Antebellum SEC 201 - Fundamentos de segurança da informação

2,408 views

Published on

PDF com parte do conteúdo do livro utilizado pela Antebellum em seus treinamentos oficiais do Exin,

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,408
On SlideShare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
84
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Antebellum SEC 201 - Fundamentos de segurança da informação

  1. 1. Fundamentos de Segurança da Informação ISBN: 978-85-66649-01-7 Autor: Fernando Fonseca Direitos autorais garantidos para: Antebellum Capacitação Profissional Todos os direitos reservados. Este manual não pode ser copiado, fotocopiado, re- produzido, traduzido para outras línguas ou convertido em qualquer forma eletrô- nica ou legível por qualquer meio, em parte ou no todo, sem a aprovação prévia por escrito da Antebellum Capacitação Profissional ® 320 Páginas - Editora Antebellum www.antebellum.com.br Material do Aluno cursos@antebellum.com.br Versão 1.0 Responsabilidade Social Este material foi impresso pela Ekofootprint, utilizan- do papel reciclado e tecnologia de cera (Solid Ink) daPDF Gerado em baixa resolução Xerox, que reduz o impacto ambiental das impressões em 90%, se comparado à tecnologia Laser.para demonstração do material www.ekofootprint.com 2
  2. 2. 3 4
  3. 3. Sumário O Programa de Certificação do Exin................................. 6 1 - Informação e Segurança................................................... 15 1.1 - Conceitos Fundamentais.................................................. 15 1.2 - Valor da Informação......................................................... 58 1.3 - Aspectos de Confiabilidade.............................................. 65 2 - Alinhamento Estratégico.................................................. 75 2.1 - Governança...................................................................... 75 2.2 - Modelagem de Processos................................................ 91 2.3 - Classificação da Informação............................................. 96 3 - Gestão de Riscos.............................................................. 104 3.1 - Ameaças........................................................................... 104 3.2 - Tipos de Ameaça.............................................................. 107 3.3 - Dano................................................................................. 143 3.4 - Análise de Riscos.............................................................. 151 4 - Abordagem e Organização............................................... 166 4.1 - Políticas de Segurança...................................................... 166 4.2 - Organização da Segurança............................................... 172 4.3 - Gestão de Incidentes........................................................ 178 5 - Medidas de Segurança..................................................... 190 5.1 - A Importância das Medidas.............................................. 190 5.2 - Controles Físicos............................................................... 194 5.3 - Controles Tecnológicos.................................................... 203 5.4 - Segurança em Software................................................... 220 5.5 - Controles Organizacionais................................................ 242 5.6 - Gestão de Pessoas............................................................ 245 5.7 - Controle de Acesso........................................................... 253 5.8 - Continuidade de Negócios............................................... 2595 6
  4. 4. Sumário6 - Conformidade................................................................ 2666.1 - Legislação e Regulamentação........................................ 2666.2 - Avaliação....................................................................... 275 Anexo A. – Exame Simulado (Oficial Exin)..................... 280 Anexo B— Lista de Conceitos Básicos do Exin............... 301 Anexo C— Referências Bibliográficas............................ 308 Anexo D—Sites .Recomendados................................... 310 Anexo E—Cronograma do Curso................................... 312 O EXIN - Examination Institute for Information Science, é uma empresa glo- bal, prestadora de exame independente de TI que oferece programas de capa- citação para ISO/IEC 20000, ISO/IEC 27000, ITIL ®, MOF, entre outros. É missão do EXIN melhorar a qualidade do setor de TI, os profissionais de TI e os usuários de TI, por meio de testes e certificações. A tecnologia da informação é a pedra fundamental do competitivo mundo dos negócios de hoje. Como profissional de TI, você enfrenta o desafio diário de fornecer serviços de TI confiáveis e acessíveis. Seu mundo é movido pelo desempenho e está em constante mutação. Muitas novas profissões de TI continuam a surgir. São mais de 350.000 profissionais certificados em mais de 125 países exercitando-se em Tecnologia da Informação em todos os ní- veis. Estes profissionais obtiveram sua valiosa certificação EXIN através de 7 8
  5. 5. treinamento e exames abrangentes baseados em padrões de TI reconhecidosinternacionalmenteA qualidade dos serviços de TI depende muito do profissionalismo da equi-pe. O EXIN oferece acompanhamento da aprendizagem, proporcionandoaos profissionais de TIC (Tecnologia da Informação e Comunicação) ascompetências e habilidades apropriadas para aprimorar o desempenho doseu trabalho. A obtenção de um certificado EXIN é uma evidência sólida deum treinamento bem-sO programa de certificação do EXIN é dividido em três níveis. O inicial é oexame de fundamentos, destinado a todos na organização que processaminformações. Seu objetivo é criar a consciência da responsabilidade de cadaindivíduo na manutenção da confiabilidade e do valor dos ativos de infor-mação da empresa. O módulo também é adequado para pequenas empresascujos conhecimentos básicos de Segurança da Informação são necessários. 1. Informação e Segurança (10%) 1.1 O conceito de informação (2,5%) - O candidato entende o conceitoO exame avançado é destinado a todos que, através de sua posição, estão de informação. O candidato é capaz de:envolvidos com a implementação, avaliação e comunicação de segurança dainformação, tais como o Gerente de Segurança da Informação e o Security 1.1.1 Explicar a diferença entre os dados e informaçõesOfficer ou o Gerente de Projetos. 1.1.2 Descrever o meio de armazenamento que faz parte da infraestrutu- ra básicaO exame de especialista em gerenciamento é destinado aos profissionais de 1.2 Valor da informação (2,5%) - O candidato entende o valor da infor-TI que são responsáveis pelo desenvolvimento e implementação, em parte mação para as organizações. O candidato é capaz de:ou no todo, das estruturas da Segurança da Informação. Exemplos podemincluir o Chief Information Security Officer, o Gerente de Segurança da In- 1.2.1 Descrever o valor de dados / informação para as organizações 1.2.2 Descrever como o valor de dados / informações pode influenciar asformação, Implementador de Segurança da Informação e Arquitetos de Sis- organizaçõestemas de Informações. 1.2.3 Explicar como conceitos aplicados de segurança de informações protegem o valor de dados / informações 9 10
  6. 6. 1.3 Aspectos de confiabilidade (5%) - O candidato conhece os aspectos 3.2 Componentes (2,5%) - O candidato conhece as várias componentes de confiabilidade (confidencialidade, integridade, disponibilidade) da organização da segurança. O candidato é capaz de: da informação. O candidato é capaz de: 3.2.1 Explicar a importância de um código de conduta 1.3.1 Nome dos aspectos de confiabilidade da informação 3.2.2 Explicar a importância da propriedade 1.3.2 Descrever os aspectos de confiabilidade da informação 3.2.3 Nomear as regras mais importantes na organização da segurança da informação2. Ameaças e riscos (30%) 3.3 Gerenciamento de Incidentes (5%) - O candidato compreende a im-2.1 Ameaça e risco (15%) 0 O candidato compreende os conceitos de portância da gestão de incidentes e escaladas. O candidato é capaz ameaça e risco. O candidato é capaz de: de: 2.1.1 Explicar os conceitos de ameaça, de risco e análise de risco 3.3.1 Resumir como incidentes de segurança são comunicados e as infor- 2.1.2 Explicar a relação entre uma ameaça e um risco mações que são necessárias 2.1.3 Descrever os vários tipos de ameaças 3.3.2 Dar exemplos de incidentes de segurança 2.1.4 Descrever os vários tipos de danos 3.3.3 Explicar as consequências da não notificação de incidentes de segu- 2.1.5 Descrever as diferentes estratégias de risco rança 3.3.4 Explicar o que implica uma escalada (funcional e hierárquica)2.2 Relacionamento entre ameaças, riscos e confiabilidade das informa- 3.3.5 Descrever os efeitos da escalada dentro da organização ções (15%) - O candidato compreende a relação entre as ameaças, 3.3.6 Explicar o ciclo do incidente riscos e confiabilidade das informações. O candidato é capaz de: 2.2.1 Reconhecer exemplos dos diversos tipos de ameaças 4. Medidas (40%) 2.2.2 Descrever os efeitos que os vários tipos de ameaças têm sobre a in- formação e ao tratamento das informações 4.1 Importância das medidas de (10%) - O candidato entende a impor- tância de medidas de segurança. O candidato é capaz de:3. Abordagem e Organização (10%) 4.1.1 Descrever as maneiras pelas quais as medidas de segurança podem3.1 Política de Segurança e organização de segurança (2,5%) - O candida- ser estruturadas ou organizadas to tem conhecimento da política de segurança e conceitos de organi- 4.1.2 Dar exemplos de cada tipo de medida de segurança zação de segurança. O candidato é capaz de: 4.1.3 Explicar a relação entre os riscos e medidas de segurança 4.1.4 Explicar o objetivo da classificação das informações 3.1.1 enunciar os objetivos e o conteúdo de uma política de segurança 4.1.5 Descrever o efeito da classificação 3.1.2 enunciar os objetivos e o conteúdo de uma organização de segurança 11 12
  7. 7. 4.2 Medidas de segurança física (10%) - O candidato tem conhecimento 4.4.7 Tornar clara a importância da realização de exercícios tanto da criação e execução de medidas de segurança física. O candi- dato é capaz de: 5. Legislação e regulamentação (10%) 4.2.1 Dar exemplos de medidas de segurança física 4.2.2 Descrever os riscos envolvidos com medidas de segurança física 5.1 Legislação e regulamentos (10%) - O candidato entende a importân- insuficientes cia e os efeitos da legislação e regulamentações. O candidato é capaz de:4.3 medidas de ordem técnica (10%) - O candidato tem conhecimento tanto da criação quanto da execução de medidas de segurança técni- 5.1.1 Explicar porque a legislação e as regulamentações são importantes ca. O candidato é capaz de: para a confiabilidade da informação 5.1.2 Dar exemplos de legislação relacionada à segurança da informação 4.3.1 Dar exemplos de medidas de segurança técnica 5.1.3 Dar exemplos de regulamentação relacionada à segurança da infor- 4.3.2 Descrever os riscos envolvidos com medidas de segurança técnica mação insuficientes 5.1.4 Indicar as medidas possíveis que podem ser tomadas para cumprir 4.3.3 Compreender os conceitos de criptografia, assinatura digital e cer- as exigências da legislação e da regulamentação tificado 4.3.4 Nome das três etapas para serviços bancários online (PC, web site, Vantagens da certificação IFSF pagamento) 4.3.5 Nomear vários tipos de software malicioso  Redução de riscos do negócio; 4.3.6 Descrever as medidas que podem ser usados contra software mali-  Investimento em controles de segurança da informação frente aos ris- cioso cos do negócio (racionalidade);  Aumento da efetividade da segurança da informação (conceito de me-4.4 Medidas organizacionais (10%) - O candidato tem conhecimento lhoria contínua); tanto da criação quanto da execução de medidas de segurança orga-  Aumento de confiança nas relações comerciais; nizacional. O candidato é capaz de:  Proteção dos ativos da informação em todas as suas formas (tecnologia, pessoas e processos); 4.4.1 Dar exemplos de medidas de segurança organizacional  O exame ISO/IEC 27002 do EXIN é composto de 40 perguntas em in- 4.4.2 Descrever os perigos e riscos envolvidos com medidas de segurança glês, sendo necessário acertar 26 questões para ser aprovado. A taxa do organizacional insuficientes exame é de US$ 165,00. 4.4.3 Descrever as medidas de segurança de acesso, tais como a segrega-  O Formato do exame é do tipo múltipla escolha e sua duração máxima ção de funções e do uso de senhas é de 60 minutos. 4.4.4 Descrever os princípios de gestão de acesso  Uma vez aprovado no exame, você receberá dentro de 45 dias o certifi- 4.4.5 Descrever os conceitos de identificação, autenticação e autorização cado da EXIN pelo correio. 4.4.6 Explicar a importância para uma organização de um Gerenciamen- to da Continuidade de Negócios estruturado 13 14
  8. 8.  Envolvimento e comprometimento da direção da empresa na seguran- Requisito de exame Especificação de exame Peso Número ça da informação; ao nível de maestria (%) de ques-  Padrão aceito no mundo, com mais de 2500 certificações; tões  Aumento da conscientização dos funcionários para assuntos referen- 1 Informação e segurança tes à segurança da informação; O conceito de informação 1.1 Entendimento 2.5 1  Conformidade com requisitos legais; Valor da informação 1.2 Entendimento 2.5 1  Reconhecimento, por parte de terceiros, da importância da segurança Aspectos de confiabilidade 1.3 Lembrança 5 2 da informação para a empresa Subtotal 10 4Formato do Exame 2 Ameaças e riscos Ameaças e riscos 2.1 Entendimento 15 6 Relacionamento entre amea- 2.2 Entendimento 15 6 Características ças, riscos e confiabilidade da Tipo de exame múltipla escolha informação Número de questões 40 Subtotal 30 12 Duração do exame 60 minutos 3 Abordagem e organização Taxa para aprovação 65% Política de segurança e organi- 3.1 Lembrança 2.5 1 zação de segurança Componentes 3.2 Lembrança 2.5 1Literatura: O material do aluno cobre todos os requisitos do exame, in- Gerenciamento de incidentes 3.3 Entendimento 5 2clusive com questãoes ao final de cada capítulo e respostas comentadas Subtotal 10 4no apêndice A. 4 Medidas Importância de medidas 4.1 Entendimento 10 4O aluno também pode utilizar como literatura auxiliar o seguinte livro: Medidas físicas 4.2 Lembrança 10 4Hintzbergen, J., Baars, H., Hintzbergen, K. and Smulders, A. - The Basics of Information Medidas técnicas 4.3 Lembrança 10 4Security - A practical handbook - The Netherlands, 2009 - disponível gratuitamente, Medidas organizacionais 4.4 Lembrança 10 4no formato PDF (em inglês), no sítio internet do EXIN: Subtotal 40 16http://www.exin-exams.com/exams/exam-program/iso-iec-27000/isfs.aspx 5 Legislação e regulamentação Legislação e regulamentação 5.1 Entendimento 10 4 Subtotal 10 4 Total 100 40 15 16
  9. 9. Conforme visto anteriormente, devido à sua natureza abstrata, as informa- ções precisam de uma mídia para serem transmitidos e armazenados, essas mídias no entanto precisam de um cuidado especial quanto a seu manuseio, armazenamento, transporte e descarte. O critério utilizado varia de acordo com a classificação da informação que armazenam As boas práticas recomendam que, ao se classificar uma informação se espe- cifique o tempo e as condições do armazenamento considerando sempre que quanto maior a sensibilidade de uma informação, mais rígidos devem ser os controles de prazo e condições de guarda. É importante destacar que as informações podem ser reclassificadas a qual- quer tempo, o que pode ocasionar uma revisão do prazo e das condições de armazenamento das mesmas.17 18
  10. 10. Quando uma informação não é mais necessária, é necessário estabelecer pro-cedimentos na Política de Segurança da organização para o seu descarte, ava-liando se a mídia utilizada para guardar aqueda informação, assim como asque receberam suas cópias, pode ser sanitizada para receber novas informa-ções (ex: HD, Fita, Cartão de Memória, DVD-RW), ou deve ser descartada(Ex: papel, fita no final da vida útil, DVD-ROM).As fases abaixo, representam o ciclo de vida da informação: Criação – Início do ciclo onde a informação é gerada, pode ser o ponto onde uma foto é tirada, uma filmagem é feita, um documento ou e-mail é escrito, etc. Transporte – Esta parte do ciclo consiste no momento do envio ou trans- porte, onde a informação é encaminhada por correio, correio eletrônico, Os processos definidos na política de segurança são fundamentais para a fax, falada ao telefone ou através de alto-falantes públicos e outros. Nor- manutenção da segurança do ambiente, pois eles definem o comportamen- malmente ocorre antes e depois do armazenamento. to esperado dos colaboradores em relação à segurança da informação, e as tecnologias a serem utilizadas para assegurar a segurança da informação Armazenamento – Momento em que a informação é armazenada, seja em na organização. uma base da dados de um banco de dados, em papel, mídia (CD, DVD, Fita, disquete, memória USB) As pessoas, colaboradores da organização, aparecem como segundo com- ponente dessa tríade fundamental, e necessitam de orientação para que Descarte – A parte final do ciclo é o momento em que a informação é des- possam desempenhar suas obrigações quanto à segurança da informação cartada, ou seja, eliminada, apagada, “deletada”, destruída de forma defi- da melhor forma possível. nitiva. Pode ocorrer com a simples destruição de um papel, CD, ou DVD, Por último temos a tecnologia, que fornece ferramentas para forçar com ou pode ocorrer de forma que sua mídia hospedeira seja reutilizada poste- que as políticas sejam seguidas monitorar o uso dos recursos de informa- riormente. ção, e alertar de diversas formas quanto a incidente e desvios no cumpri- mento da política. 19 20
  11. 11. gurança da informação dentro da organização  Partes externas - Objetivo: Manter a segurança dos recursos de proces- samento da informação e da informação da organização, que são aces- sados, processados, comunicados ou gerenciados por partes externas Gestão de ativos  Responsabilidade sobre os ativos - Objetivo: Alcançar e manter a pro- teção adequada dos ativos da organização  Classificação da Informação - Objetivo: Assegurar que a informação receba nível adequado de proteção. Segurança em Recursos HumanosA ISO 27002:2005 é dividida em 11 seções e 39 categorias, que listamosa seguir:  Antes da contratação - Objetivo: Assegurar que os funcionários, forne- cedores e terceiros entendam suas responsabilidades, e estejam dePolítica de segurança da informação acordo com os papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos  Política de Segurança da Informação - Objetivo: Prover uma orientação  Durante a contratação - Objetivo: Assegurar que os funcionários, for- e apoio da direção para a segurança da informação de acordo com os necedores e terceiros estão conscientes das ameaças e preocupações requisitos do negócio e com as leis e regulamentações relevantes relativas à segurança da informação, suas responsabilidades e obriga- ções, e estão preparados para apoiar a política de segurança da infor-Organizando a Segurança da Informação mação da organização durante os seus trabalhos normais, e para redu- zir o risco de erro humano.  Infraestrutura da Segurança da Informação - Objetivo: Gerenciar a se- 21 22
  12. 12.  Encerramento ou mudança da contratação - Objetivo: Assegurar que  Manuseio de mídias - Objetivo: Prevenir contra a divulgação não auto- funcionários, fornecedores e terceiros deixem a organização ou mudem rizada, modificação, remoção ou destruição aos ativos e interrupções de trabalho de forma ordenada. das atividades do negócio.  Troca de informações - Objetivo: Manter a segurança na troca de infor-Segurança Física e do Ambiente mações e software in ternamente à organização e com quaisquer enti- dades externas  Áreas seguras - Objetivo: Prevenir o acesso físico não autorizado, da-  Serviços de comércio eletrônico - Objetivo: Garantir a segurança de nos e interferências com as instalações e informações da organização. serviços de comércio eletrônico e sua utilização segura  Segurança de equipamentos - Objetivo: Impedir perdas, danos, furto  Monitoramento - Objetivo: Detectar atividades não autorizadas de ou comprometimento de ativos e interrupção das atividades da organi- processamento da informação zação. Controle de acessoGerenciamento das Operações e Comunicações`  Requisitos de negócio para controle de acesso - Objetivo: Controlar o acesso à informação  Procedimentos e responsabilidades operacionais - Objetivo: Garantir a  Gerenciamento de acesso do usuário - Objetivo: Assegurar acesso de operação segura e correta dos recursos de processamento da informa- usuário autorizado e prevenir acesso não autorizado a sistemas de in- ção formação.  Gerenciamento de serviços terceirizados - Objetivo: Implementar e  Responsabilidades dos usuários - Objetivo: Prevenir o acesso não au- manter o nível apropriado de segurança da informação e de entrega de torizado dos usuários e evitar o comprometimento ou roubo da infor- serviços em consonância com acordos de entrega de serviços terceiri- mação e dos recursos de processamento da informação. zados  Controle de acesso à rede - Objetivo: Prevenir acesso não autorizado  Planejamento e aceitação dos sistemas - Objetivos: Minimizar o risco aos serviços de rede de falhas nos sistemas  Controle de acesso ao sistema operacional - Objetivo: Prevenir acesso  Proteção contra códigos maliciosos e códigos móveis - Objetivos: Pro- não autorizado aos sistemas operacionais teger a integridade do software e da informação.  Controle de acesso à aplicação e à informação - Objetivo: Prevenir  Cópias de segurança - Objetivo: Manter a integridade e disponibilida- acesso não autorizado à informação contida nos sistemas de aplicação de da informação e dos recursos de processamento de informação. 23 24
  13. 13.  Computação móvel e trabalho remoto - Objetivo: Garantir a segurança  Gestão de incidentes de segurança da informação e melhorias – Obje- da informação quando a computação móvel e recursos de trabalho re- tivo: Assegurar que um enfoque consistente e efetivo seja aplicado à moto gestão de incidentes de segurançaAquisição, desenvolvimento e manutenção de sistemas de informa- Gestão de Continuidade de Negóciosção  Requisitos de segurança de sistemas de informação – Objetivo: Garan-  Aspectos da gestão da continuidade do negócio, relativos à segurança tir que segurança é parte integrante de sistemas de informação da informação –Objetivo: Não permitir a interrupção das atividades  Processamento correto de aplicações – Objetivo: Prevenir a ocorrência do negócio e proteger os processos críticos contra efeitos de falhas ou de erros, perdas, modificação não autorizada ou mau uso de informa- desastres significativos, e assegurar a sua retomada em tempo hábil, se ções em aplicações. for o caso.  Controles criptografados – Objetivo: Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográfi- Conformidade cos  Segurança dos arquivos do sistema – Objetivo: Garantir a segurança de  Conformidade com requisitos legais – Objetivo: Evitar violação de arquivos de sistema qualquer lei criminal ou civil, estatutos, regulamentações ou obriga-  Segurança em processos de desenvolvimento e de suporte. - Objetivo: ções contratuais e de quaisquer requisitos de segurança da informa- Manter a segurança de sistemas aplicativos e da informação. ção.  Conformidade com normas e políticas de segurança da informação e  Gestão de vulnerabilidades técnicas. - Objetivo: Reduzir riscos resul- tantes de exploração de vulnerabilidades técnicas conhecidas. conformidade técnica –Objetivo: Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informa-Gestão de incidentes de Segurança da Informação ção.  Notificação de fragilidades e eventos de segurança da informação – Considerações quanto á auditoria de sistemas de informação – Objetivo: Ma- Objetivo: Assegurar que fragilidades e eventos de segurança da infor- ximizar a eficácia e minimizar a interferência no processo de auditoria dos mação associados com sistemas de informação sejam comunicados, sistemas de informação. permitindo a tomada de ação corretiva em tempo hábil. 25 26
  14. 14. "These novel or unusual design features are associated with connectivity of the passenger domain computer systems to the airplane critical sys- tems and data networks." (FAA) Este tipo de ameaça é real, e tem sido discutida por vários profissionais de Segurança da Informação. Conforme lembrou o colega Javed Ikbal em um post enviado para a lista cisspforum, no ano passado foi demonstrado no site da CSO online como é possível derrubar o sistema de entretenimento a bor- do (os jogos nos monitores) de um vôo da JetBlue utilizando o telefone a bordo para passar um parâmetro inválido para o jogo Tetris. A própria reportagem da Wired cita uma apresentação muito interessante do pesquisador Mark Loveless, ("Hacking the Friendly Skies") onde ele apre- senta como hackear computadores vizinhos durante o vôo e, no final da apresentação, faz várias considerações sobre os projetos existentes de dispo- nibilização de acesso internet nos vôos.Estudo de Caso—Boeing 787 Segundo a matéria, a Boeing diz que está ciente do risco e está trabalhandoSegundo um relatório da agência americana FAA (Federal Aviation Adminis- na separação física das redes e na adoção de proteção baseada em softwarestration), o novo jato tem uma vulnerabilidade séria de segurança na arquite- de firewall. Infelizmente (como lembrou o colega Les Bell na lista cisspfo-tura de suas redes internas de computadores, que pode permitir que passa- rum), manter todas estas redes totalmente isoladas fisicamente implicariageiros acessem os sistemas de controle do avião a partir da rede criada para em ter equipamentos e cabeamento redundante em toda a aeronave, um cus-prover acesso internet durante o voo. De acordo com o relatório, a rede desti- to muito pesado para a indústria aeronáutica. Por isso, o compartilhamentonada aos passageiros está conectada com as redes dos sistemas de controles da infraestrutura pareceria algo óbvio aos olhos de um leigo.de voo, de navegação, comunicação e a rede administrativa da compania aé- Lamentavelmente, muitas vezes os profissionais de segurança não são envol-rea (responsável por sistemas administrativos e de manutenção da equipe de vidos na fase de design do projeto, cabendo então a árdua tarefa de criar me-terra). No atual design, a conexão física entre estas redes, anteriormente iso- canismos adicionais de proteção, depois que o problema é encontradoladas, faz com que todo o sistema seja mais facilmente vulnerável a hackers. Fonte: AnchisesLândia - http://anchisesbr.blogspot.com/2008/01/segurana-possvel-hackear-o-boeing-787.html 27 28
  15. 15. Existe um importante fluxo de informações entre os objetivos de controle deÉ importante diferenciarmos Governança de TI de Gerenciamento de TI. TI e a alta gestão.A Governança de TI encontra-se e um nível estratégico, sendo o sistemapelo qual o uso atual e futuro da TI é dirigido e controlado. Significa avaliare direcionar o uso da TI para dar suporte à organização e monitorar seu uso Os objetivos de negócio que forem definidos pela alta direção geram requisi-para realizar os planos. Inclui a estratégia e as políticas de uso da TI dentro tos para os objetivos de TI. Uma vez implementados, esses controles geramda organização informações necessárias para que o negócio alcance seus objetivos.O Gerenciamento de TI encontra-se em uma esfera mais operacional, e re-presenta o sistema de controles e processos necessário para alcançar os ob- A alta gestão é responsável por passar o direcionamento e recursos necessá-jetivos estratégicos estabelecidos pela direção da organização. O gerencia- rios para a área de TI, que servem como entrada nos objetivos de controle, emento está sujeito às diretrizes, às políticas e ao monitoramento estabeleci- a governança de TI devolve informações importantes para que os executivosdos pela governança corporativa e o conselho possa exercer suas funções. 29 30
  16. 16. Gestão de recursos: refere-se à melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de TI: aplicativos, infor- mações, infraestrutura e pessoas. Questões relevantes referem-se à otimiza- ção do conhecimento e infraestrutura. Gestão de risco: requer a preocupação com riscos pelos funcionários mais experientes da corporação, um entendimento claro do apetite de risco da em -presa e dos requerimentos de conformidade, transparência sobre os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia. Mensuração de desempenho: acompanha e monitora a implementação da es- tratégia, término do projeto, uso dos recursos, processo de performance e enSegundo o CobiT (Control Objectives for Information and related Techno- -trega dos serviços, usando, por exemplo, “balanced scorecards” que tradu-logy), a Governança de TI possui cinco áreas de foco: zem as estratégia em ações para atingir os objetivos, medidos através de pro- cessos contábeis convencionais Existe um importante fluxo de informações entre os objetivos de controle de TI e a alta gestão.Alinhamento estratégico: foca em garantir a ligação entre os planos de negó-cios e de TI, definindo, mantendo e validando a proposta de valor de TI, ali-nhando as operações de TI com as operações da organização.Entrega de valor: é a execução da proposta de valor de IT através do ciclode entrega, garantindo que TI entrega os prometidos benefícios previstosna estratégia da organização, concentrando-se em otimizar custos e pro-vendo o valor intrínseco de TI 31 32
  17. 17. O BSC mede o desempenho da organização sob a óptica de quatro perspec- tivas que assim se inter-relacionam:  Resultados financeiros,  Satisfação do cliente,  Processos internos do negócio e  Aprendizado e crescimento. A melhoria do aprendizado e crescimento dos empregados resulta em me- lhoria dos processos internos do negócio, os quais criam melhores produtos e serviços e, consequentemente, maior satisfação do cliente e maior partici- pação no mercado, conduzindo a melhores resultados financeiros para a or- ganização.O Balanced ScoreCard (BSC) é uma metodologia que estabelece um siste-ma de medição de desempenho das organizações. Foi proposto por Kaplane Norton em 1992 ao nível empresarial.O Balanced Scorecard é uma ferramenta para planejar a implementação deestratégias e obter melhoria contínua em todos os níveis da organização. Éum conjunto de medidas que dão aos gerentes uma visão rápida e compre-ensiva dos negócios. 33 34
  18. 18. As quatro perspectivas do Balanced Scorecard estão contempladas em obje-tivos de negócio (Business Goals) do CobiT. Cada objetivo de negócio (Business Goal) aponta para um ou mais objetivos de TI, conforme indicado na tabela acima, e descrito a seguir:  Financeiro: BG01 a BG03  Cliente: BG04 a BG09 Perspectiva Financeira  Processos Internos: BG10 a BG15  Aprendizado e Crescimento: BG16 e 17 1 - Prover um retorno de investimento adequado para os investimentos de TI relacionados aos negócios. (24) 2 - Gerenciar os riscos de negócios relacionados a TI. (2, 14, 17, 18, 19, 20, 21, 22) 3 - Aprimorar governança corporativa e transparência. (2, 18) 35 36
  19. 19. Perspectiva do Cliente4 - Aprimorar orientação para clientes e serviços. (3, 23)5 - Oferecer produtos e serviços competitivos. (5, 24)6 - Estabelecer a continuidade e disponibilidade de serviços. (10, 16, 22, 23)7 - Criar agilidade em responder a requerimentos de negócios quemudam continuamente. (1, 5, 25)8 - Atingir otimização dos custos para entrega de serviços.(7, 8, 10, 24)9 - Obter informações confiáveis e úteis para o processo de decisões estraté-gicas. (2, 4, 12, 20, 26)Perspectiva Interna10 - Aprimorar e manter a funcionalidade dos processos de negócios. (6, 7, 11) Os objetivos de TI por sua vez são mapeados em processos do CobiT:11 - Reduzir custos de processos. (7, 8, 13, 15, 24)12 - Conformidade com leis externas, regulamentos e contratos. (2, 19, 20, 21, 1 - Responder aos requerimentos de negócios de maneira alinhada com a es-22, 26, 27) tratégia de negócios. (PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1)13 - Conformidade com políticas internas. (2, 13) 2 - Responder aos requerimentos de governança em linha com a Alta Dire- ção. (PO1 PO4 PO10 ME1 ME4)14 - Gerenciar mudanças de negócios. (1, 5, 6, 11, 28) 3 - Assegurar a satisfação dos usuários finais com a oferta e níveis de servi-15 - Aprimorar e manter a operação e produtividade do pessoal. (7, 8, 11, 13) ços. (PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS13) 4 - Otimizar o uso da informação. (PO2 DS11)Perspectiva de Aprendizagem 5 - Criar agilidade para TI. (PO2 PO4 PO7 AI3) 6 - Definir como funções de negócios e requerimentos de controles são con-16 - Gerenciar a inovação de produtos e negócios. (5, 25, 28) vertidos em soluções automatizadas efetivas e eficientes. (AI1 AI2 AI6)17 - Contratar e manter pessoas habilitadas e motivadas. (9) 37 38
  20. 20. 7 - Adquirir e manter sistemas aplicativos integrados e padronizados. (PO3AI2 AI5)8 - Adquirir e manter uma infraestrutura de TI integrada e padronizada.(AI3 AI5)9 - Adquirir e manter habilidades de TI que atendam as estratégias de TI.(PO7 AI5)10 - Assegurar a satisfação mútua no relacionamento com terceiros. (DS211 - Assegurar a integração dos aplicativos com os processos de negócios.(PO2 AI4 AI7)2 - Assegurar a transparência e o entendimento dos custos, benefícios, estra-tégia, políticas e níveis de serviços de TI. (PO5 PO6 DS1 DS2 DS6 ME1ME4)13 - Assegurar apropriado uso e a performance das soluções de aplicativos ede tecnologia. (PO6 AI4 AI7 DS7 DS8)14 - Responsabilizar e proteger todos os ativos de TI. (PO9 DS5 DS9 DS12ME2)15 - Otimizar a infraestrutura, recursos e capacidades de TI. (PO3 AI3 DS3 A história oficial dos ÓVNIS no BrasilDS7 DS9) Documentos da Aeronáutica revelam a missão especial que filmou e fotogra-16 - Reduzir os defeitos e re-trabalhos na entrega de serviços e soluções. fou aparições de óvnis no País e mostram como funcionava o departamento(PO8 AI4 AI6 AI7 DS10) criado pelos militares para investigar os relatos sobre discos voadores17 - Proteger os resultados alcançados pelos objetivos de TI. (PO9 DS10ME2)18 - Estabelecer claramente os impactos para os negócios resultantes de ris- Duas dezenas de oficiais da Força Aérea Brasileira (FAB) estiveram envolvi-cos de objetivos e recursos de TI. (PO9) dos em uma missão sigilosa no meio da selva amazônica, no Pará, 30 anos atrás. Denominada Operação Prato, ela é a mais impressionante investigação de óvnis (objetos voadores não identificados) realizada pela Aeronáutica que se conhece. É uma espécie de caso Roswell brasileiro, com missões se- cretas, histórias e fenômenos sem explicação. Enquanto em Roswell, marco 39 40
  21. 21. da ufologia mundial, os militares americanos primeiro admitiram a existên- Lembrar que eles foram desclassificados porque pertencem à sociedade, ecia dos óvnis e depois negaram, os relatórios da FAB não deixam dúvidas: estão somente sob custódia do governo. cumpriram 30 anos de ressalva de-os oficiais do I Comando Aéreo Regional (Comar), em Belém, designados veriam ser públicas, mas na prática não é o que ocorre. "Não se quebra umapara a opera-ção, que ocorreu nos quatro últimos meses de 1977, afirmam cultura de uma vez. E eu não sou a favor de divulgar documentos que feremter presenciado - mais de uma vez - UFOs cruzando o céu da Amazônia. a privacidade das pessoas, induzem pânico à população ou colocam a segu- rança do País em risco", defende o brigadeiro José Carlos Pereira, ex- comandante de operações da FAB e ex-presidente da Empresa Brasileira deDetalhes da Operação Prato estão em relatórios sigilosos que acabam de ser Infraestrutura Aeroportuária (Infraero).liberados pelo governo federal para consulta no Arquivo Nacional, em Bra-sília. Desde o ano passado, estão vindo a público documentos, alguns guar-dados há mais de 50 anos. Todos os arquivos secretos de UFO estão sob Hoje na reserva, o brigadeiro de 67 anos foi considerado por muitos anos oresponsabilidade da Casa Civil desde 2005. Há 1.300 folhas de um total es- guardião da chave do cofre de segredos ufológicos brasileiros. Foi ele quemtimado em 25 quilos de material, com descrições, croquis e fotos de óvnis ordenou o recolhimento de todo material sigiloso produzido sobre o temareferentes a três lotes de informações da FAB. Os dois primeiros contêm espalhado em bases aéreas e aeroportos do Brasil. A papelada foi levada pararelatos dos anos 50 e 60. O último, aberto em maio e do qual faz parte a o Comando de Defesa Aeroespacial (Comdabra), em Brasília, onde ele exer-Operação Prato, cobre a década seguinte. No próximo mês, será a vez do cia a função de comandante- geral, no início da década. Mas somente no anoacervo dos anos 80. passado os documentos começaram a chegar ao arquivo nacional.Os arquivos, agora públicos, trazem depoimentos de civis, trocas de corres- Revirar os porões das Forças Armadas e revelar os segredos ufológicos épondências entre militares sobre óvnis, recortes de jornais da época e várias uma tendência verificada em outros países. "Com essa abertura, a Aeronáuti-conversas entre pilotos e controladores de voos sobre estranhos fenômenos ca reconhece a necessidade de tratar o fenômeno UFO de maneira séria, dei-no espaço aéreo nacional No momento, apenas os relatórios de UFOs clas- xando de lado o tom pejorativo e irreverente que quase sempre aparecesificados como reservados e confidenciais da Aeronáutica tornaram- se pú- quando se levanta a plausível hipótese de estarmos recebendo a visita deblicos. Espera-se que o Exército e a Marinha façam o mesmo. São aguarda- seres extraterrestres", diz Ademar José Gevaerd, 47 anos, coordenador dadas, também, as páginas com os carimbos de secreto e ultra-secreto. Por lei, Comissão Brasileira de Ufólogos (CBU), que elaborou uma campanha emas que Ressaltar que os documentos eram confidenciais e reservados, com prol da liberdade de informações sobre UFOs.tempo diferente de classificação dos secretos. 41 42
  22. 22. Hoje, a pessoa que quiser relatar a aparição de um óvni dificilmente encon-trará eco na FAB. "A Aeronáutica não dispõe de estrutura especializada pa-ra realizar investigações científicas", informou a FAB à ISTOÉ. Porém, du-rante o funcionamento do Sioani, no IV Comar, toda testemunha era sub-metida a 43 44
  23. 23. A palavra risco, vem da palavra “risicare”, que no italiano antigo significa Uma ameaça pode ser definida de diversas formas, dentre elas selecionamosousar. Através dessa definição entendemos que risco não é necessariamente 2 que definem bem o termo:algo negativo. Pelo menos não de uma forma geral. 1) Uma potencial causa de incidente* 2) Todo e qualquer perigo eminente seja natural, humana, tecnológica,Quando se joga 100.000 dólares em um número da roleta existe uma grande física ou político-econômica.chance de se perder todo o dinheiro (risco negativo alto), mas existe a possi-bilidade de ganhar (risco positivo baixo). Podemos considerar este um risco As ameaças são latentes, e dependem de uma ação externa para que se con-positivo, uma oportunidade de ficar milionário. cretizem. O Agente de ameaça é um elemento que através de uma ação pró- pria é capaz de concretizar uma ameaça.Colocando-se no lugar da banca você identifica uma excelente oportunidadede ganhar 100.000 dólares (risco positivo) e um pequeno risco de pagar uma Uma invasão é uma ameaça latente, por outro lado um cracker pode ser ofortuna para um sortudo que ousou apostar uma fortuna (risco positivo), agente de ameaça a transformá-la em uma realidade. 45 46
  24. 24. Agente de ameaça é o elemento que através de uma ação própria é capaz de Um rootkit é um pacote de programas maliciosos, que substituem o arqui-concretizar uma ameaça. vos binários (programas compilados) por um kit de programas que mantém uma porta aberta sem que verdadeiro root (administrador do unix) perceba.O agente é o elo de ligação entre a ameaça e o ativo, ele é responsável por Com a porta aberta o invasor pode voltar a qualquer momento e utilizar osexplorar a vulnerabilidade do ativo e causar o incidente. privilégios do root (ou do usuário do serviço que ele tenha utilizado, para realizar absolutamente qualquer ação dentro do computador, inclusive, roubar, alterar ou destruir qualquer informação.Um Cracker que realiza uma invasão é o agente de ameaça que explora umavulnerabilidade de software ou configuração e causa um incidente. O Nome rootkit é derivado do usuário root do Unix, ambiente onde essa prática se popularizou, mas existem rootkits para quase todas as platafor- mas. Existem rootkits para Solares, Mac OS, Linux e a maioria das versões do Windows, entre outros. 47 48
  25. 25. Os rootkits ganharam publicidade em 2005, quando foi revelado que a gra- tema operacional e criam uma trilha adicional de execução, que mantémvadora Sony/BMG instalava um rootkit chamado XCP (Extended Copy essa porta aberta. Esse tipo de Malware também recebe o nome de rootkitProtection) em seus CD´s de música com o objetivo de instalar um meca- no Windowsnismo anti-cópia.Os rootkits são extremamente difíceis de serem detectados, e infectam osistema sem que o usuário perceba nada. É difícil garantir a completa re- O Rootkit de DRM da Sony: A Verdadeira Históriamoção dos rootkits de um sistema,esses programas são especializados emenganar as ferramentas de segurança para ficarem ocultos. A forma mais É uma história de David contra Golias, sobre os blogs de tecnologia der-confiável de reaver seu computador é formatar o disco e reinstalar todo o rotando uma megacorporação.sistema.Porta de Manutenção / Backdoor são uma possível fonte de vazamento de Em 31 de Outubro, Mark Russinovich detonou a história em seu blog: Ainformações sensível. São os canais secretos de comunicação, ou seja, ca- Sony BMG Music Entertainment distribuiu um esquema de proteçãonais que dos quais os usuários ignoram a existência. Estes canais são cha- contra cópias junto com seus CD’s que secretamente instalava um root- kit nos computadores. Essa ferramenta é executada sem o conhecimen-mados de porta de manutenção ou Backdoor, e são comumente utilizado to nem consentimento: ela é carregada em seu computador por um CD,por Trojans para comunicar-se com seu controlador, ou até mesmo forne- e um hacker pode obter e manter acesso ao seu sistema sem que vocêcer acesso à máquina infectada. saiba.São considerados Backdoors os programas ou partes de códigos escondi-dos em outros programas, que permitem que um invasor entre ou retorne a O código da Sony modifica o Windows para que não se possa dizer queum computador comprometido por uma porta dos fundos‖, sem ter que está lá, um processo denominado “Clocking” (Camuflagem) no mundopassar pelo processo normal de autenticação. Nos primórdios da computa- hacker. Ele age como um spyware, sorrateiramente enviando informa-ção, os próprios programadores deixavam alguns backdoors em seus siste- ções sobre você para a Sony. E ele não pode ser removido; tentar livrar-mas, e os chamavam de ganchos de manutenção. se dele danifica o Windows.Nos sistemas Windows, os backdoors geralmente são Trojans, instaladosatravés de Phishing, ou ainda programas instalados por worms, que apósexplorarem uma vulnerabilidade do sistema alvo infectam arquivos do sis- 49 50
  26. 26. A história foi acolhida por outros blogs (inclusive o meu), e logo depoispela mídia de informática. Finalmente os grandes meios de comunicação No entanto, o comportamento arrogante de uma corporação tambémtrouxeram isso à tona. não é a história realO Clamor foi tão grande que em 11 de novembro a Sony anunciou queestava temporariamente parando a produção desse esquema de prote-ção de cópias. Isso ainda não era o suficiente, em 14 de novembro a Esse drama é sobre incompetência. A última ferramenta de remoção docompanhia anunciou que estava retirando das lojas os CD’s protegidos, rootkit da Sony na realidade deixa uma vulnerabilidade escancarada. Ee oferecia aos usuários o rootkit da Sony, desenhado para parar as infrações de direitos autorais pode ter infringido ele mesmo uma copyright. Por mais incrível que issouma troca gratuita dos CD’s infectados. possa parecer, o código parece incluir um codificador MP3 de código aberto, em violação à licença dessa biblioteca. Mas mesmo isso não é a história real.Mas essa não é a história real aqui É um épico de ações judiciais coletivas na Califórnia e em outros luga-É uma história sobre extrema arrogância. A Sony distribuiu seu incrivel- res, e o foco das investigações criminais. O rootkit teria sido encontradomente invasivo esquema de proteção contra cópia sem sequer discutir em computadores executados pelo Departamento de Defesa, para des-publicamente seus detalhes, confiando que os benefícios justificariam a gosto do Departamento de Segurança Interna de. Enquanto a Sony po-modificação nos computadores de seus clientes. Quando essa ação foi deria ser processada sob a legislação de cybercrime dos EUA, ninguéminicialmente descoberta, a Sony ofereceu um “fix”que não removia o roo- acha que vai ser. E ações nunca são toda a história.tkit, apenas a camuflagem. Esta saga é cheia de reviravoltas estranhas. Alguns apontaram comoA Sony alegou que o rootkit não “ligava para casa”, quando na realidade este tipo de software degradaria a confiabilidade do Windows. Alguémele o fazia. Em 4 de novembro, Thomas Hesse, presidente global de ne- criou um código malicioso que usava o rootkit para se esconder. Umgócios digitais da Sony BMG, demonstrou todo o desdenho da compa- hacker usou o rootkit para evitar o spyware de um jogo popular. E havianhia por seus clientes quando ele disse em uma entrevista à NPR: A até mesmo chamadas para boicotar a Sony em todo o mundo. Afinal, semaior paste das pessoas nem sequer sabem o que é um rootkit, então você não pode confiar Sony não infectar o seu computador quando vocêporque eles devem se preocupar com isso? 51 52
  27. 27. compra CDs com suas músicas, você pode confiar nela para lhe vender o tipo de coisa que você está pagando essas empresas para detectar,um computador não infectado? Essa é uma pergunta boa, mas - de novo especialmente porque o rootkit foi “telefonar para casa”.- não a verdadeira história. Mas muito pior do que não detectá-lo antes da descoberta RussinovichÉ ainda outra situação onde os usuários do Macintosh podem assistir, foi o silêncio ensurdecedor que se seguiu. Quando um novo malware édivertindo-se (bem, na maior parte) do lado de fora, perguntando por que encontrado, empresas de segurança caem sobre si para limpar os nos-alguém ainda usa o Microsoft Windows. Mas certamente, mesmo isso sos computadores e inocular nossas redes. Não neste caso.não é a história real. A McAfee não adicionou um código de detecção de até 09 de novembro,A história de prestar atenção aqui é o conluio entre grandes empresas e agora, 15 de novembro ainda não remove o rootkit, somente o disposi-de mídia que tentam controlar o que fazemos em nossos computadores tivo de camuflagem. A empresa admite em sua página web que este ée companhias de software de segurança, e empresas que deveriam es- um compromisso pobre. "A McAfee detecta, remove e evita a reinstala-tar nos protegendo. ção do XCP." Esse é o código de camuflagem. "Por favor, note que a remoção não irão afetar os mecanismos de proteção de direitos autorais instalados a partir do CD. Houve relatos de travamento do sistema, pos-As estimativas iniciais são de que mais de meio milhão de computadores sivelmente resultante de desinstalar o XCP." Obrigado pelo aviso.no mundo estão infectadas com este rootkit da Sony. São números sur-preendentes de infecção, tornando esta uma das epidemias mais gravesda Internet de todos os tempos, no mesmo nível de worms como Blaster, Resposta da Symantec para o rootkit, para ser gentil, evoluiu. No início,Slammer, Code Red e Nimda. a empresa não considerou o XCP como um Malware. Não era até 11 de novembro que a Symantec publicou uma ferramenta para remover a camuflagem. Em 15 de novembro, ainda é insossa sobre isso, explican-O que você acha da sua empresa antivírus, o que não percebeu rootkit do que "este rootkit foi projetado para esconder uma aplicação legítima,da Sony, como infectou meio milhão de computadores? E isso não é um mas pode ser usado para esconder outros objetos, incluindo softwaredaqueles vermes relâmpago da Internet; este vem se espalhando desde malicioso".meados de 2004. Porque se espalhou através de CDs infectados, nãoatravés de conexões de internet, eles não notaram? Este é exatamente 53 54
  28. 28. A única coisa que torna este rootkit legítimo é o fato de uma empresamultinacional colocá-lo no seu computador, e não uma organização cri-minosa.Você poderia esperar que a Microsoft fosse a primeira empresa a conde-nar este rootkit. Afinal, o XCP corrompe o interior do Windows "de umaforma bastante desagradável. É o tipo de comportamento que poderiafacilmente levar a falhas no sistema, falhas que os clientes culpam a Mi-crosoft. Mas não foi até 13 de novembro, quando a pressão pública eramuito grande para ser ignorada, e a Microsoft anunciou que iria atualizarsuas ferramentas de segurança para detectar e remover a parte do dis-farce do rootkit.Talvez a única empresa de segurança que merece louvor é F-Secure, oprimeiro e o mais alto crítico das ações da Sony. E a Sysinternals, é cla-ro, que hospeda blog do Russinovich e trouxe isto para a luz.Segurança ruim acontece. Isso sempre foi e sempre será. E as empre-sas fazem coisas estúpidas, sempre fizeram e sempre farão. Mas a ra-zão que nós compramos produtos de segurança da Symantec, McAfee eoutros, é para nos proteger de segurança ruim. 55 56
  29. 29. A política é um conjunto de documentos que estabelecem as regras a seremobedecidas para que a organização possua um nível aceitável de segurança.É através da política de segurança que a estratégia de SI é montada e passadapara todas as áreas envolvidas. Uma versão resumida deve ser publicada paratodos os colaboradores e parceiros relevantes, como fornecedores e clientes.O desenvolvimento da política é ponto fundamental de uma série de normase regulamentações, além de ser incentivado por regulamentações e normasinternacionais de melhores práticas. 57 58
  30. 30. Os colaboradores de empresa desempenham um importante papel nadetecção de fragilidades segurança, e na notificação de incidentes desegurança, uma vez que estes estão lidando com os controles e tambémpróximos dos incidentes quando ocorrem. Para que a gestão de inci-dentes seja eficiente, os colaboradores precisam ter um canal para re-portar os incidentes e fragilidades dos controles, esse canal é geral-mente o Helpdesk.É importante que as pessoas não tenham receio de reportar incidentesde segurança, entendendo que essa é uma obrigação de cada colabora-dor. 59 60
  31. 31. Os controles de segurança da informação devem ter uma origem bem justifi-cada, e sofrer uma revisão periódica para analisar sua aderência e eficiência.A principal origem de controles se dá nas regulamentações. As organizaçõesprecisam atender às regulamentações da área em que estão inseridas, e paraisso precisam ter em sua política de segurança controles que enderecem es-ses requisitos. Exemplos de controles dessa categoria são os controles sobredados de cartão de crédito (PCI DSS), dados de saúde (ANS), integridade derelatórios financeiros (Sarbanes-Oxley), etc.Outra grande origem de controles são os requisitos de negócio. Se uma orga-nização opera com projetos automobilísticos ou eletrônicos, ela precisa ga-rantia a confidencialidade de seus projetos para sobreviver no mercado. 61 62
  32. 32. Segundo a ISO 27002, os controles físicos previnem o acesso físico não As cópias de segurança fundamentais para se manter a integridade e dispo- nibilidade da informação. A politica de Backup deve levar em consideraçãoautorizado, danos e interferências com as instalações e informações da os seguintes aspectos:organização.  produção de registros completos e exatos das cópias e documentação sobre os procedimentos de recuperação;A Norma especifica dois importantes pontos a serem tratados:  a extensão (completa, incremental, diferencial) e a freqüência da geração das cópias reflita os requisitos do negócio, requisitos de segurança e a  Perímetro de segurança física: utilizar perímetros de segurança criticidade da informação;  armazenar as cópias em uma localidade remota, a uma distância sufici- (paredes, portões de entrada com cartões, etc) para proteger as ente para escapar de danos de um desastre no local principal; áreas processamento e armazenagem de informações  testar as mídias e os procedimentos de recuperação regularmente;  Controles de entrada física: visam assegurar que somente pesso- as autorizadas tenham acesso a um local. As mídias de armazenamento devem ser definidas de acordo com o tempo de retenção dos dados para que a informação não se deteriore antes do tempo previsto. 63 64
  33. 33. Ciência milenar, chave dos segredos da antiga Roma, peça fundamental na O conceito de infraestrutura significa um somatório de tecnologiasSegunda Guerra Mundial, atualmente é estrela do mundo da Segurança da para garantir segurança, onde, trata-se de uma solução conjunta deInformação. Diversos sistemas operacionais, bancos de dados, protocolos de hardware, software e protocolos, através da distribuição e gerencia-comunicação ou simples sistemas de armazenamento de arquivos chegam mento de chaves e certificados digitais.aos consumidores providos desta função de embaralhar os dados. Através douso de um algoritmo (sequência de passos para o embaralhamento) os dadosa serem protegidos e de uma chave (conjunto de bits) transforma-se textos Apesar das CAs auxiliarem na comprovação da identidade do donoou dados abertos em códigos ilegíveis. de uma chave pública através dos certificados digitais, ainda existe aA chave (conjunto de bits) existe para embaralhar (encriptar) o texto e, atra- necessidade de disponibilizar os certificados, e revogar outros certifi-vés do conhecimento dela, conseguir recuperar o texto original (decriptar). cados em caso de perda, comprometimento ou desligamento de umIsso é Criptografia no mundo computacional, e isso era Criptografia há mil funcionário.anos. Porém, se hoje temos computadores para criptografar dados e proces- 65 66
  34. 34. As autoridades certificadoras (AC’s) agem como cartórios digitais, reco-lhendo, através de suas AR’s (autoridades de registro) a documentação dasentidades para as quais os certificados serão emitidos, e criando um certifi-cado digital que associa a entidade a um par de chaves.As AC’s emitem os certificados digitais a partir de uma política estabeleci-da, assim como alguns órgãos emitem carteira de identidade, carteira demotorista, reconhecimento de firma, etc. Elas possuem uma cadeia de cer-tificação que garantem a identidade da entidade, através de uma rígida po-lítica de segurança, e por isso são consideradas um terceiro confiável. 67 68
  35. 35. Após o lançamento de um software, uma vulnerabilidade não detecta- da nas fases de teste permanece latente até que algum pesquisador (esse sim, geralmente um Hacker) contratado pelo próprio fabricante, por terceiros ou independente a encontre. A índole do pesquisador vai ditar as regras de quando ele irá publicar a vulnerabilidade. Se o pesquisador estiver apoiando o fabricante, e este tratar segurança como algo sério, a vulnerabilidade somente será publicada após uma correção estar disponibilizada para os usuários. Caso ele não se importe com o fabricante ou com os usuários, a vulne- rabilidade pode ser publicada assim que ele a descobrir ou quando ele já tiver um código que a explore.69 70
  36. 36. Outra possibilidade a que ele não venha a publicá-la, e sim a disponi-bilizá-la para um criador de vírus que utilizam se de “zero-days”, ouseja, exploração de vulnerabilidades zero ou menos dias antes da pu-blicação da correção.Uma vez que a correção é publicada inicia-se o período de homologa-ção por parte do usuário, que pode levar de horas a dias.Os últimos estudos mostram que os vírus baseados em zero-days ouem correções recém lançadas tem tido uma penetração maior em em-presas do que em usuários domésticos, porque estes contam com umserviço de atualização automática, e as organizações perdem um tem-po valioso em seu processo de homologação, que apesar de importan-te deve ser tratado com prioridade para que essa não fique exposta a A Injeção de código SQL (SQL Injection), é uma forma de ataque a aplicaçõesameaças durante muito tempo. onde o usuário ao invés de entrar com um dado “inocente” como um nome (Ex: Pietro) ou identificador (Ex: 1001) entra com uma expressão SQL, que altera o funcionamento da aplicação para realizar alguma ação que poderá comprometer a confidencialidade, disponibilidade e integridade das aplica- ções. 71 72
  37. 37. O Morris Worm causou um prejuízo estimado entre 10 e 100 Milhões de dólares, e Robert foi julgado culpado pelo “Computer Fraud and Abuse Act”, sentenciado a 3 anos de condicional e 400 horas de serviços comunitá- rios. Hoje Morris é professor de ciência da computação no MIT Os Worms são a causa mais comum de ataques na Internet:  Mais de 50% dos boletins publicados pelo CERT (computer security incident report team) são conseqüência de buffer overflows  Morris worm (1988): B.O. no Fingerd: 6,000 máquinas infectadas  CodeRed (2001): B.O. no servidor MS-IIS 5: 300,000 máquinas infec- tadas em 14 horas  SQL Slammer (2003): B.O. no MS-SQL server: 75,000 máquinas infec- tadas em 10 minutos (!!)O Primeiro malware a utilizar-se de uma vulnerabilidade de código foi o“Morris Worm”, nome dado em homenagem a seu criador, o filho de um ci-entista chefe do NSA e estudante de graduação Robert Morris, que em 1988criou um programa para se propagar lentamente pela Internet, e sem causardano medir o tamanho da rede contabilizando os hosts VAX por onde passa-va.Devido a um erro de programação ele criou novas cópias muito rapidamente,sobrecarregando as máquinas infectadas, e travando as máquinas SUN, paraas quais o worm não foi projetado. 73 74
  38. 38. Através da engenharia reversa do código da correção, ficou fácil para os atacantes entender a vulnerabilidade existente no código do Windows e criar o Blaster, que em poucos dias deixou um saldo de:  Mais de 15 milhões de computadores infectados  3.3 Milhões (quase 10 vezes o normal) de chamados de segurança para o suporte Microsoft, que é gratuito para todos os cliente com software original A Microsoft considerou que na época cada chamado lhe custou U$ 40,00. O que significa um prejuízo tangível e direto de quase 120 Mi- lhões de dólares, que se mostrariam modestos frente ao desgaste de ima- gem.O trecho de código acima foi extraído de um documento da Microsoft,vemos uma vulnerabilidade no código do servidor RPC do Windows,que foi explorado pelo vírus Blaster (aquele que fazia a máquina reinici-ar em 60 segundos).Durante o programa Trustworth Computing (Computação Confiável) aMicrosoft revirou o código do Windows e descobriu diversas vulnerabi-lidades como esta, e à medida em que as foi corrigindo foi distribuindoatualizações de segurança para os usuários, que na época, Setembro de2003, não tinham a cultura de aplicar as correções de segurança, e nãocontavam com um programa de atualização automática do sistema. 75 76
  39. 39. A partir da década de 80, alguns organismos internacionais começaram a de-senvolver padrões de certificação para testar as aplicações em homologaçãopelo governo de seus respectivos países.Durante um período de cinco anos, entre 1993 e 1998, esses organismos uni-ram-se para criar um padrão de certificação que facilitasse o trabalho e dimi-nuísse o custo dos fabricantes de software, antes obrigados a pagar por dife-rentes tipos de certificação, um para cada país ou região. 77 78
  40. 40. Trata-se de um dos princípios mais conhecidos e mais importantes da se-gurança da informação, e prega a divisão de tarefas e permissões na organi-zação, não concentrando o conhecimento em apenas uma pessoa e reduzin-do o risco de fraudes, uma vez que seriam necessários dois ou mais colabo-radores trabalhando em conluio (ato de cooperação entre partes que come-tem um ato ilícito) para que essa se consumasse.A Segregação de funções é complementar aos conceitos de need-to-know eprivilégio mínimo, que pregam que os colaboradores somente precisamconhecer o suficiente para desempenhar suas tarefas, e que não necessitamde mais permissões no sistema do que o necessário para executar essas ta-refas. 79 80
  41. 41. De acordo com a classificação da informação que está sendo protegida pode-mos utilizar uma combinação de mais de um fator de autenticação, tornandoo acesso muito mais seguro., com dois ou três fatores 3 Fatores: Senha + Crachá + Biometria 2 Fatores: Crachá + Biometria, Senha + Cracha, Senha + BiometriaA maioria de nós já utilizou algum tipo de autenticação com dois fatores, al-guns exemplos são:  Senha + Cartão de Senhas (Bancos)  Senha + Token (Bancos, VPN)  Senha + SmartCard (VPN) 81 82
  42. 42. Anexo A Exercícios com Respostas ComentadasEstar em conformidade significa evitar violação de:  Qualquer lei criminal ou civil;  estatutos;  regulamentações;  obrigações contratuais;  quaisquer requisitos de segurança da informação;O Fator chave para manter-se em conformidade é identificar a legisla-ção vigente, assim como as regulamentações às quais nossa organiza-ção está subordinada. 83 84
  43. 43. Anexo A – Exercícios com respostas comentadas C. incorreto. A indispensabilidade dos dados para os processos de negó- cios, em parte, determina o valor.1 de 40 —Você recebeu do seu contador uma cópia da sua declaração fiscal e D. incorreto. Dados críticos para os processos de negócio importantes, por-deve verificar se os dados estão corretos. Qual característica de confiabilida- tanto, valiosos.de da informação que você está verificando? 3 de 40 – Nosso acesso à informação é cada vez mais fácil. Ainda assim, aA. Disponibilidade informação tem de ser confiável, a fim de ser utilizável. O que não é umB. Exclusividade aspecto de confiabilidade da informação?C. Integridade A. DisponibilidadeD. Confidencialidade B. Integridade C. QuantidadeA. incorreto. A disponibilidade é o grau em que a informação está disponível D. Confidencialidadepara os usuários nos momentos necessários.B. incorreto. A exclusividade é uma característica de sigilo. A. incorreto. A disponibilidade é um aspecto de confiabilidade da informa-C. correto. Esta é uma preocupação da integridade. çãoD. incorreto. Trata-se do grau em que o acesso à informação é restrito a ape- B. incorreto. A integridade é um aspecto de confiabilidade da informaçãonas aqueles que são autorizados. C. correto. Quantidade não é um aspecto de confiabilidade das infor- mações.2 de 40 — A fim de ter uma apólice de seguro de incêndio, o departamento D. incorreto. A confidencialidade é um aspecto de confiabilidade da infor-administrativo deve determinar o valor dos dados que ele gerencia. Qual maçãofator não é importante para determinar o valor de dados para uma organiza-ção? 4 de 40 — "Completeza" faz parte de qual aspecto de confiabilidade da in- formação?A. O conteúdo dos dados. A. DisponibilidadeB. O grau em que a falta, dados incompletos ou incorretos podem ser recupe- B. Exclusividaderados. C. IntegridadeC. A indispensabilidade dos dados para os processos de negócio. D. ConfidencialidadeD. A importância dos processos de negócios que fazem uso dos dados. A. incorreto. As informações podem estar disponíveis sem ter que ser com-A. correto. O conteúdo dos dados não determina o seu valor. pletasB. incorreto. Dados ausentes, incompletos ou incorretos podem ser facilmen- B. incorreto. A exclusividade é uma característica de sigilo.te recuperados são menos valiosos do que os dados que são difíceis ou im- C. correto. Completeza faz parte da Integridade, que é parte do aspecto depossíveis de recuperar. confiabilidade. 85 86

×