FACULDADE SALESIANA DE VITÓRIA PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES ELIANA NASCIMENTO MARINHO LEANDRO MARINHO SANTOS

Tamanho: px
Começar a partir da página:

Download "FACULDADE SALESIANA DE VITÓRIA PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES ELIANA NASCIMENTO MARINHO LEANDRO MARINHO SANTOS"

Transcrição

1 FACULDADE SALESIANA DE VITÓRIA PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES ELIANA NASCIMENTO MARINHO LEANDRO MARINHO SANTOS UMA PROPOSTA DE POLÍTICA DE SEGURANÇA EM REDES LINUX VITÓRIA 2007

2 2 ELIANA NASCIMENTO MARINHO LEANDRO MARINHO SANTOS UMA PROPOSTA DE POLÍTICA DE SEGURANÇA EM REDES LINUX Monografia apresentada ao Curso de Pósgraduação em Segurança de Redes de Computadores da Faculdade Salesiana de Vitória, como requisito parcial para obtenção do título de Especialista em Segurança de Redes de Computadores. Orientador: Prof. M.Sc. Sérgio Teixeira. VITÓRIA 2007

3 3 Dados Internacionais de Catalogação-na-publicação (CIP) (Biblioteca da Faculdade Salesiana de Vitória, Espírito Santo, Brasil) M338p Marinho, Eliana Nascimento, 1952 Uma Proposta de Política de Segurança em Redes Linux / Eliana Nascimento Marinho, Leandro Marinho Santos f. : il. Orientador: Sérgio Teixeira. Monografia (pós-graduação em Segurança de Redes de Computadores) Faculdade Salesiana de Vitória. 1.Redes de Computadores - Segurança. 2. Política de Segurança da Informação. 3. NBR/ISO/IEC I. Santos, Leandro Marinho. II. Teixeira, Sérgio. III. Faculdade Salesiana de Vitória. IV. Título. CDU: 004.7

4 4 ELIANA NASCIMENTO MARINHO LEANDRO MARINHO SANTOS UMA PROPOSTA DE POlÍTICA DE SEGURANÇA EM REDES LINUX Monografia apresentada ao Curso de Pós-graduação em Segurança de Redes de Computadores da Faculdade Salesiana de Vitória, como requisito parcial para obtenção do título de Especialista em Segurança de Redes de Computadores. Aprovada em 11 de julho de COMISSÃO EXAMINADORA Prof. M.Sc. Sérgio Teixeira Orientador Prof. M.Sc. Ádrian Bonfá Drago Faculdade Salesiana de Vitória Prof. Esp. Sandro Pereira de Melo 4NIX Serviços em Informática

5 5 AGRADECIMENTOS Agradecemos a todos que colaboraram para que este sonho se tornasse realidade. Em especial, aos nossos pais por todo apoio e dedicação durante estes anos. Ao nosso orientador Prof. Sérgio Teixeira pela compreensão, dedicação e amizade. A DEUS, por nos conceder mais esta vitória, por ter nos sustentado nos momentos difíceis sem a sua luz e sem a sua direção nada disso seria possível.

6 6 Quando o meu espírito desanima, és tu quem conhece o caminho que devo seguir. SL 142:3

7 7 RESUMO Este trabalho apresenta uma proposta de concepção e implementação de uma política de segurança baseada na NBR/ISO/IEC e em outros trabalhos relevantes na área de segurança de redes. Além disso, é apresentada uma lista dos principais tipos de ameaças e ocorrências de ataques à segurança da informação nas empresas. Ao final é proposta uma relação de procedimentos e configurações que devem ser implementados em uma rede baseada no Linux para evitar a invasão e o acesso indevido às informações. Palavras-chave: Redes de Computadores Segurança, Política de Segurança da Informação, NBR/ISO/IEC

8 8 ABSTRACT This work presents a proposal of conception and implementation of one politics of security based on NBR/ISO/IEC and other excellent works in the area of security of nets. Moreover, a list of the main types of threats and occurrences of attacks to the security of the information in the companies is presented. To the end it is proposal a relation of procedures and configurations that must be implemented in a net based on the Linux, to prevent the invasion and the improper access to the information. Keywords: Computer networks - Security, Information Security Politics, NBR/ISO/IEC

9 9 LISTA DE FIGURAS Figura 1. Incidentes Reportados ao CERT. Br-1999/Junho de Figura 2.Incidentes Reportados ao CERT.Br -Abril/Junho de

10 10 LISTA DE QUADROS Quadro 1: Protegendo o Grub com senha...66 Quadro 2: Protegendo o Lilo com senha...67 Quadro 3: várias opções para configurar o arquivo /etc/fstab...68 Quadro 4: Sistema de arquivo /proc...70 Quadro 5: Ignorar pacote de Ping...70 Quadro 6: ignorar pings de broadcast...70 Quadro 7: Desligar pacotes de fonte roteada...71 Quadro 8: Desligar aceitação de redirecionamento...71 Quadro 9: Opções para o arquivo de configuração Apache...72 Quadro 10: comando para criar chaves DAS...75

11 11 SUMÁRIO 1 INTRODUÇÃO MOTIVAÇÃO OBJETIVOS GERAL ESPECÍFICOS METODOLOGIA ORGANIZAÇÃO DO TRABALHO FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO TRABALHOS RELACIONADOS FUNDAMENTOS DA NORMA NBR/ISO/IEC SURGIMENTO DAS NORMAS DE SEGURANÇA DA INFORMAÇÃO OBJETIVOS E ABRANGÊNCIA POLÍTICA DE SEGURANÇA SEGURANÇA ORGANIZACIONAL Infra-estrutura de segurança de informação Segurança de acesso a terceiros Terceirização CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DA INFORMAÇÃO CONTABILIZAÇÃO DOS ATIVOS CLASSIFICAÇÃO DA INFORMAÇÃO SEGURANÇA EM PESSOAS SEGURANÇA NA DEFINIÇÃO E NOS RECURSOS DE TRABALHO TREINAMENTO DOS USUÁRIOS RESPONDENDO A INCIDENTES DE SEGURANÇA E MAU FUNCIONAMENTO ÁREAS DE SEGURANÇA EQUIPAMENTOS DE SEGURANÇA CONTROLES GERAIS GERENCIAMENTO DE OPERAÇÕES E COMUNICAÇÕES CONTROLE DE ACESSO DESENVOLVIMENTO DE SEGURANÇA DE SISTEMAS...33

12 3.3.6 GESTÃO DA CONTINUIDADE DO NEGÓCIO CONFORMIDADE SITUAÇÃO ATUAL NAS EMPRESAS O VERDADEIRO VALOR DAS EMPRESAS CERTIFICADAS CONSIDERAÇÕES AMEAÇAS À SEGURANÇA DA INFORMAÇÃO HACKERS HACKERS ROMÂNTICOS HACKERS PERIGOSOS VÍRUS MOTIVOS QUE LEVAM OS HACKERS ÀS SUAS PRÁTICAS SEGURANÇA FÍSICA PROTEGENDO A REDE VULNERABILIDADES DO LINUX VULNERABILIDADE E SEGURANÇA NO LINUX DICAS GERAIS DE SEGURANÇA UM MODELO DE REFERÊNCIA PARA A ELABORAÇÃO E APLICAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FASES DA IMPLEMENTAÇÃO MONTANDO A EQUIPE NECESSIDADES DE SEGURANÇA IMPLEMENTANDO A POLÍTICA AS FERRAMENTAS UMA PROPOSTA DE APLICAÇÃO DE POLÍTICA DE SEGURANÇA EM UMA REDE LINUX CONSIDERAÇÕES FINAIS E TRABALHOS FUTUROS REFERÊNCIAS BIBLIOGRÁFICAS SITES CONSULTADOS...82 ANEXO A - Pesquisa nacional de segurança da informação...88 ANEXO B - Questionário elaborado para subsidiar a monografia...91 ANEXO C - Centro de especialização em segurança

13 13 1 INTRODUÇÃO Grupos de profissionais de informática espalhados por todo mundo, trabalhando de forma cooperativa, transformaram softwares proprietários em abertos. Esse fato facilitou e agilizou o acesso à informação possibilitando uma maior democratização no acesso ao conhecimento. Além disso, surgiram novas tecnologias da informação com custos bem mais acessíveis que democratizaram o acesso Internet. O aumento no acesso à Internet agravou o problema de segurança das informações que trafegam pela rede. Muitas empresas e instituições que se conectaram a Internet não deram a devida atenção ao assunto. Atualmente é difícil imaginar o funcionamento das instituições bancárias sem o advento da Internet, que trouxe a comodidade e a rapidez no acesso às informações. A internet proporciona entre outros benefícios, processos mais rápidos, comunicações dinâmicas, e aumento da produtividade de funcionários remotos e móveis. O acesso às redes de computadores das empresas feito por funcionários remotos e móveis tem se tornado peça chave, pois se tornou uma condição necessária para que as empresas continuem competitivas. A segurança da informação é um tópico bastante divulgado nos meios de comunicação em geral. Apesar da constante divulgação dos problemas e perigos referentes à segurança da informação, poucas empresas possuem estrutura adequada para enfrentar as ameaças que podem surgir. Uma alternativa para esse problema é a implementação de uma política de segurança.

14 MOTIVAÇÃO O avanço tecnológico e o crescimento da Internet nos últimos anos possibilitaram a comunicação global entre as empresas. Essa interação trouxe uma dependência dos sistemas informatizados. Dessa forma, surgiu uma nova visão empresarial que visa preservar os ativos de informação (dados das empresas) diante de um cenário de ameaças e competitividade cada vez mais acirrada. O número de usuários conectados aumenta rapidamente, e conseqüentemente a dependência da tecnologia da informação. Neste contexto, a segurança dos dados torna-se uma questão estratégica e um diferencial competitivo capaz de assegurar a continuidade dos negócios e conseqüentemente a própria sobrevivência da organização. Apesar da ampla divulgação nos principais meios de comunicação sobre as atuais ameaças à segurança da informação nas empresas muitas delas ainda não deram a devida atenção às ameaças existentes a segurança da informação. Além disso, muitas empresas que buscam ferramentas ou soluções para o problema de segurança nunca ouviram falar na Norma Nacional de Segurança da Informação NBR ISO/IEC Além disso, elas não implementaram uma política de segurança que permita uma maior eficácia no combate ao problema de acesso indevido às informações. 1.2 OBJETIVOS GERAL Propor uma cartilha de política de segurança em um ambiente baseado em software livre, com utilização do Linux de acordo com a Norma Nacional de Segurança da Informação NBR ISO/IEC

15 ESPECÍFICOS Apresentar os fundamentos da NBR ISO/IEC e de segurança de informação necessários para a compreensão e implementação de uma política de segurança da informação. Além disso, apresentar as principais ameaças a segurança da informação nas empresas e, por fim, propor um documento com diretivas de segurança específicas para as empresas. 1.3 METODOLOGIA Para o desenvolvimento deste trabalho foi utilizada uma metodologia na seguinte sequência de passos: pesquisa literária com coleta e análise de dados referentes à política de segurança, ataques e ferramentas de segurança. Foram observadas algumas referências à aplicação da política de segurança no Linux, pois esse trabalho fará uma abordagem focando a política de segurança no sistema operacional Linux. Foram pesquisados diversos livros, periódicos, trabalhos acadêmicos e normas técnicas sobre o assunto abordado. Além disso, foram pesquisados livros e revistas especializadas em Segurança da Informação, foi elaborado um questionário com sugestões de profissionais da área cujo resultado contribui com a proposta apresentada. 1.4 ORGANIZAÇÃO DO TRABALHO Este trabalho está organizado e estruturado com o objetivo de apresentar a importância da implantação de políticas de segurança mostrando ferramentas que possam auxiliar na implementação dessas políticas. O capítulo 2 - Fundamentos de Segurança da Informação - apresenta o resumo de alguns artigos sobre segurança da informação.

16 O capítulo 3 Fundamentos da Norma NBR/ISO/IEC apresenta uma explanação sobre a norma NBR/ISO/IEC e o valor que as empresas certificadas têm. 16 O capítulo 4 Ameaças à Segurança da Informação - apresenta a proposição do problema, abordando os tipos de ataques que comprometem os dados. O capítulo 5 Vulnerabilidades do Linux - tem a proposta de levantar a discussão sobre as vulnerabilidades do sistema operacional Linux. O capítulo 6 Um Modelo de Referência para a Elaboração e Aplicação de Uma Política de segurança da Informação - apresenta um resumo de um modelo de polìtica de segurança proposto por Alan Cota. O capítulo 7 Uma Proposta de Aplicação de Política de Segurança em uma Rede Linux - apresenta o enunciado da hipótese propondo uma política de segurança no sistema operacional Linux. O capitulo 8 - Considerações Finais e Trabalhos Futuros - propõem trabalhos relacionados à proposta apresentada. Finalmente anexos, Glossário, Lista de Figuras, Lista de Quadros Bibliográficas. e Referências

17 17 2 FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Hoje em dia a informação é o ativo mais valioso das grandes Empresas. Apesar da consciência que os executivos das empresas têm da importância da necessidade da criação e implantação de uma Política de Segurança da Informação, é preciso investir e tomar medidas concretas que permitam a implantação e manutenção de uma política de segurança eficaz. A segurança da informação é como uma corrente caso exista um elo mais fraco a corrente pode quebrar quando sobre uma pressão maior. Portanto, a segurança é um problema complexo e integrado, pois depende de todos os elos para que funcione corretamente. O elo mais fraco é equivalente a um usuário despreparado, desinformado, desinteressado ou mal intencionado. Serão apresentados alguns trabalhos acadêmicos relacionados à segurança da informação. Além disso, será apresentada uma pesquisa sobre a implantação de políticas de segurança em empresas da Grande Vitória-ES. Adicionalmente será apresentada uma pesquisa realizada pelo Módulo Security Solutions sobre segurança da informação. (MÓDULO 2003). 2.1 TRABALHOS RELACIONADOS A literatura apresenta vários trabalhos sobre políticas de segurança de hardware e software nos mais variados ambientes. Dentre os trabalhos relacionados à política de segurança merecem destaque o artigo PoliCap Um Serviço de Política para o Modelo CORBA de Segurança onde é mencionado o Cherubim e o Control, produto que implementa o COSBAsec e a gerência de políticas de segurança. O (Policap) é um serviço de política a ser utilizado por aplicações distribuídas que utilizam o modelo CORBA de segurança. O (Policap) foi projetado para ser inserido no contexto do projeto de segurança Jscoweb. Esse projeto está desenvolvendo um esquema de autorização com o objetivo de concretizar a gerência de políticas de segurança em redes de larga escala como a Internet. O serviço de política Policap supre a carência existente na utilização de

18 18 políticas de segurança para a programação com objetos distribuídos. São apresentados os resultados de uma implementação e sua avaliação utilizando critérios de segurança do padrão ISO (WESTPHALL, 2004). Preocupado com aspectos de segurança o trabalho Certificados Digitais: Uma ferramenta desenvolvida com base no padrão SET apresenta uma visão geral do (Secure Eletronic Transactions) SET, seu funcionamento, objetivos e características bem como o gerenciamento de certificado. O comércio eletrônico será uma das mais importantes maneiras de fazer negócios no futuro, entretanto, seu crescimento tem sido lento devido à problemas de segurança. O padrão (SET criado em 1996 por um consórcio de empresas e entidades oferece um alto grau de segurança às transações eletrônicas), entretanto ainda não é um padrão de fato devido à sua grande complexibilidade. O padrão SET é basicamente dividido em duas partes: sistemas de pagamento e gerenciamento de certificados. O grande número de processos criptográficos utilizando diversos algoritmos diferentes, como (DES e RSA), a necessidade de um modelo distribuído eficiente para emissão, renovação e revogação de certificados e a grande complexibilidade envolvida no desenvolvimento de soluções compatíveis com o (SET) são os principais fatores que tem inibido sua aceitação. (JAKOBSEN, 2004 & SHAMIR, 2003).Diante disso, um grupo de pesquisadores da UFRGS desenvolveu um conjunto de aplicações denominado (SET-F) com o objetivo de facilitar o uso do sistema de pagamento baseado no padrão (SET) garantindo a sua compreensão e poder fornecer ao mercado do comércio eletrônico uma ferramenta de segurança a baixo custo para empresas de pequeno e médio porte. Dando continuidade a esse trabalho, os pesquisadores estão desenvolvendo aplicações que permitam o gerenciamento de certificados que ainda não contemplado pelo (SET-F). O objetivo desse projeto é facilitar a utilização de um sistema para gerenciar certificados digitais (obtenção, renovação e revogação) fornecendo maior grau de segurança ao (SET-F através da autenticação das partes envolvidas na transação). De acordo com LEMOS, um desastre ou descuido relacionado a segurança da informação em uma empresa pode ocasionar a paralisação total ou parcial dos ambientes tecnológicos,

19 19 trazendo perda de informação e vulnerabilidade e prejuízo financeiro. Ele apresenta uma visão do mercado em relação à segurança física e lógica da rede de computadores, observando a política de acesso, suas concessões e contingências. O plano de contingência é muito importante, pois visa garantir a continuidade das atividades necessárias à organização. Desta forma, é necessária à elaboração de um plano que garanta a continuidade, segurança do tratamento e a disponibilidade das informações em caso de sinistro (LEMOS, 2001). De acordo com Bullara, no final do século XX, a Internet veio agregar mais um modo de comunicação, o correio eletrônico que hoje é um dos principais meios de comunicação entre pessoas. A comunicação é uma necessidade humana e dentro desta necessidade encontramos questões latentes como confidencialidade, integridade, disponibilidade, autenticidade, legalidade e métodos de não repúdio das mensagens enviadas e recebidas através do correio eletrônico. Diante disso, o trabalho focaliza a comunicação segura entre pessoas através do correio eletrônico, analisando todas as questões latentes acima citadas (BULLARA, 2005). Milhões de usuários enviam suas mensagem através do correio eletrônico e não se dão conta que estas mensagens encontram-se vulneráveis desde o momento de sua concepção pelo emissor até o momento da leitura por parte do receptor para serem capturadas e lidas por outras pessoas. Também não se dá conta de que muitas mensagens eletrônicas que chegam ao seu correio eletrônico não são de autoria daquelas pessoas que se dizem ser. A questão de mostrar tanto ao profissional de informática quanto ao público leigo em tecnologia como enviar e receber mensagens eletrônicas de forma segura foi o que motivou os autores a esta empreitada. O trabalho citado mostra todos os aspectos relacionado a segurança de um dos maiores e mais importantes meios de comunicação entre pessoas na atualidade que é o correio eletrônico. De acordo com Freire, com a utilização da Internet as empresas se estruturaram de forma a abrir suas portas para o mundo. É justamente essa abertura e superexposição ao mundo exterior que faz com que a Internet, veículo de difusão de informações utilizado também para promover negócios seja usada para finalidades obscuras como espionagem industrial, roubo de informações, chantagens e outros tipos de crimes cometidos contra o patrimonio dessas corporações (FREIRE, 2004).

20 20 A necessidade de tornar o ambiente de rede seguro é vital para a manutenção da estabilidade, produtividade, credibilidade e, principalmente, do faturamento dessas empresas. Esta necessidade pode ser saciada a partir da utilização correta de equipamentos e definição de regras que possam governar o uso apropriado destes equipamentos. Atualmente, existe a necessidade e preocupação das empresas em proteger informações de sua propriedade ou interesse que trafeguem dentro ou fora de sua rede corporativa. A proteção interna normalmente é baseada em definições de política de segurança que incluem procedimentos de auditoria interna, segurança de senhas, normas para utilização de Internet, correio eletrônico, antivírus em estações de trabalho entre outros mecanismos. A proteção das redes de computadores é feita por meio de firewalls. Esses equipamentos protegem a rede interna da invasão de intrusos originários da Internet permitindo somente a passagem de protocolos e serviços autorizados de acordo com as definições da política de segurança das empresas. Tecnologias de segurança buscam garantir a segurança contra intrusos, pois a sobrevivência das empresas depende disso. O método de segurança mais efetivo é o Firewall, pois ele certifica que toda comunicação entre a rede corporativa e a Internet esteja em conformidade com a política de segurança definida pela corporação. Esse sistema identifica e controla o fluxo de informações que passa por ele. Ele verifica se o dado deve ser aceito, rejeitado, encriptado ou redirecionado para outra rede. Um firewall pode se comportar como um roteador, filtrando pacotes originários da Internet baseados na informação contida em cada datagrama através da análise de informações como endereço de origem, endereço de destino e protocolo utilizado para a comunicação. Em outras situações ele pode se comportar como um proxy 1 servers evitando o acesso direto à Internet. Ele filtra acessos não autorizados aplicando restrições de tráfego originário do mundo exterior. Firewalls agem como um portal de segurança. 1 Proxy Server ou servidor de proxy - captura os dados que o destinatário disponibiliza ao cliente (usuário) e os guarda em uma área em disco. Na próxima vez que este site for acessado, o web browser primeiro fará a procura no servidor proxy. Se os dados forem encontrados neste servidor, a transferência de dados se dará entre ele e o cliente (web browser). Se o servidor proxy não dispuser dos dados requisitados, o acesso será feito diretamente ao site de destino.(furg, 2006).

21 21 A base para uma política de segurança adequada deve conter recomendações de filtros contra os serviços mais perigosos e explorados por invasores na tentativa de execução de um ataque para o comprometimento de ambientes. A política de segurança deve estar em sintonia com os serviços (portas/protocolos) que mais são explorados para tentativas de invasão. A melhor regra aplicável a sistemas de firewall é o bloqueio total dessas portas mesmo que estejam bloqueadas é aconselhável a monitorar as tentativas de invasão. É importante frisar que o bloqueio de algumas das portas especificadas pode acarretar na paralisação de serviços necessários. Considere os efeitos potenciais das recomendações (bloqueio de portas) antes de implementá-las. (FREIRE, 2004). Em seu trabalho Windows 2000 e Linux: Um Estudo Comparativo no Contexto de Segurança Informática Lógica, (FERREIRA, 2003) descreve o modelo de segurança lógica dos sistemas operativos Windows 2000 e Linux (Red Hat 8) bem como as respectivas vulnerabilidades e medidas de proteção associadas. É igualmente feita uma análise crítica a um sistema de detecção de intrusão para Linux com a finalidade de propor uma melhoria no modelo de segurança apresentado. Não existindo sistemas de detecção de intrusão gratuitos para o Windows 2000 optou se por efetuar somente o teste em Linux. No entanto, o princípio de utilização do sistema de detecção de intrusão pode ser transposto para o Windows É feita inicialmente uma contextualização ao tema que incide nas áreas referidas expondo os principais aspectos de segurança lógica existentes nestes dois sistemas operativos. Desta forma, pretende se fornecer ao leitor uma idéia clara do modelo de segurança lógica do Windows 2000 e do Linux. Seguidamente apresenta-se uma exposição das principais vulnerabilidades encontradas nos dois sistemas operativos, bem como das contramedidas propostas permitindo ao leitor generalizar os conceitos expostos para as vulnerabilidades lógicas de sistemas operativos em geral. De modo semelhante ser-lhe-á possivel entender que procedimentos existem para prevenção geral de ataques à segurança lógica de sistemas operativos através da generalização dos métodos de prevenção enunciados.

22 22 É igualmente feita uma análise à implementação de um sistema de detecção de intrusão (IDS) para demonstrar como a segurança lógica poderá ser melhorada. Pretende-se definir a importância de sistemas de detecção de intrusão na segurança de sistemas operativos em geral, utilizando como exemplo prático um IDS para o Linux. Com este trabalho o autor quer mostrar que segurança lógica existe no Windows 2000 e no Linux permitindo lhe a comparação de acordo com as suas necessidades, bem como lhe fornecer os passos necessários para melhorar essa segurança, generalizando os métodos e as técnicas estudadas neste trabalho de forma a poder aplicá los em áreas de investigação de segurança lógica semelhantes. (FERREIRA, 2003).

23 23 3 FUNDAMENTOS DA NORMA NBR/ISO/IEC Ao longo da história desde a mais remota Antigüidade o ser humano vem buscando controlar as informações que julga importante. Na antiga China a própria linguagem escrita era usada como uma forma de criptografia, pois somente as classes superiores podiam aprender a ler e a escrever. Outros povos como os egípcios e os romanos deixaram registrados na história sua preocupação com o trato de certas informações, especialmente as de valor estratégico e comercial. Com a Segunda Guerra Mundial a questão da segurança ganhou uma nova dimensão na medida em que sistemas automáticos e eletro-mecânicos foram criados tanto para criptografar como para efetuar a criptoanálise e quebrar a codificação (SCHNEIER, 2001). Tradicionalmente as organizações dedicam grande atenção para com seus ativos tangíveis físicos e financeiros, mas relativamente pouca atenção aos ativos de informação que possuem. Entretanto, nos últimos anos, a informação assumiu importância vital para manutenção dos negócios marcados pela dinamicidade da economia globalizada e permanentemente on-line de tal forma que atualmente não há organização humana que não dependa da tecnologia de informações em maior ou menor grau de forma que o comprometimento do sistema de informações por problemas de segurança pode causar grandes prejuízos ou mesmo levar a organização à falência (CARUSO, 1995). Visando minimizar esses riscos a International Standartization Organization (ISO), publicou uma norma internacional para garantir a segurança das informações nas empresas. A Associação Brasileira de Normas Técnicas (ABNT) operando em sintonia com a ISO e atenta às necessidades nacionais quanto a segurança da informação disponibilizou o projeto na versão brasileira da norma ISO para consulta pública e posterior votação e publicação. Percebe-se que antes mesmo da publicação do documento oficial as empresas brasileiras estão se antecipando no sentido de preparar suas estruturas para implementação dos itens que compõem a norma. Tal procedimento justifica-se na medida em que as empresas estão mudando seu comportamento quanto à questão da segurança da informação, premiadas pelo risco crescente de roubos e ataques a seus sistemas. Por outro lado compreendem que as

24 normas ISO e ABNT são o resultado de um esforço internacional que consumiu anos de pesquisa e desenvolvimento para se obter um modelo de segurança eficiente e universal SURGIMENTO DAS NORMAS DE SEGURANÇA DA INFORMAÇÃO O esforço no qual resultaram a (ISO17799 e a Norma ABNT) remontam a 1987 quando o departamento de comércio e indústria do Reino Unido (DTI) criou um centro de segurança de informações, o CCSC (Commercial Computer Security Centre) que dentre suas atribuições tinha a tarefa de criar uma norma de segurança das informações para companhias britânicas que comercializavam produtos para segurança de TI (Tecnologia da Informação) através da criação de critérios para avaliação da segurança (SOLMS, 1998). Outro objetivo do CCSC era a criação de um código de segurança para os usuários das informações. Com base nesse segundo objetivo em 1989 foi publicado a primeira versão do código de segurança, denominado PD Código para Gerenciamento da Segurança da Informação. Em 1995 esse código foi revisado e publicado como uma norma britânica (BS), a BS7799: Em 1996, essa norma foi proposta ao ISO para homologação, mas foi rejeitada (HEFFERAN, 2000). Uma segunda parte desse documento foi criada posteriormente e publicada em novembro de 1997 para consulta pública e avaliação. Em 1998 esse documento foi publicado como BS7799-2:1998 e depois de revisado foi publicado junto com a primeira parte em abril de 1999 como BS7799: (HEFFERAN, 2000). Em 1998 a lei britânica denominada Ato de Proteção de Dados recomendou a aplicação da norma na Inglaterra o que viria a ser efetivado em 1o de março de Ao longo de seu desenvolvimento a norma foi sendo adotada não só pela Inglaterra como também por outros países da Comunidade Britânica tal como Austrália, África do Sul e Nova Zelândia (SOLMS, 1998).

25 25 A parte 1 desse documento foi levada à (ISO) e proposta para homologação pelo mecanismo de "Fast Track" para um trâmite rápido, pois normalmente uma norma leva até 5 anos para ser avaliada e homologada pela (ISO). Em outubro de 2000 na reunião do comitê da (ISO) em Tóquio a norma foi votada e aprovada pela maioria dos representantes. Os representantes dos países do primeiro mundo excetuando a Inglaterra foram contrários à homologação, mas sob votação venceu a maioria e a norma foi homologada como ISO/IEC 17799:2000 em 01 de dezembro de Atualmente o comitê BDD/2 do BSI/DISC está preparando a parte 2 da BS7799 para apresentação a ISO para Homologação. Com a homologação diversos países incluindo o Brasil estão criando suas próprias normas nacionais de segurança de dados baseados na norma (ISO). Ao mesmo tempo está surgindo a Certificação de Segurança (ISO 17799) que empresas e organizações podem obter ao aplicar a norma assim como após a homologação da norma brasileira surgirá a respectiva certificação para empresas nacionais. 3.2 OBJETIVOS E ABRANGÊNCIA O objetivo fundamental da norma ISO e da norma brasileira, nela baseada, é assegurar a continuidade e minimizar o dano empresarial prevenindo e minimizando o impacto de incidentes de segurança. (ISO/IEC 17799:2000) A (ISO/IEC 17799:2000) define segurança como a proteção contra um grande número de ameaças às informações de forma a assegurar a continuidade do negócio minimizando danos comerciais e maximizando o retorno de investimentos e oportunidades. A segurança da informação é caracterizada pela preservação dos seguintes atributos básicos: a) Confidencialidade: segurança de que a informação pode ser acessada apenas por quem tem autorização. b) Integridade: certeza da precisão da informação.

26 c) Disponibilidade: garantia de que os usuários autorizados tenham acesso a informação e aos recursos associados, quando necessário. 26 A preservação desses atributos constitui no paradigma básico da Norma Internacional para Gerenciamento da Segurança da Informação, a ISO17799 e de toda a ciência da Segurança da Informação. A (ISO17799) é bem abrangente pretendendo contemplar todos os aspectos da segurança da informação. Nesse sentido divide-se em 12 capítulos ou partes cada qual abordando um aspecto da segurança da informação. A norma brasileira segue a mesma estrutura de capítulos, itens e controles. Os Capítulos que compõem a norma são os seguintes: Objetivos, termos e definições, política de segurança, segurança organizacional, classificação e controle dos ativos de informação, segurança em pessoas, segurança ambiental e física, gerenciamento das operações e comunicações, controle de acesso, desenvolvimento de sistemas e manutenção, gestão de continuidade do negócio e conformidade POLÍTICA DE SEGURANÇA A elaboração de uma política de segurança representa um passo fundamental no estabelecimento de um sistema de gestão de segurança da informação eficaz. Esta visa definir a linha mestra na gestão de risco e segurança da informação definindo: padrões a serem seguidos e ações a serem tomadas, descrevem os vários processos envolvidos com o trabalho de segurança e a responsabilidade sobre os mesmos. O documento da política de segurança deve ser claro, de fácil entendimento que conste às referências aos documentos que serviram de base para a sua construção, como por exemplo: a própria NBR ISO/IEC 17799, a Constituição Brasileira, o Estatuto da Organização e etc.

27 SEGURANÇA ORGANIZACIONAL Conjunto de responsabilidades, autoridade e relações entre pessoas de uma organização. Este macro controle é dividido nos seguintes controles: _ Infra-estrutura de Segurança da Informação; _ Segurança de Acesso a Terceiros; _ Terceirização Infra-estrutura de segurança de informação Visa a criação de uma estrutura de gerenciamento da segurança da informação, da definição de responsabilidades, da definição de fontes externas de informações e ajuda as quais serão utilizadas no processo de implantação da segurança da informação. È de vital importância que as responsabilidades sejam claramente definidas e que a política de segurança seja um guia sobre a aplicação de regras e responsabilidades, por isso deve haver um consultor interno ou externo que possa ser invocado sempre que necessário, principalmente após suspeitas de incidentes ou violações na segurança Segurança de acesso a terceiros O Acesso a terceiros ao ambiente deve ser controlado. Para que haja um controle, uma análise prévia de risco deve ser realizada. Esta análise definirá os controles necessários para garantir a segurança do ambiente. Tais controles devem levar em conta tanto os acessos lógicos quanto físicos bem como o valor da informação que poderá ser acessada pelos usuários.

28 Terceirização Este controle visa ajudar a estabelecer as responsabilidades e os riscos quando parte ou todo o processo da informação é terceirizado. Inicialmente este processo requer que ocorra a definição e a assinatura de um contrato que irá reger a interação de ambas as partes (organização e terceirizados). Este contrato por sua vez deve permitir que os requisitos e procedimentos sejam expandidos CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DA INFORMAÇÃO Embora não exista uma forma padronizada de se classificar a informação existente nas organizações, do ponto de vista de seu conteúdo ela costuma ser dividida em três categorias: informação pessoal, informação de segurança nacional e informação de negócio (KOVACICH, 1998) CONTABILIZAÇÃO DOS ATIVOS Este procedimento tem por objetivo a elaboração de inventário dos ativos de informação e atribuição de responsabilidades pela sua proteção. Este processo ajuda a evidenciar a importância ou "valor" de um determinado ativo para a organização. Associar um nível de segurança ao ativo facilita a determinação dos controles de segurança a serem aplicados uma vez que aplicação de controles deve ser proporcional ao valor do que se deseja proteger CLASSIFICAÇÃO DA INFORMAÇÃO A classificação da informação visa definir o seu nível de importância. Normalmente este nível não é estático podendo desta forma variar com o passar do tempo e com o modelo do ambiente. Para a classificação das informações é necessário definir um conjunto de regras e níveis de classificação. Estes devem levar em consideração o nível de

29 compartilhamento/restrição das informações e o impacto desta classificação nas atividades do ambiente SEGURANÇA EM PESSOAS Este macro controle visa prover os recursos necessários para o gerenciamento dos fatores de segurança que envolve as atividades humanas na organização bem como o processo de treinamento e conscientização quando do uso correto da política de segurança. Este macro controle é subdividido em: segurança na definição e nos recursos de trabalho, treinamento dos usuários respondendo a Incidentes de segurança e mau funcionamento SEGURANÇA NA DEFINIÇÃO E NOS RECURSOS DE TRABALHO Este visa reduzir os riscos de segurança provenientes das atividades humanas em uma determinada organização como, por exemplo: os problemas de roubo e venda de informações confidenciais TREINAMENTO DOS USUÁRIOS Este item tem por finalidade fornecer a todos os usuários das informações provenientes de uma organização uma visão completa das ameaças e das preocupações que a organização possui sobre a segurança da informação. O treinamento deve capacitar os usuários a apoiarem o bom funcionamento da política de segurança. É indicado que todos os usuários antes de terem acesso ao ambiente passem por um treinamento completo.

30 3.2.9 RESPONDENDO A INCIDENTES DE SEGURANÇA E MAU FUNCIONAMENTO 30 Este controle além de procurar reduzir os danos causados por falhas no ambiente visa permitir que se aprenda com as falhas já ocorridas. Para tal existe a necessidade da conscientização dos usuários quanto ao processo de notificação de incidentes, mesmo quando estes incidentes não passarem de simples suspeitas. A conscientização irá ajudar para que o processo de notificação de incidentes seja feito através dos meios e às pessoas corretas, o mais rápido possível. O quanto antes um incidente for notificado melhor ele poderá ser tratado. Para apoiar o processo de notificação, deve haver um sistema formal de notificação de incidentes bem como de resposta aos incidentes. No registro dos incidentes, informações como tempo de paralisação das atividades, custo, danos e o processo adotado para a sua correção são de vital importância, pois estas informações devem ser utilizadas no processo de melhoria da política de segurança, bem como no processo de resposta a incidentes. Normalmente o processo de registro de incidentes dá origem ao que conhecemos como "kwonledgebase" de incidentes. 3.3 ÁREAS DE SEGURANÇA Este macro controle apresenta três subcontroles que são: as Áreas de segurança, os equipamentos de segurança e controles gerais e todos relacionados a aspectos físicos da segurança de informação. A finalidade deste controle é inibir oacesso não autorizado às áreas onde se encontram informações vitais para a organização. A proteção aplicadaa uma determinada área deve ser proporcional aos riscos identificados pela análise de riscos. Visitantes e terceiros só podem ganhar acesso às áreas específicas da organização em especial aquelas que estão dentro de perímetros de segurança quando acompanhados de um funcionário responsável e com a devida autorização. É indicada a utilização de mecanismos de autenticação que gerenciem a entrada e saída de pessoas e material das áreas de segurança.

31 EQUIPAMENTOS DE SEGURANÇA Este controle visa prover dos mecanismos necessários para evitar a paralisação das atividades da organização ocasionada por danos em seus equipamentos. Para tal, devem ser adotados procedimentos que busquem a proteção física contra ameaças e perigos existente no próprio ambiente. Um problema freqüente e tratado por este controle é o acesso não autorizado aos dispositivos de processamentos. Para inibir este tipo de problema devem ser empregados mecanismos físicos que evitem o acesso desnecessário à área de processamento das informações. Outro fator de risco encontrado em áreas de processamento é o consumo de bebidas, alimentos e fumo. Tal padrão de comportamento tende a gerar vários tipos de danos aos equipamentos, portanto o consumo de alimentos, bebidas e fumo deve ser tratado pela política de segurança da organização a fim de inibir a sua ocorrência nas áreas de processamento. Problemas gerados pela falta ou alteração da tensão da corrente elétrica também devem ser levados em consideração. Quando houver o uso de mecanismos que visem evitar ou minimizar este problema os mesmos devem ser periódicamente testados e submetidos a manutenções preventivas visando com isto garantir o seu perfeito funcionamento. Os cabeamento da rede elétrica e da rede de dados devem ser protegidos contra danos e interceptações. Sempre que possível deve se utilizar passagens subterrâneas evitando desta maneira passá-los de forma aérea e por vias públicas. Devido à questão de segurança e gerenciamento somente pessoas previamente autorizadas podem realizar manutenções e instalações nos equipamentos de processamento da informação pelo mesmo motivo deve existir um registro completo de todos os processos de manutenção. Equipamentos só podem ser retirados da organização ou utilizados fora das instalações com uma autorização explicita fornecida pela administração da organização, uma vez que informações importantes podem ser expostas por descuido dos usuários.

32 CONTROLES GERAIS Estes objetivam a redução da possibilidade de divulgação e roubo de informações que pertencem à organização. Um exemplo de medida a ser adotada é a política da "tela limpa e mesa limpa". Mesmo sendo simples esta política evita que usuários não autorizados tenham acesso às informações que estão sendo manipuladas em um determinado momento no ambiente. Os terminais de trabalho devem ser mantidos desconectados quando não estiverem em uso ou protegidos por algum sistema de senha ou tranca física. Terminais de trabalho que forem abandonados por um determinado período de tempo devem realizar a desconexão automática do usuário conectado GERENCIAMENTO DE OPERAÇÕES E COMUNICAÇÕES Este visa prover os recursos necessários para facilitar o processo de gerenciamento dos mecanismos de troca de informações dentro e fora da organização e é composto dos seguintes subcontroles: _ Procedimentos e Responsabilidades Operacionais; _ Planejamento e Aceitação dos Sistemas; _ Proteção contra softwares maliciosos; _ Housekeeping; _ Gerência de Rede; _ Segurança e Manuseio de Mídias; _ Troca de Informações e Softwares CONTROLE DE ACESSO Este macro controle pode ser decomposto nos seguintes controles de segundo nível: _ Requisitos do negócio para controle de acesso; _ Gerência de acesso dos usuários;

33 33 _ Responsabilidade dos usuários; _ Controle de Acesso à rede; _ Controle de Acesso ao Sistema Operacional; _ Controle de Acesso às aplicações; _ Notificação do uso e acesso ao sistema; _ Computação móvel e trabalho remoto; Um dos objetivos destes controles é inibir os problemas de segurança gerados pelo acesso lógico não autorizado de usuários às informações da organização. Independentemente do tipo e do mecanismo de acesso deve haver um processo formal de gerenciamento dos direitos que os usuários possuem quando acessam o ambiente DESENVOLVIMENTO DE SEGURANÇA DE SISTEMAS Este controle fornece os critérios necessários para o desenvolvimento de aplicativos mais consistentes com a norma de segurança da organização e pode ser subdividido nos subcontroles de requisitos de segurança de sistemas, de segurança nos sistemas de aplicação, nos controles de criptografia, na segurança do sistema de arquivo e na segurança dos processos de Desenvolvimento e Suporte GESTÃO DA CONTINUIDADE DO NEGÓCIO Este controle se relaciona com os mecanismos necessários para o perfeito funcionamento do ambiente mesmo quando parte deste apresenta alguma falha. Este controle visa garantir a continuidade da operação do ambiente mesmo em caso de falha parcial. Alcançar o que é chamado de contingência total, ou seja, não haver paralisação do ambiente em nenhum momento de sua operação é quase impossível. Por outro lado um trabalho amplo deve ser realizado para que o tempo de paralisação do ambiente em caso de alguma falha seja tido como aceitável para o negócio da organização.

34 34 A definição deste tempo "aceitável" é dependente do modelo do ambiente e deve ser determinado durante a análise de risco do mesmo. O plano de contingência deve abranger toda a organização e levar em conta os riscos pelos quais o ambiente está exposto assim como o impacto que uma paralisação pode causar no mesmo. O plano de contingência deve gerar uma documentação que detalhe os objetivos e prioridades deste controle dentro da organização. O nível de documentação e o tempo de indisponibilidade devem estar consistentes com o nível de exigência existente no ambiente. Devido ao caráter mutante dos ambientes das organizações os planos de continuidade devem ser constantemente testados e atualizados bem como a identificação dos riscos e dos impactos devem ser feitos mediante ao uso de uma ferramenta, como a análise de risco de segurança. Um plano de continuidade pode ser dividido em cinco partes: a identificação dos procedimentos, a implementação dos procedimentos, a documentação do plano, o processo de treinamento, os testes de conformidade e as atualizações CONFORMIDADE Este macro controle abrange os aspectos legais relacionados ao uso de determinados softwares, quando e como deve ser realizada a revisão da política de segurança e como deve ocorrer o processo de auditoria. Este controle visa inibir violações legais no uso e manuseio da informação independentemente de seu tipo dentro da organização. A ISO17799 cobre os mais diversos tópicos da área de segurança possuindo mais de 100 controles que devem ser atendidos para garantir a segurança das informações de uma empresa de forma que a obtenção da certificação pode ser um processo demorado e muito trabalhoso, consistindo num desafio para as empresas. Em contrapartida a certificação é uma forma bastante clara de mostrar à sociedade que a empresa dá a segurança de suas informações e de seus clientes a importância que merecem de

35 35 tal forma que se espera que em poucos anos todas as grandes empresas terão aderido a norma e obtido suas certificações como forma de não só assegurar sua sobrevivência, mas também como parte do marketing de suas imagens junto ao público e como fator mais um diferencial de competitividade no mercado. 3.4 SITUAÇÃO ATUAL NAS EMPRESAS Os cenários sociais, tecnológicos, educacionais e econômicos têm sofrido grandes mudanças nesta virada de século com o surgimento de novas atividades e ao mesmo tempo em que outras desaparecem ou são profundamente transformadas. As tecnologias de informação e comunicação vêm tomando espaço cada vez maior na sociedade alterando de forma significativa os meios de produção e disseminação do conhecimento humano (HUGHES, 1997). O computador presente nas empresas não significa necessariamente melhoria na qualidade em relação à produtividade, diminuição dos custos operacionais e expansão no seu segmento de mercado (HAWKINS, 1995). No presente trabalho pode-se perceber que por mais que se trabalhe com esse objetivo dificilmente se conseguirá cobrir todas as lacunas que esta área proporciona. Há uma interessante passagem de autor anônimo de onde se pode partir para discutir essa questão: A Internet é segura. Eles dizem: então não se preocupe! Isso é uma verdade? Não. As pessoas de marketing estão mentindo. Ou é isso ou eles não têm absolutamente nenhuma idéia do que estão falando. A verdade é: A Internet não é segura nem mesmo moderadamente (ANÔNIMO 2000: pág. 05, Maximus Security). Estamos atravessando a era da informação, um período jamais visto desde a criação da escrita por nossos ancestrais. O crescimento das redes de computadores e o advento da Internet trouxeram grande demanda pela conectividade. As pessoas estão cada vez mais sentindo a necessidade de se interconectar e sempre na expectativa de suprir a necessidade de informação.

36 36 A cada momento somos surpreendidos por novidades tecnológicas que facilitam em muito a vida tais como recebimento de informações através dos celulares (tecnologia Wap1), geladeiras que possuem conexão com os supermercados e através da internet realizam as compras online sem a interferência do proprietário e os SmartCards2 que já podem ser recarregados com valores financeiros sem a necessidade do deslocamento até o banco. Esta revolução traz os produtos e serviços para bem próximo de nossos lares e escritórios. Cada dia mais os segmentos da economia estão se voltando para formas de disponibilização online das informações. No setor da iniciativa privada e área publica não é diferente todos estão preparando as suas estruturas para uma futura disponibilização e acesso da informação através da grande rede mundial de computadores. No Brasil poucas empresas e instituições estão valorizando este mecanismo de comunicação de forma adequada. Existem grupos de estudos na área acadêmica que enfocam os assuntos de segurança em informática, tal como a UNICAMP e a UFRGS. Estes movimentos são ainda muito isolados já que o potencial que as redes possuem de disponibilização de serviços, tais como troca de informações entre indivíduos da mesma empresa ou entre empresas (Bussiness to Bussiness), acesso interno ou externo à base de dados e conhecimento e serviços de atendimento online aos clientes de maior porte. Todos estes itens ficaram consagrados por serem burocráticos. Agora poderiam ser automatizados através das redes e principalmente no sentido de buscar a lucratividade e consolidação das transações envolvendo a informação de forma segura (HELVECIO, 1999). Na América Latina não é diferente do contexto encontrado no Brasil. Há uma carência enorme de grupos de estudos para viabilizar de forma precisa a informação dentro dos ambientes corporativos. Nos demais paises notamos uma preocupação maior por parte apenas dos ingleses e americanos. Na Inglaterra como foi observado anteriormente neste documento foi elaborado um estudo chamado de (BS-77993) no qual podemos constatar uma preocupação da segurança da informação para empresas. Esta norma possui um detalhamento muito interessante de como a empresa deve se colocar no ambiente da internet. Nos Estados Unidos estão surgindo varias empresas que oferecem serviços de implantação de procedimentos de segurança e elas estão se proliferando em uma velocidade muito alta. Estas

37 empresas estão sendo criadas com o foco de adequar corporações em relação à segurança da informação. 37 No momento atual brasileiro todos os acontecimentos na área de segurança não têm impactado em mudanças ou transformações profundas na área de segurança da informação corporativa. Com as discussões iniciais dos projetos internacionais e até mesmo os nacionais estão surgindo dentro destas empresas uma preocupação maior das pessoas envolvidas no sentido de como e quais serão as diretrizes de segurança para se alcançar, coletar, solicitar, acessar, trocar, manipular um de seus principais patrimônios: as informações que deverão circular na instituição. Antigamente nas décadas de 50 até 70 a segurança das informações e dos sistemas de computação de uma instituição não era muito preocupantes devido ao limitado acesso que se tinha a esses recursos. Em relação aos sistemas, eles eram praticamente confinados ao ambiente interno e estavam protegidos de qualquer acesso externo. Com a evolução das gerações da informática o surgimento da microinformática (IBM-PC4), a facilidade na aquisição de computadores pessoais e o advento dessas redes de computadores tornou-se possível uma integração das estruturas através das redes, um compartilhamento globalizado dos recursos (networking) e das informações (internetworking). A segurança das informações passou a ser uma área crítica, pois quanto maior a facilidade de acessá-las maior a probabilidade de usuários externos compartilhares também desse acesso (NORTHCUTT, 2001). Com o crescimento do uso da informática e telecomunicações dentro das corporações e sua integração com os usuários dessas facilidades mudou-se o paradigma de segurança. Na época dos mainframes quando ainda não existia a comunicação entre as redes o objetivo central era a proteção dos dados dentro do CPD (Centro de Processamento de Dados) e a sua utilização em terminais sem capacidade de processamento e armazenamento local era a época da segurança de dados. Hoje os ambientes são heterogêneos, as empresas possuem um parque de informática muito híbrido com equipamentos cujas velocidades, espaços de armazenamento, recursos e periféricos se diferenciam entre as demais máquinas. Os riscos são diferentes nas diversas arquiteturas de computadores, de redes e ainda por cima com sistemas operacionais diferentes

38 38 dentro do mesmo local. Existem novas ameaças e as vulnerabilidades estão sempre aumentando. Dependemos não somente do computador local, mas da informação armazenada em lugares distantes e em várias mídias desde Compact Disc até meios magnéticos tais como discos rígidos redundantes e fitas com alta capacidade de armazenamento. A definição e adoção de uma política de segurança de rede tornam-se fundamental, pois coloca a informática sob controle evitando perda de produtividade, aumentando a disponibilidade dos sistemas e protegendo as informações contra qualquer tipo de uso indevido. Hoje vivemos um período de grandes avanços tecnológicos principalmente nas áreas de telecomunicações e transporte de informações entre as intranets, extranets e internet. O fácil acesso à Internet tanto na empresa quanto no próprio domicilio, leva as pessoas a exigir uma forma mais segura e adequada para acessar a informação. As empresas espalhadas por todo o Brasil começaram a se preocupar com a importância da facilitação e disponibilização de sua estrutura através das intranets, extranets e internet. No âmbito das empresas públicas os recursos são mais difíceis e demorados. Já no caso das particulares a disponibilização de serviços de rede primando pela segurança está sendo encarada como um diferencial no sentido de ser um atrativo a mais para novos clientes até mesmo para os clientes fiéis. Os ambientes corporativos estão se tornando extremamente complexos integrando vários sistemas operacionais o que dificulta ainda mais o planejamento por parte dos administradores de redes. As informações geradas internamente precisam de tratamento muito cuidadoso antes de ser disponibilizadas. A necessidade de segurança para a proteção destes dados organizacionais exige um instrumento que garanta a sua integridade. Começa a despertar uma conscientização em nível de segurança das informações em todos os lugares onde a informática está presente. E as empresas já pensam neste assunto com uma maior seriedade. A democratização da informação e quais os critérios para a sua utilização se tornaram questão de sobrevivência para estas empresas (PFLEEGER, 1997).

39 39 As premissas básicas em relação à segurança relacionadas ao acesso das informações são: confidencialidade, integridade e disponibilidade. A partir daí buscar-se-á a elaboração de uma política de segurança de redes adequada à natureza das organizações. Os benefícios evidentes são: reduzir os riscos com vazamentos, fraudes, erros, uso indevido, sabotagem, roubo de informações e diversos outros problemas que possam comprometer os princípios básicos que norteiam a segurança de redes citadas acima. Esta política de segurança visa também aumentar a produtividade dos usuários em um ambiente mais organizado e com regras O uso com maior intensidade da internet e com maior freqüência nas empresas aumentou a vulnerabilidade de suas próprias redes internas com a abertura de novas portas para a quebra de segurança. O pré-estabelecimento com a implantação de regras e rotinas, ou seja, o estabelecimento de uma política interna na qual todos estejam envolvidos, dificultará os ataques e a perda da integridade dessas informações. O primeiro passo na busca de uma solução precisa em relação ao tema será a identificação do que realmente se deve proteger, de quem se está tentando proteger, qual a possibilidade real dessas ameaças, levantamento de dificuldades em uma implementação de medidas de proteção nas quais protegerão de maneira efetiva os recursos importantes e como será feito o processo contínuo de revisão com a finalidade de melhorar cada vez mais e estar sempre em busca de identificar supostas fraquezas. Existe um velho axioma em segurança que diz: O custo de se proteger contra uma ameaça deve ser menor que o custo da recuperação se a ameaça o atingir (DAVIS, 1997). Neste contexto custo significa incluir perdas expressadas em moeda corrente real, reputação da empresa, confiança e outras medidas menos óbvias. Com a integração de todos os serviços e sua disponibilização a empresa poderá se tornar foco de tentativas de rompimento da segurança interna. Várias portas poderão ficar abertas caso não haja a preocupação constante com a política de proteção a ser implementada. As decisões que o administrador tomará vão determinar a vulnerabilidade na rede. A apresentação dos serviços que serão fornecidos, a facilidade de uso, o custo da segurança versus o risco da perda serão os fatores mais importantes nesta proposta de pesquisa.

40 40 Uma política de segurança no ambiente corporativo será a expressão das regras pelas quais poderá ser fornecido o acesso aos recursos tecnológicos da empresa. O principal propósito será estabelecer tais regras, de que forma serão disseminadas e especificar através de quais mecanismos podem ser alcançadas. Outro propósito será determinar um ponto de referência a partir do qual se possa configurar e auditar os sistemas computacionais e as redes envolvidas para que sejam adequados aos requisitos de segurança. Os componentes a serem avaliados são: autenticação, acesso, privacidade, relatórios de violações, procedimentos de backup e recuperação, combate a vírus, monitoração e análise de dados, parte física, parte lógica, responsabilidades, manutenção de toda a estrutura de forma a não prejudicar as pessoas envolvidas no ambiente, guias de orientação para compra de tecnologias computacionais que especifiquem os requisitos ou características que os produtos deverão possuir correlacionados com segurança e um meio pelo qual os usuários dessa estrutura poderão relatar problemas e falhas (SCHNEIER, 2001). Uma vez feito um estudo aprofundado sobre estes componentes deve haver um plano de contingência que deverá estar disponível, testado e atualizado de forma a assegurar o funcionamento da estrutura da rede nas situações de emergência ou desastre. A tendência de mercado neste momento mostra uma crescente preocupação em relação à segurança no contexto da informática. O país deverá nos próximos anos trabalhar muito com este tema em busca de soluções viáveis e que garantam as premissas básicas de segurança Políticas de segurança para as informações deverão ser colocadas em prática para que as empresas possam realmente confirmar o seu importantíssimo papel na sociedade capitalista. 3.5 O VERDADEIRO VALOR DAS EMPRESAS CERTIFICADAS Qual o verdadeiro valor de uma certificação em segurança da informação? O quanto vale uma certificação (BS 7799) e agora (ISO 27001) para empresas verdadeiramente preocupadas com seus ativos de informação?

41 41 Em primeiro lugar o nível de comprometimento e investimentos (segurança não é custo e agrega valor sim) requer esforços bem direcionados de dirigentes e colaboradores de toda empresa. Até aqui nenhuma novidade, gestores e demais profissionais de segurança já sabem disto. Em segundo lugar (o que também não é novidade) é necessário desenvolver diversos projetos de segurança, mapear processos, estabelecer diretrizes e procedimentos, conformidade com as normas, análise de riscos, análise de impactos, planos de continuidade e recuperação de desastres, normas, regulamentos e políticas de segurança. Vamos destacar as políticas de segurança, que serão à base da nossa gestão em segurança: controle de acesso, classificação da informação, privacidade de dados, Internet, , uso de equipamentos, uso de portáteis, recursos humanos e dependendo da estrutura da empresa outras poderão ser necessárias. Estamos falando em certificação, conformidade com as normas internacionais, então precisa - se mais de: padronização de processos e documentação, auditorias periódicas, sistema de reporte estruturado e de conhecimento por todos os colaboradores (ou usuários, como prefere a ISO 17799:2005), indicadores de performance e planos de divulgação e conscientização, buscando a tão sonhada cultura de segurança. Cultura que definimos como a percepção da importância da segurança de nossas informações. Preocupação que deve ser de todos que fazem parte da empresa sem exceções. Este é o ponto que queremos chegar: cultura de segurança. Todos estes esforços geralmente buscam um melhor reconhecimento no mercado e confiança dos atuais e futuros clientes. Um pensamento sempre presente nos dirigentes diz respeito ao crescimento sustentado Com uma certificação e excelência em determinada área de gestão. Mas será que nossos clientes efetivamente percebem a importância e o valor desta certificação? Podemos afirmar que as pessoas preferem ser clientes de um Banco, por exemplo, que possui certificação e reconhecimento mundial em segurança da informação? Não temos dados estatísticos nem informações oficiais e íntegras para afirmar que não. Certamente existem pessoas que preferem trabalhar com instituições comprovadamente preocupadas com a segurança de suas informações. O verdadeiro valor e os principais benefícios de uma certificação bem sucedida dizem respeito à criação de uma verdadeira cultura de segurança. O maior ganho é a percepção dos colaboradores em relação à

42 42 importância de preservar os ativos de informação, dar o tratamento adequado a dados sigilosos, garantir a segurança da empresa e das pessoas que trabalham nela. Com o conhecimento de que as informações são cada vez mais vitais para os processos de negócios e sobrevivência das organizações, e que os ativos de informação se configuram como os mais valiosos dos ambientes corporativos é que podemos avaliar o retorno dos investimentos e que a certificação tem muito valor sim. Toda esta energia desprendida não objetiva apenas um certificado e reconhecimento por profissionais de segurança e demais organizações sejam elas concorrentes ou não. O verdadeiro valor está na nossa própria casa e no quanto as pessoas irão trabalhar para preservar nossos maiores ativos. 3.6 CONSIDERAÇÕES A segurança eletrônica esta cada vez mais ocupando uma das primeiras posições em prioridades de investimento das empresas. Entende-se que um projeto de segurança além de definir as tecnologias a serem utilizadas deve contemplar também a definição dos procedimentos para que a solução seja realmente efetiva. A política de segurança norteará todo o sistema de segurança de acesso à rede. Por se tratar de uma definição política não existe um produto pronto e que seja facilmente encontrado no mercado tendo de ser desenvolvido em conjunto com a necessidade de cada empresa. O resultado desta analise será um produto focando as características de disponibilidade da informação. As normas e procedimentos que refletem as diretrizes das empresas no item segurança tais como definições de formas de conexões, procedimentos operacionais, escopo de responsabilidade dos usuários e administradores, políticas de utilização de senhas, procedimentos para situações de contingência, procedimentos de recuperação da rede em caso de violações e as penalidades a serem aplicadas. A monitoração da solução de segurança de acesso à rede não tem garantia eterna. Estas soluções são seguras apenas enquanto não são violadas. Existe a necessidade de monitorar permanentemente as soluções de segurança definidas. Sendo a única forma de evitar surpresas

43 43 quase sempre desagradáveis. O produto tem que ser criado de forma a se adequar a esta necessidade através do qual determina os procedimentos necessários para a monitoração contínua e em tempo real da segurança. Contemplando o aprimoramento das soluções de segurança (política e arquitetura) através do acompanhamento de casos sobre problemas de segurança já ocorridos, evitando que os mesmos ocorram novamente. Para empresas que já implantaram uma norma ou solução de segurança de rede a realização de testes coordenados para verificar os pontos vulneráveis eventualmente existentes sempre será necessária. Estes testes simulam a ação de um invasor (interno ou externo) dotado de grande conhecimento e recursos. Após os testes sua empresa tem um diagnóstico preciso com as indicações de melhorias a serem adotadas. Outra forma de atuação nesta área será a contemplação de planos de atendimentos emergenciais diante de ataques de hackers, crackers e outros agentes externos ou internos. Determinando metodologias eficientes para rastrear evidências e apresentando um plano de ação imediata para intervenção e bloqueio da vulnerabilidade exposta. A necessidade de organizar a segurança da informação no ambiente corporativo de forma que estas informações somente serão acessadas pelos respectivos interessados e uma ampla facilidade de consulta buscando sempre o conforto do cliente, do fornecedor ou de qualquer pessoa que faça parte deste universo independente de onde estiver de preservar a imagem da empresa perante o mercado e para finalizar de nada adianta saber dos itens citados na ISO se não conhecer quais são as ameaças à segurança da informação.

44 44 4 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO A segurança sempre foi encarada sob o ponto de vista tecnológico, mas essa estratégia precisa ser contemplada como um problema empresarial. Segundo dados do Gartner Group que realiza a 2a. Conferência Anual de Segurança no Infocosmo a partir de 2005 a informação seria o ativo mais importante para as empresas e para isso cuidar da infra-estrutura física e virtual deveria ser tópico primordial nos processos de negócios das companhias. Porém a maioria das empresas ainda não encontrou o caminho certo para investir em segurança. (ISTF, 2002). Uma ameaça consiste em uma possível violação da segurança de um sistema. Neste capítulo, serão abordados alguns tipos de ameaças e ataques mais frequentes que comprometem as informações das empresas. 4.1 HACKERS A imagem produzida no senso comum para a figura do hacker é a do jovem que passa o dia inteiro na frente de um computador, conhecedor dos segredos da informática e dos caminhos nas conexões via Internet. Essa visão não está longe da realidade. No entanto a definição maior do termo surge do efeito que essas atividades podem gerar. O conhecimento das ferramentas que acionam e regem sistemas e programas podem ser usados para democratizar informações ou para atos criminosos. As atividades possíveis através do domínio da ciência da computação vão desde pequenas invasões em páginas da Internet sem maiores conseqüências até desvio de grandes quantias de dinheiro em contas bancárias. Por outro lado o domínio da máquina pode promover a divulgação do conhecimento que não interessa a grupos econômicos e governos ditatoriais. (HACKERS, 2005). Há muita controvérsia em relação à palavra hacker. Na sua origem nos anos 60 era usada para designar as pessoas que se interessavam em programar computadores. Passados mais de quarenta anos após o surgimento do computador pessoal e da Internet o sentido da palavra hacker mudou e hoje ela é usada nos noticiários para definir invasores de sistemas alheios e

45 45 até autores de crimes eletrônicos para desespero dos hackers originais. Os hackers da velha guarda defendiam a categoria e um código de ética. Outros que também se intitulam hackers promovem invasões, a disseminação de vírus por computador e gostam de divulgar seus codinomes. Há até a tentativa de classificar os hackers como pessoas que promovem a liberdade de expressão e de informações e os crackers como causadores de prejuízo. Mas essa classificação também gera uma confusão de sentidos. A palavra cracker vem do verbo em inglês "to crack" significando aqui quebrar códigos de segurança. Mas, muitas vezes para promover a livre informação é preciso "crakear" fazendo do legítimo hacker também um cracker. 4.2 HACKERS ROMÂNTICOS Entre a comunidade hacker mundial há os que propagam uma ideologia e uma ética própria que remontam o romantismo da origem do termo no final dos anos 60. O filósofo finlandês (HIMANEN, 2001) defende em seu livro A Ética dos Hackers e o espírito da era da informação que os legítimos hackers lutam pela liberdade de expressão e pela socialização do conhecimento. Ele divide a categoria em duas vertentes: os libertários hackers e os contraventores crakers que buscam senhas bancárias e dados sigilosos de empresas. (HIMANEN, 2001) que é professor na Universidade de Helsinque e de Berkeley na Califórnia enumera várias atuações significativas de hackers que revolucionaram o mundo digital. Entre elas estão: a criação do sistema Linux, por Linus Torvalds em 1991 que tem o código-fonte aberto e pode ser adquirido livremente com os aplicativos disponíveis na Internet e a criação do formato MP3 e do programa Napster para troca de músicas através da Internet. Para o filósofo os hackers também foram importantes para garantir a liberdade de expressão na Guerra de Kosovo divulgando na Internet informações de rádios censuradas e levando informações para a China atuando contra a censura oficial. São os ecos da contracultura de

46 46 uma geração acostumada a protestar. Essa geração criou a revolução digital e os remanescentes que não se alinharam com as grandes empresas como a Microsoft, criaram a ideologia hacker. 4.3 HACKERS PERIGOSOS Existem várias formas de testar sistemas de segurança e provar o talento de hackers com más intenções. As primeiras lições são as brincadeiras de invadir páginas e sistemas de empresas que contam pontos no currículo dessa espécie de hacker. No Brasil há vários sites que promovem aulas de linguagem de computadores (Java, Flash e etc.) para invadir e danificar outros sites e salas de bate-bapo para troca de informações. A absorção dos hackers pelo mercado de trabalho na área de segurança é um caminho para os que se destacam. O conhecimento adquirido acaba sendo usado profissionalmente com boa remuneração. Há um grande mercado de serviços de empresas que vendem a proteção dos sistemas de computadores e no caso da Sans, até promove campeonato entre hackers. É uma boa forma de propagar os perigos de um sistema sem segurança e de incentivar as invasões para se criar à necessidade do produto. Esta lei de mercado cibernético também vale para as grandes empresas que fabricam programas antivírus e se beneficiam da imensa quantidade de novos vírus produzidos mensalmente em escala mundial. Independente da definição utilizada a quantidade de redes e sites invadidos tem aumentado exponencialmente nos últimos anos. (MC CLURE et al, 2000) afirmam que os crackers utilizam técnicas para a realização do levantamento de informações e seguem normalmente uma seqüência de passos. Alguns desses passos são descritos de maneira sintética abaixo: _ Footprint perfil: Nesse passo inicial o invasor procura coletar o máximo de informações sobre o alvo a ser atingido. É a fase mais relevante para o invasor de sistemas para que obtenha êxito em uma tentativa de intrusão _ Varredura: Processo pelo qual o invasor depois de escolhido o alvo passa a verificar todas as portas e "janelas" a procura de sistemas ativos e alcançáveis. Pode-se definir a varredura de

47 47 portas como um tipo de ataque que envia solicitações a uma faixa de portas do servidor com o objetivo de encontrar portas ativas para no próximo passo explorar as vulnerabilidades conhecidas desse serviço. Para não chamar a atenção o cracker pode efetuar essa varredura lentamente utilizando várias ferramentas. _ Enumeração: Se o cracker já tiver encontrado alguma vulnerabilidade conhecida pelos passos anteriores inicia então o processo pelo qual tentará com a ajuda dos dados já obtidos nos passos anteriores identificar recursos e compartilhamento de redes mal protegidas, serviços ativos através de scanners de portas como também as características especiais de uma topologia como, por exemplo, se respectivos servidores encontram se em Load Balance. Pode também enumerar roteadores ou ainda a identificar sistemas de Firewalls. Existem vários tipos de ataque que utilizados sozinhos ou em conjunto podem invadir um sistema de redes. Os principais meios de ataque são: _ Password cracking ou quebra de senha: Atividade em que o cracker tenta descobrir as senhas de acesso de um usuário capturado pelo processo de sniffing, por exemplo. Quando a senha está criptografada pode usar um algoritmo ou a chamada força bruta, (uma técnica de criptoanálise onde se tenta toda a possibilidade possível, uma a uma). Nesse tipo de ataque o invasor utiliza programas com dicionários de palavras já conhecidas e suas combinações. Com a velocidade atual dos computadores um programa desse tipo tem condições de efetuar milhares de tentativas em pouco tempo. Uma senha que utilize uma palavra em português ou inglês com uma criptografia fraca não deverá ser um alvo difícil para esse tipo de programa. O uso da password cracker pode ser legítimo quando administradores de segurança quiserem detectar senhas fracas e substituí-las para melhorar a segurança do sistema. _ Ping of Death (Ping da morte), Denial of Service (Negação de serviço): Ele consiste em enviar um pacote IP com tamanho maior que o máximo permitido (65535 bytes) para a máquina que se deseja atacar. O pacote é enviado na forma de fragmentos (a razão é que nenhum tipo de rede permite o tráfego de pacotes deste tamanho) e quando a máquina destino tenta montar estes fragmentos, inúmeras situações podem ocorrer: a maioria das máquinas trava, algumas reinicializam, outras abortam e mostram mensagens no console, etc. Praticamente todas as plataformas eram afetadas por este ataque e todas as que não tiveram correções de segurança instaladas ainda o são. Este ataque recebeu o nome de Ping of Death

48 48 porque as primeiras ocorrências deste ataque foram a partir do programa Ping, entretanto qualquer pacote IP com mais de (pacote inválido) provoca o mesmo efeito. A RFC 2828 afirma que este tipo de ataque só causa parada ou lentidão excessiva e não possui a finalidade de invadir uma rede ou roubar informações de dentro dela e sim de parar o funcionamento da rede. [Cross, 2000] complementa definindo-os como muito difíceis de prevenir, pois exploram uma falha na tecnologia básica da comunicação da Internet. Uma variante do Denial of Service são os temidos (DDOS) (Distributed Denial of Service) que é um tipo de ataque complexo e que não possui soluções fáceis. _ Sniffing: Definido pela (RFC 2828) como sendo o ato de escutar passivamente os dados de uma rede a procura de senhas de acesso. O padrão Ethernet envia um pacote para todas as máquinas em um mesmo segmento. O cabeçalho do pacote contém o endereço da máquina destino. Supõe-se que somente a máquina que tenha o endereço contido no pacote receba-o. Diz-se que um computador está em modo promíscuo quando o mesmo captura todos os pacotes, independentemente de serem ou não destinados a ele. Em um ambiente de rede normal, os nomes e as senhas dos usuários são passadas através da rede em claro, ou seja, texto não criptografado. Não é difícil, portanto um intruso utilizando uma máquina com interface de rede em modo promíscuo obter qualquer senha inclusive a do administrador usando um sniffer. _ Spoofing Ttipo de ataque que usa o disfarce. Muitas comunicações entre computadores na Internet se baseiam em parceiros confiáveis. Um computador X pode manter uma comunicação com um computador Y de forma que não seja necessária a constante verificação de autenticidade entre eles. O hacker então se disfarça dizendo para o computador X que ele é o computador Y. Desta forma o computador X vai aceitar seus comandos tranqüilamente sem nada perceber. Este tipo de ataque só pode ser eficazmente prevenido através de um controle apurado de todos os computadores da rede local que compartilham o mesmo meio físico ou através de uma comunicação confiável baseada em aplicativos de criptografia. São muitas as dificuldades em se encontrar um atacante na Internet. O protocolo utilizado na Internet (TCP / IP) possui em seu corpo o endereço de origem e de destino. Mas, como no envio comum de cartas o endereço do remetente pode ser falso, modificado através de

49 49 spoofing. Além disso, como não existem barreiras geográficas, administrativas e políticas na Internet pode ser difícil conseguir cooperação de outros países (que não foram alvos do ataque) para traçar a origem do mesmo. Ou seja, os atacantes podem usufruir de uma certa "proteção" devido a falta de ajuda internacional para perseguir o cracker. (MORRIS, 2001) acrescenta outras dificuldades como a falta de informações e arquivos de longo acesso ao sistema, alguns provedores de acesso a Internet não possuem ou não mantém o tempo suficiente dos arquivos de logs das conexões que proveu e os crackers experientes alteram os arquivos de log das vítimas escondendo as evidências de seus crimes. 4.4 VÍRUS São pequenos segmentos de códigos programados ormalmente com más intenções ue têm a característica de se agregar ao código de outros programas. Assim que são executados disparam o código aliciosamente lterado a fim de causar modificações indevidas no processamento normal do sistema em que este se encontra causando (ou não) danos de leves a irreparáveis. Para os usuários em geral, qualquer tipo de código malicioso que apague os dados ou atrapalhe o funcionamento dos computadores é chamado de vírus. Segundo as empresas fabricantes de softwares antivírus Symantec e McAfee o primeiro vírus de computador conhecido surgiu no ano de (1986) e era chamado Brain. Era um vírus de boot (atacava o setor de inicialização do disco rígido e se propagava através de um disquete de boot infectado). Atualmente o número de vírus tem crescido diariamente. Vários fatores contribuíram para esse aumento dentre os quais pode se citar a explosão do uso da Internet devido à facilidade de se trocar informações e experiências para construção e programação dos vírus e o surgimento de kits para fabricar vírus. Atualmente existem ferramentas disponíveis gratuitamente na Internet que fabricam vírus e o usuário não precisa nem saber programar para construir um vírus. Como exemplo pode se citar co vírus Antraz, feito a partir de um kit de criação de vírus que se aproveitou da onda de medo em torno do bioterrorismo no mês de (Outubro / 2001). Não causou grandes danos por erros cometidos pelo seu criador devido à falta de experiênca com programação (MÓDULO 2004).

50 50 Essa quantidade enorme de vírus atualmente existente provoca grande perda financeira alem de causar grandes problemas à imagem das empresas afetadas. Essas perdas englobam valores financeiros causados pelos vírus devido ao tempo que os equipamentos deixaram de funcionar: perda de produtividade, gastos com reconfigurações de servidores com desinfecção dos servidores e das estações de trabalho, treinamento para remoção dos vírus, recuperação de informações perdidas, entre outras rotinas que ocasionaram perda de tempo produtivo na empresa. Abaixo as estatísticas dos gráficos da Figura 1 e Figura 2 comprovam a quantidade de Incidentes (ataques, 1999 a junho de 2006). (Anexo C). Figura 1. Incidentes Reportados ao CERT. Br-1999/Junho de Http: //www.cert.br/stats/incidentes. Acesso em: 27 Jul 2006 Figura 2.Incidentes Reportados ao CERT.Br -Abril/Junho de Http: //www.cert.br/stats/incidentes. Acesso em: 27 Jul 2006.

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

COMPUTAÇÃO APLICADA À ENGENHARIA

COMPUTAÇÃO APLICADA À ENGENHARIA Universidade do Estado do Rio de Janeiro Campus Regional de Resende Curso: Engenharia de Produção COMPUTAÇÃO APLICADA À ENGENHARIA Prof. Gustavo Rangel Globalização expansionismo das empresas = visão

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS

REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS Autor(a): Tatiene Rochelle Santana Melo Coautor(es): Gliner Dias Alencar INTRODUÇÃO Com o aumento

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP Título : Política institucional de segurança da informação. Capítulo : Índice Seção : Capítulo Seção Item Descrição 3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

PLANO DIRETOR DE SEGURANÇA

PLANO DIRETOR DE SEGURANÇA PLANO DIRETOR DE SEGURANÇA Dezembro de 2006 REGOV 1.0 6/12-2006 - 2 - Índice Apresentação...3 1. Introdução... 4 2. Análise de... 6 3. Domínios de... 7 MECANISMOS DE PROTEÇÃO DA REDE GOVERNAMENTAL... 8

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.

Leia mais

BANCO POSTAL - Plataforma Tecnológica

BANCO POSTAL - Plataforma Tecnológica BANCO POSTAL - Plataforma Tecnológica 1. Arquitetura da Aplicação 1.1. O Banco Postal utiliza uma arquitetura cliente/servidor WEB em n camadas: 1.1.1. Camada de Apresentação estações de atendimento, nas

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa.

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa. Boas Práticas de Segurança da Informação Regras para proteção de dados de cartões para a pequena e média empresa. Prezado Cliente, A constante evolução da tecnologia está sempre rompendo paradigmas, tornando

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

E-learning: O novo paradigma da educação e suas questões de segurança

E-learning: O novo paradigma da educação e suas questões de segurança E-Learning MBA Gestão de Sistemas de Informação Segurança na Informação Professor: Ly Freitas Grupo: Ferdinan Lima Francisco Carlos Rodrigues Henrique Andrade Aragão Rael Frauzino Pereira Renata Macêdo

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Security Officer Foundation

Security Officer Foundation Security Officer Foundation As comunicações e os meios de armazenamento das informações evoluíram mais nestes últimos anos do que em outro tempo na história conhecida. A internet comercial foi consolidada

Leia mais

O IMPACTO DA IMPLEMENTAÇÃO DA NORMA NBR ISO/IEC 17799 CÓDIGO DE PRÁTICA PARA A GESTÃO DA SEGURANÇA DA INFORMAÇÃO - NAS EMPRESAS

O IMPACTO DA IMPLEMENTAÇÃO DA NORMA NBR ISO/IEC 17799 CÓDIGO DE PRÁTICA PARA A GESTÃO DA SEGURANÇA DA INFORMAÇÃO - NAS EMPRESAS O IMPACTO DA IMPLEMENTAÇÃO DA NORMA NBR ISO/IEC 17799 CÓDIGO DE PRÁTICA PARA A GESTÃO DA SEGURANÇA DA INFORMAÇÃO - NAS EMPRESAS Alex Delgado Gonçalves Casanas Universidade Federal de Santa Catarina (UFSC);

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E b o o k E x c l u s i v o SEGURANÇA DA INFORMAÇÃO P r i n c í p i o s e A p l i c ações Especialista em Serviços Gerenciados de S e g u r a n ç a de Perímetro Sumário Princípios Conceito P.3 Breve Histórico

Leia mais

Política de Uso e Segurança dos Recursos de TI

Política de Uso e Segurança dos Recursos de TI 1 Política de Uso e Segurança dos Recursos de TI Conceitos Desenvolvimento da Informática no Brasil Por que ter segurança? Principais Vulnerabilidades Principais Ameaças às Informações Exemplos de Problemas

Leia mais

Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE. Revisão 02

Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE. Revisão 02 Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE Revisão 02 As informações contidas neste documento são restritas à ALCE, não podendo ser divulgadas a terceiros

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Atividade Capitulo 6 - GABARITO

Atividade Capitulo 6 - GABARITO Atividade Capitulo 6 - GABARITO 1. A Internet é uma força motriz subjacente aos progressos em telecomunicações, redes e outras tecnologias da informação. Você concorda ou discorda? Por quê? Por todos os

Leia mais

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO 1 OBJETIVOS 1. Por que sistemas de informação são tão vulneráveis a destruição, erro, uso indevido e problemas de qualidade de sistemas? 2. Que tipos de controles

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Segurança de Redes e Internet

Segurança de Redes e Internet Segurança de Redes e Internet Prof. MSc Thiago Pirola Ribeiro sg_02 alqbarao@yahoo.com.br 1 Guia Básico para Segurança de uma Rede Identificar o que se está tentando proteger; Identificar contra quem está

Leia mais

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO Capítulo 14 SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO 14.1 2003 by Prentice Hall OBJETIVOS Por que sistemas de informação são tão vulneráveis veis a destruição, erro, uso indevido e problemas de

Leia mais

SEGURANÇA DE INFORMAÇÕES

SEGURANÇA DE INFORMAÇÕES SEGURANÇA DE INFORMAÇÕES Data: 17 de dezembro de 2009 Pág. 1 de 11 SUMÁRIO SUMÁRIO 2 1. INTRODUÇÃO 3 2. FINALIDADE 3 3. ÂMBITO DE APLICAÇÃO 3 4. PRINCÍPIOS GERAIS DE UTILIZAÇÃO DOS RECURSOS DE INFORMAÇÃO

Leia mais

Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança.

Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança. Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança. Net View & Panda Managed Office Protection É fato, tanto pequenas e médias e grandes empresas enfrentam os mesmos riscos

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

SEGURANÇA E AUDITORIA DE TI

SEGURANÇA E AUDITORIA DE TI 1 SEGURANÇA E AUDITORIA DE TI Objetivos - Identificar diversos tipos de controles de sistemas de informação, controles de procedimentos e controles de instalações e explicar como eles podem ser utilizados

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

Segurança Física e Segurança Lógica. Aécio Costa

Segurança Física e Segurança Lógica. Aécio Costa Segurança Física e Segurança Lógica Aécio Costa Segurança física Ambiente Segurança lógica Programas A segurança começa pelo ambiente físico Não adianta investir dinheiro em esquemas sofisticados e complexos

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ:

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: Dados da Empresa Dados da SYSTEMBRAS SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: 00.000.000/0001-00 Rua Paramoti, 04 Vila Antonieta SP Cep: 03475-030 Contato: (11) 3569-2224 A Empresa A SYSTEMBRAS tem como

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital.

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital. Aker FIREWALL UTM Fortaleza Digital Sua empresa mais forte com uma solução completa de segurança digital. Ideal para o ambiente corporativo, com o Aker Firewall UTM você tem o controle total das informações

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

Módulo 6: Segurança da TI

Módulo 6: Segurança da TI 1 Módulo 6: Segurança da TI 6.1. Questões de Segurança da TI Discute como se pode promover a qualidade e segurança dos sistemas de informação por uma diversidade de controles, procedimentos e instalações.

Leia mais

ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos

ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos Prof. Carlos Faria (adaptação) 2011 DESAFIOS ÉTICOS E DE SEGURANÇA Emprego Privacidade Saúde Segurança Ética e Sociedade Crime Individualidade Condições

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Introdução a Segurança da Informação

Introdução a Segurança da Informação Introdução a Segurança da Informação Caio S. Borges 1, Eduardo C. Siqueira 1 1 Faculdade de Informática Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS) CEP 90.619-900 Porto Alegre RS Brasil

Leia mais

Segurança a da Informação Aula 02. Aula 02

Segurança a da Informação Aula 02. Aula 02 Segurança a da Informação 26/9/2004 Prof. Rossoni, Farias 1 Segurança a da Informação é: Cultura, Cidadania, Desenvolvimento pessoal e social, Competitividade, Influência e poder, Imprescindível para a

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

SI- Sistemas de Informação. Professora: Mariana A. Fuini

SI- Sistemas de Informação. Professora: Mariana A. Fuini SI- Sistemas de Informação Professora: Mariana A. Fuini INTRODUÇÃO A informação é tudo na administração de uma organização. Mas para uma boa informação é necessário existir um conjunto de características

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Roubo de identidade Hackers e cibervandalismo Roubo de informações pessoais (número de identificação da Previdência Social, número da

Leia mais

1 Introdução 1.1. Segurança em Redes de Computadores

1 Introdução 1.1. Segurança em Redes de Computadores 1 Introdução 1.1. Segurança em Redes de Computadores A crescente dependência das empresas e organizações modernas a sistemas computacionais interligados em redes e a Internet tornou a proteção adequada

Leia mais

Programas Maliciosos. 2001 / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador

Programas Maliciosos. 2001 / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador Programas Maliciosos 2001 / 1 Segurança de Redes/Márcio d Ávila 182 Vírus de Computador Vírus de computador Código intruso que se anexa a outro programa Ações básicas: propagação e atividade A solução

Leia mais

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma 6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma empresa. Diferente do senso comum o planejamento não se limita

Leia mais

TESTE. Sua empresa está em conformidade com a ISO 27002? POLÍTICA DE SEGURANÇA. 2. Algum responsável pela gestão da política de segurança?

TESTE. Sua empresa está em conformidade com a ISO 27002? POLÍTICA DE SEGURANÇA. 2. Algum responsável pela gestão da política de segurança? TESTE Sua empresa está em conformidade com a ISO 27002? O objetivo do teste tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações de Segurança

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

PORTARIA Nº 7876. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que lhe confere a Legislação vigente,

PORTARIA Nº 7876. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que lhe confere a Legislação vigente, PORTARIA Nº 7876 Dispõe sobre a Norma PSI/N.0001 - Utilização da Estação de Trabalho, nos termos dos arts. 20 e 24, da Resolução nº 041/2010-SPDE. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação (Extraído da apostila de Segurança da Informação do Professor Carlos C. Mello) 1. Conceito A Segurança da Informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido,

Leia mais

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br Campanha da Política de Segurança da Informação Antonio Rangel arangel@modulo.com.br Um Caso Real Gestão de Riscos, Implementação de Controles, Correção, Plano de Contingência, Workflow, Gestão, Auditoria,

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós!

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós! Prezado Colaborador, O conteúdo desta cartilha tem como objetivo compartilhar alguns conceitos relacionados ao tema Segurança da Informação. Além de dicas de como tratar os recursos e as informações corporativas

Leia mais

Conceitos de Segurança em Sistemas Distribuídos

Conceitos de Segurança em Sistemas Distribuídos Conceitos de Segurança em Sistemas Distribuídos Francisco José da Silva e Silva Laboratório de Sistemas Distribuídos (LSD) Departamento de Informática / UFMA http://www.lsd.ufma.br 30 de novembro de 2011

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

André Campos Sistema de Segurança da Informação Controlando os Riscos 2 a Edição Visual Books Sumário Parte I - Sistema de Gestão 13 1 Conceitos Essenciais 15 1 1 Informação 15 1 2 A Informação e sua Importância

Leia mais