Segurança da informação em ambientes corporativos: analise de segurança da informação do Distrito do Goturuba e verificação da adequação a NBR ISO/IEC 27002:2005

  • 5,980 views
Uploaded on

 

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
5,980
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
192
Comments
0
Likes
2

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 1 Diego Villendel Rodrigues RochaSEGURANÇA DA INFORMAÇÃO EM AMBIENTES CORPORATIVOS: ANÁLISE DE SEGURANÇA DA INFORMAÇÃO DO DISTRITO DO GORUTUBA E VERIFICAÇÃO DA SUA ADEQUAÇÃO À NBR ISO/IEC 27002:2005 Monografia apresentada ao Curso de Engenharia da Computação da Faculdade de Ciência e Tecnologia de Montes Claros, como parte dos requisitos para obtenção do diploma de Engenheiro da Computação. Orientador: PROF. RODRIGO CAETANO FILGUEIRA Montes Claros 2012
  • 2. 2 FUNDAÇÃO EDUCACIONAL MONTES CLAROS Faculdade de Ciência e Tecnologia de Montes Claros Diego Villendel Rodrigues RochaSEGURANÇA DA INFORMAÇÃO EM AMBIENTES CORPORATIVOS: ANÁLISE DE SEGURANÇA DA INFORMAÇÃO DO DISTRITO DO GORUTUBA E VERIFICAÇÃO DA SUA ADEQUAÇÃO À NBR ISO/IEC 27002:2005 Esta monografia foi julgada adequada como parte dos requisitos para a obtenção do diploma de Engenheiro da Computação aprovada pela banca examinadora da Faculdade de Ciência e Tecnologia de Montes Claros. ______________________________________ Prof. Maurílio José Inácio Coord. do Curso de Engenharia da ComputaçãoBanca ExaminadoraProf. Rodrigo Caetano Filgueira, FACIT/(Orientador) _______________________________________Prof. Ms. Leonardo Santos Amaral _______________________________________ Montes Claros, 26 de novembro de 2012
  • 3. 3Dedico este trabalho as pessoas que viram nosmeus olhos não apenas um sonho, mas sim obrilho de quem sonha em ser um vencedor.
  • 4. 4 AGRADECIMENTOSAgradeço primeiramente a Deus por me dar a oportunidade de chegar a um momento tãoimportante em minha vida e aos meus pais pelo devido apoio e compreensão da minhaausência, justificada pela execução deste importante trabalho. Agradeço aos meus amigos pelaforça e apoio dado nos momentos difíceis e aos professores por contribuírem diretamente naminha formação e na construção de meus sonhos.
  • 5. 5"Computadores e redes podem mudar nossasvidas para melhor ou para pior. O mundo virtualtem as mesmas características do mundo real, ehá tempos, os eventos de segurança, ataques einvasões a computadores deixaram de seratividades solitárias e não destrutivas."Adriano Mauro Cansian – Professor Titular daUnesp.
  • 6. 6 RESUMOEsta pesquisa visa abordar os principais métodos, equipamentos, tecnologias e procedimentosnecessários para garantir à segurança da informação em ambientes corporativos com acesso ainternet.Como fundamentos para a pesquisa, foram revisados os principais conceitos de segurança dainformação, bem como a sua necessidade do mundo atual, conceitos de redes decomputadores, segurança de rede e a norma NBR ISO/IEC 27002 que sugere implementaçõespara serem aplicados em ambientes corporativos visando obter melhores resultados emsegurança da informação e tratar seus incidentes.Para ilustrar o estudo, foi feita uma análise em um ambiente empresarial real, identificando osequipamentos da rede de computadores e levantando os principais meios utilizados naempresa para garantir a segurança no tráfego das informações objetivando verificar aconformidade desses métodos com as normas técnicas. Para servir de parâmetros para aanálise de segurança, foi feita a aplicação de um formulário no ambiente pesquisado com oobjetivo de se ter uma avaliação das implementações de segurança da informação do ambientepesquisado em relação a NBR ISO/IEC 27002.Palavras-Chave: Segurança de rede, segurança da informação, NBR ISO/IEC 27002.
  • 7. 7 ABSTRACTThis research aims to approach the main methods, equipment, technologies and procedures toensure the security of information in corporative environments with internet access.As fundamentals for the search, main concepts of information security were revised, as wellas its necessity in the world nowadays, concepts of computer networks, network security andNBR ISO/IEC 27002 rule that suggests that implementations to be applied in environmentscorporative to obtain better results in information security and treat their incidents.In order to illustrate the study, an analysis in a real business environment was done,identifying the equipment of the computer network and raising the main means used in thecompany to ensure the safety of traffic information in order to verify the compliance of thesemethods with technical standards. To serve as parameters for the safety analysis, theapplication was made in the form of a searchable environment in order to get an assessment ofimplementations of information security environment studied in relation to ISO/IEC 27002.Keywords: Network security, information security, NBR ISO/IEC 27002.
  • 8. 8 LISTA DE ILUSTRAÇÕESFIGURA 1 - Topologia de rede ponto a ponto ......................................................................... 14FIGURA 2 - Topologia de rede barramento ............................................................................. 15FIGURA 3 - Topologia de rede anel ........................................................................................ 15FIGURA 4 - Topologia de rede estrela .................................................................................... 16QUADRO 1 - Modelo OSI na forma de pilha .......................................................................... 16FIGURA 5 - TCP/IP e sua correspondência com o modelo OSI ............................................. 19GRÁFICO 1 - Relatório de evolução do número de incidentes de segurança da informaçãoregistrados no Brasil ................................................................................................................. 21GRÁFICO 2 - Países de países que originam ataques aos sistemas brasileiros ....................... 22FIGURA 6 - Exemplo de implementação do firewall .............................................................. 23FIGURA 7 - Exemplo de implementação do DMZ ................................................................. 24FIGURA 8 - Arquitetura da rede de computadores do DTGA ................................................ 34FIGURA 9 - Servidor de arquivos local do DTGA e nobreak ................................................. 34FIGURA 10 - Equipamentos de rede (modem, roteador, switch e patch panel ....................... 35GRÁFICO 3 - Resultados obtidos por seção da norma ............................................................ 39GRÁFICO 4 - Resultado geral da análise do formulário ......................................................... 40
  • 9. 9 LISTA DE SIGLASABNT – Associação Brasileira de Normas TécnicasACL - Access Control ListsAES - Advanced Encryption StandardAH - Authentication HeaderARP - Addres Resolution ProtocolCERT - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no BrasilCOPASA – Companhia de Saneamento de Minas GeraisDES - Data EncryptionDMZ – DeMilitarized Zone NetworkDNS - Domain Name SystemDTGA – Distrito do GorutubaESP - Encapsulating Security PayloadFTP – File Transfer ProtocolHIDS - IDS baseado em HostHTTP - Hypertext Transfer ProtocolICMP - Internet Control Message ProtocolIDS – Intrusion Detection SystemsIEC - International Electrotechnical CommissionIP – Internet ProtocolIPsec – IP SecurityISO - Institute of Standardization OrganizationNBR – Norma Brasileira RegulamentatóriaNIDS - IDS baseado em redeNP – Norma de ProcedimentosOSI - Open Systems InterconnectionRARP – Reverse Addres Resolution ProtocolSMTP - Simple Mail Transfer ProtocolSPI - Security Parameters IndexTCP - Transmission Control ProtocolUDP – User Datagram ProtocolVPN – Virtual Private Network
  • 10. 10 SUMÁRIOINTRODUÇÃO ...................................................................................................................... 12CAPÍTULO 1 REDES DE COMPUTADORES E SEGURANÇA DE REDE ................. 141.1 Redes de Computadores ..................................................................................................... 141.2 Modelo OSI ........................................................................................................................ 161.3 TCP/IP ................................................................................................................................ 181.4 Internet ............................................................................................................................... 191.5 Necessidade de segurança de redes .................................................................................... 191.6 Segurança de rede ............................................................................................................... 221.6.1 Firewall ........................................................................................................................... 231.6.1.1 DMZ ............................................................................................................................. 241.6.2 Criptografia...................................................................................................................... 241.6.3 IPSec ................................................................................................................................ 251.6.4 VPN ................................................................................................................................. 251.6.5 Sistema de detecção de intrusão ...................................................................................... 261.6.6 Autenticação e controle de acesso ................................................................................... 261.6.7 Elementos essenciais de segurança da informação.......................................................... 271.7 NBR/IEC ISO 27002:2005 ................................................................................................. 271.7.1 Política de segurança da informação ............................................................................... 281.7.2 Organizando a segurança da informação ......................................................................... 281.7.3 Gestão de ativos ............................................................................................................... 291.7.4 Segurança em recursos humanos ..................................................................................... 291.7.5 Segurança física e do ambiente ....................................................................................... 291.7.6 Gerenciamento das operações e comunicação................................................................. 301.7.7 Controle de acessos ......................................................................................................... 301.7.8 Aquisição, desenvolvimento e manutenção de sistemas de informação ......................... 301.7.9 Gestão de incidentes de segurança da informação .......................................................... 311.7.10 Gestão da continuidade do negócio ............................................................................... 311.7.11 Conformidade ................................................................................................................ 31CAPÍTULO 2 MATERIAIS E MÉTODOS ......................................................................... 33
  • 11. 112.1 Descrições do ambiente de pesquisa .................................................................................. 332.2 Metodologias da pesquisa................................................................................................... 362.3 Aplicação de formulário para levantamento de informações ............................................. 362.4 Análise dos elementos essenciais de segurança da informação ......................................... 37CAPÍTULO 3 RESULTADOS .............................................................................................. 39CAPÍTULO 4 ANÁLISE E DISCURSÃO DOS RESULTADOS ...................................... 41CONSIDERAÇÕES FINAIS ................................................................................................. 45REFERÊNCIAS ..................................................................................................................... 47APÊNDICE A – FORMULÁRIO DE VERIFICAÇÃO DE ADEQUAÇÃO A NBRISO/IEC 27002:2005 ............................................................................................................... 49
  • 12. 12 INTRODUÇÃOA necessidade de informatizar os processos de negócio, bem como o investimento emsegurança da informação é algo extremamente importante e comum em qualquer empresa quevisa a competitividade no mundo contemporâneo. A segurança da informação tem o objetivode garantir a sobrevivência de negócios em empresas que possuem os processosinformatizados totalmente envolvidos com o desenvolvimento das atividades. Visa garantir aconfiabilidade e continuidade dos negócios, melhora a imagem da empresa perante omercado, evita perdas e transtornos e com isso facilita o exercício das atividades fins daempresa. Existem normas que regulamentam as boas práticas de segurança da informação,dentre elas a NBR ISO/IEC 27002:2005 que será objeto de nosso estudo e fundamental paraobtenção dos resultados dessa pesquisa.Essa pesquisa tem o objetivo de apontar os principais itens, conceitos e tecnologias dasegurança da informação, efetuar o estudo da norma que regulamenta as práticas de segurançada informação em um ambiente empresarial e aplicar essa norma em um ambiente corporativoreal. As hipóteses principais desta pesquisa é que a NBR ISO/IEC 27002 é eficaz e que oambiente empresarial estudado é seguro no tratamento de informações, nas quais essashipóteses serão verificadas nas discussões dos resultados. Com a aplicação desta pesquisa,poderemos concluir se segurança da informação em sistemas de informação das empresas érealmente necessário, se o ambiente estudado é seguro, se as práticas sugeridas pela normasão aplicáveis e eficazes.O Capítulo 1 mostra, de acordo com a literatura dos principais autores de obras sobre redes decomputadores e segurança de redes, onde são destacados os principais conceitos de redes decomputadores, os principais protocolos de comunicação, necessidade de segurança dainformação, principais conceitos de segurança de redes, seus equipamentos e tecnologias. Éfeita também uma pequena revisão sobre a NBR ISO/IEC 27002:2005, destacando de formageral as seções em que são organizadas essa norma e suas principais abordagens erecomendações.O Capítulo 2 tem o objetivo de apresentar o ambiente pesquisado e os materiais e métodosutilizados para desenvolver a pesquisa. É feita a apresentação da estrutura de redes decomputadores de uma unidade administrativa da Copasa, denominada DTGA, relatadas asprincipais práticas de segurança da informação identificadas e feita uma análise dos elementosessenciais da segurança da informação. Neste capítulo também é explicado a estrutura e
  • 13. 13objetivos do formulário aplicado nesta pesquisa para verificação da adequação das práticas doambiente pesquisado em relação a norma apresentada.No Capítulo 3 são apresentados os gráficos com os resultados obtidos com a aplicação doformulário acima citado e no Capítulo 4 são analisados e discutidos esses resultados obtidos,identificando os principais pontos positivos e negativos que influenciaram na obtenção dosresultados.Nas considerações finais é apresentada uma conclusão geral da pesquisa e dos resultados, sãosugeridas adaptações que podem ser aplicadas pela empresa para melhorar a segurança dainformação e adequação a norma regulamentadora e são expostos alguns tópicos para futuraspesquisas.No apêndice é apresentado o formulário aplicado para levantamento de informações paraobtenção e discussão dos resultados.
  • 14. 14CAPÍTULO 1 REDES DE COMPUTADORES E SEGURANÇA DE REDES1.1 Redes de ComputadoresReferem-se a redes de computadores quando dois ou mais computadores estão interligadossob algum meio e regida sob um conjunto de protocolos, com o intuito de transferir oucompartilhar dados, informações ou recursos, encurtar distâncias, unir departamentos, entreoutros. Também podemos definir rede de computadores como "um conjunto de computadoresautônomos interconectados por uma única tecnologia" (TANENBAUM, 2003, p. 15).Segundo Valle e Ulbrich (2009), as redes de computadores evoluíram das redes telefônicas,que foi uma evolução dos telégrafos.As redes de computadores são compostas de vários componentes físicos (estrutura física),organizados sob algum tipo de organização (topologia) e regidos sob algumas normas(protocolos). A estrutura física inclui os equipamentos de hardware que compõem a rede,como: hubs, switches, roteadores, placas de rede, cabeamento, antenas, servidores, clientes,etc. As principais topologias são : ponto a ponto, barramento, anel e estrela. FIGURA 1 - Topologia de rede ponto a ponto Fonte: Autoria própriaNa topologia ponto a ponto, também conhecida como linear, os computadores são ligados emsérie e os dados transmitidos passam por todos os computadores, mas somente sãointerceptados pela máquina receptora.
  • 15. 15FIGURA 2 - Topologia de rede barramentoFonte: Autoria própriaNa topologia de redes em barramento, os computadores compartilham um mesmo barramentofísico, geralmente esse barramento é um cabo coaxial. Uma característica dessa topologia éque apenas uma máquina pode escrever no barramento por vez, os dados chegam a todas asmáquinas, porém apenas a máquina destinatária pode captar os dados. FIGURA 3 - Topologia de rede anel Fonte: Autoria própriaNa topologia em anel, os computadores são ligados em um circuito fechado, como um circulo.Segundo Valle e Ulbrich (2009), um exemplo dessa topologia é a conhecida como TokenRing.
  • 16. 16 FIGURA 4 - Topologia de rede estrela Fonte: Autoria própriaNa topologia em forma de estrela, os computadores são interligados por um equipamentocentralizador, como um hub ou switch, em que todos os dados têm que obrigatoriamentepassar por esse dispositivo.1.2 Modelo OSIO Open Systems Interconnection (OSI) é um modelo de conjunto de protocolos decomunicação organizada em uma pilha de 7 camadas: física, enlace, rede, transporte, sessão,apresentação e aplicação. Como mostrada no Quad. 1 abaixo. QUADRO 1 Modelo OSI na forma de pilha Fonte: Autoria própria
  • 17. 17Cada camada é composta por um conjunto de protocolos responsável por oferecer umconjunto de serviços específicos. "Os protocolos são agrupados em famílias organizadas emcamadas que, por sua vez, formam uma pilha" (ALBUQUERQUE, 2001, p. 10). A pilha podeser observada no Quad.1, onde as camadas são organizadas uma sobre a outra seguindo umacerta ordem.A camada de Aplicação tem a função de fazer "a interface entre o protocolo de comunicação eo aplicativo que pediu ou receberá a informação através da rede" (TORRES, 2001, p. 43).Essa camada é a que está mais próxima ao usuário.A camada de Apresentação traduz os dados recebidos pela aplicação a um formato comum aser usado na transferência. Essa camada "está relacionada a sintaxe e a semântica dasinformações transmitidas" (TANENBAUM, 2003, p. 45), ou seja, está diretamenterelacionada com a forma com que os dados serão apresentados. "Pode ter outros usos, comocompressão de dados e criptografia" (TORRES, 2001, p. 44).A camada de Sessão é responsável por estabelecer uma comunicação entre doiscomputadores, define como será feita a transmissão e insere marcadores nos dados para quecaso haja alguma falha na transmissão, esta pode ser retomada a partir dos dados marcados.Complementando, segundo Tanenbaum (2003), essa camada oferece diversos serviços como:controle de diálogo (define quem irá transmitir), gerenciamento de símbolos (impede aexecução de uma operação crítica simultaneamente por duas aplicações diferentes) esincronização (marcação dos dados).A camada de Transporte é responsável por receber os dados da camada de Sessão, fragmentá-los, se necessário, e repassá-los a camada inferior (Rede). No receptor é responsável porremontar esses fragmentos e entregá-los a camada de sessão. Também "oferece recuperaçãode erro e controle de fluxo de ponta a ponta" (STALLINGS, 2002, p. 97).A camada de Rede é responsável por endereçar os pacotes recebidos da camada deTransporte, converter endereço lógico em endereço físico e definir o caminho pelo qual opacote irá seguir, evitando congestionamento e buscando otimizar a rota (roteamento), já queas redes possuem sempre mais de um caminho.A camada de Enlace, também conhecida como Link de Dados, recebe os pacotes de dados dacamada de Rede e os transforma em quadros, adicionando alguns dados em seu cabeçalho,como endereço físico da placa de rede de origem e destino. É responsável por controlar otráfego na transferência, caso a velocidade do transmissor e receptor apresentemincompatibilidade. Na recepção, segundo Torres (2001), confere se o dado chegou íntegro,
  • 18. 18enviando uma confirmação de recebimento, que caso não seja recebido, faz com que otransmissor re-envie o quadro.A camada Física é a camada mais inferior da estrutura do modelo OSI. Segundo Torres(2001), essa camada recebe os dados da camada de enlace e os transforma em sinaiscompatíveis com o meio em que serão transmitidos. Complementando, "lida comcaracterísticas mecânicas, elétricas, funcionais e de procedimento para acessar o meio físico"(STALLINGS, 2002, p.97), ou seja, define como os dados serão transmitidos conforme omeio, tendo, como exemplo a conversão para sinais elétricos se o meio for elétrico, sinaisluminosos se o meio for óptico ou sinais de ondas de rádio se o meio for atmosférico.1.3 TCP/IPTCP/IP é um protocolo, ou seja, é um conjunto de protocolos de redes, no qual dois dosprincipais derivaram o seu nome. Segundo Torres (2001), é o protocolo mais utilizado emredes locais, foi feito para ser utilizado na internet, atualmente é suportado em todos ossistemas operacionais e é roteável, ou seja, feito para ser utilizado em redes grandes e delonga distância podendo ter vários caminhos para o dado chegar ao destino.O protocolo TCP/IP é dividido em 4 camadas: aplicação, transporte, internet e interface com arede (inter-redes).A camada de Aplicação, segundo Valle e Ulbrich (2009), é responsável pela comunicaçãoentre o protocolo de transporte e os aplicativos que solicitam os recursos da rede, como DNS,FTP, HTTP, SMTP, entre outros. Corresponde as camadas de aplicação, apresentação esessão do modelo OSI.A camada de Transporte do modelo TCP/IP equivale à camada de mesmo nome do modeloOSI. Segundo Torres (2001), essa camada transforma em pacotes os dados recebidos dacamada de Aplicação e passa-os a camada de Internet, utiliza o esquema de multiplexação,que possibilita a transmissão de dados de várias aplicações simultaneamente e utiliza oconceito de portas. Nessa camada operam os protocolos Transmission Control Protocol(TCP) e User Datagram Protocol (UDP), sendo o TCP orientado a conexão, ou seja, verificase o dado realmente chegou ao destino, e o UDP, que não tem essa característica do TCP, ecom isso garante maior velocidade na entrega do pacote, mas sem garantia de entrega.A camada de Internet, como no modelo OSI, "é responsável pela organização e roteamentodos pacotes definindo seus endereços" (VALLE; ULBRICH, 2009, p. 55). Atuam nessa
  • 19. 19camada os protocolos Internet Protocol (IP), Internet Control Message Protocol (ICMP),Addres Resolution Protocol (ARP) e Reverse Addres Resolution Protocol (RARP).A camada de Interface com a Rede equivale com as camadas de Enlace e Física do modeloOSI e é responsável por enviar os dados recebidos pela camada de Internet pela rede. FIGURA 5 - Modelo TCP/IP e sua correspondência com o modelo OSI Fonte: Autoria própria1.4 InternetA internet, ou rede mundial de computadores, segundo Valle e Ulbrich (2009), é o conjuntode redes espalhadas pelo mundo baseadas no protocolo TCP/IP, formada por redes de altacapacidade, conectadas a computadores altamente poderosos conhecidos como backbones. Oparadigma da internet é baseada na comutação por pacotes e cada computador ligado ainternet possui um único endereço lógico único (IP) que identifica não só a máquinapropriamente dita, como também a rede a qual pertence.Com a internet é possível estabelecer a comunicação entre computadores localizados emqualquer lugar do planeta, que também esteja conectado a internet, acessar sites, transferirarquivos, trocar emails, entre diversas outras funcionalidades.1.5 Necessidade de segurança de redesA aplicação da segurança em redes de comunicação de computadores passou a ser necessáriaquando, com a evolução da tecnologia de processamento de dados, as corporações passaram autilizar os meios computacionais para solucionar problemas das empresas e armazenar suas
  • 20. 20informações. A segurança de dados e informações antigamente era exclusivamente física,Stallings (2002) cita como exemplo de segurança de dados o uso dos grandes armáriostrancados com fechaduras de segredo para guardar documentos importantes.Atualmente, o uso dos recursos computacionais e dos meios de telecomunicações é deextrema importância para o desenvolvimento e organização de qualquer instituição. Empresasque não se adequam ou acompanham os avanços das tecnologias digitais apresentam cada vezmais dificuldade de se manterem vivas em um mercado que está cada vez mais exigente ecompetitivo.Computação, hoje, está presente em praticamente todos os ambientes que o ser humano podeconviver, seja utilizando internet em casa para acessar algum site de relacionamento ouefetuar o pagamento de contas, gerenciando e compartilhando informações em um ambienteempresarial ou acessando internet via celular através de uma rede de comunicação pública.Os avanços das redes de computadores e internet facilitaram a troca e compartilhamento deinformações entre pessoas localizadas em qualquer extremidade do mundo, fazendo com queo acesso a redes privadas e locais por pessoas indevidas, se tornasse cada vez mais viáveis.Paralelamente ao crescimento do uso dos recursos computacionais, cresceu-se também onúmero de ataques a esses ambientes, visando roubo de dados confidenciais, paraprejudicarem alguma instituição ou pessoa ou até mesmo somente para que o invasor mostresua capacidade de invadir uma rede e provocar algum tipo de dano. A tecnologia não sófacilitou a vida da sociedade, como também abriu oportunidade de indivíduos maliciosos seaproveitarem desses meios para praticarem atos ilícitos. Segundo Melo (2009), com usocrescente de recursos na internet, a ampliação da infra-estrutura e softwares de naturezailícita, de fácil acesso e utilização, tem como consequência o significativo aumento deinvasões de computadores e roubo de informações.
  • 21. 21 GRÁFICO 1 - Relatório de evolução do número de incidentes de segurança da informação registrados no Brasil Fonte: www.cert.brO Graf. 1 acima mostra a evolução do número de ataques registrados do ano de 1999 atéjunho de 2012 no Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança noBrasil (Cert.br), que é grupo de resposta a incidentes de segurança para a internet brasileira. Onúmero de ataques registrados em 2011 é quase 130 vezes maior do que o registrado no inicioda contagem em 1999.
  • 22. 22 GRÁFICO 2 - Países que originam ataques aos sistemas brasileiros Fonte: www.cert.brO Graf. 2 ilustra de que país surge os principais ataques aos sistemas brasileiros, sendodestacada a maior parte originada do próprio Brasil.Como a sociedade atual passou a ser totalmente dependente dos computadores e analisando aimportância que esse recurso se tornou para o desenvolvimento econômico e social, viu-se anecessidade de investir em meios, técnicas, equipamentos e estruturas visando à segurança noarmazenamento e transferência de informações, visando evitar a perda, extravio ou usoindevido dessas informações.1.6 Segurança de redeSegurança de rede é a expressão utilizada quando se refere as implementações, equipamentos,técnicas, métodos visando garantir a integridade, disponibilidade, autenticidade econfidencialidade dos dados trafegados pela rede, bem como garantir o pleno funcionamentoda estrutura de redes. Segundo Tanenbaum (2009), a segurança de redes pode ser dividida emsigilo (manter as informações longe de usuários não autorizados), autenticação (determinar osagentes da comunicação), não repúdio (provar a autenticidade da comunicação) e controle deintegridade (provar a legitimidade da comunicação).As implementações de segurança podem ser distribuídas, segundo Tanenbaum (2003), emdiversas camadas do encapsulamento da comunicação. Na camada de enlace pode ser aplicada
  • 23. 23a criptografia de enlace, codificando mensagens ao sair de uma máquina e decodificando aoentrar em outra. Na camada de rede podem ser instalados firewalls para monitorar e filtrar osdados que circulam pela rede. Na camada de transporte pode-se criptografar conexõesinteiras. E na camada de aplicação podem ser feitas as autenticações de usuários.1.6.1 FirewallEm geral firewall, segundo Pfaffenberger (1998), pode ou não ser uma máquina, ou talvez umsoftware, com o objetivo de conter o tráfego ou acesso indevido através da análise docabeçalho dos pacotes que trafegam na rede, filtrando esses pacotes que infringem as regrasestabelecidas em uma política de segurança. FIGURA 6 - Exemplo de implementação do firewall Fonte: Autoria própriaOs firewalls basicamente se dividem em duas categorias: firewall de rede ou firewall degateway de aplicativo (proxy). Os firewalls de rede, geralmente, são roteadores comcapacidade de filtrar pacotes podendo negar acesso analisando diversos fatores comoendereço (origem e destino), protocolo, número de porta (origem ou destino) ou conteúdo. Ogateway de aplicação, segundo Tanenbaum, não examina pacotes brutos, atua também nacamada de aplicação, verificando dados do cabeçalho referentes a aplicação e tamanho damensagem.Existem diversas implementações de firewall, podendo ser utilizados até mais de um firewalldependendo da finalidade, arquitetura da rede e do nível de segurança exigido. Pode-sedestacar o uso de firewalls na entrada da rede local, isolando servidores, isolando osservidores da rede interna, filtrando dados entre sub-redes, DMZ, dentre outras.
  • 24. 241.6.1.1 DMZDeMilitarized Zone Network (DMZ) ou simplesmente Rede Desmilitarizada, é umaconfiguração em que são utilizados dois firewalls, um na saída para a rede externa e outro naentrada da rede interna conforme a figura abaixo.FIGURA 7 - Exemplo de implementação do DMZFonte: Autoria própriaNessa figura o Firewall 1 tem a função de filtrar o acesso aos servidores localizados na DMZ,enquanto o Firewall 2 tem a função de filtrar o fluxo de dados que entra e sai da rede interna.1.6.2 CriptografiaCriptografar é uma técnica que cifra os dados antes de serem enviados, e esses dados sãodecifrados no recebimento, "consiste em traduzir os dados para um formato nãocompreensível" (ALBUQUERQUE, 2001, p. 219). É composto de algoritmos querepresentam a função de chaves, trancando e abrindo o código criptografado.Albuquerque (2001) categoriza os algoritmos de criptografia como: chave privada(simétricos), chave pública e chave de sessão.Nos algoritmos de chave privada são utilizados uma mesma chave para cifrar e decifrar.Exemplos desse algoritmo são o Data Encryption (DES), o Advanced Encryption Standard(AES) e o Triple-DES. A segurança desse algoritmo está restrito a segurança da chaves, sendoque se a chave for descoberta os dados poderão ser acessados.
  • 25. 25Os algoritmos de chave pública possuem uma chave para cifrar e outra para decifrar, sendo aprimeira de conhecimento público e a última de conhecimento privado. Exemplos dessealgoritmo são o Diffie-Hellman e RSA. Esses algoritmos possuem a desvantagem deconsumir muito poder computacional.Os algoritmos baseados em chaves de sessão utilizam tanto algoritmos de chaves públicasquanto de chaves privadas, consomem bem menos recursos do que estes, porém mantém amesma capacidade de segurança.1.6.3 IPSecO IPSec ou IP Security possibilita a conexão segura em redes TCP/IP e é obrigatório em redesque utilizam o IPv6. Segundo Albuquerque (2001), garante o sigilo, autenticidade eintegridade dos dados nos pacotes IP. Stallings (2005) cita que o IPSec oferece três funçõesprincipais, sendo a Authentication Header (AH) responsável pela autenticação, aEncapsulating Security Payload (ESP) responsável pela autenticação/criptografia e umaterceira função de troca de chave.O AH possui informações, segundo Stallings (2005), de identificação do próximo cabeçalho,tamanho da assinatura digital, Security Parameters Index (SPI) e assinatura digital.O ESP é utilizado para manter o sigilo dos dados, integridade e autenticidade. De acordo comStallings (2005), o ESP pode trabalhar no modo de transporte ou túnel, sendo o transporteoferece proteção dos protocolos de camada superior, e o modo túnel protege (criptografa) opacote IP inteiro.1.6.4 Virtual Private NetworkUma Virtual Private Network (VPN) ou Rede Virtual Privada usa os recursos da internet parainterligar diversas redes de uma organização. Basicamente, uma VPN consiste em um conjunto de computadores interconectados por meios de uma rede relativamente insegura e que utiliza a criptografia e protocolos especiais para fornecer segurança. Em cada local corporativo, estações de trabalho, servidores e bancos de dados são conectados por uma ou mais redes locais (LANs) (STALLINGS, 2005, p. 397).
  • 26. 26A VPN permite a comunicação remota entre os departamentos, utilizando de provedorescomerciais, não sendo necessários investimentos em equipamentos de comunicação por parteda empresa. A comunicação é criptografada para garantir a segurança e pode ser necessário ouso de firewalls para reforçar a segurança e controlar o acesso às redes.1.6.5 Sistema de detecção de intrusãoO sistema de detecção de intrusão, ou Intrusion Detections Systems (IDS), segundo Nakamurae Geus (2010), é extremamente importante em um ambiente corporativo. Com ele é possíveldetectar diversos ataques e com isso tomar as devidas providências antes que o ataque tomemaiores consequências. Esse sistema tem o objetivo de detectar atividades suspeitas e servede complemento para as atividades não protegidas pelo firewall.Segundo Nakamura e Geus (2010), os tipos de detecção realizados pelo IDS dependem dotipo de IDS, metodologia de detecção, posicionamento dos sensores e localização do IDS.As principais características, de acordo com Moraes (2010), são: execução contínua,tolerância a falhas, mínimo de overhead da rede e dificuldade de ser atacado.Segundo Nakamura e Geus (2010), os principais tipos de IDS são: IDS baseado em Host(HIDS), IDS baseado em rede (NIDS) e o IDS híbrido. O HIDS monitora os arquivos de logs,monitora um segmento de tráfego de rede e o híbrido é uma mistura das duas características.1.6.6 Autenticação e controle de acessoA autenticação visa garantir que a pessoa que tenta acessar determinado sistema é autêntica. Aautenticação, segundo Nakamura e Geos (2010), pode ser realizada com base no que o usuáriosabe, como senha ou chave criptográfica, com base no que o usuário possui, como cartão outoken, ou com base nas características do usuário, como características biométricas.O Controle de acesso, que se divide em controle de acesso lógico e externo, garante que osrecursos e informações sejam acessados de forma correta e por usuários devidamenteautorizados a acessá-las e é responsável por: proteger contra modificações não autorizadas,garantir a integridade e disponibilidade das informações e garantir o sigilo das informações.Os principais métodos de controle de acesso lógico são Access Control Lists (ACL), utilizadaem firewalls, uso de interface com usuários e labels. O principal método de controle de acessoexterno é implementado através de firewalls.
  • 27. 271.6.7 Elementos essenciais de segurança da informaçãoAlguns elementos são fundamentais para definir o nível de segurança das organizações.Segundo Stallings (2002), a segurança de computador e de rede trata dos seguintes requisitos:privacidade, integridade, disponibilidade e autenticidade. Para Pinheiro (2005), para cumpriresses objetivos são necessários seguir quatro paradigmas básicos: integridade,confidencialidade, disponibilidade e legalidade.Para verificar o nível de segurança no ambiente estudado, vamos conceituar os elementosintegridade, confidencialidade, disponibilidade e auditoria.Segundo Moraes (2012), integridade é garantir que a informação não seja alterada durante atransmissão ou armazenamento sem prévia autorização, ou seja, a informação enviada seráidêntica a informação recebida.A confidencialidade, segundo Moraes (2012), é garantir que os recursos e informações nãosejam acessados por usuários não autorizados.A disponibilidade garante que os recursos estarão disponíveis sempre que necessário.Auditoria, segundo Moraes (2012), consiste em manter registros (logs) de ações ocorridas narede, monitorar o tráfego de informações e registrar para uma futura auditoria de verificaçãode irregularidades. Assim, caso seja necessário uma inspeção futura, os registros estarãodisponíveis para a verificação e identificação das possíveis irregularidades que possamocorrer.1.7 ABNT NBR ISO/IEC 27002:2005De acordo com a ABNT (2005), a NBR ISO/IEC 27002 é uma norma técnica elaborada pelaAssociação Brasileira de Normas Técnicas (ABNT) em 2005, baseada na ISO/IEC 27002 deautoria do Institute of Standardization Organization (ISO) em substituição a NBR ISO/IEC17799 de 2005. Esta norma apresenta alguns conceitos de segurança da informação, suanecessidade, requisitos, análise de risco, controle e elaboração de diretrizes.Os principais objetivos da NBR 27002 são estabelecer "diretrizes e princípios gerais parainiciar, implementar, manter e melhorar a gestão de segurança da informação em umaorganização" (ABNT, 2007, p. 1), servindo como um guia prático para auxiliar odesenvolvimento de procedimentos de segurança da informação dentro de qualquerorganização, contribuindo para a confiança nas atividades da organização. É subdividida em
  • 28. 2811 seções de controle de segurança da informação que serão explicitadas individualmente nospróximos subcapítulos, na ordem em que são apresentados na norma.1.7.1 Política de segurança da informaçãoA política de segurança é um documento formal, elaborado pelos especialistas em segurançada informação e com o total apoio das lideranças e define as diretrizes quanto ao uso dasinformações e recursos no ambiente coorporativo. Segundo Moraes (2010), algumas dasdiretrizes são: riscos ao patrimônio, risco de roubo e fraude, acesso aos sistemas, utilizaçãodos meios de comunicação, redundância e falhas e garantia e integridade. A política desegurança estabelece claramente o que deve ser protegido, atribuir responsabilidades para ocumprimento das normas e serve como principal referência para o gerenciamento dasegurança da informação.A política de segurança deve ser constantemente atualizada e adaptada a cultura daorganização, escrita de forma clara e disponível para todos os colaboradores.Nakamura e Geus (2007) conceituam que a política de segurança deve ser composta de algunselementos essenciais, dentre eles: vigilância, atitude, estratégia e tecnologia, além de definirpolítica para senhas, firewall e acesso remoto.1.7.2 Organizando a segurança da informaçãoEste tópico orienta como gerir a segurança da informação dentro de uma organização e,segundo ABNT (2005), sugere alguns pontos importantes como: a) a instauração de uma estrutura de gerenciamento para controlar as implementações de segurança da informação; b) o envolvimento da direção da empresa, aprovando as políticas, atribuindo funções, fornecendo recursos, coordenando e analisando as implementações da segurança da informação; c) a contratação, quando necessário, de consultoria externa especializada em segurança da informação para manter atualizada as estruturas de acordo com as tendências do mercado e fornecer apoio na ocorrência de incidentes de segurança da informação; d) a coordenação da segurança da informação por representantes de diversas áreas da organização nos diversos níveis hierárquicos;
  • 29. 29 e) definição de todas as responsabilidades pela segurança da informação e autorização para os novos recursos de processamento de informação; f) identificação de riscos com as partes externas, clientes e terceiros. No geral este item verifica como estão sendo organizadas, controladas e coordenadas as práticas de segurança da informação e se a diretoria está realmente envolvida em todos esses processos.1.7.3 Gestão de ativosSegundo ABNT (2005), esta seção sugere que os ativos de informação da empresa recebamproteção adequada, podendo ser feita classificação, registro e controle desses ativos. Todosesses ativos devem ser inventariados e possuir um responsável por garantir a proteção, guardae manutenção desse bem.1.7.4 Segurança em recursos humanosO principal objetivo deste tópico é "assegurar que os funcionários, fornecedores e terceirosentendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco defurto ou roubo, fraude ou mau uso dos recursos" (ABNT, 2005, p. 24), ou seja, garantir aciência e responsabilidade de forma registrada, desde a contratação até a demissão, quefuncionários e terceiros têm da importância do uso correto e seguro dos sistemas deinformação.1.7.5 Segurança física e do ambienteOs conceitos dessa seção têm o objetivo de prevenir o acesso não autorizado e danos asinstalações e informações da organização. Segundo a ABNT (2005), as instalações onde sãoprocessadas e armazenadas as informações devem ser mantidas em áreas seguras comcontrole de acesso apropriado e seguras de ameaças inerentes do meio ambiente, desastresnaturais e incêndios. Também orienta quanto ao envio de equipamentos para manutenção emambientes externos.
  • 30. 301.7.6 Gerenciamento das operações e comunicaçãoSegundo a ABNT (2005), esta seção visa garantir a operação segura e correta dos recursos deprocessamento da informação, documentando e definindo os procedimentos eresponsabilidades pela gestão e operação destes recursos. Visa manter segurança dainformação e entrega de serviços em casos de serviços com terceiros, monitorando eacompanhando mudanças.Uma parte muito importante abordada nessa seção são orientações para minimizar o risco defalhas dos sistemas, implementações de controles contra códigos maliciosos, efetuar cópias deseguranças, segurança em redes, manuseio e descarte de mídias, orientações para troca deinformações, uso de correio eletrônico, comércio eletrônico, monitoramento e auditoria.1.7.7 Controle de acessosEsse tópico visa orientar na elaboração de políticas, requisitos, gerenciamento, privilégios,senhas e direitos para controle de acesso dos usuários aos sistemas de informação, rede,sistemas operacionais, aplicações e sistemas remotos, garantindo que os usuários tenham odireito de acesso aos sistemas, recursos e informações necessários a realização de suasatividades, bem como garantir que não ocorra acesso indevido as informações críticas erestritas por pessoas não autorizadas.1.7.8 Aquisição, desenvolvimento e manutenção de sistemas de informaçãoEsse tópico fornece uma visão de como a segurança deve ser implantada em todos osambientes que envolvem os sistemas de informação. Especificam os requisitos de segurança,processamento correto nas aplicações para prevenir erros, perdas e mau uso, estabelecepolíticas para controles criptográficos e gerenciamento de chaves, garante a segurança nosarquivos de sistemas e código fonte de programas, orienta o gerenciamento de modificações evazamento de informações. Enfatiza quanto à supervisão e acompanhamento dedesenvolvimento de software por terceiros garantindo a qualidade e exatidão do serviçorealizado bem como a funcionalidade da segurança do código, aplicando testes antes dainstalação dos sistemas para garantir a ausência de código malicioso.
  • 31. 311.7.9 Gestão de incidentes de segurança da informaçãoEssa seção trata de como agir em caso de ocorrência de incidentes de segurança dainformação, formalizando os meios de notificação de incidentes bem como gerir essasocorrências, para que as providências sejam tomadas de forma mais breve possível e que asevidências sejam preservadas para uma futura investigação do evento ocorrido.A ABNT (2007) cita alguns exemplos de incidentes de segurança da informação, como: a) perda de serviço, equipamento ou recurso; b) mau funcionamento ou sobrecarga do sistema; c) erros humanos; d) não conformidade com políticas ou diretrizes; e) mudanças descontroladas de sistemas; f) mau funcionamento de software ou hardware; g) violação de acesso.Um procedimento importante sugerido nessa seção é a padronização de um formulário, paraorientar e facilitar a comunicação desses incidentes pelos usuários aos responsáveis pelagestão da segurança da informação.1.7.10 Gestão da continuidade do negócioEssa seção, segundo a ABNT (2005), expõe os aspectos da gestão da continuidade do negóciorelativos à segurança da informação, com o objetivo de evitar a interrupção das atividades donegócio, proteger os processos críticos contra falhas e assegurar o seu reestabelecimento emtempo hábil. Para uma boa gestão de continuidade do negócio é necessário identificar osriscos, efetuar testes e manutenções e criar planos para gerir as potenciais pausas nasatividades essenciais do negócio que envolva os sistemas de informação.1.7.11 ConformidadeO objetivo desta seção é evitar violações de quaisquer obrigações legais visando garantir queo projeto, a operação, o uso e a gestão de sistemas de informação estejam em conformidadecom os requisitos contratuais e leis regulamentadoras (ABNT, 2005). É recomendada aidentificação da legislação aplicável, dos direitos de propriedade intelectual, a proteção de
  • 32. 32registros organizacionais e garantir a privacidade de informações pessoais. Convém garantir aconformidade com as políticas e normas da segurança da informação, efetuando controle deauditoria para verificar se as implementações estão de acordo com as normas técnicas.
  • 33. 33CAPÍTULO 2 MATERIAIS E MÉTODOS2.1 Descrições do ambiente de pesquisaO ambiente escolhido para ilustrar a implementação de segurança em redes de computadoresfoi Distrito de Serviços do Gorutuba (DTGA), que é uma unidade administrativa daCompanhia de Saneamento de Minas Gerais (COPASA) no município de Janaúba.A utilização dos recursos computacionais da empresa é regida por uma norma deprocedimentos, denominada NP 2011-005/0, que aborda as políticas de segurança dainformação. Essa norma está disponível a todos os funcionários através da intranet,juntamente com as demais normas de procedimentos da empresa. Foi desenvolvida em 2011com o pleno apoio da administração da empresa e define as competências das unidadesresponsáveis pela gestão da estrutura de rede e das demais unidades da COPASA que autilizam, a criação de uma Comissão de Segurança da Informação e critérios gerais parautilização dos recursos de informática, segurança da informação e controle de acesso etratamento de informações do ambiente web.A rede de computadores do DTGA é composta dos equipamentos descritos na relação abaixo,e são organizados conforme a Fig. 8:40 (quarenta) Computadores com sistemas operacionais Windows XP ou Windows 7;01 (um) Servidor de arquivos Itautec com processador Intel Inside Xeon;01 (um) Roteador Cisco modelo CDA 2501;01 (um) Switch 3Com 28 portas;01 (um) Modem HDSL New Bridge modelo MainStreet 2821;01 (um) Switch 3Com 26 portas modelo SuperStack 3 3C17300A 4020;01 (um) Switch 3Com 28 portas modelo SuperStack 3C17301 4228G.
  • 34. 34 FIGURA 8 - Arquitetura da rede de computadores do DTGA Fonte: Autoria própriaComo mostrado na Fig. 8, são apresentados na Fig. 9 a imagem do servidor de arquivos locale o nobreak e na Fig. 10 são apresentados os equipamentos da rede do DTGA. FIGURA 9 - Servidor de arquivos local do DTGA e nobreak Fonte: Autoria própria
  • 35. 35 FIGURA 10 – Equipamentos de rede (modem, roteador, switch e patch panel) Fonte: Autoria própriaOs usuários da empresa utilizam a rede para compartilhar arquivos e impressores, acesso àintranet, utilização de software de gestão, acesso à internet (somente alguns computadorespossuem acesso à internet) e webmail. O software sistema de gestão (ERP SAP) é instaladoem todas as máquinas na forma de terminal cliente, sendo todo o processamento feito em umservidor central na matriz, em Belo Horizonte. Porém não entraremos em detalhes para nãofugir do campo de abrangência desta pesquisa.Para acesso às máquinas, segundo a Companhia de Saneamento de Minas Gerais (COPASA,2011), conforme é descrito na NP 2011-005/0, os usuários necessitam de autenticação naforma de login e senha. Os usuários não possuem permissão para alterar configurações neminstalar softwares nas máquinas, demandas desse tipo são feitas pelos administradores de rededas unidades de gestão.As cópias de segurança (backup) do servidor de arquivos são feitas remotamente para osservidores em Belo Horizonte e possuem frequência de operação diária.Todas as máquinas possuem antivírus MacAfee instalado e, com os sistemas e softwares comprogramação de atualização automática.A empresa mantém um serviço de Help Desk, composta de uma equipe treinada e capacitadapara solucionar a maioria dos problemas que os usuários possam ter com o ambiente deinformática, sendo a maior parte dos problemas solucionados por acesso remoto em tempohábil. Essa estratégia visa reduzir o período de ociosidade que os equipamentos e usuáriospossam ter com a falha de algum serviço ou equipamento.
  • 36. 36Não há acesso por meio de tecnologia sem fio a rede do DTGA.2.2 Metodologias da pesquisaA natureza da pesquisa é definida como qualitativa, por ter característica observacional ecompreender os acontecimentos que envolvem a pesquisa.A finalidade da pesquisa é caracterizada como básica, por estar ligada ao incremento doconhecimento cientifico, sem quaisquer objetivos comerciais.O tipo de pesquisa possui natureza descritiva, por ter como objetivo descrever como sãoimplementadas as soluções de segurança de rede e enquadramento quanto a normas técnicasno ambiente pesquisado.A estratégia de pesquisa em relação ao local de coleta de dados se caracteriza como pesquisade laboratório, onde os dados serão coletados e monitorados a fim de observar seucomportamento em um ambiente controlado. Quanto à fonte de informação, teremos as duascaracterísticas: em campo, por necessitar consultar alguns especialistas da área, analistas deTecnologia da Informação (TI) da COPASA, bem como professores que possuemconhecimento sobre o assunto e bibliográfica por ser necessária a consulta de livros, revistas,periódicos, normas técnicas, normas de procedimentos internos da empresa e internet paraobter mais informações sobre o tema.Como o ambiente analisado não permite um envolvimento mais profundo, como inserirmáquinas particulares nem instalar softwares nas máquinas da rede, devido a restrições daspolíticas de segurança da empresa, será necessário a aplicação de formulários e realizarentrevistas com os Analistas de TI da COPASA a fim de conhecer, familiarizar, descrever esimular o ambiente operacional de rede da empresa pesquisada para se chegar o mais próximopossível da realidade implementada. Com as informações levantadas, será possível verificar onível de segurança implantado no ambiente de pesquisa de acordo as normas técnicas esugerir melhorias para adequação a tais normas.2.3 Aplicação de formulário para levantamento de informaçõesPara descobrir mais sobre as implementações de segurança da informação no ambiente derede do DTGA, foi aplicado um formulário, anexo a essa pesquisa como apêndice. Esseformulário foi uma adaptação do formulário aplicado pelo Rosemann (2002) na sua
  • 37. 37monografia intitulada "Software para avaliação da segurança da informação de uma empresaconforme a norma NBR ISO/IEC 17799" na qual cria um modelo de software na qual épossível avaliar e quantificar a análise de segurança da informação segundo a norma citada.O formulário aplicado é composto de 75 questões, divididas em 11 seções conforme a normaNBR ISO/IEC 27002, e suas respostas são expostas na forma dicotômica, podendo serrespondidas em SIM, caso o questionamento se aplica na empresa, ou NÃO caso contrário.Para obtenção dos resultados serão analisadas as respostas geradas em cada seção em um todocom o objetivo de verificar a conformidade do ambiente analisado com a norma NBRISO/IEC 27002.2.4 Análise dos elementos essenciais de segurança da informaçãoNo DTGA, foi observado, que para garantir a integridade das informações, é utilizado ométodo de controle de segurança que, segundo Moraes (2012), é conhecido como Need toKnow, em que concede aos usuários permissão de acesso somente aos recursos que sãonecessários para utilização dos trabalhos, visando garantir a integridade das informações.Somente algumas máquinas possuem acesso liberado à internet, sendo que alguns sites quenão tem finalidade compatível com as atividades da empresa são bloqueados pelo servidorproxy.Para garantir a confidencialidade, são utilizados para acessar a rede, a identificação do usuárioque, conforme citado anteriormente, é composta de login e senha. O login corresponde amatrícula de registro do funcionário composta de cinco números. A senha deve possuir pelomenos oito caracteres e ser composta de números, letras e caracteres especiais (pelo menosum caractere de cada tipo), sendo expirada automaticamente após 3 meses, devendo serredefinida após essa prazo. Também são utilizados softwares antivírus em cada máquina, comatualizações constantes, para evitar o furto de informações confidenciais para entidadesexternas ao sistema. A arquitetura da rede também foi projetada visando dar mais segurançacontra invasão, sendo a comunicação com o ambiente externo filtrada por firewalls e há afiltragem de pacotes de rede pelo servidor proxy nas comunicações com a internet.A principal causa de falta de disponibilidades da rede identificada é a falta de energia elétrica,que ocorre muito raramente e por tempo considerado curto, e que não sobrecarrega asatividades da empresa, sendo, portanto, não necessário o investimento em equipamentos queminimizem a situação, como geradores de energia. São utilizados equipamentos NoBreaks
  • 38. 38para garantir que os servidores serão encerrados corretamente ou aguardar o restabelecimentoda energia elétrica. A rotina de backups realizada no servidor de arquivos também contribuipara a disponibilidade das informações, sendo restaurados os dados imediatamente sempreque há alguma falha no servidor de arquivos. A equipe de Help Desk também é umaimportante estratégia utilizada para restabelecer os recursos em caso de falhas.Na Copasa, os logs de todas as unidades são armazenados na Matriz da empresa pelo servidorde proxy, mas somente são analisados sob demanda ou denúncia de uso inadequado pelosusuários, são sendo gerados alertas de tentativas de burlar as restrições.
  • 39. 39CAPÍTULO 3 RESULTADOSPara ilustrar os resultados obtidos, foram gerados gráficos com a porcentagem de questões emque foram respondidas afirmativamente e negativamente, em relação ao total de questõesaplicadas relativas a cada seção do formulário aplicado. P 120 o 100 100 100 100 100 r 100 92 c 86 83 e 80 80 75 n 67 t a 60 g e 40 33 m 25 20 20 14 17 Sim 8 0 0 0 0 0 Não 0GRÁFICO 3 - Resultados obtidos por seção da normaFonte: Autoria própriaNo Graf. 3 foram mostrados os resultados obtidos individualmente em todas as seçõesabordadas no formulário aplicado. O objetivo de se mostrar resultados divididos em seções éfacilitar a identificação das deficiências encontradas nessa análise. Os resultados foramobtidos de acordo com as respostas do responsável pela segurança da informação na empresa,na Divisão de Telecomunicações (DVTL), foi aplicado somente a este por entender todos osprocessos que envolvem segurança da informação, e pelo formulário conter alguns conteúdostécnicos que o usuário comum não teria condições de responder com clareza e objetividade.
  • 40. 40Para ilustrar o resultado de uma forma geral, foi gerado o Graf. 4 mostrado logo abaixo, naqual são utilizados como parâmetros os resultados obtidos em todas as seções no Graf. 3 eretirada uma média aritmética. Resultado Geral 18% Sim Não 82% GRÁFICO 4 - Resultado geral da análise do formulário Fonte: Autoria própriaO Graf. 4 ilustra a obtenção de 82% de conformidade com a norma NBR ISO/IEC 27002 e18% de não conformidade.
  • 41. 41CAPÍTULO 4 ANÁLISE E DISCURSÃO DOS RESULTADOSCom a análise dos gráficos, verifica-se na Seção 1 - Política de segurança da informação, aobtenção de 100% de adequação do ambiente analisado em relação à norma. Comojustificativa para o resultado obtido, verificou-se que a empresa possui um documentoaprovado pela direção, em que são descritas as políticas de segurança da informação. Essedocumento serve de guia para definir os responsáveis pela implantação da segurança dainformação nos diversos setores da empresa, bem como as instruções que deverão serseguidas pelos usuários para obterem acesso à rede de computadores e como utiliza-la daforma segura. Existe uma comissão interna, denominada Comissão de Segurança daInformação, responsável por analisar e aprovar as propostas de revisão das políticas desegurança, com o objetivo de adequá-la aos interesses da empresa com as boas práticas domercado. Essa comissão é composta pelos gerentes de todas as áreas responsáveis pelasegurança da informação, juntamente com o gerente do setor de auditoria e se reúnemsemestralmente ou extraordinariamente quando necessário.Na Seção 2 - Organizando a segurança da informação, obteve-se cerca de 86% de adequaçãoà norma, sendo justificado, também, pela existência da Comissão de Segurança da Informaçãoque coordena as implementações de controles de segurança da informação e analisacriticamente as políticas de segurança da informação. Os riscos de segurança com prestadoresde serviço são identificados e controlados e são definidos no contrato os requisitos desegurança da informação, sendo definido pelo controle de acesso, apenas, as funcionalidadesnecessárias para a realização de serviços terceiros. Um fato negativo encontrado nessa seção éo fato de a empresa nunca obter uma consultoria especializada em segurança da informação,talvez pelo fato de não se ter registros de ataque ou incidentes de segurança informação noambiente de rede da empresa.Na Seção 3 – Gestão de ativos foi obtida 100% de conformidade com a norma, sendojustificado pelo fato de a empresa manter um rígido controle patrimonial, inclusive com osativos importantes de segurança da informação, no qual é feito um inventário com os bens sobresponsabilidade de cada funcionário. Esse controle garante que nenhum bem patrimonial daempresa seja transferido de local ou responsável sem que seja preenchido um formulárioespecífico de transferência de bens, definindo a origem e o destino desse bem.Semestralmente são feitas pela unidade responsável pelo controle de bens patrimoniais asconferências dos inventários de cada funcionário, garantindo a integridade de cada bempatrimonial da empresa.
  • 42. 42Na Seção 4 – Segurança em pessoas foi encontrado um baixo nível de conformidade, sendoobtido somente 25% de adequação. Esse resultado se justifica pela falta de investimento daempresa no treinamento e conscientização dos funcionários em como seguir as diretrizes desegurança e formalizar meios para que os mesmos possam notificar as ocorrências deincidentes de segurança. Em contrapartida, existe um canal de comunicação denominado HelpDesk, no qual os funcionários podem reportar incidentes de segurança à direção da empresa.Existem também normas disciplinares com o objetivo de dissuadir os funcionários quedesrespeitem as normas impostas nas políticas de segurança.Na Seção 5 – Segurança física e do ambiente, o resultado obtido foi de 80% de conformidadecom a norma, sendo os fatores importantes para a obtenção desse resultado a implementaçãode medidas de segurança para acesso as instalações da empresa, como entrada registrada porcartão magnético, funcionários recepcionistas. São utilizados equipamentos Nobreaks paraevitar que possíveis quedas de energia elétrica danifiquem os equipamentos ou corrompamarquivos em processamento. Destaca-se que as manutenções dos equipamentos de informáticasão feitos somente por pessoal autorizado, a solicitação de manutenção dos equipamentos sãoregistrados por meio do canal Help Desk e em caso de impossibilidade de a manutenção dosequipamentos serem feitas na própria unidade, os equipamentos danificados são enviados paraa matriz para as devidas providências, transportada somente por funcionários da empresa, semcontato com terceiros, sendo vetada a remoção de equipamentos sem adequada autorização.Existem métodos de bloqueio automático de tela assim que os computadores ficam ociosospor mais de 10 minutos, visando evitar que pessoas não autorizadas tenham acesso à rede decomputadores. Conforme comentado na discussão dos resultados da Seção 3, são feitasinspeções regulares para controle patrimonial e os funcionários então cientes que o controleestá sendo acompanhado. Os fatores que impactaram negativamente no resultado na Seção 5foi a falta de instalação adequada dos equipamentos de processamento da rede, comoservidores e roteadores, a ausência de trancas para acesso a esses equipamentos e a exposiçãodos cabeamentos de rede.Na Seção 6 – Gerenciamento das operações e comunicação, os questionamentos foramrespondidos na sua totalidade de forma afirmativa, sendo destacado o empenho da empresaem garantir a disponibilidade dos dados, como rotinas de backup bem definidas edocumentadas, controle dos softwares instalados nas máquinas, uso de softwares licenciados eantivírus nas máquinas, verificação do tráfego de dados com a rede externa por meio deantivírus de gateway, utilização de VPN na comunição entre a rede do DTGA e o backboneda empresa. As rotinas de backup são realizadas remotamente e são armazenadas em local
  • 43. 43seguro na matriz. Os funcionários são orientados a utilizarem o correio eletrônico somentepara atividades relacionadas com o negócio da empresa.Na Seção 7 – Controle de acesso, obteve-se o resultado de quase 92%, destacando-se aeficiência nos procedimentos adotados para o controle de acesso a rede. As regras para ocontrole de acesso estão documentadas na política de segurança e a concessão de privilégiosde acesso somente são concedidos após análise das necessidades dos usuários. Recentemente,foi disponibilizado um guia para orientar os usuários na escolha de senhas e foram definidosnovos procedimentos para composição de senha como tamanho mínimo de oito caracteres,obrigatoriamente composta de pelo menos um numeral, letra e caractere especial e deverá seralterada após um período de três meses, sendo vetada a reutilização das últimas três senhas. Ologin de identificação é individual e representa a matrícula de cada funcionário. O horário dasmáquinas é sincronizado pela rede e os usuários comuns não possuem autorização de acesso aalteração dessa propriedade.Na Seção 8 – Desenvolvimento e manutenção de sistemas foram aplicados somente duasquestões, devido a não identificação desta seção com as atividades desenvolvidas pelaempresa. Apesar disso, obteve-se 100% de adequação devido a utilização de softwaresantivírus nas máquinas, antivírus de gateway na interface de comunicação com a rede externae atualização constantes dos softwares e sistemas visando garantir a não ocorrência de falhas eintrodução de Cavalos de Troia.Na Seção 9 – Gestão de incidentes de segurança da informação o resultado obtido foi de 33%,sendo novamente os fatores determinantes desse resultado a falta de comunicação da empresacom os usuários da rede quando o assunto é segurança da informação. Apesar da preocupaçãode se notificar a direção da empresa em caso de ocorrência de incidentes de segurança dainformação, não existe o alerta para que os funcionários notifiquem eventos de segurança dainformação nem algum formulário que apoie estes em caso de incidentes.Na Seção 10 – Gestão da continuidade do negócio obteve-se o resultado de 100% pelo fato dea empresa identificar as possíveis causas de interrupções nos sistemas que influemdiretamente no negócio e tomar medidas que garantem a continuidade do negócio como usode instalação de extintores de incêndio, utilização de equipamentos no-breaks e rotinas debackup.Na Seção 11 – Conformidade obteve-se 83% de conformidade com a norma. Foi identificadaque a empresa possui políticas que asseguram a aquisição e instalação de software comlicença de utilização, sendo sempre respeitada as leis de direitos autorais e patentes, e vetada acópia por pessoal não autorizado. São sempre armazenadas em arquivo físico os registros
  • 44. 44importantes da empresa, é vetado o uso de recursos de processamento para finalidade que nãoseja compatível com a natureza das atividades da empresa, bem como usos particulares e asmáquinas possuem mensagens na tela de logon, informando que é um sistema restritosomente aos usuários com acesso a rede. O fator negativo identificado nessa seção foi a faltade procedimentos de auditoria visando minimizar o risco de interrupção dos processos donegócio.No geral, foi obtido o resultado de 82% de adequação com as práticas abordadas na normaNBR ISO/IEC 27002/2005, sendo considerado um ótimo resultado, onde observou-se que aempresa mantém boas implementações físicas e lógicas no âmbito da segurança dainformação, mas peca em treinar, instruir e conscientizar os funcionários para o uso correto dainfraestrutura da empresa, bem como não possui meios facilitados para que os funcionáriospossam notificar incidentes de segurança nem facilita o acesso a política de segurança dainformação.
  • 45. 45 CONSIDERAÇÕES FINAISA segurança da informação é um dos principais fatores para o bom funcionamento desistemas informatizados e a sua boa gestão traz excelentes resultados para a continuidade dosnegócios de qualquer organização, trazendo confiança nos serviços oferecidos e reduzindoperdas com a indisponibilidade de recursos e roubos de informações, sendo esses os itensprincipais que garantam a importância dessa pesquisa e o que a torna totalmente aplicável emqualquer organização que utilize sistemas informatizados na execução das suas atividades.Analisando os resultados obtidos, avalia-se a estrutura de redes do ambiente analisado comoum ambiente seguro, com pouca visada de ataques, poucos incidentes de contaminação porvírus, sem registros de ataques externos e raríssimos registros de indisponibilidade dosrecursos.São identificados poucos incidentes de indisponibilidade da rede, sendo os meios utilizadospara controlar e restabelecer a comunicação considerada eficiente para este tipo de ambiente eatividades desenvolvidas.O resultado obtido de 82% de conformidade com a norma verifica as boas implementações daempresa com as práticas sugeridas, contribuindo assim para um ambiente informatizado maisseguro, tendo se em vista que o ambiente analisado tem poucos registros de tentativas deataques, poucos incidentes de contaminação por vírus, sem registros de ataques externos,raríssimos registros de indisponibilidade dos recursos, apesar de não existir no mundo umambiente informatizado 100% seguro e imune a ataques.Serão sugeridas melhorias nos itens identificados, principalmente em segurança em pessoas egestão de incidentes de segurança da informação por apresentarem baixos índices deconformidade e com resultados abaixo da média em relação aos demais, mesmo assimconsiderado de igual importância pela norma ISO/IEC 27002. A segurança em pessoas éfundamental para toda a gestão de segurança da informação, pois são pessoas que utilizam ossistemas informatizados e os principais incidentes são ocasionados pela falta de orientação oumau uso por parte dos usuários.Os objetivos da pesquisa foram atingidos já que se conseguiu identificar os principaismétodos sugeridos pela norma, com resultados satisfatórios, e foram apontados itens paramelhoria das práticas visando o aumento e controle da segurança da informação.Como pesquisas futuras, podem ser feitos estudos para propor melhorias no desempenho dacomunicação da rede de computadores do DTGA e outras unidades semelhantes, bem comoaplicar uma pesquisa investigativa, como forense computacional, visando identificar possíveis
  • 46. 46incidentes de segurança da informação que venham a acontecer, e estudar meios de comotrata-los e, se possível, evitar futuros incidentes.
  • 47. 47 REFERÊNCIASALBUQUERQUE, Fernando. TCP/IP Internet: Protocolos & Tecnologia. Rio de Janeiro:Alta Books, 2001. 3. ed.ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão dasegurança da informação. Rio de Janeiro: ABNT, 2005. 120 p.COMPANHIA DE SANEAMENTO DE MINAS GERAIS. NP 2011-005/0: Utilização derecursos computacionais, segurança e tratamento de informações. Belo Horizonte, 2011. 16p.MELO, Sandro. Computação Forense com software livre: conceitos, técnicas, ferramentase estudos de casos. Rio de Janeiro: Alta Books, 2009.MORAES, Alexandre Fernandes de. Segurança em redes: Fundamentos. São Paulo: EditoraÉrica, 2010.NAKAMURA, Emilio Tissato; GEUS, Paulo Lício de. Segurança de redes em ambientescooperativos. São Paulo: Novatec, 2007.PFAFFENBBERGER, Bryan. Estratégias de extranet. São Paulo: Berkeley Brasil, 1998.PINHEIRO, José Maurício Santos. Programas de Segurança para Redes Corporativas.Disponível em:http://www.projetoderedes.com.br/artigos/artigo_programas_de_seguranca_para_redes_corporativas.php. Acesso em: 19 abr. 2012.ROSEMANN, Douglas. SOFTWARE PARA AVALIAÇÃO DA SEGURANÇA DAINFORMAÇÃO DE UMA EMPRESA CONFORME A NORMA NBR ISO/IEC 17799.2002. 102 f. Monografia (Graduação em Ciências da Computação) – Centro de CiênciasExata e Naturais, Universidade Regional de Blumenau, Blumenau, 2002.STALLINGS, Willian. Redes e sistemas de comunicação de dados. 5 ed. Rio de Janeiro:Elsevier, 2005.TANENBAUM, Andrew S. Redes de Computadores. 4 ed. Rio de Janeiro: Editora Campus,2003.
  • 48. 48TORRES, Gabriel. Redes de Computadores: Curso Completo. Rio de Janeiro: Editora AxcelBooks do Brasil, 2001.VALLE, James Della, ULBRICH, Henrique César. Universidade Hacker: Desvende todosos segredos do submundo dos hackers. 6 ed. São Paulo: Digerati Books, 2009.
  • 49. 49APÊNDICE A – FORMULÁRIO DE VERIFICAÇÃO DE ADEQUAÇÃO A NBR ISO/IEC 27002:2005 Questão de auditoria S N 1 Política de segurança da informação 1.1 Se existe alguma política de segurança da informação, que seja aprovado pela direção, publicado e comunicado, de forma adequada, para todos os funcionários. 1.2 Se esta expressa as preocupações da direção e estabelece as linhas-mestras para a gestão da segurança da informação. 1.3 Se a política de segurança tem um gestor que seja responsável por sua manutenção e análise crítica, de acordo com um processo de análise crítica definido. 1.4 Se o processo garante que a análise crítica ocorra como decorrência de qualquer mudança que venha afetar a avaliação de risco original. Exemplo: Incidentes de segurança significativos, novas vulnerabilidades ou mudanças organizacionais ou na infra-estrutura técnica. 2 Organizando a segurança da informação 2.1 Se existe um fórum multifuncional com representantes da direção de áreas relevantes da organização para coordenar a implementação de controles de segurança da informação. 2.2 Se as responsabilidades pela proteção de cada ativo e pelo cumprimento de processos de segurança específicos sejam claramente definidos. 2.3 Se foi implantado um processo de gestão de autorização para novos recursos de processamento da informação. Isto deve incluir todos os novos recursos, como hardware e software. 2.4 Se uma consultoria especializada em segurança da informação é obtida quando apropriado. Um indivíduo específico deve ser identificado para coordenar conhecimentos e experiências dentro da organização para assegurar consistência, e prover ajuda na decisão de segurança. 2.5 Se a implementação da política de segurança é analisada criticamente, de forma independente. Isto é para fornecer garantia de que as práticas da organização refletem apropriadamente a política, e que esta é adequada e eficiente. 2.6 Se os riscos de segurança com prestadores de serviço trabalhando no ambiente da empresa foram identificados e controles apropriados são identificados. 2.7 Se os requisitos de segurança são definidos no contrato com prestadores de serviços, quando a organização tiver terceirizado o gerenciamento e controle de todos ou alguns dos sistemas de informação, redes e/ ou estações de trabalho. 3 Gestão de ativos 3.1 Se um inventário ou registro é mantido com os ativos importantes relacionados com cada sistema de informação. 3.2 Se cada ativo identificado possui um gestor, se foi definido e acordado na classificação de segurança, e se sua localização foi definida.
  • 50. 504 Segurança em pessoas4.1 Se regras e responsabilidades de segurança são documentadas onde for apropriado, de acordo com a política de segurança da informação da organização.4.2 Se os funcionários são questionados a assinarem acordos de confidencialidade ou não divulgação como parte dos termos e condições iniciais de contratação.4.3 Se os termos e condições de trabalho determinam as responsabilidades dos funcionários pela segurança da informação. Quando apropriado, estas responsabilidades devem continuar por um período de tempo definido, após o término do contrato de trabalho.4.4 Se todos os funcionários da organização e, onde for relevante, prestadores de serviços recebem treinamento apropriado e atualizações regulares sobre as políticas e procedimentos organizacionais.4.5 Se existe um procedimento ou diretriz formal para reportar incidentes de segurança através dos canais apropriados da direção, o mais rapidamente possível.4.6 Se existe um procedimento ou diretriz formal para que os usuários sejam instruídos a registrar e notificar quaisquer fragilidades ou ameaças, ocorridas ou suspeitas, na segurança de sistemas ou serviços.4.7 Se foram estabelecidos procedimentos para notificar qualquer mau funcionamento de software.4.8 Se existe um processo disciplinar formal para os funcionários que tenham violado as políticas e procedimentos de segurança organizacional. Tal processo pode dissuadir funcionários que, de outra forma, seriam inclinados a desrespeitar os procedimentos de segurança.5 Segurança física e do ambiente5.1 Se barreiras físicas, como recursos de segurança, foram implementadas para proteger o serviço de processamento da informação. Alguns exemplos de tais recursos de segurança são o controle por cartão do portão de entrada, muros, presença de um funcionário na recepção, etc.5.2 Se existem controles de entrada para permitir somente a entrada do pessoal autorizado dentro de várias áreas da organização.5.3 Se as salas, que possuem o serviço de processamento de informação ou contêm armários fechados ou cofres, são trancadas.5.4 Se o equipamento foi instalado em local apropriado para minimizar acesso não autorizado à área de trabalho.5.5 Se o equipamento é protegido contra falhas de energia e outras anomalias na alimentação elétrica., utilizando fornecimento de energia permanente como alimentação múltipla, no-break, gerador de reserva, etc.5.6 Se o cabeamento elétrico e de telecomunicações que transmite dados ou suporta os serviços de informação é protegido contra interceptação ou dano.5.7 Se a manutenção é realizada apenas pelo pessoal autorizado.5.8 Se são mantidos registros com todas as falhas suspeitas ou ocorridas e de toda a manutenção corretiva e preventiva.
  • 51. 515.9 Se os controles apropriados são utilizados quando do envio de equipamentos para manutenção fora da instalação física.5.10 Se um equipamento é autorizado pela direção quando necessitar ser utilizado fora das instalações da organização.5.11 Se um serviço de bloqueio automático de tela de computador está ativo. Isso irá travar o computador sempre que for5.12 deixado ocioso por um determinadodeixar qualquer material Se os empregados são avisados para tempo. confidencial de forma segura e trancada.5.13 Se é vetada a remoção de equipamentos, informações ou software sem adequada autorização.5.14 Se inspeções regulares são realizadas para detectar remoção de propriedade não autorizada.5.15 Se as pessoas estão cientes que estas inspeções regulares estão realizadas.6 Gerenciamento das operações e comunicações6.1 Se uma política de segurança identifica qualquer procedimento operacional como backup, manutenção de equipamentos, etc.6.2 Se estes procedimentos estão documentados e são utilizados.6.3 Se todos os programas executados no sistema de produção são submetidos ao controle estrito de mudanças. Qualquer mudança nesses programas de produção deve ser autorizada pelo controle de mudanças.6.4 Se existe algum controle contra o uso de software malicioso.6.5 Se a política de segurança define características de licenciamento de software como proibição do uso de software não autorizado.6.6 Se um software antivírus está instalado nos computadores para verificar e isolar ou remover qualquer vírus do computador ou mídia.6.7 Se a assinatura deste software está atualizada em uma base regular para verificar por últimas versões de vírus.6.8 Se todo o tráfego originado de uma rede insegura para a organização é verificado por vírus. Exemplo: Verificar vírus no e-mail, anexos de e-mail , web, tráfego FTP.6.9 Se cópias de segurança de informações essenciais aos negócios como servidor de produção, componentes críticos de rede, configuração, etc, são realizadas regularmente. Exemplo: Segunda-Quinta: Cópia incremental. Sexta: Cópia completa.6.10 Se a mídia que contém a cópia de segurança e o procedimento para restaurar tal cópia são armazenados seguramente e bem longe do local onde foram realizadas.6.11 Se existe algum controle especial para assegurar confidencialidade e integridade do processamento de dados em uma rede pública e para proteger sistemas conectados. Exemplo: Redes privadas virtuais (VPN), outros mecanismos de encriptação e hashing, etc.6.12 Se a documentação do sistema é protegida contra acesso não autorizado.6.13 Se a lista de acesso para a documentação do sistema é mantida mínima e autorizada pelo dono da aplicação. Exemplo: Documentação do sistema necessita ser mantida em um drive compartilhado para fins específicos. A documentação necessita ter listas de controle de acessos ativa (para ser acessada somente por usuários limitados).
  • 52. 526.14 Se existe uma política ativa para o uso de correio eletrônico ou política de segurança que define características em relação ao uso do correio eletrônico.6.15 Se controles como verificação de antivírus, isolação de anexos potencialmente inseguros, controle de spam, anti relaying, etc, estão ativos para reduzir os riscos criados pelo correio eletrônico.7 Controle de acesso7.1 Se os requisitos do negócio para controle de acesso foram definidos e documentados.7.2 Se a política de controle de acesso define as regras e direitos para cada usuário ou um grupo de usuários.7.3 Se a concessão e o uso de quaisquer privilégios de um sistema de informação multiusuário é restrito e controlado, por exemplo, se privilégios são concedidos pela necessidade do usuário, e somente depois de um processo de autorização formal.7.4 Se os usuários são solicitados a assinar uma declaração a fim de manter a confidencialidade de sua senha pessoal. A concessão e alteração de senhas devem ser controladas por um processo de gerenciamento formal.7.5 Se existe alguma diretriz para guiar usuários na escolha e manutenção segura de senhas.7.6 Se o acesso ao sistema de informação é realizado através de um processo seguro de entrada (login) no sistema.7.7 Convém os usuários (incluindode pessoal de suporte técnico, Se todos que o procedimento o entrada no sistema de computador seja projetado para minimizar a oportunidade de como operadores, administradores de redes, programadores acessos não autorizados. de sistema e administradores de rede) tenham um identificador único.7.8 As o método de autenticação utilizado somente seridentidade Se contas genéricas de usuário devem confirma a fornecidas sobre circunstâncias excepcionais no qual há um benefício de alegada pelo usuário. Método comumente utilizado: Senhas negócio claro. Controles adicionais devem ser necessários somente conhecidas pelos usuários. para gerenciar as contas.7.9 Se existe um sistema de gerenciamento de senhas que reforça vários controles de senhas, como: Senha individual, reforça alterações de senha, gravar senha de forma criptografada, não mostrar senhas na tela, etc.7.10 Terminais inativos em áreas públicas devem ser configurados para limpar a tela ou desligar automaticamente após um período predeterminado de inatividade.7.11 Se o acesso à aplicação por vários grupos ou pessoal dentro da organização é definido na política de controle de acesso como requisito de aplicação de negócio individual e é consistente com a política de acesso a Informação da organização.7.12 Se trilhas de auditoria registrando as exceções e outros eventos de segurança relevantes são produzidas e mantidas por um período de tempo acordado para auxiliar em investigações futuras e na monitoração do controle de acesso.7.13 Se os computadores ou dispositivos de comunicação têm a capacidade de operar com um relógio em tempo real, ele deve ser ajustado conforme o padrão adotado, por exemplo, o tempo coordenado universal (Universal Coordinated time – UCT) ou um padrão local de tempo. O estabelecimento correto dos relógios dos computadores é importante para garantir a exatidão dos registros de auditoria.8 Desenvolvimento e manutenção de sistemas8.1 Se foram implantados controles para assegurar que covert channels e cavalos de Tróia não foram introduzidos em novos sistemas ou atualizações. Um covert channel pode expor informações por meios indiretos e obscuros. Cavalo de Tróia é desenvolvido para afetar um sistema de forma não autorizada.
  • 53. 538.2 A atualização do software operacional, de aplicativos e de bibliotecas de programas são executadas somente por administradores treinados e com autorização gerencial?9 Gestão de incidentes de segurança da informação9.1 A direção da empresa é notificada quando ocorre algum evento de segurança da informação?9.2 Os funcionários e demais usuários dos sistemas são alertados sobre a sua responsabilidade de notificar qualquer evento de segurança da informação, de forma ágil?9.3 Existe algum formulário para apoiar a ação de notificar um evento de segurança da informação e ajudar as pessoas a lembrar as ações necessárias para a notificação do evento?10 Gestão da continuidade do negócio10.1 Se eventos que podem causar interrupções ao processo de negócio foram identificados. Exemplo: Falha de equipamento, inundação e fogo.10.2 Se foram desenvolvidos planos para restaurar operações do negócio dentro de um período de tempo requerido após uma interrupção ou falha do processo de negócio.11 Conformidade11.1 Se existe algum procedimento para assegurar conformidade com as restrições legais no uso de material de acordo com as leis de propriedade intelectual, como as de direitos autorais, patentes ou marcas registradas.11.2 Se produtos de software proprietários são fornecidos sob um contrato de licenciamento que restringe o uso dos produtos em máquinas especificadas e que pode limitar a cópia apenas para criação de uma cópia de segurança.11.3 Se registros importantes da organização são protegidos contra perda, destruição ou falsificação.11.4 Se o uso de recursos de processamento da informação para algum propósito sem relação com o negócio ou não autorizado, sem aprovação da direção, é tratado como uso impróprio do recurso.11.5 Se é apresentada uma mensagem na tela do computador, no log-on, indicando que o sistema é privado e o acesso não autorizado não é permitido.11.6 Se requisitos de auditoria e atividades envolvendo verificações em sistemas operacionais são cuidadosamente planejados e acordados para minimizar o risco de interrupção dos processos do negócio.