Pós-Graduação em Gestão Industrial Tecnologia da Informação

Trabalho – Segurança da Informação

SEGURANÇA DA INFORMAÇÃO
Segurança de informação está relacionada com métodos de proteção aplicados sobre um conjunto de dados no sentido de preservar o valor que possui para um indivíduo ou uma organização. São características básicas da segurança da informação os aspectos de confidencialidade, integridade e disponibilidade, não estando restritos somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito aplica-se a todos os aspectos de proteção de informações e dados. Todas as informações possuem valores e usos que são diferenciados, por isso precisam ser classificados e recebem diferentes graus de proteção. Classificar a informação é muito importante para evitar o desperdício de investimento na proteção das informações. Propriedade da Informação Toda a produção produzida por uma companhia, ou por ela adquirida, é considerada de sua propriedade, sendo parte do seu patrimônio, não importando a forma de apresentação ou armazenamento. Esta informação deve ser adequadamente protegida. As informações devem ser utilizadas exclusivamente para fins relacionados diretamente ao negócio da organização observando as orientações contidas nas políticas de segurança da informação de cada empresa. Política da Segurança da Informação Conjunto de diretrizes que definem formalmente as regras e os direitos dos colaboradores e prestadores de serviços, visando à proteção adequada dos ativos da informação. Classificação das Informações Classificação da Informação é o processo de identificar e definir níveis e critérios adequados de proteção das informações que garantam a sua confidencialidade, integridade e disponibilidade de acordo com a importância para a organização. Segundo a descrição do item 5.2 da ISO/IEC 17799:2005, o objetivo da Classificação da Informação é assegurar que os ativos da informação recebam um nível adequado de proteção. A informação deve ser classificada para indicar a importância, a prioridade e o nível de proteção. A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Um sistema de classificação da informação deve ser usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.
Pág. 1/10 9/2/yyyy

Pós-Graduação em Gestão Industrial Tecnologia da Informação

Trabalho – Segurança da Informação

A Classificação da Informação deve atender à política de segurança das empresas, que - invariavelmente - diz que somente é permitido o uso de recursos homologados e autorizados pela empresa, identificados e inventariados, protegidos, com documentação atualizada e estando de acordo com as cláusulas contratuais e a legislação em vigor. A classificação deve tratar a informação durante todo o seu ciclo de vida, com níveis e critérios para sua criação, manuseio, transporte, armazenamento e descarte. A classificação das informações deve ser revista periodicamente, pois seu valor e impacto para a organização, bem como a aquisição de novos ativos e/ou manipulação de novas informações, podem mudar a prioridade de implementação dos controles de segurança. Segurança Física A segurança física visa proteger o ativo da informação utilizando se de barreiras físicas como portas, cadeados, senhas para acessos a salas, etc. A maneira mais simples é definir um perímetro de segurança. Segurança Lógica Tão importante quanto à segurança física é a segurança lógica, ou seja, o controle de acesso, nesse caso menos é mais, se um empregado não precisa de acesso ao arquivo X o mesmo não pode ter acesso a ele, aumentando assim a segurança dos dados. Computação Móvel A computação móvel vem surgindo como uma nova proposta de paradigma computacional advinda da tecnologia de rede sem fio e dos sistemas distribuídos. Nela o usuário, portando os dispositivos móveis como palmtops e notebooks tem acesso a uma infra-estrutura compartilhada independente da sua localização física. Com a utilização da computação móvel os problemas de segurança aumentaram, uma maneira encontrada para aumentar a segurança é a utilização da Virtual Private Network – VPN- através desta tecnologia você pode interligar de forma segura duas redes locais como estivessem no mesmo escritório, mesmo estando a quilômetros de distância. A VPN utiliza uma rígida camada de criptografia para trafegar informações de forma segura através de meio público. Gestão de Pessoas A gestão de pessoas é um ponto fundamental na segurança da informação, eu diria crucial, geralmente constituem o elo mais fraco da segurança da informação em ambiente corporativo, não adianta nada ter uma equipe bem treinada tomando conta dos servidores, se o resto dos funcionários estiverem
Pág. 2/10 9/2/yyyy

Pós-Graduação em Gestão Industrial Tecnologia da Informação

Trabalho – Segurança da Informação

suscetíveis a ataques como os de engenharia social, que são comuns nestes casos, na gestão de pessoas deve se estabelecer todo um processo disciplinar e conscientização que deve atingir a empresa como um todo desde o dono da empresa até o faxineiro, usando metodologias diferentes para lidar com cada nível da hierarquia. OPERAÇÃO DO AMBIENTE COMPUTACIONAL Operação dos recursos de Processamento das Informações Conexões de Rede A conexão de quaisquer equipamento à rede interna da empresa deve ser realizda somente após a aprovação da Área deTI, assim como deve ser por ela conduzida. Equipamentos conectados a rede devem ter antivírus com a data da última atualização não superior a três dias.A empresa poderá auditar os equipamentos de fornecedores para garantir a segurança geral de seu ambiente computacional. Senhas A senha é pessoal e intransferível, devndo obedecer aos padrões divulgados pela empresa.O colaborador é responsável por todas as transações realizadas no sistemas disponibilizados.A senha não deve, sob hipótese alguma, ser compartilhada com outras pessoas.O usuário não deve armazenar senha em arquivos de computador e tampouco escrevê-la em papéis ou outro tipo de mídia. As senhas devem ser elaboradas de acordo com os aspectos definido na empresa. Tais como: conter 8 caracteres, validade de 35 dias, possuir letras maiúsculas e minúsculas, ser criptografadas quando transmitidas ou armazenadas.

Alterações de Configurações As configurações de hardwares e softwares dos computadores disponibilizados pela empresa não devem ser alteradas. Caso haja necessidade o Service Desk deverá ser acionado. Internet A internet é uma ferramenta de trabalho utilizada pelos colaboradores como apoio ao desenvolvimento de suas atividades e competências. É proibido utilizar a Internet para acesso a websites de conteúdo considerando impróprio pela empresa. É considerado impróprio o conteúdo que não está em conformidade com as regras legais, a moral, a integridade e bons costumes
Pág. 3/10 9/2/yyyy

Pós-Graduação em Gestão Industrial Tecnologia da Informação

Trabalho – Segurança da Informação

tais como, relativos à pornografia, discriminação racial, jogos, cópias de músicas, sala de conversação e outros. Proteção contra software Malicioso O software de proteção contra vírus deve ser instalado, tivado e atualizado com todos os computadores ligados à rede de dados da empresa. Copia e Segurança (backup) Cabe à Área de TI realizar regularmente a cópia dos dados e informações mantidas nos equipamentos de armazenagem nos servidores da empresa.Arquivos de conteúdo impróprio não devem ser armazenados nos computadores da empresa. Tratamento de Mídia Não é permitido realizar cópia ou divulgar informações estritamente confidenciais, inernas para uso pessoal ou de terceiros. As informações estritamente confidenciais, internas devem ser armazenadas de forma segura e totalmente destruídas, quando não mais forem necessárias. Troca de Informações O correio é uma ferramenta de trabalho utilizada pelos usuários como apoio ao desenvolvimento de suas atividades profissionais. Não é permitido utilizar o correio para envio de mensagens ou arquivos de conteúdo considerado impróprio pela empresa. Práticas recomendadas para utilização do e-mail: • Envie e-mails apenas para destinatários que realmente precisam da informação. • Seja educado, não escreva nada que não diria pessoalmente. Uso de criptografia Somente é permitida a utilização de mecanismo de criptografia homologados pela empresa. Softwares e Recursos de Informática Somente é permitida a utilização de softwares devidamente homologado, licenciado, instalado e controlado pela Área da TI. A instalação, controle, movimentação e manutenção de recursos computacionais de propriedade da empresa são de responsabilidade exclusiva da Área da TI.

Pág. 4/10 9/2/yyyy

Pós-Graduação em Gestão Industrial Tecnologia da Informação

Trabalho – Segurança da Informação

Controle de Acesso Controlar o acesso, na raiz do termo, significa restringir o acesso às informações. Este é um dos primeiros pontos a ser considerado de forma ampla e estratégica pelas organizações quando estiverem desenvolvendo um plano para proteção dos seus sistemas. • Cada usuário de recursos computacionais da empresa deve possuir uma identificação (ID), a qual será utilizada como conta de acesso a todos Sistemas e Redes da empresa.

Como etapa inicial “em busca da rede segura”, é necessário que seja formalizada uma política de controle de acesso. Esta política deve considerar alguns tópicos como: • requisitos de segurança de aplicações do negócio; • identificação da informação referente às aplicações do negócio; • classificação da informação conforme critérios de confidencialidade; • legislação aplicável, obrigações contratuais, perfil dos usuários e gerenciamento dos direitos de acesso. Sistema de Gerenciamento de Usuários OBJETIVO: documentar todos os acessos lógicos e os privilégios que os usuários possuem no sistema; O gestor poderá, periodicamente, conduzir uma análise crítica dos direitos e privilégios dos usuários para garantir que acessos não autorizados sejam registrados nos sistemas O sucesso de um controle de acesso eficaz passa pela cooperação dos usuários que fazem parte da organização. De que forma participa a área de informática? Sua participação é máxima. A área de informática deve proteger os serviços de rede através da implementação de controles, garantindo que usuários com acessos às redes e seu serviços não comprometam a segurança dos mesmos Alguns controles de rede que devem ser considerados são: • rota de rede obrigatória, que serve para controlar o caminho entre o termirnal do usuário e o serviço de rede; • a autenticação para conexão de usuário externo. A proteção aos sistemas operacionais deve ser efetuada através das funcionalidades pré-existentes nos próprios sistemas, utilizadas para a restrição dos acessos não autorizados. O administrador de rede, deve configurar os sistemas para que o processo de entrada nos sistemas (logon) seja realizado através de um processo seguro ;
Pág. 5/10 9/2/yyyy

Pós-Graduação em Gestão Industrial Tecnologia da Informação

Trabalho – Segurança da Informação

Mas não é somente nos domínios da organização que dados podem ser violados. Deve ser tomado um cuidado especial com a computação móvel e o trabalho remoto. Convém que seja adotada uma política formal levando em conta os riscos de trabalhar com estes recursos. Esta política deve conter os requisitos para proteção física, controles de acesso, criptografia e etc. É necessário que os usuários que se beneficiam deste recurso recebam treinamento específico; Importante que os sistemas sejam monitorados para detectar divergências entre a política de controle de acesso e os registros de eventos monitorados, fornecendo evidências no caso de incidentes de segurança. Registro de eventos de segurança relevantes e mantidas por um período de tempo para auxiliar em investigações futuras ; FERRAMENTAS INFORMAÇAO 1 - WEBSENSE 99% das empresas utilizam software antivírus; 78% foram afetadas por vírus, worms, etc. (Pesquisa sobre Crime e Segurança em Informática, CSI/FBI, 2004). "As perdas mundiais com ataques cibernéticos aumentarão de US$ 3,3 bilhões em 1997 para um valor estimado de US$ 16,7 bilhões no fim de 2004." (Computer Economics, 2004) As ameaças baseadas na Internet que as empresas enfrentam atualmente estão aumentando em quantidade, complexidade e custo. Produtos de segurança como antivírus e firewalls, têm uma função significativa no combate a essas ameaças de segurança; porém, apresentam falhas inerentes de tempo e tecnologia, que deixam as organizações vulneráveis. O Websense Web Security Suite complementa os produtos de segurança existentes para criar uma solução de segurança abrangente que protege a sua organização contra ameaças baseadas na Internet – tanto internas como externas à sua rede. 2 - CRIPTOGRAFIA Trata-se de um conjunto de conceitos e técnicas que visa codificar uma informação de forma que somente o emissor e o receptor possam acessá-la, evitando que um intruso consiga interpretá-la. Existem dois tipos de chaves: simétricas e assimétricas. Ambas são vistas a seguir. UTILIZADAS PELA TI PARA SEGURANÇA DA

Pág. 6/10 9/2/yyyy

Pós-Graduação em Gestão Industrial Tecnologia da Informação

Trabalho – Segurança da Informação

Chave simétrica Esse é um tipo de chave mais simples, onde o emissor e o receptor fazem uso da mesma chave, isto é, uma única chave é usada na codificação e na decodificação da informação. Existem vários algoritmos que usam chaves simétricas, como o DES, o IDEA, e o RC: O uso de chaves simétricas tem algumas desvantagens, fazendo com que sua utilização não seja adequada em situações onde a informação é muito valiosa. Para começar, é necessário usar uma grande quantidade de chaves caso muitas pessoas estejam envolvidas. Ainda, há o fato de que tanto o emissor quanto o receptor precisa conhecer a chave usada. A transmissão dessa chave de um para o outro pode não ser tão segura e cair em "mãos erradas". Chave assimétrica Também conhecida como "chave pública", a chave assimétrica trabalha com duas chaves: uma denominada privada e outra denominada pública. Nesse método, uma pessoa deve criar uma chave de codificação e enviá-la a quem for mandar informações a ela. Essa é a chave pública. Uma outra chave deve ser criada para a decodificação. Esta - a chave privada - é secreta. Para entender melhor, imagine o seguinte: O InfoWester criou uma chave pública e a enviou a vários outros sites. Quando qualquer desses sites quiser enviar uma informação criptografada ao InfoWester deverá utilizar a chave pública deste. Quando o InfoWester receber a informação, apenas será possível extraí-la com o uso da chave privada, que só o InfoWester tem. Caso o InfoWester queira enviar uma informação criptografada a outro site, por exemplo, o Viva o Linux, deverá conhecer sua chave pública. 3 - FIREWALL Dispositivo de uma rede de computadores que tem por função regular o tráfego de rede entre redes distintas e impedir a transmissão e/ou recepção de dados nocivos ou não autorizados de uma rede a outra. Filtros de Pacotes Estes sistemas analisam individualmente os pacotes à medida em que estes são transmitidos, verificando o acoplamento entre camada de enlace (camada 2 do modelo ISO/OSI) com a camada de rede (camada 3 do modelo ISO/OSI). As regras podem ser formadas estabelecendo os endereços de rede (origem e destino) e as portas TCP/IP envolvidas na conexão. A principal desvantagem desse tipo de tecnologia para computação é a falta de controle de estado do pacote, o que permite que agentes maliciosos possam produzir pacotes simulados (IP Spoofing) fora de contexto ou ainda para serem injetados em uma sessão válida. Esta tecnologia foi amplamente utilizada nos equipamentos

Pág. 7/10 9/2/yyyy

Pós-Graduação em Gestão Industrial Tecnologia da Informação

Trabalho – Segurança da Informação

de 1a.Geração (incluindo roteadores), não realizando nenhum tipo de descodificação do protocolo ou análise criteriosa na camada de aplicação. Proxy Firewall Os conhecidos "bastion hosts" foram introduzidos por Marcus Ranum em 1995. Trabalhando como uma espécie de eclusa, o firewall de proxy trabalha recebendo o fluxo de conexão e originando um novo pedido sob a responsabilidade do mesmo firewall (non-transparent proxy). A resposta para o pedido é analisada antes de ser entregue para o solicitante original. Os gateways para circuitos e aplicações conectam as redes corporativas à Internet através de estações seguras rodando aplicativos especializados para filtrar dados. Estes gateways permitem que usuários se comuniquem com os sistemas seguros através de um Proxy, o qual esconde os arquivos e os servidores da ação dos hackers. Desvantagens Para cada novo serviço que aparece na internet, o fabricante deve desenvolver o seu correspondente agente de Proxy. O que pode demorar meses, tornando o cliente vulnerável enquanto o Fabricante não liberta o Agente. A instalação, manutenção e actualização dos agentes do Proxy requerem serviços especializados de gestão do firewall e podem ser bastante caros; Os proxies introduzem perda de desempenho na rede, já que as mensagens devem ser processadas duas vezes, pelo gateway e pelo agente do Proxy. Por exemplo, o serviço FTP manda um pedido ao agente do Proxy para FTP, que por sua vez fala com o servidor FTP interno para completar o pedido; A tecnologia atual permite que o custo de implementação seja bastante reduzido ao utilizar CPUs de alto desempenho e baixo custo, bem como sistemas operacionais abertos (Linux), porém, exige-se manutenção específica para assegurar que seja mantido nível de segurança adequado (ex: aplicação de correções e configuração adequada dos servidores). 4 – MICROSOFT ACTIVE DIRECTORY (AD) O Microsoft Active Directory é uma infra-estrutura global de gerenciamento de identidades e acesso. Além disso, o AD conta com funções gerais de diretório e extensibilidade que os desenvolvedores de aplicativos podem e devem usar quando forem necessárias funções de diretório em um aplicativo em desenvolvimento. O uso das funções do AD centraliza e simplifica a administração dos diretórios. O AD também reduz os custos de desenvolvimento e aumenta a compatibilidade dos dados. Por exemplo, o uso da interoperabilidade do serviço de autenticação e autorização do AD em um aplicativo atinge dois objetivos. Elimina a necessidade de criar mais um banco de dados de segurança e simplifica o gerenciamento da segurança corporativa.

Pág. 8/10 9/2/yyyy

Pós-Graduação em Gestão Industrial Tecnologia da Informação

Trabalho – Segurança da Informação

5 – PLANO DE RECUPERAÇÃO DE DESASTRES Em uma organização moderna, a informatização e a digitalização de rotinas de uma empresa fizeram com que informações essenciais para o negócio passassem a estar somente disponíveis através de computadores. Contratos, memorandos, cadastro de clientes armazenados digitalmente são somente alguns exemplos de que a informação eletrônica é hoje vital para as organizações. Nenhuma empresa pode cogitar hoje ficar dias, horas e até minutos com um sistema informatizado fora do ar. Isto pode causar danos irreparáveis ao desenvolvimento da organização, principalmente se esta instabilidade for seguida de perda de arquivos e documentos digitais. Nada como uma fatalidade ou um desastre neste armazenamento para demonstrar o quanto vulnerável e despreparadas nossas empresas podem estar. De acordo com uma pesquisa da Ontrack Data Recovery, mais da metade dos dados perdidos em uma empresa são por causa de problemas em hardware ou então nos sistemas operacionais. Apenas 2% dos arquivos perdidos estão ligados a desastres naturais. 9% dizem respeito a softwares mal programados que causam corrompimento de dados e, de acordo com a mesma pesquisa, 25% estão relacionados a erros de funcionários ou usuários. E se documentos eletrônicos são tão essenciais para o seu negócio, está na hora de você cuidar mais do seu servidor. Confira algumas dicas para a implementação de um bom plano de recuperação de desastres na sua empresa:

Faça backups regularmente e de preferência de forma automática. Escolha um bom software para backup e garanta que todos os procedimentos de armazenamento dos dados estão sendo seguidos; Armazene os backups e as senhas de sistemas em um outro local que não seja o mesmo servidor e até mesmo no mesmo espaço físico. Caso aconteça algum desastre, você terá os dados a salvo em outro lugar; Documente tudo! Tenha certeza que todo o processo de recuperação para ter seu sistema novamente ao ar esteja documentado. Assim, é possível verificar os locais e pontos restaurados a cada ocorrência; Tenha documentado também o seu plano de recuperação de desastres. Uma equipe deve ser treinada para atuar prontamente quanto eles ocorrerem. Busque auxílio com uma empresa especializada para definir seu plano; Tenha sempre um bom estoque de mídias e discos rígidos para garantir o armazenamento do backup. Isso evita surpresas quando a capacidade estiver quase no limite; Teste o seu plano de recuperação de desastres trimestralmente ou até mais. Isto não só qualifica sua equipe específica para atuar no plano,
Pág. 9/10 9/2/yyyy

Pós-Graduação em Gestão Industrial Tecnologia da Informação

Trabalho – Segurança da Informação

como também faz com que novos funcionários se familiarizem com a rotina. Isto garante também que sua estratégia para desastres de TI se mantenha sempre atualizada, mesmo com novos softwares ou equipamentos; Uma estratégia de organização do arquivamento de fitas magnéticas, CDs e DVDs é importantíssima. Aquelas fitas utilizadas diariamente devem ser trocadas entre seis e nove meses para evitar perda de dados. Há algumas que podem ser trocadas com menos freqüência, dependendo do quanto é usada. Há soluções no mercado que dispensam o uso de fitas, que no geral são muito caras (uma unidade de fita custa em torno de R$ 4 mil); É essencial garantir o constante fornecimento de energia para não interromper seus serviços de TI. Busque bons no-breaks e tenha sempre uma bateria extra para urgências; Não esqueça de proteger seus equipamentos, principalmente servidores, de roubos, vandalismo e até mesmo empregados malintencionados. Isto pode ser mais desastroso de qualquer outra ocorrência. Esteja certo de que a porta da sua sala de servidores ou de processamento de dados esteja sempre trancada, seja de dia ou de noite; Uma porta automática contra incêndios para esta sala também é essencial para garantir que, em caso de incêndio, o fogo não se alastre e também que proteja contra a fumaça.

AUDITORIA EM SISTEMAS DE GESTÃO ELETRÔNICOS (SGE) Objetiva promover a adequação e recomendações, para o aprimoramento dos controles internos nos sistemas de informação da empresa, bem como na utilização dos recursos humanos, materiais e tecnológicos, envolvidos nos processamentos dos mesmos. A auditoria de sistemas deve atuar em qualquer sistema de informação da empresa, quer no nível estratégico, gerencial ou operacional.

COMPONENTES DO GRUPO DE TRABALHO Emanuel Brito Rodrigues Jaifer da Cunha Pinho Julia Fonseca
Pág. 10/10 9/2/yyyy

Pós-Graduação em Gestão Industrial Tecnologia da Informação

Trabalho – Segurança da Informação

Leonardo Teixeira Ronildo Vaz de Freitas

Pág. 11/10 9/2/yyyy

Sign up to vote on this title
UsefulNot useful