall para pacotes. O seu funcionamento baseia-se no endereço/porta de origem/destino do pacote e no nível de prioridade, entre outros requisitos. Compara, por meio de regras, se um pacote possui ou não permissão para passar. Em sistema firewalls mais restritivos, o pacote é bloqueado e registrado para que o administrador do sistema tenha conhecimento sobre o que está acontecendo no sistema. Por ser um sistema bem complexo, o iptables possui inúmeras funcionalidades específicas, tais como (TERPSTRA, 2004): IP Masquerading; Roteamento de distribuição de carga; Uso de clusters de servidores e serviços de redes; e Implementação de servidores virtuais. Um sistema de firewall iptables trabalha com informações de estado (conhece o contexto de cada conexão entre suas interfaces). O iptables é um firewall com estados, ou seja, um firewall statefull. O modo de filtragem 'Stateless', mais simples de implementar, trata cada pacote roteado pelo firewall como pacotes individuais. Da perspectiva de filtros stateless de pacotes, todo pacote que chega é um novo pacote sem relacionamento com qualquer pacote que veio antes ou depois. Num firewall statefull muitos recursos avançados são providos, incluindo a limitação de banda para vários tipos de conexões que pode ser extremamente útil para prevenção de

48 45 ataques de negação de serviço. O iptables também permite filtrar interfaces de entrada e saída, rastrear e filtrar conexões baseadas no seu estado (NEW, ESTABLISHED, RELATED ou INVALID) e filtrar o usuário ou processo iniciando uma conexão. O recurso do iptables do kernel do Linux pode controlar o estado de conexão e permitir o seu uso para estabelecer condições para aceitação ou rejeição de um pacote de entrada. O uso mais comum desse recurso é aceitar somente as conexões de entrada para as quais conexões de saída foram estabelecidas. Por exemplo, os pacotes de entrada que tentarem estabelecer uma conexão TCP/IP serão rejeitados. Ao projetar firewalls, é importante tentar prever e enumerar os possíveis tipos de ataques, ou seja, a política padrão em todas as interfaces de rede deve ser a de descartar o tráfego de rede e, dessa maneira, impedir o acesso à interface de rede interna (TERPSTRA, 2004). Protocolo Interfaces internas Interfaces externas HTTP Sim Sim HTTPS Sim Sim SMTP Sim Sim POP/IMAP Sim Sim DNS Sim Sim (somente pesquisa) DHCP Sim Não NBNS Sim Não NBSS Sim Não FTP Sim Sim(somente leitura) Proxy Sim Não Print(515,631) Sim Não Portas de alta ordem (> 1024) Sim Sim(somente para conexões existentes Tabela 5: Diretrizes da política de acesso à interface de firewall Fonte: TERPSTRA, 2004

49 46 É possível criar regras que permitam especificamente passar todo o tráfego da rede pelo sistema Linux. Um exemplo de diretriz sobre o que é permitido no firewall é apresentado na Tabela 5. Todo servidor da rede deve ser avaliado sob uma perspectiva de risco e exposição. Se um servidor armazenar somente dados não confidenciais, não necessita do esforço e do overhead de permitir um alto nível de segurança. Entretanto, todo servidor que armazena e/ou processa dados confidenciais precisa estar bem protegido (TERPSTRA, 2004). É importante ressaltar que qualquer serviço em execução no sistema pode ser atacado. Um invasor pode tentar inundar o sistema com solicitações de serviço de rede legítimas, negando efetivamente o serviço de usuários legítimos (DoS Denial of Service). Pode ainda tentar explorar uma fraqueza de segurança conhecida ou uma brecha de segurança em um serviço ou usar inadequadamente credenciais legítimas para fins não autorizados. Frente ao exposto, é necessário adotar uma série de mecanismos para tornar o sistema seguro de forma a ter um controle maior e uma filtragem de dados mais eficiente. Um aspecto relevante é o uso de regras de firewall que só permitam solicitações da rede a serviços que realmente estejam sendo fornecidos no sistema. Não se deve permitir que serviços não operacionais e que não estejam sendo monitorados rotineiramente acessem o sistema, como, por exemplo: telnet, ftp, vnc (Virtual Network Computing) etc. Via de regra, o administrador de rede deve negar todo o tráfego e, posteriormente, por meio de uma relação dos serviços utilizados, aplicar regras para liberar o seu acesso. Para aumentar ainda mais a segurança, utilizam-se mecanismos de auditoria para a verificação de tentativas de intrusão e varreduras qualificadas. Porém, essas regras de controle precisam ser executadas rotineiramente pelos administradores de redes e sistemas para obter a validação dos controles de segurança aplicados.

50 Cópias de Segurança Sistemas computacionais e seus respectivos servidores tem pouca utilidade quando não cumprem sua funcionalidade, seja pela falha de funcionamento ou por alguma configuração incorreta. Certamente, é comum o emprego de sistemas redundantes e servidores sobressalentes para restabelecer o nível de operação normal no caso de falhas. Contudo, a única solução para o caso de indisponibilidade da informação é, em última instância, a restauração total dos dados a partir do backup. As cópias de segurança (backups) são elementos chaves para a manutenção da integridade e da disponibilidade da informação e dos recursos de processamento da informação (GONDIM, 2011). São responsáveis por salvaguardar dados de sistemas operacionais, banco de dados, arquivos de usuários e de qualquer informação relevante para a organização que não pode ser perdida ou corrompida. A norma NBR ISO/IEC é clara ao recomendar que se mantenha a integridade e disponibilidade da informação e dos recursos de processamento da informação. Além disso, as cópias de segurança das informações e dos softwares devem ser executadas e testadas regularmente, conforme a política de geração de cópias de segurança definida. Em especial, é necessário um conjunto completo de procedimentos de restauração e de testes meticulosos para garantir a segurança dos dados (TERPSTRA, 2004). Devem-se estabelecer procedimentos de rotina para implementar a geração de cópias de segurança dos dados, possibilitar a recuperação em tempo aceitável, criar políticas de backup, obtendo assim um maior controle das informações e garantindo a integridade e disponibilidade dos dados. Uma parte importante da política de backup é o armazenamento apropriado das mídias que são utilizadas nesse processo. Deve-se escolher mídias de qualidade e atentar para os valores de MTBF(mean time between failure tempo

51 48 médio entre falhas) de cada fornecedor e de todas as informações de ciclos de vida fornecidos. Além de preservar os dados, é necessário destruí-los cuidadosamente, quando não forem mais necessários, incluindo na política de segurança procedimentos e registros para a correta destruição das mídias e o descarte dos dados, incluindo termos de destruição, por exemplo. Para proteger corretamente os backups, as cópias devem ser armazenadas em lugares distintos e distantes do original. Deve-se certificar que o lugar seja seguro como, por exemplo, um cofre. Com isso, haverá mais uma opção de redundância no centro de dados, por exemplo, em caso de um incêndio. Portanto, todas essas tarefas devem ser compiladas e documentadas em uma política de segurança que crie rotinas e estabeleça a capacitação e o treinamento como metas a serem seguidas, tornando a execução do trabalho mais eficiente e confiável. 3.5 Hardening de aplicação Basicamente, o hardening de aplicação é o fortalecimento dos serviços prestados pela aplicação que fornece sua funcionalidade ao sistema operacional, para mitigar suas vulnerabilidades. No que diz respeito a vulnerabilidades, a norma NBR ISO/IEC recomenda que seja obtida informação em tempo hábil sobre vulnerabilidades técnicas dos sistemas de informação em uso, ou seja, os serviços utilizados pelo sistema operacional. Este capítulo irá descrever as principais diretrizes de segurança para ajustar as configurações dos serviços mais comuns utilizados pelas organizações: Web Server Apache e o Banco de Dados Mysql.

52 Web Server Comparada às aplicações locais, as aplicações web são atualmente as mais vulneráveis devido aos diversos componentes envolvidos em seu contexto do navegador de internet, ao servidor web e a estrutura de retaguarda. Assim, as vulnerabilidades estão presentes em qualquer lugar, mas o servidor está sempre no centro desses ambientes. Por essa razão, serão descritas abaixo algumas diretrizes de segurança para serem implementadas no web Server apache (RISTIC, 2009): Restrição do acesso por IP, no caso, de uma intranet. Ocultar a versão e outra informação dedicada nas páginas de erros (banner). Utilizar possíveis filtros de firewall. Utilizar o Apache somente com a sua conta e grupo de acesso. Habilitar o sistema de criptografia SSL das aplicações web. Manter atualizada sempre a versão do Apache. Desabilitar qualquer módulo desnecessário. Desativar as opções para explorar diretórios. Desativar a execução de CGI. Desativar os includes do lado servidor. Desativar a ajuda para os arquivos.htaccess. Diminuir o valor máximo de tempo de espera. Limitar o tamanho máximo de petições. Para controlar o número de acessos e conexões ao site, é necessário restringir o acesso por IP e permitir que somente os endereços privados da sua rede acessem as aplicações web. Ocultar a versão do banner de apresentação é uma opção para não expor a versão do Apache, evitando que essa informação seja disseminada com os famosos erros 404. Para manter a versão do servidor apache sempre atualizada e estável, é necessário definir e ativar somente o necessário, como módulos específicos e conexões CGI (common gateway interface), pois o

53 50 Apache vem, por padrão, instalado com uma série de módulos que consomem recursos desnecessários. Para aumentar ainda mais a segurança no servidor web Apache, utilizam-se filtros de pacotes (firewall) com conexões criptografadas do tipo SSL, gerando um tráfego de informações mais seguro. Pode-se ainda obter um maior controle dessas configurações, utilizando apenas uma senha e um grupo para executar tarefas específicas no servidor. É possível mitigar a indisponibilidade do serviço web com a diminuição do tamanho máximo de espera (downloads) e a limitação do número máximo de petições ao servidor. Para evitar a navegação pelos diretórios, a leitura e a cópia de arquivos, é necessário desabilitar o recurso de exploração dos diretórios pelo caminho do site, desativar os includes no servidor e desativar a leitura ou download dos arquivos.htaccess, caso estejam habilitados. Com esse conjunto de medidas, o nível de segurança do servidor web irá aumentar significativamente, proporcionando maior disponibilidade Banco de Dados MySQL Os sistemas de Banco de Dados são os responsáveis por persistir toda e qualquer informação das aplicações e dos dados de controle inseridos pelos clientes das organizações, como por exemplo, registro de todos os funcionários dados secretos, dados de créditos financeiros, etc. Eles utilizam os sistemas gerenciadores de banco de dados (SGBD) para incorporar funções de definição, recuperação e alteração, abstraindo todos os dados da aplicação para a base de dados, ou seja, desempenhando um papel de interface de controle de dados (HEUSER, 2001). Por isso, é necessário um controle efetivo de integridade e do sigilo das informações que são armazenadas pelo SGBD no banco de dados, evitando assim o uso desses

54 51 ativos de forma má intencionada possibilitando qualquer acesso privilegiado sem autorização aos registros de banco de dados. O MySQL implementa a sua segurança por meio de Listas de controles de acesso(access Control List, ACL), para qualquer conexão, consulta e outras operações que um usuário possa tentar utilizar. Ele implementa um sistema de privilégios e senhas flexível, seguro e que permite a verificação baseada em estações/máquinas, além de que todo o tráfico de autenticação de senhas é criptografado ao conecta ao servidor (MYSQL, 2008). As ACL s estão associadas a tabelas instaladas junto com o MySQL, onde estão as informação de controle de acesso, direitos e privilégios de cada usuário do sistema e seu banco de dados correspondente. O manual de referência do MySQL (2008) propõe evitar os principais erros mais comuns de segurança, principalmente para aqueles computadores que estão diretamente conectados a internet. Ele recomenda que sejam implementadas configurações imediatas sempre que possível ao instalar o SGBD. Essas diretrizes também poderão ser aplicadas para a maioria das aplicações de banco de dados disponíveis no mercado, como: Nunca fornecer a nenhum usuário acesso a tabela user, somente ao usuário root; Não conceder mais privilégios do que o necessário. Não concede privilégios para todas as máquinas. Implementar senha para o usuário root imediatamente durante a instalação da aplicação. utilizar alguma função de criptografia de via única, com SHA1 ou MD5, para a senhas; Não escolher senhas que contenham palavras existentes em dicionários; Utilizar um firewall

55 52 Permitir acesso a porta de conexão do MySQL somente a hosts confiáveis; Tratar os dados inseridos pelos usuários das aplicações, evitando comandos que comprometam a integridade das informações persistidas na base de dados; Manter criados somente aqueles usuários do sistema que realmente serão utilizados; e Utilize acesso remoto somente se necessário. Certamente, que cada cenário de configuração de banco de dados irá influenciar na aplicação dos conceitos de segurança, podendo ser usados outros conceitos não enumerados neste capítulo. Com isso, apesar das diretrizes de segurança serem especificamente para o SGBD MySQL, a maioria das recomendações de segurança pode ser aplicada a qualquer sistema gerenciador de banco de dados. Enfim, podem-se elencar nesta seção as diretrizes básicas de segurança de que um sistema de banco de dados necessita para obter um nível mínimo de segurança, salvaguardando as informações geradas pelas aplicações que utilizam o sistema gerenciador de banco de dados.

56 Ferramentas de Segurança Quanto mais crítica for a atividade de uma organização, maior deverá ser a sua preocupação com segurança. Em mercados altamente competitivos ou ligados à esfera pública, qualquer vazamento de informação ou interrupção de serviços causados por problemas na infraestrutura de TI pode não apenas ocasionar prejuízos financeiros, mas afetar profundamente algo que é fundamental para qualquer organização: a informação. Para preservar esse ativo, a preocupação com a segurança dos sistemas deve ser algo constante. Logo, é necessário apresentarse com uma postura de segurança pró-ativa, como por exemplo, quando uma máquina é invadida ou está vulnerável acionando imediatamente os procedimentos de segurança recomendados (TERPSTRA, 2004). Por consequência, o risco ao ativo software exige que o administrador busque sempre se antecipar a possíveis problemas de incidentes de segurança. Porém, essa não é uma tarefa simples, pois demanda expertise, experiência e bom ferramental (MELLO, 2006). Portanto, mais do que processos de trabalho bem definidos, profissionais conscientes e capacitados, a segurança da informação requer ferramentas específicas para a implementação das regras contidas nas políticas de segurança. Por isso, para proteger a informação a norma NBR ISO/IEC dá ênfase à necessidade de teste e análise de vulnerabilidade nos sistemas, controle contra códigos malicioso, controles para o gerenciamento de tentativas de acesso à rede e controles de redes em geral. Para isso, existem diversas ferramentas de segurança que podem auxiliar um administrador de redes/sistemas a seguir os controles da norma NBR ISO/IEC para fortalecimento da segurança. Assim, a tabela 6 descreve as principais características e funcionalidades de ferramentas de análise de vulnerabilidade que podem ser utilizadas como um reforço para o aumento da segurança.

57 54 Característica / Ferramenta Nessus Nikto Retina W3af OpenVas Acunetix Livre Não Sim Não Sim Livre Não Cliente/Servidor Sim Não Não Não Sim Não Capacidade na detecção de problemas Boa Boa Boa Boa Boa Boa Velocidade na Verificação Boa Boa Regular Boa Boa Boa Qualidade de Relatórios Boa Razoável Boa Boa Boa Boa Requisitos de Hardware Desprezível Desprezível Desprezível Desprezível Desprezível Desprezível Boa documentação Sim Sim Sim Sim Sim Sim Código-Fonte Disponível Não Sim Não Sim Sim Não Facilidade na Customização Aberta Aberta Fechada Aberta Aberta Fechada Atualização de Plug-ins Livre Livre Pago Livre Livre Pago Boa Interface com Usuário Sim Não Sim Sim Sim Sim Scanner de vulnerabilidade web Sim Sim Sim Sim Não Sim Varredura de sistema operacional Sim Não Sim Não Sim Sim Roda em Plataforma Linux Sim Sim Não Sim Sim Não Roda em Plataforma Microsoft Windows Sim Sim Sim Sim Sim Sim Tabela 6: Principais ferramentas de análise de vulnerabilidades Fonte: INSEGURE.ORG, 2011 Em verdade, os responsáveis pela da segurança da informação tem atualmente, à disposição, um arsenal de ferramentas sem igual para garantir a segurança dos ativos de uma corporação. As soluções para segurança experimentam uma fase de intensa inovação tecnológica e de crescente sofisticação motivadas, principalmente, pelo aumento constante das atividades maliciosas. Neste cenário mundial atual, coexistem diversas empresas, oferecendo diversas soluções, e que tratam apenas de uma parte do problema.

58 55 Portanto, em complemento ao hardening de servidores Linux, recomenda-se aplicar ferramentas de segurança, como as exemplificadas, servindo de suplemento para o fortalecimento da segurança dos servidores Linux.

59 56 4 Resultados Este capítulo tem como propósito descrever a norma de tecnologia da informação da Marinha, a estrutura básica dos recursos computacionais e os principais serviços no Estado-Maior da Armada, utilizando como método de coleta de dados a análise de documentos e a observação participante (YIN, 2010). 4.1 Norma de Tecnologia da Informação da Marinha - DGMM-0540 A norma de Tecnologia de Informação da Marinha do Brasil é regida pela publicação DGMM-0540 (2010) e está organizada em três grandes áreas: infraestrutura redes e serviços da Rede de Comunicações Integradas da Marinha (RECIM), segurança da informação digital e sistemas de informação propriamente ditos. Assim, a norma foi dividida em oito partes de acordo com os assuntos afetos às referidas áreas. Algumas partes da norma ainda não foram finalizadas, mas, neste estudo, será dado um enfoque na parte III Segurança da Informação Digital que descreve os conceitos, as normas, as políticas, as atividades operacionais e de gerenciamento e as atribuições organizacionais e funcionais relativas à segurança da informação digital, visando a resguardar os requisitos de confiabilidade, integridade, autenticidade e disponibilidade das informações de interesse da MB Atribuições dos Órgãos de TI A estrutura organizacional da Marinha na área de TI esta organizada da seguinte forma:

60 57 Órgão Conselho de Tecnologia da Informação da Marinha(COTIM) Atribuição Destinado a assessorar o Comandante da Marinha no trato dos assuntos relacionados à Governança de TI na MB Comissão Técnica de Tecnologia da Informação da Marinha(COTEC-TI) Destinado a assessorar tecnicamente o COTIM nos assuntos relativos à Governança da TI na MB DGMM Diretoria Geral do Material na Marinha DCTIM Diretoria de Comunicações e Tecnologia da Informação da Marinha Desenvolvimento de sistemas (CASNAV, IPqM, CTMSP, IEAPM. CTIM Centro de Tecnologia da informação da Marinha Supervisionará a execução, pelo órgão executor (DCTIM), das deliberações do COTIM Direção Especializada em Tecnologia da Informação Desenvolvimento de sistemas Execução Operacional Órgão de Manutenção de Sistemas a) 1 escalão - OM utilizadora do sistema digital b) 2 e 3 escalão OM desenvolvedora do sistema digital, órgão com atribuição de manutenção digital e CASOP Centro de Apoio a sistemas operativos c) 4 escalão Órgão extra Marinha ou de desenvolvimento da Marinha Manutenção de sistemas digitais CLTI Centro Local de Tecnologia da Informação da Marinha Apoio de TI das Organizações Militares(OM) Todas as OM da MB que utilizam serviços de TI Execução de TI local das organizações Militares Tabela 7: Estrutura Organizacional de TI da Marinha Fonte: DGMM Intranet/Internet A Rede de comunicações da Marinha é o conjunto de elementos computacionais, organizados em rede, que compõem a infraestrutura responsável pelo tráfego de informações no âmbito da MB. Abrange a rede de telefonia (RETELMA) e utiliza o conceito de Intranet para prover aos seus usuários o acesso a recursos e serviços de TI na Marinha. Adicionalmente, a rede de comunicações integradas da Marinha possui dispositivos de conexões e barreiras de segurança que permitem sua interligação segura à Internet e a outras redes de interesse da Marinha, viabilizando o acesso controlado de seus usuários internos aos serviços de TI disponibilizados nas redes externas, bem como a oferta igualmente controlada de serviços de TI a usuários externos à rede de comunicações integradas da Marinha. Pode ser vista como uma infraestrutura para uma rede de grande área, de caráter corporativo, composta pela interligação das redes metropolitanas Distritais que, por

61 58 sua vez, são compostas de diversas redes locais das OM concentradas em determinada área geográfica, conforme figura abaixo (DGMM-0540, 2010). Figura 3: Diagrama Simplificado da Estrutura da RECIM Fonte: DGMM-0550 A RECIM está estruturada em três áreas de atuação: i. Área restrita à organizações militares (OM), ii. Área dos Distritos Navais ou Complexos Navais e iii. Interligação em redes metropolitanas. A primeira área de atuação restringe-se, basicamente, a uma organização militar. Cada OM pode ter ao menos uma rede de dados local que, em conjunto com ramais telefônicos ou centrais telefônicas ligadas a uma CETELMA (central telefônica da Marinha), são interligadas à rede de comunicações integradas da Marinha. Em prol da eficiência operacional da organização militar é designado um responsável pela administração técnica da rede, ou seja, o administrador de rede

62 59 local. Igualmente, é indicado um Oficial de Segurança das Informações Digitais, de forma a garantir o correto cumprimento dos procedimentos de segurança atinentes às atividades de TI da organização militar. Ou seja, ambos trabalham em conjunto nos setores de TI das OM. A segunda área de atuação refere-se aos Distritos ou Complexos Navais (exemplo: complexo Naval de Mocanguê). Cada um desses elementos constitui uma rede integrada pelas redes locais das organizações militares situadas em sua área de responsabilidade, compondo, desse modo, uma rede metropolitana, sendo de responsabilidade administrativa e técnica a cargo dos respectivos CLTI (Centro local de Tecnologia da Informação), como ilustrado na figura abaixo. Figura 4: Diagrama simplificado da estrutura da RECIM 7 Distrito Naval Fonte: Site CLTI 7 DN

63 60 A terceira área de atuação abrange a integração de todas as redes metropolitanas, formando uma rede de grande área corporativa. Ela possibilita a integração de todas as sub-redes da Marinha. Competem ao Centro de Tecnologia da Informação da Marinha - CTIM, as responsabilidades técnicas e administrativas de gerenciamento e suporte para a rede de grande área. Cabe especificamente à Diretoria de Comunicações e Tecnologia da Informação da Marinha - DCTIM a supervisão técnica do CTIM, o gerenciamento de nível doutrinário e estratégico, bem como as responsabilidades administrativas e técnicas pelos projetos e contratos que impliquem alteração na WAN. A consolidação da RECIM, no seu segmento de comunicação de dados, juntamente com a experiência adquirida com a Internet, permitiram a introdução do conceito de Intranet na Marinha do Brasil. O padrão de conexão lógica de rede adotado na Intranet baseia-se no protocolo TCP/IP (transference control protocol / internet protocol) e nos diversos protocolos e aplicativos de redes que se utilizam da plataforma TCP/IP. A Intranet da Marinha está disponível para todas as OM cujas redes locais estejam interligadas à rede de comunicações integradas da Marinha (DGMM-0540, 2010). Outro aspecto importante é a padronização de aplicativos e sistemas para a intranet e a internet da MB. Com isso, ficou instituído o servidor HTTP Apache Server, disponibilizado pela Apache Software Foundation, a ser adotado como padrão pelas organizações militares para exibição de suas páginas de intranet e internet nos servidores. A publicação DGMM-0540 impõe limitações e regras de segurança que devem ser cumpridas por todas as organizações militares. Indubitavelmente, a MB tem acesso, virtualmente, a diversas informações contidas em redes de computadores em todo o mundo. Portanto, de acordo com a norma, é necessário implantar medidas de segurança a fim de controlar o acesso proveniente de ambientes externos à rede de comunicações integradas da Marinha e aqueles originados a partir dela. Essas medidas implicam, por exemplo, a seleção,

64 61 parcimoniosa e criteriosa do pessoal com direito à utilização da intranet e ao uso de dispositivos e de procedimentos operacionais de segurança, para proteção da RECIM e para a detecção de potenciais ameaças externas. Entretanto, essas medidas não dispensam cuidados por parte das organizações militares em especial a concessão criteriosa de direitos de acesso dos usuários da rede local. Entre essas medidas, o centro de tecnologia da informação instala diversos mecanismos de segurança (proxy, firewall e analisadores de conteúdo) a fim de controlar, nos dois sentidos, os acessos aos diversos nós de conexão com a Internet. Graças a esses mecanismos, obtém-se maior controle do tráfego das informações de entrada e saída, garantindo um nível de segurança elevado. Contudo, devem ser observados os procedimentos de segurança previstos na parte III da norma de Tecnologia da Informação da Marinha ou em qualquer orientação da Diretoria ou do Centro de Tecnologia da Informação da Marinha.

65 Segurança das Informações Digitais No cenário da Marinha do Brasil, as redes estão cada vez mais interconectadas, abrangendo inclusive os meios navais e as organizações militares no Brasil e exterior. Com isto, a informação fica exposta a um número crescente e a uma variedade de ameaças externas de vulnerabilidades inerentes aos sistemas, protocolos de rede, configurações e compartilhamento dos canais de transmissão e recepção de dados, voz e vídeo. Certamente, a informação é o "alimento" que fortalece as bases das instituições, como um dos principais ativos, sendo fundamentais para desempenhar seus objetivos e missão. Com a expansão da internet e dos mercados internos e externos, por exemplo, ficou ainda mais nítida a necessidade de proteger esses ativos das constantes ameaças que se desenvolvem a cada dia. A segurança da informação digital é, portanto, um conjunto de medidas que visam a garantir os requisitos de sigilo, autenticidade, integridade e disponibilidade em face dos riscos e em função do valor do ativo, das ameaças e das vulnerabilidades dos ambientes que armazenam, processa e transporta a informação. A Segurança da Informação Digital é obtida a partir da manutenção constante de um conjunto de normas e procedimentos adequados, incluindo políticas, processos, estruturas organizacionais, configurações de software, hardware, protocolos de redes e proteção dos enlaces de dados, voz e vídeo. Além disso, é fundamental uma permanente construção de uma mentalidade de segurança da informação em todos os integrantes da Marinha do Brasil, desde os altos escalões até as escolas de formação. Igualmente, controles precisam ser estabelecidos, implementados, monitorados, analisados e aperfeiçoados para garantir que os propósitos da Segurança da Informação Digital (SID) sejam atendidos. É imprescindível que essas tarefas sejam feitas em conjunto com outros processos de gestão da MB.

66 63 Portanto, o propósito da parte III da norma de Tecnologia da Informação da Marinha é estabelecer procedimentos e instruções a fim de reger as atividades relacionadas à Segurança das Informações Digitais da Marinha (SID), complementando as instruções contidas em outras publicações correlatas em uso, devendo ser de conhecimento de todo o pessoal e servir como base para a elaboração da política de segurança da informação nas organizações militares (DGMM-0540, 2010). A estrutura administrativa da Marinha referente à segurança da informação e comunicações está de acordo com a Instrução Normativa 01, de 13 de junho de 2008, tendo em vista que as doutrinas e normas estabelecidas na Marinha seguem as recomendações do Gabinete de Segurança Institucional da Presidência da República (GSI-PR, 2008), conforme mostra a Figura 5. Com isso, evidencia-se a atenção que a Marinha dedica ao assunto, ao manter-se atualizada em relação às principais práticas de segurança das informações e comunicações do Governo Federal. Figura 5: Gestão de Segurança da Informação e Comunicações na MB Fonte: DGMM-0540, 2010

67 64 Com a evolução tecnológica e a utilização dos sistemas de informações digitais, é necessário que a Marinha possua instrumentos que contemplem as diretrizes voltadas a auxiliar as organizações militares no planejamento, definição e implementação de mecanismos de segurança (normas, procedimentos, padrões, equipamentos, dispositivos e controles) no trato da informação digital, orientando as atividades que visam à garantia da autenticidade, da integridade, da disponibilidade e do sigilo das informações armazenadas e trafegadas por meio magnético, eletrônico ou digital, complementando as medidas previstas em outras normas vigentes na Marinha (DGMM-0540, 2010). Além desses instrumentos mencionados, a norma DGMM-0540 (2010) conceitua segurança das informações digitais a ações de proteção dos sistemas de informação digital contra a negação de serviços a usuários autorizados, assim como a contra interceptação, a intrusão e a modificação desautorizada de dados armazenados, em processamento ou em trânsito em meio elétrico ou digital. Ainda, a Segurança da informação (SID) digital deve prevenir, detectar e documentar eventuais ameaças e ataques. A SID é um dos desdobramentos da segurança da informação e da segurança orgânica, tendo em vista que o conhecimento de interesse da Marinha ou do País que se busca proteger está vinculado não só à informática, mas aos recursos humanos, à documentação, ao material, às comunicações e às áreas físicas relacionadas à sua produção, manuseio, trâmite e arquivamento (DGMM-0540, 2010). Portanto, a norma de Tecnologia da informação da Marinha elenca as principais responsabilidades e atribuições que devem ser seguidas pelas organizações militares e seus responsáveis: Compete ao oficial de segurança da informação digital (OSID) da organização militar estabelecer procedimentos para o gerenciamento da infraestrutura da SID de acordo com as normas em vigor, realizando as seguintes tarefas:

68 65 a) Identificar os recursos de informática que necessitam de proteção, de acordo com o respectivo grau de sigilo da informação por eles processada ou armazenada. Este procedimento de identificação deve estar explícito na instrução de segurança da informação digital (ISID), ou seja, política de segurança da informação da OM; b) Supervisionar a elaboração e a manutenção do Histórico da Rede Local (HRL); c) Supervisionar a elaboração e a manutenção do Plano de Contingência (PLCONT); e d) Supervisionar a atualização dos sistemas operacionais da OM e ferramentas de segurança homologadas pela DCTIM. Portanto, o Oficial de Segurança da Informação Digital é o responsável pela segurança da informação da organização em que está lotado, reportando sempre qualquer anomalia ou incidente ao Titular da organização. Compete ao administrador de rede local (ADMIN) gerenciar a rede da organização de forma a mantê-la operando dentro dos seus requisitos operacionais e com todos os seus serviços em funcionamento. São desempenhadas pelo ADMIN as seguintes funções: a) Não permitir a divulgação de características da rede local a pessoas externas à OM sem a autorização prévia e formal do OSID. Informações sobre as características da rede local e de seus componentes são consideradas sigilosas. É imperioso dar-lhes o devido tratamento, observando-se o grau de sigilo atribuído pelo oficial de segurança da informação digital - OSID; b) Elaborar, controlar e manter o Histórico da Rede Local (HRL); c) Assessorar o OSID na avaliação dos incidentes de segurança;

69 66 d) Criar, apagar ou alterar perfis ou privilégios de usuários ou grupos de usuários, documentando estas atividades; e) Controlar e gerenciar os acessos aos sistemas; f) Estabelecer um rígido controle dos acessos aos serviços disponibilizados na rede local e das suas respectivas autorizações; g) Manter um cadastro atualizado de todos os usuários que utilizam os sistemas da rede local e os que não têm autorização para tal; h) Realizar manutenções periódicas das contas e dos direitos dos usuários, observando eventuais inatividades das contas, a incidência de algum usuário em grupos diferentes e as tentativas de acessos não autorizados; i) Efetuar e garantir as atualizações dos sistemas existentes no ambiente computacional e rede local; j) Estabelecer procedimentos para garantir que as cópias de segurança ( backups ) estejam sendo feitas e guardadas de forma correta e segura; k) Elaborar procedimentos para o acesso ao sistema computacional da OM; l) Analisar o impacto da descontinuidade dos serviços e suas consequências para o ambiente computacional da OM, estabelecendo um Plano de Contingência; m) Garantir que os serviços (instalações, manutenções ou correções) realizados na rede local sejam feitos sem afetar a segurança dos sistemas de informações digitais; n) Monitorar a rede local no intuito de coibir tráfegos anômalos, acessos à Internet por modem, conexões 3G, 4G, WiMAX, WiFi e outras redes sem fio não autorizadas pela DCTIM; e o) Atualizar os sistemas operacionais da OM e ferramentas de segurança homologadas pela DCTIM.

70 67 Portanto, o administrador da rede local trabalha em conjunto, auxiliando o oficial de segurança da informação no desempenho da função de responsável pela segurança da informação da organização militar. A publicação DGMM-0540 enfatiza a responsabilidade dos administradores pela segurança lógica dos equipamentos servidores. Sendo assim, as vulnerabilidades lógicas normalmente encontradas nos equipamentos servidores são inerentes aos protocolos utilizados e à configuração implementada. Essas vulnerabilidades são consequência da falta de atualização dos programas ou da não instalação das correções disponibilizadas pelos fabricantes ou distribuidores dos sistemas operacionais e dos aplicativos em uso. Para mitigar essas vulnerabilidades, é fundamental a instalação das versões atualizadas dos programas existentes nos servidores, bem como de todas as correções disponibilizadas pelos respectivos fabricantes. Todos os serviços não necessários devem ser desabilitados, observando o princípio do privilégio mínimo, desinstalando-se todos os programas e aplicativos desnecessários e fechando-se todas as portas lógicas que não estiverem efetivamente em uso. A norma de segurança da informação digital também enfatiza que os documentos que contenham informações sensíveis a respeito da organização militar devem ser classificados como sigilosos. Basicamente, cada OM no seu setor de TI tem que possuir os seguintes documentos relativos a SID: ISID (instrução de segurança das informações digitais), Planos de Contingência (PLCONT), Histórico da Rede Local (HRL) e Relatórios de Auditoria (RAD). A instrução de segurança da informação digital de uma organização militar constitui um documento para gerenciamento de segurança da informação digital e é voltada às ações de planejamento. Seu objetivo é definir procedimentos que garantam os requisitos básicos de SIDRL (SID em redes locais). A instrução de segurança da informação digital deve ser simples, objetiva, de fácil compreensão e aplicação e deve possuir grau de sigilo ostensivo, para que todos os usuários da

71 68 rede local tenham acesso e pleno conhecimento das ações de planejamento e procedimentos nela contidos. Para sua elaboração, as seguintes regras básicas devem ser seguidas: 1) A ISID deve ser formalizada internamente por cada OM em uma Ordem Interna (norma da organização); 2) Todo o pessoal da OM, usuários ou não de recursos ou serviços disponibilizados pela rede local, devem conhecer a ISID; e 3) As regras estabelecidas na ISID aplicam-se, indistintamente, a todo o pessoal na OM. A elaboração e a revisão periódica da instrução de segurança da informação digital são responsabilidades do oficial de segurança da informação da OM. Ela deverá ser voltada ao pleno gerenciamento da segurança da informação digital e considerar a operação segura da rede local como um fator crítico ao pleno funcionamento da OM. Resumindo, a instrução de segurança da informação digital é a política de segurança da informação aprovada pela alta administração. O plano de contingência, formalizado em um documento com grau de sigilo no mínimo confidencial, separado da instrução de segurança da informação digital, tem por objetivo salvaguardar a continuidade operacional da rede local da organização e a plena recuperação das informações digitais em caso de qualquer interferência (causada por acidente, desastre ou ataque), garantindo, assim, os requisitos básicos de segurança da informação digital. O restabelecimento operacional da rede local deve ser obtido em um tempo compatível com a missão da OM. Os planos de contingência devem: a) Ser elaborados e revistos pelo administrador da rede local;

72 69 b) Ser organizados de forma objetiva, possibilitando que todos os usuários credenciados tenham pleno conhecimento das ações e dos procedimentos nele contidos; c) Ter periodicidade de revisão estabelecida pelo oficial de segurança da informação digital e formalizada na instrução de segurança da informação digital, não podendo ser superior a um ano; d) Ser ativados pelo administrador de rede sempre que algum fato anormal impeça ou impacte a atividade de algum recurso computacional crítico ou uma sucessão de eventos coloque em risco processos ou informações digitais integradas pela rede local da OM; e e) Ser ativados periodicamente pelo administrador de rede, a título de adestramento, em intervalos não superiores a um ano. A meta final das ações contidas nos planos de contingências será sempre o restabelecimento dos recursos computacionais críticos (RCC) e das informações digitais, possibilitando a continuidade operacional da rede local da OM e garantindo a preservação dos requisitos básicos de segurança da informação digital. O Histórico da Rede Local (HRL) tem por objetivo manter um memorial descritivo e o registro de todas as atividades e transações normais e de rotina que podem afetar de alguma forma a SID, ou seja, está voltado às ações de histórico, análise de incidentes, prevenção e correção. A elaboração, o controle e a manutenção deste histórico são de responsabilidade do administrador da rede local, sob supervisão do oficial de segurança da informação digital, devendo possuir grau de sigilo, no mínimo, confidencial e ser composto de três partes: a) PARTE I: Descrição da Rede; Esta parte deve apresentar o estado atualizado da rede local e seu respectivo ambiente. b) PARTE II: Atividades de Rotina;

73 70 Estas atividades correspondem aos eventos rotineiros de segurança da rede, explícitos e declarados na Política de Segurança da Informação (ISID). c) PARTE III: Incidentes. Esta parte tem como objetivo registrar qualquer incidente que afete a SID. O RAD é um documento Confidencial que tem por objetivo formalizar os resultados apurados por alguma auditoria de segurança e indicar possíveis soluções aos problemas levantados na rede local em relação aos aspectos de SID. Sendo assim, essas são as características e funcionalidades dos documentos que compõem a segurança da informação digital nas organizações da Marinha do Brasil.

74 Cenário de TI do EMA O Departamento de Informática é o responsável por dirigir todos os serviços de informática do EMA, visando a manter com segurança e qualidade, a operação, a manutenção e a continuidade dos serviços de informática, possuindo um papel importante para o cumprimento da missão do EMA. Atualmente, possui cerca de 300 estações de trabalho distribuídas pela organização, com alguns servidores suportando uma gama de informações e dados armazenados nesses recursos computacionais. Basicamente, os serviços disponibilizados são: WEB, Banco de dados, servidor de arquivos e servidor de aplicação. A documentação de Segurança da informação digital do EMA encontra-se dividida conforme a tabela 4. Documento Responsável Revisão Grau de sigilo ISID OSID Inferior a 2 anos Ostensivo Plano de contingência OSID Inferior a 2 anos Confidencial Histórico da Rede Local(HRL) ADMIN Constantemente Confidencial Tabela 8: Relação de Documentos de SID do EMA Qualquer configuração dos servidores, atualizações ou outras alterações são registradas pelo administrador no histórico da rede local. Enquanto, a política de segurança da informação (ISID) do EMA, é elaborada e revisada pelo oficial de segurança da informação digital, aprovado pelo titular da organização militar. O PLCONT é a documentação elaborada também pelo oficial de segurança da informação digital e que deverá ser acionado em situações de emergência quando afetarem os recursos computacionais críticos da organização. Todos esses documentos são revisados pelo OSID e o ADMIN em conjunto com o pessoal do departamento de informática, sendo que o HRL com maior frequência.

75 72 Figura 6: Plano Diretor de Tecnologia da Informação do EMA Fonte: PDTI, 2011 O Departamento de informática também elabora anualmente o seu plano diretor de tecnologia da informação (PDTI) do EMA, com o propósito de otimizar a aquisição e a utilização de hardware e software e especificar os serviços e projetos necessários ao emprego e aperfeiçoamento da TI no âmbito do EMA, conforme Figura 7. Assim, das diversas atividades em andamento, o sistema operacional Linux para todos servidores encontra-se em processo de migração, de acordo com o padrão estabelecido pela Marinha. Em fase de implementação encontra-se todo o parque computacional de servidores já migrados para o novo sistema. Com isso, há

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

2.1. Nível A (Desempenho Verificado)

2.1. Nível A (Desempenho Verificado) Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 5: Avaliação de Padrões de Segurança de Computadores

Leia mais

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br Introdução a Segurança de Redes Segurança da Informação Filipe Raulino filipe.raulino@ifrn.edu.br Objetivos Entender a necessidade de segurança da informação no contexto atual de redes de computadores;

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e

PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e regulamentares, e tendo em vista o que consta do Processo

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma 6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma empresa. Diferente do senso comum o planejamento não se limita

Leia mais

Exercícios da Parte II: Segurança da Informação Walter Cunha PSI

Exercícios da Parte II: Segurança da Informação Walter Cunha PSI Exercícios da Parte II: Segurança da Informação Walter Cunha PSI 1. (CESGRANRIO/Analista BNDES 2008) NÃO é uma boa prática de uma política de segurança: (a). difundir o cuidado com a segurança. (b). definir

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19).

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). PORTARIA Nº 483, DE 20 DE SETEMBRO DE 2001. Aprova as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). O COMANDANTE DO EXÉRCITO, no uso da competência que lhe é conferida

Leia mais

E-learning: O novo paradigma da educação e suas questões de segurança

E-learning: O novo paradigma da educação e suas questões de segurança E-Learning MBA Gestão de Sistemas de Informação Segurança na Informação Professor: Ly Freitas Grupo: Ferdinan Lima Francisco Carlos Rodrigues Henrique Andrade Aragão Rael Frauzino Pereira Renata Macêdo

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

Autores: Regina Mainente Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015

Autores: Regina Mainente  Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015 Autores: Regina Mainente Superintendente Ricardo Pereira da Silva Controlador Interno Ano de 2015 Índice 1. Apresentação... 03 2. Introdução... 04 3. Para que serve a Segurança da Informação... 05 4. Pilares

Leia mais

Hardening de Servidores

Hardening de Servidores Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

GLADIADOR INTERNET CONTROLADA v.1.2.3.9

GLADIADOR INTERNET CONTROLADA v.1.2.3.9 GLADIADOR INTERNET CONTROLADA v.1.2.3.9 Pela grande necessidade de controlar a internet de diversos clientes, a NSC Soluções em Informática desenvolveu um novo produto capaz de gerenciar todos os recursos

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ:

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: Dados da Empresa Dados da SYSTEMBRAS SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: 00.000.000/0001-00 Rua Paramoti, 04 Vila Antonieta SP Cep: 03475-030 Contato: (11) 3569-2224 A Empresa A SYSTEMBRAS tem como

Leia mais

File Transport Protocolo - FTP. Fausto Levandoski, Marcos Vinicius Cassel, Tiago Castro de Oliveira

File Transport Protocolo - FTP. Fausto Levandoski, Marcos Vinicius Cassel, Tiago Castro de Oliveira File Transport Protocolo - FTP Fausto Levandoski, Marcos Vinicius Cassel, Tiago Castro de Oliveira Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos,

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Marta Vuelma Alfasys Tecnologia. Hardening Linux Servers

Marta Vuelma Alfasys Tecnologia. Hardening Linux Servers Marta Vuelma Alfasys Tecnologia Hardening Linux Servers Agenda Apresentando fatos Obstáculos para a segurança O que é hardening Técnicas de hardening Perguntas Alguns fatos sobre segurança Os principais

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Guia de Prática. Windows 7 Ubuntu 12.04

Guia de Prática. Windows 7 Ubuntu 12.04 Guia de Prática Windows 7 Ubuntu 12.04 Virtual Box e suas interfaces de rede Temos 04 interfaces de rede Cada interface pode operar nos modos: NÃO CONECTADO, que representa o cabo de rede desconectado.

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança.

Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança. Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança. Net View & Panda Managed Office Protection É fato, tanto pequenas e médias e grandes empresas enfrentam os mesmos riscos

Leia mais

SELinux. Security Enhanced Linux

SELinux. Security Enhanced Linux SELinux Security Enhanced Linux Segurança da Informação A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de segurança Objetivando a proteção das

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Leia com cuidado e procure respeitá-la!

Leia com cuidado e procure respeitá-la! Páginas: 1 de 5 Leia com cuidado e procure respeitá-la! Introdução: A Tecnologia da Informação, TI, está cada dia mais presente nas empresas, mudando radicalmente os hábitos e a maneira de comunicação,

Leia mais

1 Introdução 1.1. Segurança em Redes de Computadores

1 Introdução 1.1. Segurança em Redes de Computadores 1 Introdução 1.1. Segurança em Redes de Computadores A crescente dependência das empresas e organizações modernas a sistemas computacionais interligados em redes e a Internet tornou a proteção adequada

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Informe técnico: Segurança de endpoints Symantec Protection Suite Enterprise Edition Proteção confiável para ambientes de endpoints e mensageria

Informe técnico: Segurança de endpoints Symantec Protection Suite Enterprise Edition Proteção confiável para ambientes de endpoints e mensageria Proteção confiável para ambientes de endpoints e mensageria Visão geral O Symantec Protection Suite Enterprise Edition cria um ambiente de endpoints e mensageria protegido contra as complexas ameaças atuais,

Leia mais

Sistemas de Informação Processamento de Dados

Sistemas de Informação Processamento de Dados Sistemas de Informação Processamento de Dados Ferramentas e serviços de acesso remoto VNC Virtual Network Computing (ou somente VNC) é um protocolo desenhado para possibilitar interfaces gráficas remotas.

Leia mais

Capítulo 2: Introdução às redes comutadas (configuração switch)

Capítulo 2: Introdução às redes comutadas (configuração switch) Unisul Sistemas de Informação Redes de Computadores Capítulo 2: Introdução às redes comutadas (configuração switch) Roteamento e Switching Academia Local Cisco UNISUL Instrutora Ana Lúcia Rodrigues Wiggers

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

Gerência de Redes de Computadores Gerência de Redes de Computadores As redes estão ficando cada vez mais importantes para as empresas Não são mais infra-estrutura dispensável: são de missão crítica, ou

Leia mais

Gerência de Redes e Serviços de Comunicação Multimídia

Gerência de Redes e Serviços de Comunicação Multimídia UNISUL 2013 / 1 Universidade do Sul de Santa Catarina Engenharia Elétrica - Telemática 1 Gerência de Redes e Serviços de Comunicação Multimídia Aula 3 Gerenciamento de Redes Cenário exemplo Detecção de

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC 1786/2015 - Quinta-feira, 06 de Agosto de 2015 Tribunal Regional do Trabalho da 18ª Região 1 FL. 2 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Guia de Atualização PROJURIS WEB 4.5. Manual do Técnico Atualização - ProJuris Web 4.5. Manual do Técnico Atualização - ProJuris Web 4.

Guia de Atualização PROJURIS WEB 4.5. Manual do Técnico Atualização - ProJuris Web 4.5. Manual do Técnico Atualização - ProJuris Web 4. Guia de Atualização PROJURIS WEB 4.5 Por: Fabio Pozzebon Soares Página 1 de 11 Sistema ProJuris é um conjunto de componentes 100% Web, nativamente integrados, e que possuem interface com vários idiomas,

Leia mais

Nova Prestech.net. Gerenciamento de Segurança da Informação com Software Livre. Consultoria e Soluções em Informática. http://www.prestech.com.

Nova Prestech.net. Gerenciamento de Segurança da Informação com Software Livre. Consultoria e Soluções em Informática. http://www.prestech.com. Consultoria e Soluções em Informática Gerenciamento de Segurança da Informação com Software Livre http://www.prestech.com.br Victor Batista da Silva Santos victor@prestech.com.br +55 21 8762-6977 +55 21

Leia mais

Termo de Referência. Anexo II - Especificações Técnicas - Requisitos Funcionais. Diretoria Técnica-Operacional. Gerência de Tecnologia da Informação

Termo de Referência. Anexo II - Especificações Técnicas - Requisitos Funcionais. Diretoria Técnica-Operacional. Gerência de Tecnologia da Informação Diretoria Técnica-Operacional Gerência de Tecnologia da Informação Termo de Referência Anexo II Especificação Técnica 1 - INTRODUÇÃO Página 2 de 9 do TR-007-3700 de Este anexo tem por objetivo detalhar

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Introdução a Segurança da Informação

Introdução a Segurança da Informação Introdução a Segurança da Informação Caio S. Borges 1, Eduardo C. Siqueira 1 1 Faculdade de Informática Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS) CEP 90.619-900 Porto Alegre RS Brasil

Leia mais

Baseline de Segurança da Informação

Baseline de Segurança da Informação Diretoria de Segurança Corporativa Superintendência de Segurança da Informação Baseline de Segurança da Informação Avaliação de Fornecedor E-mail Marketing SUMÁRIO: 1. SEGURANÇA DA REDE:... 3 2. PATCHES

Leia mais

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA Os serviços IP's citados abaixo são suscetíveis de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade de

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

Análise abrangente de proteções de vulnerabilidade e segurança para o Google Apps. Artigo do Google escrito em fevereiro de 2007

Análise abrangente de proteções de vulnerabilidade e segurança para o Google Apps. Artigo do Google escrito em fevereiro de 2007 Análise abrangente de proteções de vulnerabilidade e segurança para o Google Apps Artigo do Google escrito em fevereiro de 2007 Segurança do Google Apps PARA OBTER MAIS INFORMAÇÕES On-line: www.google.com/a

Leia mais

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência Desenvolvimento de Estratégias de Segurança e Gerência Segurança e Gerência são aspectos importantes do projeto lógico de uma rede São freqüentemente esquecidos por projetistas por serem consideradas questões

Leia mais

whitepaper Os benefícios da integração do File Integrity Monitoring com o SIEM

whitepaper Os benefícios da integração do File Integrity Monitoring com o SIEM Os benefícios da integração do File Integrity Monitoring com o SIEM A abordagem de gerenciamento de informações e eventos de segurança (SIEM - Security Information and Event Management) foi criada para

Leia mais

FACULDADE DE TECNOLOGIA SENAC PELOTAS CURSO TÉCNICO EM INFORMÁTICA PRONATEC PROFESSOR: NATANIEL VIEIRA ALUNOS: ANA CAROLINA, ROMÁRIO, WAGNER.

FACULDADE DE TECNOLOGIA SENAC PELOTAS CURSO TÉCNICO EM INFORMÁTICA PRONATEC PROFESSOR: NATANIEL VIEIRA ALUNOS: ANA CAROLINA, ROMÁRIO, WAGNER. 1 FACULDADE DE TECNOLOGIA SENAC PELOTAS CURSO TÉCNICO EM INFORMÁTICA PRONATEC PROFESSOR: NATANIEL VIEIRA ALUNOS: ANA CAROLINA, ROMÁRIO, WAGNER. TURMA: 2 TERMOS TÉCNICOS PELOTAS, 2012 ANA CAROLINA, ROMÁRIO,

Leia mais

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &\QDUD&DUYDOKR F\QDUDFDUYDOKR#\DKRRFRPEU

Leia mais

03/11/2011. Apresentação. SA do Linux. Sistemas de Arquivos. Curso Tecnologia em Telemática. Disciplina Administração de Sistemas Linux

03/11/2011. Apresentação. SA do Linux. Sistemas de Arquivos. Curso Tecnologia em Telemática. Disciplina Administração de Sistemas Linux Apresentação Administração de Sistemas Curso Tecnologia em Telemática Disciplina Administração de Sistemas Linux Professor: Anderson Costa anderson@ifpb.edu.br Assunto da aula Aspectos do Sistema de Arquivos

Leia mais

Os Novos Desafios da SI

Os Novos Desafios da SI Os Novos Desafios da SI Estudo de Caso Prodam Lílian Gibson Santos Sumário Ameaças Sistema de Gestão da SI ISO/IEC 27.000 Programa de SI da PRODAM Conclusão Ameaças Spam chega a uma taxa de 90% do total

Leia mais

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa.

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa. Boas Práticas de Segurança da Informação Regras para proteção de dados de cartões para a pequena e média empresa. Prezado Cliente, A constante evolução da tecnologia está sempre rompendo paradigmas, tornando

Leia mais

3 Ataques e Intrusões

3 Ataques e Intrusões 3 Ataques e Intrusões Para se avaliar a eficácia e precisão de um sistema de detecção de intrusões é necessário testá-lo contra uma ampla amostra de ataques e intrusões reais. Parte integrante do projeto

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança 3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade

Leia mais

MINISTÉRIO DA DEFESA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA O SISTEMA MILITAR DE COMANDO E CONTROLE

MINISTÉRIO DA DEFESA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA O SISTEMA MILITAR DE COMANDO E CONTROLE MINISTÉRIO DA DEFESA MD31-P-03 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA O SISTEMA MILITAR DE COMANDO E CONTROLE 2014 MINISTÉRIO DA DEFESA ESTADO-MAIOR CONJUNTO DAS FORÇAS ARMADAS POLÍTICA DE SEGURANÇA

Leia mais

Controle de Acesso em Rede

Controle de Acesso em Rede Segurança de Rede Segurança de rede e segurança de sistema (servidor individual) têm muito em comum Há redes onde o usuário faz login no domínio da rede para ter acesso aos recursos; em outras, se conecta

Leia mais

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1 ] Blinde seu caminho contra as ameaças digitais Manual do Produto Página 1 O Logon Blindado é um produto desenvolvido em conjunto com especialistas em segurança da informação para proteger os clientes

Leia mais

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.

Leia mais

Cartilha de Segurança para Internet

Cartilha de Segurança para Internet Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Parte VII: Incidentes de Segurança e Uso Abusivo da Rede Versão 3.1 2006 CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes

Leia mais

Soluções de Segurança da Informação para o mundo corporativo

Soluções de Segurança da Informação para o mundo corporativo Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Conceitos

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

Soluções de Segurança IBM

Soluções de Segurança IBM Soluções de Segurança IBM Security Framework As organizações frequentemente adotam uma abordagem orientada à tecnologia para a segurança. Porém, proteger só a tecnologia não oferece proteção para os processos

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS ESET Business Solutions 1/7 Vamos supor que você tenha iniciado uma empresa ou que já tenha uma empresa bem estabelecida, há certas coisas que deveria esperar

Leia mais