Professional Documents
Culture Documents
DANIELE FERREIRA
DENIS N. LOPES
JOSE WALDEMAR POMPOLO
LUCIANO TEIXEIRA ANDRADE
MARIA DO SOCORRO B. HENRIQUES
Brasília – DF
2001
UNEB – UNIÃO EDUCACIONAL DE BRASILIA
COPEX – COORDENAÇÃO DE ESTUDOS, PESQUISAS, PÓS-GRADUAÇÃO
E EXTENSÃO
REDES DE COMPUTADORES - TURMA B
DANIELE FERREIRA
DENIS N. LOPES
JOSE WALDEMAR POMPOLO
LUCIANO ANDRADE
MARIA DO SOCORRO HENRIQUES
Brasília – DF
2001
iii
DANIELE FERREIRA
DENIS N. LOPES
JOSE WALDEMAR POMPOLO
LUCIANO ANDRADE
MARIA DO SOCORRO HENRIQUES
Este projeto foi julgado adequado para obtenção do título de Pós-Graduado em Redes de
Computadores e aprovado em sua forma final pela COPEX – Coordenação de Estudos,
Pesquisas, Pós-Graduação e Extensão da UNEB – União Educacional de Brasília.
___________________________________
Prof. …………………….
Coordenador
Banca Examinadora:
___________________________________
Prof. César de Souza Machado.
Orientador
___________________________________
Prof. Joaquim Gomide
___________________________________
Prof. Alex Delgado Casañas
iii
SUMÁRIO
PÁGINA
LISTA DE ILUSTRAÇÕES ...................................................................................VII
1. INTRODUÇÃO .....................................................................................................12
2. OBJETIVOS ..........................................................................................................15
2.1. OBJETIVO GERAL ...............................................................................................15
2.2. OBJETIVOS ESPECÍFICOS:....................................................................................15
3. FUNDAMENTAÇÃO TEÓRICA........................................................................17
3.1. SEGURANÇA DA INFORMAÇÃO............................................................................17
3.2. PROJETO DE SEGURANÇA ...................................................................................17
3.3. PLANO DE SEGURANÇA ......................................................................................18
3.4. NORMA DE SEGURANÇA .....................................................................................19
3.5. PROCEDIMENTOS DE SEGURANÇA ......................................................................19
3.6. ARQUITETURA DE SEGURANÇA ..........................................................................20
3.7. MODELO DE SEGURANÇA ...................................................................................21
3.8. HISTÓRICO DAS NORMAS DE PADRONIZAÇÃO DE SEGURANÇA ...........................22
3.9. POLÍTICA DE SEGURANÇA...................................................................................26
3.9.1. Visão Geral de uma Política de Segurança................................................27
3.9.2. Identificação dos Recursos .........................................................................29
3.9.3. Considerações Importantes .......................................................................29
3.9.4. Premissas Básicas.......................................................................................30
3.9.5. Conteúdo Essencial.....................................................................................31
3.9.6. Principais Atores ........................................................................................31
3.9.7. Flexibilidade ...............................................................................................33
3.9.8. Classificação das Informações ...................................................................34
3.9.9. Análise de Riscos ........................................................................................35
3.9.9.1. Riscos Externos .......................................................................................36
3.9.2.2. Riscos Internos ........................................................................................39
3.9.10. Análise de Ameaças ..................................................................................39
3.9.11. Auditoria ...................................................................................................41
3.9.12. Plano de Contingência..............................................................................42
3.10. FERRAMENTAS DE SEGURANÇA ........................................................................45
3.10.1. Criptografia ..............................................................................................45
3.10.1.1. Algoritmos Criptográficos.....................................................................45
3.10.1.2. Criptografia Simétrica ...........................................................................46
3.10.1.3. Algoritmos de Chave Simétrica.............................................................46
3.10.1.4. Criptografia Assimétrica .......................................................................47
3.10.1.5. Algoritmos de Chave Assimétrica.........................................................48
3.10.1.6. Algoritmos para Geração de Assinatura Digital....................................49
3.10.2. PKI (Public Key Infrastructure) ...............................................................49
v
3.10.3. Firewall.....................................................................................................51
3.10.4. Anti-Vírus..................................................................................................53
3.10.4.1. Softwares de Prevenção.........................................................................53
3.10.4.2. Softwares de Detecção ..........................................................................54
3.10.4.3. Software de Identificação ......................................................................54
3.10.4.4. Requisitos Básicos de um Antivírus......................................................54
3.10.5. VPN (Virtual Private Network).................................................................55
3.10.5.1. IPSec......................................................................................................57
3.10.6. IDS (Intrusion Detection System ) ............................................................58
3.10.7. Backup.......................................................................................................59
3.10.8. RADIUS (Remote Authentication Dial In User Service) ..........................60
3.10.9. Biometria...................................................................................................61
3.10.10. Call Back.................................................................................................62
3.10.11. Token Card..............................................................................................62
4.1. OBJETIVO GERAL DAS ORGANIZAÇÕES DE ADMINISTRAÇÃO TRIBUTÁRIA .........68
4.2. OBJETIVOS ESPECÍFICOS .....................................................................................68
4.3. ORGANOGRAMA PADRÃO ...................................................................................69
4.4. COMPETÊNCIAS GENÉRICAS ...............................................................................70
4.4.1. Coordenação de Administração .................................................................70
4.4.2. Coordenação de Informática ......................................................................71
4.4.3. Departamento de Tributação......................................................................71
4.4.4. Departamento de Arrecadação...................................................................72
4.4.5. Departamento de Fiscalização ...................................................................72
4.4.6. Departamento de Atendimento ao Contribuinte .........................................72
4.5. PERFIL DO USUÁRIO ...........................................................................................73
4.6. INTERAÇÃO COM OUTRAS ORGANIZAÇÕES ........................................................73
4.7. PERSPECTIVAS DE EVOLUÇÃO ............................................................................73
4.8. MATRIZ DE USO DE DADOS ................................................................................78
5. POLÍTICA DE SEGURANÇA.............................................................................81
5.1. ANÁLISE DE RISCOS ...........................................................................................81
5.1.1. Vulnerabilidades .........................................................................................83
5.1.1.1. Vulnerabilidades Externas.......................................................................83
5.1.1.2. Vulnerabilidades Internas........................................................................84
5.1.1.3. Vulnerabilidades Referentes a Correio Eletrônico .................................85
5.1.1.4. Vulnerabilidades Referentes a Aplicações ..............................................85
5.1.1.5. Outras Vulnerabilidades ..........................................................................86
5.2. NORMAS DE SEGURANÇA ...................................................................................86
5.3. POLÍTICA DE SEGURANÇA APLICADA A PESSOAS EM CONFORMIDADE COM A ISO/IEC
17799:2000...............................................................................................................87
5.4. POLÍTICA DE SEGURANÇA LÓGICA .....................................................................89
5.5. POLÍTICA DE SEGURANÇA FÍSICA E DO AMBIENTE EM CONFORMIDADE COM A
ISO/IEC 17799:2000 ................................................................................................91
5.6. APLICABILIDADE ................................................................................................94
5.7. RESPONSABILIDADE ...........................................................................................94
5.8. SANÇÕES ............................................................................................................94
5.9. PLANO DE CONTINGÊNCIA ..................................................................................95
5.9.1.1 Plano de Ação para Emergências .............................................................95
5.9.1.2 Contagem dos Recursos e Avaliação de Criticidade................................96
5.9.3 Identificação de Ameaças e Contramedidas................................................97
vi
ANEXO I ..................................................................................................................114
ANEXO II.................................................................................................................115
LISTA DE ILUSTRAÇÕES
PÁGINA
LISTA DE TABELAS
PÁGINA
Abril/2001
Fernando Néri
Presidente da Módulo Security, qualificando
um ex funcionário de sua empresa que
divulgou para a imprensa esquemas das redes
de grandes clientes para os quais prestava
consultoria
Maio/2001
“... nós sempre nos preocupamos com possíveis invasões externas, não
imaginamos que alguém da casa pudesse cometer tal desatino ... “
Junho/2001
“... nunca imaginamos que um servidor de nossa carreira pudesse cometer um crime
destes ...”
Altair Lemos Moura
Diretor de administração do Ministério da
Fazenda em São Paulo justificando as fraudes
no sistema de pagamento de pensionistas do
Ministério
12
1. INTRODUÇÃO
esforços em proteger os pontos fracos mais óbvios, partindo, em seguida, para identificar
outras áreas vulneráveis que necessitavam de atenção.
A variedade e a complexidade das redes levaram ao desenvolvimento de
mecanismos mais sofisticados para identificar áreas vulneráveis que exigiam atenção
constante. Diante da nova situação surgiu uma nova categoria de produtos que consistia em
sistemas de “verificação e teste”. Estes produtos tinham como principal objetivo identificar
pontos fracos na rede através da aplicação de uma variedade de cenários de invasão.
Em um primeiro momento, o conceito de verificação e teste surgiu em produtos
direcionados ao mercado de invasores potenciais e, por fim, deram origem a vários
produtos comerciais. O principal objetivo da verificação era identificar o maior número
possível de vulnerabilidades no sistema, simulando invasões em vários pontos diferentes.
Embora a maioria dos produtos comerciais de verificação fizessem um trabalho confiável
de identificação das vulnerabilidades e das medidas de segurança que podiam ser utilizadas
para solucioná-las, seus mecanismos de classificação não iam muito além de graduações
relativamente grosseiras, como o tradicional sistema de prioridades: Alta, Média e Baixa.
Para oferecer suporte à decisão, estes sistemas de segunda geração também raramente
incluíam recursos para simular diferentes cenários de proteção e/ou realizar uma análise de
custo/benefício das medidas de segurança propostas.
O grande mérito das soluções de segurança de rede de terceira geração é reunir
todos os recursos já existentes em um único recurso abrangente, orientado para
gerenciamento, que permite tomar decisões de segurança de forma racional, levando em
consideração a missão geral, as metas e os objetivos comerciais da empresa. Sua principal
meta é tornar o gerenciamento de risco de segurança da rede parte integrante do conjunto
de ferramentas básicas da organização para um gerenciamento “24 X 7” ou seja,
disponibilidade da rede 24 horas dos 7 dias da semana, compatível com as suas metas
estratégicas. Em vez de ser uma atividade de escopo limitado ou um evento periódico, um
gerenciamento de segurança realmente eficaz deve ser capaz de fornecer um contexto
amplo para a aplicação mais apropriada de métodos de verificação, testes e análises,
proteções e outras medidas de segurança.
Nos últimos anos, as organizações reguladoras e padronizadoras do setor de
segurança têm dado ênfase à definição e à implantação de sistemas de gerenciamento de
risco abrangentes.
14
2. OBJETIVOS
Este trabalho tem por objetivo apresentar uma proposta de política de segurança
baseada na norma ISO/IEC 17799:2000 às Secretarias de Receita.
Atualmente, as grandes organizações e instituições estão cada vez mais
dependentes de novas tecnologias, sendo quase impossível manter seus negócios sem o
auxílio do computador.
Cada vez mais estas organizações, seus sistemas de informação e redes de
computadores são colocados a prova por diversos tipos de ameaças à segurança da
informação, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, fogo e
inundação.
A realidade das Secretarias de Receita ainda baseia-se em Sistemas Corporativos
voltados para ambientes fechados (mainframe).
A excessiva demanda da comunidade por acesso às informações residentes e
tratadas nestas instituições levou seus administradores a buscarem novos meios para dar
vazão a esta demanda.
Considerando que os dados e informações residentes nas Secretarias de Receita
podem refletir a vida financeira e contábil de pessoas e empresas e são legalmente
protegidas pelo Código Tributário Nacional - CTN, que garante o sigilo fiscal, surge a
necessidade de se implementarem mecanismos eficientes que possam garantir a
integridade, confidencialidade, autenticidade, disponibilidade da informação e não repúdio
dos dados.
3. FUNDAMENTAÇÃO TEÓRICA
Norma de segurança é uma declaração formal das regras às quais as pessoas que
têm um determinado acesso à tecnologia e aos ativos de informações de uma organização
devem obedecer. (RFC 2196, The Site Security Handbook).
Pode-se definir ainda, norma de segurança como sendo um estatuto no qual estão
transcritas regras de nível intermediário, ou seja, entre o nível estratégico e o de
descrição de procedimentos, cujo cumprimento visa garantir a segurança das informações
e recursos de uma instituição, dentro de um segmento particular do ambiente desta
corporação.
A norma de segurança informa aos usuários, gerentes e ao pessoal técnico de suas
obrigações para proteger os ativos de tecnologia e informações. A norma deve especificar
os mecanismos pelos quais estas obrigações podem ser cumpridas. Da mesma forma que o
plano, a norma de segurança deve ter o comprometimento de funcionários, gerentes,
executivos e pessoal técnico. O desenvolvimento de uma norma de segurança é trabalho
dos administradores de redes.
Uma vez desenvolvida, a norma de segurança deve ser explicada a todos pela
gerência superior. Muitas empresas exigem que o pessoal assine uma declaração
indicando que leu, compreendeu e concorda em cumprir as normas.
A norma de segurança é um documento vivo. Pelo fato de as organizações
mudarem continuamente, as normas de segurança devem ser atualizadas com
regularidade a fim de refletirem novas orientações comerciais e mudanças tecnológicas
(Oppenheimer, 1999).
ações, cujo cumprimento visa garantir a segurança das informações de uma instituição,
dentro de um segmento particular do ambiente da corporação.
Devem ser escritos procedimentos de segurança para usuários finais,
administradores de redes e administradores de segurança. A divulgação deve ser restrita
aos funcionários diretamente envolvidos.
Os procedimentos de segurança devem especificar como controlar incidentes (quer
dizer, o que fazer e quem contatar se uma intromissão for detectada), fazer auditoria e
desenvolver o plano de contingência com objetivo de manter o negócio da Secretaria de
Receita sempre ativo.
Os procedimentos de segurança podem ser comunicados aos usuários e
administradores em turmas de treinamento lideradas por instrutores qualificados.
MODELO DE SEGURANÇA
FUNDAÇÃO
POLÍTICAS DE PRINCÍPIOS DE PADRÕES E CRITÉRIOS EDUCAÇÃO
SEGURANÇA SEGURANÇA DE SEGURANÇA
Nas últimas duas décadas, países como Estados Unidos, França, Alemanha,
Holanda, Reino Unido e Canadá têm se empenhado no desenvolvimento de Padrões de
23
necessário que a política seja desdobrada em estatutos mais detalhados. Estes estatutos
podem ser referidos como políticas específicas, normas, regras complementares, ou
controles. Outros níveis podem existir, tal qual numa hierarquia, sendo que o limite será
ditado pelas necessidades e conveniências da instituição para a qual são elaborados as
regras de segurança. Cabe ressaltar que, quanto mais baixo o nível hierárquico de um
documento de segurança em relação à política, mais detalhado e de caráter operacional
será.
É importante lembrar que toda regra aplicada a uma instituição deve estar em
consonância com os objetivos fins da mesma. A segurança não é um fim em si mesma, mas
um meio para se chegar a um objetivo maior.
A política de segurança como um elemento institucional da organização possui um
ciclo de vida indefinido e deve prever todos os mecanismos de defesa contra qualquer
ameaça conforme estabelecido no estudo de custos x benefícios. Considerando a
mutabilidade de tais elementos e dos próprios objetivos e metas da organização, uma
política só apresentará efetividade ao longo do tempo se sofrer constantes reavaliações e
atualizações conforme o ciclo de etapas mostrado a seguir.
Implementação
Auditoria
Diretrizes e
normas
Administração
riscos por nível de severidade. Este processo envolve a tomada de decisão sobre o custo
benefício do que se deve proteger.
Uma política de segurança deve nortear seus objetivos a partir das seguintes
considerações:
• Serviços oferecidos versus segurança fornecida - Cada serviço oferecido para os
usuários carrega seu próprio risco de segurança. Para alguns serviços, o risco é
superior ao benefício do mesmo, e o administrador deve optar por eliminar o
serviço ao invés de tentar torná-lo menos inseguro;
• Facilidade de uso versus segurança - O sistema mais fácil de usar deveria
permitir acesso a qualquer usuário e não exigir senha, isto é, não haveria
segurança. Solicitar senhas torna o sistema um pouco menos conveniente, mas
mais seguro. Requerer senhas one-time geradas por dispositivos, torna o sistema
ainda mais difícil de utilizar, mas bastante mais seguro; e
• Custo da segurança versus o risco da perda - Há muitos custos diferentes para
segurança: monetário (o custo da aquisição de hardware e software como
Firewalls, e geradores de senha one-time), performance (tempo de cifragem e
decifragem), e facilidade de uso. Há também muitos níveis de risco: perda de
privacidade (a leitura de uma informação por indivíduos não autorizados), perda
de dados (corrupção ou deleção de informações), e a perda de serviços (ocupar
todo o espaço disponível em disco, impossibilidade de acesso à rede). Cada tipo
de custo deve ser contrabalançado ao tipo de perda.
Os objetivos, metas e regras devem ser comunicados indistintamente a todos os
usuários, pessoal operacional, e gerentes através de um conjunto de regras de segurança,
chamado de Política de Segurança.
Uma política de segurança deve ser elaborada visando toda a organização a que se
prestará e suas concepções institucionais, desta forma, necessita observar alguns princípios
elementares elencados a seguir:
• Apoiar-se sempre nos objetivos da organização e nunca em ferramentas e
plataformas;
• Descrever o programa geral de segurança da rede, dados, ambientes e pessoas;
• Demonstrar os riscos e ameaças que está combatendo e as proteções propostas;
• Definir responsabilidades para implementação e manutenção de cada proteção;
31
Para que uma política de segurança se torne apropriada e efetiva, ela deve ter a
aceitação e o suporte de todos os níveis de empregados dentro da organização. É
especialmente importante que a gerência corporativa suporte de forma completa o processo
da política de segurança, caso contrário haverá pouca chance que ela tenha o impacto
desejado. A seguinte lista de indivíduos deve estar envolvida na criação e revisão dos
documentos da política de segurança:
• Representante da administração superior da organização;
• Administrador de segurança do site;
• Suporte técnico;
32
• Desenvolvedores de softwares;
• Administradores de grandes grupos de usuários dentro da organização;
• Representantes de todos os grupos de usuários afetados pela política de
segurança; e
• Help-Desk.
Vários fatores podem trazer efetividade para uma política de segurança, dentre
outros, destacam-se:
• Ser implementável por meio de procedimentos administrativos anteriormente
instituídos;
• Possuir regras de uso aceitáveis;
• Ser implementada por meio de ferramentas de segurança quando apropriado, e
aplicar sanções onde a prevenção efetiva não for tecnicamente possível;
• Possuir definições claras das áreas de responsabilidade para os usuários,
administradores e gerentes;
• Possuir guias para a compra de tecnologia computacional que especifiquem os
requisitos ou características que os produtos devem possuir;
• Conter a indicação de uma política de privacidade que defina expectativas
razoáveis de privacidade relacionadas a aspectos como a monitoração de correio
eletrônico, logs de atividades, e acesso aos arquivos dos usuários;
• Discriminar uma política de acesso que defina os direitos e os privilégios para
proteger a organização de danos, através da especificação de linhas de conduta
dos usuários, pessoal e gerentes. Ela deve oferecer linhas de condutas para
conexões externas, comunicação de dados, conexão de dispositivos a uma rede,
adição de novos softwares, entre outros. Também deve especificar quaisquer
mensagens de notificação requeridas (por exemplo, mensagens de conexão
devem oferecer aviso sobre o uso autorizado e monitoração de linha, e não
simplesmente welcome);
• Definir uma política de contabilidade que indique as responsabilidades dos
usuários. Deve especificar a capacidade de auditoria, e oferecer a conduta no
caso de incidentes (por exemplo, o que fazer e a quem contatar se for detectada
uma possível intromissão);
33
3.9.7. Flexibilidade
Segundo Claudia Dias (Dias, 2000), diferentes tipos de informação devem ser
protegidos de diferentes maneiras. Por isso a classificação das informações é um dos
primeiros passos para o estabelecimento de uma política de segurança de informações.
Um vez classificada a informação, a política pode definir como tratá-la de acordo com sua
classe, escolhendo mecanismos de segurança mais adequados.
A classificação mais comum de informações é aquela que as divide em 04 níveis:
1) Públicas ou de uso irrestrito: as informações e os sistemas assim classificados
podem ser divulgados a qualquer pessoa sem que haja implicações para a instituição.
Exemplo: serviços de informação ao público em geral, informações divulgadas à
imprensa ou pela internet
2) Internas ou de uso interno: as informações e os sistemas assim classificados não
devem sair do âmbito da instituição. Porém, se isto ocorrer, as conseqüências não serão
críticas.
Exemplo: Serviços de informação interna ou documentos de trabalho corriqueiros
que só interessam aos funcionários.
3) Confidenciais: informações e sistemas tratados como confidenciais dentro da
instituição e protegidos contra o acesso externo. O acesso a estes sistemas e informações é
feito de acordo com sua estrita necessidade, isto é, os usuários só podem acessá-los se
estes forem fundamentais para o desempenho satisfatório de suas funções na instituição. O
acesso não autorizado a esses dados e sistemas pode comprometer o funcionamento da
instituição, causar danos financeiros ou perdas de fatias do mercado para o concorrente.
Exemplo: Dados pessoais de clientes e funcionários, senhas, informações sobre
vulnerabilidades de segurança dos sistemas institucionais, contratos , balanços entre outros.
35
Intercessão
Modificação e Fabricação
Interrupção
Engenharia Social
Antes de decidir como proteger um sistema é necessário saber contra o que ele será
protegido.
Segundo o 2001 CSI/FBI Computer Crime and Security Survey, as principais
ameaças à segurança da informação no ano de 2001 foram:
1o. lugar: Vírus de computador
2o. lugar: Uso interno indevido do acesso à rede
3o. lugar: Roubos de notebooks
4o. lugar: Acesso interno não autorizado
5o. lugar: Penetração externa no sistema.
40
3.9.11. Auditoria
retomada do negócio), esta atividade está intimamente ligada ao manejo de incidentes, que
primeiramente trata ameaças técnicas maliciosas tais como hackers e vírus.
O objetivo do Plano de Contingência é não permitir a interrupção das atividades
do negócio e proteger os processos críticos contra efeitos de grandes falhas ou desastres
(ISO/IEC 17799:2000).
Os planos de contingência devem ser desenvolvidos e implementados para garantir
que os processos do negócio possam ser recuperados no tempo devido. Tais planos devem
ser mantidos e testados de forma a se tornarem parte integrante de todos os outros
processos gerenciais (ISO/IEC 17799:2000).
Os seguintes passos devem ser seguidos no processo de elaboração de um plano de
contingência:
a) Identificar as funções críticas da organização;
b) Identificar os recursos que dão suporte às funções críticas;
c) Antecipar potenciais contingências ou desastres;
d) Selecionar as estratégias do plano de contingência;
e) Implementar as estratégias de contingência; e
f) Testar e revisar a estratégia.
Para a elaboração de um plano de contingência eficaz, é crucial que se observem os
seguintes elementos-chave:
a) Obter o apoio da alta diretoria;
b) Possuir um objetivo claro que defina exatamento o que o plano vai realizar;
c) Priorizar as funções críticas para manter a empresa em funcionamento;
d) Verificar quais recursos financeiros estão disponíveis para o realizar o plano
que for necessário;
e) Definir claramente as responsabilidades de todos os envolvidos estabelecendo
antecipadamente quem é o responsável por cada tarefa de recuperação e
exatamente o que essa responsabilidade significa;
f) Evitar um ponto único de falha para que o sucesso ou falha do plano inteiro não
deve ficar sob a responsabilidade de uma única pessoa. Deve haver uma cadeia
de comando, descrevendo quem assume o controle por alguém se um
funcionário morrer ou tornar-se inapto para desempenhar suas tarefas; e
g) Ter flexibilidade, ou seja, um bom plano deve ser atualizado anualmente ou
conforme a necessidade da empresa/organização.
44
3.10.1. Criptografia
Existem dois tipos básicos de algoritmos criptográficos que podem ser utilizados
tanto sozinhos como em combinação. Estes algoritmos, chave única e chave pública e
privada, são usados para diferentes aplicações e deve-se analisar qual é o melhor para cada
caso.
Para que uma mensagem seja cifrada utilizam-se uma ou mais chaves (seqüência de
caracteres) que serão embaralhadas com a mensagem original. Estas chaves devem ser
46
mantidas em segredo, pois somente com o conhecimento delas é que se poderá decifrar a
mensagem.
O primeiro tipo de algoritmo que surgiu foi o de chave única, também chamado de
algoritmo de chave simétrica. Neste, o sistema usa a mesma chave tanto para a cifragem
como para a decifragem dos dados, e esta deve ser mantida em segredo.
DES (Data Encryption Standard) - Uma cifra de bloco criada pela IBM e
endossada pelo governo dos Estados Unidos em 1977. O DES utiliza uma chave de 56 bits
e opera em blocos de 64 bits. Projetado para ser implementado em componentes de
hardware, ele é relativamente rápido e é usado com freqüência para criptografar grandes
volumes de dados de uma só vez. O DES é usado em muitas aplicações mais seguras da
Internet, incluindo a SSL (Secure Sockets Layer) e a maioria das alternativas mais seguras
do IP.
DES Triplo (Triple DES) - O DES triplo é uma evolução do DES, no qual um
bloco de dados é criptografado três vezes com diferentes chaves.
Vistos os anúncios da possibilidade do cálculo da chave secreta do DES por força
bruta estarem sendo cada vez mais viáveis economicamente em função inclusive do
tamanho desta chave (56 bits), a NIST (National Institute of Standards in Technology
antiga NBS - National Bureau of Standards) lançou em 1997 uma competição aberta para
o sucessor do DES, chamado AES – Advanced Encryption Standard. Nesta competição
foram apresentadas 18 propostas, sendo que das cinco finalistas foi escolhido, entre
duzentos, o algoritmo de criptografia Rijndael, produzido por dois Belgas.
47
Algumas das vantagens do AES são: poder usar chaves de 128, 192 e 256 bits ou
maiores e ser executado eficazmente em um grande número de ambientes, cartões
inteligentes, softwares de computador e browsers, enquanto o DES foi projetado
principalmente para hardware
Outro problema do DES foram as mudanças propostas pela NSA nas S-Boxes do
algoritmo original (Lucifer), visto que alguns observadores temiam que essa mudança
poderia introduzir uma armadilha e poderia permitir que um atacante decifrasse mensagens
criptografadas pelo DES sem testar todas possíveis chaves.
Os S-boxes são tabelas não-lineares que determinam como o algoritmo de
criptografia substitui bytes por outros.
RC2 e RC4 - Ron Rivest da RSA DSI (Data Security Inc.) projetou essas cifras
com tamanho de chave variável para proporcionar uma criptografia em alto volume que
fosse muito rápida. Pode ser usado como substituto do DES, pois ambos são cifras de
bloco. Em softwares, o RC2 é aproximadamente 2 vezes mais rápido do que o DES, ao
passo que o RC4 é 10 vezes mais rápido que o DES.
O IDEA (International Data Encryption Algorithm) foi criado em 1991, sendo
projetado para ser facilmente calculado em softwares. É bastante forte e resistente a várias
formas de criptoanálise. Opera com blocos de textos em claro no tamanho de 64 bits e
possui uma chave de 128 bits, sendo que o mesmo algoritmo é usado para cifrar e decifrar
os textos.
RSA - É um algoritmo criado e patenteado pela RSA Data Security Inc., porém com
uso liberado para quaisquer aplicações. Baseado na dificuldade computacional de se fatorar
um número inteiro muito longo (por exemplo 512 bytes de tamanho) em dois números
primos.
A segurança do RSA está baseada no problema de fatorar números grandes.
Miller e Rabin – Outro algoritmo de criptografia assimétrica muito usado. Similar
ao RSA mas é um algoritmo probabilístico, no sentido de que se pode concluir falsamente
que o número inteiro é primo mas com baixa probabilidade.
CA
3 – Checando e Validando
1 – Certificado
Emitido
Usuário
2 – Certificado Enviado
www.sef.df.gov.br
3.10.3. Firewall
3.10.4. Anti-Vírus
Esse tipo de programa antivírus somente funciona nos casos em que o vírus que
contaminou o sistema é conhecido. O vírus será identificado pelo programa que pesquisa
no disco rígido a procura de características internas e específicas de cada tipo de vírus nele
cadastrado. Uma vez localizado o vírus, o programa efetua uma alteração no arquivo
contaminado, tentando restaurar seu formato original.
A seguir estão alguns requisitos básicos que um software antivírus deve possuir:
• Capacidade de monitorar todo o tráfego de arquivos e informações e o sistema
computacional (programas/processos em execução, memória e interrupções do
computador);
55
O acesso remoto a redes corporativas utilizando a Internet pode ser viabilizado com
a tecnologia VPN através da ligação local a um provedor de acesso. A estação remota disca
para o provedor de acesso, conectando-se à Internet e o software de VPN cria uma rede
virtual privada entre o usuário remoto e o servidor de VPN corporativo através da Internet.
As VPNs possibilitam a conexão física entre redes locais, restringindo acessos
indesejados através da inserção de um servidor VPN entre elas. O servidor VPN não irá
atuar como um roteador entre a rede departamental e o resto da rede corporativa uma vez
que o roteador permitiria a conexão entre as duas redes autorizando o acesso de qualquer
usuário à rede departamental sensitiva.
Adicionalmente, toda comunicação ao longo da VPN pode ser criptografada
assegurando a confidencialidade das informações.
Uma VPN pode ser implementada de dois modos: tunelamento e por pacote, sendo
que o primeiro é o mais usado.
Para a implementação de uma VPN é necessário o uso de Gateway ou roteador
VPN (alguns roteadores de borda fazem este papel) que crie o túnel de comunicação
segura.
Para se implementar uma VPN entre duas redes (ou até mesmo um notebook ou um
computador de casa e uma rede LAN) interconectadas através de uma terceira rede (esta
pública como a internet ou até mesmo frame-relay, ATM ou X.25) deve-se utilizar em cada
uma um gateway VPN (que inclusive pode ser um software de comunicação ou até o
próprio sistema operacional que utiliza protocolo de comunicação que suporta VPN em um
notebook por exemplo).
A informação enviada entre as redes passa por um gateway VPN que forma o túnel,
encapsula e criptografa a informação a nível de rede (padrão atual é IPSEC). Depois, o
pacote criptografado é roteado e enviado via internet, por exemplo, como um datagrama IP
normal.
Na comunicação remota o protocolo de comunicação para transmissão segura é o
PPTP (Point-to-Point Tunneling Protocol), que é a extensão do PPP usado em conexões
dial-up tradicionais. Um cliente VPN é requerido no equipamento do usuário móvel
(alguns sistemas operacionais como o Windows 2000 suportam o protocolo PPTP).
57
3.10.5.1. IPSec
Para que um componente de software possa resistir a ataques, ele precisa ser
projetado e implementado com um entendimento claro sobre os meios específicos pelos
quais ele pode ser atacado.
3.10.7. Backup
plano de backup quando perdem seus dados por um acidente na sala do servidor, ou por um
descuido de algum usuário apagando todos os seus arquivos.
3.10.9. Biometria
A utilização de um dos dois sistemas faz com que o usuário tenha que carregar um
dispositivo tal qual um cartão de crédito, para providenciar suas credenciais de
autenticação.
65
4. CONTEXTUALIZAÇÃO
SECRETÁRIO
DE RECEITA
Coordenação de Coordenação de
Administração Informática - INF
Junta de Recursos
Fiscais - JRF
CONTRIBUINTES
BANCOS
PAGAMENTOS DE IMPOSTOS
CAPTAÇÃO PA
DE EMISSÃO
DOCUMENTOS
RESUMO
DE
DE
ARRECADAÇÃO
DECLARAÇÕES
PROCESSAMENTO
SAÍDAS
EM RELATÓRIOS RELATÓRIOS
VÍDEO OPERACIONAIS OPERACIONAIS
Figura 8 – Modelo observado no final da década de 1980 na maioria das Secretarias de Receita.
CONTRIBUINTES
CAPTAÇÃO
E
EMISSÃO
DECLARAÇÕES DOCUMENTOS DE
ARRECADAÇÃO
PROCESSAMENTO
SAÍDAS
RELATÓRIOS RELATÓRIOS
EM
VÍDEO OPERACIONAIS GERENCIAIS
CONTRIBUINTES
BANCOS
DEC CAPTAÇÃO
E E
N.F. PROCESSAMENTO PAG
DECLARAÇÕES DOCUMENTOS DE
E ARRECADAÇÃO
NOTAS FISCAIS
PROCESSAMENTO
SAÍDAS
EM RELATÓRIOS
VÍDEO GERENCIAIS
Figura 10 – Modelo implantado a partir da segunda metade da década de 1990 e observado até hoje num
grande número Secretarias de Receita
77
CONTRIBUINTES
BANCOS
DECLARAÇÕES E
NOTAS FISCAIS
(ANALÍTICO)
INTERNET
DECLARAÇÕES DOCUMENTOS DE
E ARRECADAÇÃO
NOTAS FISCAIS
(SINTÉTICO)
PROCESSAMENTO
SAÍDAS
EM
VÍDEO
RECEITA TRIBUTÁRIA
Coordenação de Coordenação de
Informática - INF
Administração
Figura 12 – Modelo de organograma observado como tendência para as Secretarias de Receita a ser
implantado nos próximos anos.
USUÁRIOS
USUÁRIOS INTERNOS EXTERNOS
CADASTROS TRI ARR FIS ATE ADM INF JRF CTB OUTROS
Abrangência da coletoria C I,A,C C C C C C C C
Acionista x capital C I,A,C C A,C C C C C C
Aditamento de contrato C C I,A,C C C C C C C
Aditamento do convênio C C I,A,C C C C C C C
Agência bancária C I,A,C C C C C C
Alíquotas I,A,C C C C C C C C C
Atividade econômica C I,A,C C A,C C C C C C
Atribuição de cargo C C C C I,A,C C C
Atribuição de função C C C C I,A,C C C
Auto de infração C C I,A,C C C C C C C
Requisições I,A,C I,A,C I,A,C I,A,C I,A,C I,A,C I,A,C I,A,C I,A,C
Autorização de impressão de documento C C I,A,C A,C C C C C C
Fiscal
Autorização de uso de documento fiscal C C I,A,C A,C C C C C C
Autorização para uso de documento fiscal C C I,A,C A,C C C C C C
eletrônico
Categoria de estabelecimentos I,A,C C C A,C C C C C C
Categoria de veículos I,A,C C C A,C C C C C C
Classificação contábil da receita C I,A,C C C C C C C C
Classificação tributária da receita C I,A,C C C C C C C C
Classificação de produtos – NCM I,A,C C C C C C C C C
Código fiscal de operações A,C C I,A,C C C C C
Códigos de receita C I,A,C C C C C C C C
Conhecimentos de transporte C C I,A,C A,C C C C C C
Contratos C C C C I,A,C C C C C
Datas de vencimentos A,C I,A,C A,C A,C C C C C C
Denúncias C C I,A,C C C
Documento de inscrição em dívida ativa C C I,A,C A,C C C C C C
Documentos de arrecadação C I,A,C C A,C C C C C C
Declaração mensal de serviços prestados A,C A,C I,A,C A,C C C C I,A,C C
Declaração mensal de empresas de pequeno A,C A,C I,A,C A,C C C C I,A,C C
Porte
Declaração mensal de micro empresas A,C A,C I,A,C A,C C C C I,A,C C
Equipamentos emissores de cupom fiscal C C I,A,C A,C C C C C C
Escalas de plantão C C C C I,A,C C C
Ficha cadastral de contribuinte A,C A,C I,A,C A,C C C C I,A,C C
Grupo financeiro C I,A,C C C C C C
Guia de informação mensal de ICMS C I,A,C C A,C C C C I,A,C C
Guia de Informação sobre valor agregado C I,A,C C A,C C C C I,A,C C
Guia nacional de informação de ICMS C I,A,C C A,C C C C C C
Histórico de instituição C C I,A,C C C C C C
Histórico de processos A,C A,C A,C A,C I,A,C A,C A,C C C
Indicador de desempenho I,A,C C C C C C C
Indicadores demográficos I,A,C C C C C C C C C
Indicadores econômicos I,A,C C C C C C C C C
Índices de depreciação I,A,C C C C C C C C C
Índices de participação C C I,A,C A,C C C C C C
Item de produto C A,C I,A,C A,C C C C C C
Legislação e atos legais A,C A,C A,C I,A,C C C C C C
Leilão C I,A,C C A,C C C C C C
Log de auditoria C C C C C I,A,C C
Logradouros C C I,A,C A,C C C C C C
Marcas de veículos C C I,A,C A,C C C C C C
Modelos de veículos C C I,A,C A,C C C C C C
Moedas C I,A,C C A,C C C C
Nota fiscal C C I,A,C A,C C C C C C
80
Notificações C C I,A,C C C C C C C
Ordem de serviço I,A,C I,A,C I,A,C A,C C C C C C
Pauta de valor de IPVA I,A,C A,C A,C C C C C C C
Portarias de citação A,C A,C I,A,C C C C C C C
Processos A,C A,C A,C A,C I,A,C C C C C
Recibos I,A,C I,A,C I,A,C I,A,C I,A,C C C C C
Regiões demográficas I,A,C C C A,C C C C C C
Termo de fiscalização C C I,A,C C C C C
Termo de responsabilidade I,A,C I,A,C I,A,C I,A,C I,A,C C C
Tipo de documento C C C A,C I,A,C C C
Tipo de documento fiscal C C C A,C I,A,C C C
Tipo de ordem de serviço C C C A,C I,A,C C C
Tipo de participação C C I,A,C A,C C C C C C
Tipo de processo C C C A,C I,A,C C C C C
Transferência de crédito fiscal I,A,C C C C C C C C C
Transportadoras C C I,A,C A,C C C C C C
Unidade de medida C C C A,C I,A,C C C C C
Usuários de sistemas A,C A,C A,C A,C A,C I,A,C A,C
Valor de produto por município I,A,C C C A,C C C C C C
Vigências I,A,C C C A,C C C C C C
Obs: A opção “E” para exclusão não foi utilizada pois em sistemas de
administração tributária não ocorre a remoção de registros, apenas sua desativação.
81
5. POLÍTICA DE SEGURANÇA
5.1.1. Vulnerabilidades
• Qualquer pessoa que tenha acesso físico à estação pode utilizá-la e pode
também instalar ou desinstalar qualquer aplicativo (inclusive programas
danosos ou modems – portas dos fundos);
• Ferramenta antivírus sem procedimentos para atualização periódica e possível
de ser desativada por qualquer usuário;
• Terminais e Workstations sem controle de tempo de conexão;
• Falta de controle do acesso físico às estações; e
• Falta de gerenciamento de processamento de informação sobre responsabilidade
de terceirizados.
• Informações não públicas circulam dentro e fora da rede através de e-mail sem
controle/certificação do usuário remetente;
• Não há garantia da entrega da informação;
• Qualquer usuário com acesso à rede interna pode enviar e-mail informando o
endereço eletrônico de outro; e
• Arquivos anexados só são verificados contra vírus na estação.
ISO/IEC 17799:2000
6. As senhas dos usuários do sistema de informações deverão ser trocadas a cada 30 dias
e serão canceladas, por falta de uso, em 10 dias.
7. A conta do usuário será bloqueada após três tentativas erradas de logon e somente será
desbloqueada mediante autorização do Gerente de Segurança.
8. As últimas 5 senhas deverão ser registradas na base de dados e não poderão ser
repetidas pelos usuários do sistema de informação;
90
10. O usuário será automaticamente desconectado se ficar sem usar o sistema por mais de
15 minutos (time-out) para evitar o uso do mesmo por outro usuário que poderá estar
mal intencionado quanto ao acesso e consulta das informações ;
15. Deverá ser instalado na rede um software para detecção de intrusos (IDS) para
identificação de qualquer tipo de intrusão que possa prejudicar o sistema de
informações da Secretaria de Receita;
16. Deverão ser estabelecidos procedimentos de rotina para execução das cópias de
arquivos e disponibilização dos recursos de reserva;
18. Deverá ser garantida e protegida toda infra-estrutura das redes físicas da Secretaria de
Receita com intuito de proteger consequentemente as informações da rede lógica;
20. Deverá ser implementada uma lista de procedimentos para o gerenciamento e controle
do uso de mídias removíveis como fitas, discos, cartuchos e formulários impressos
91
21. O acesso remoto deverá ser protegido por VPN e certificação digital (PKI).
22. Deverá existir um servidor RADIUS para autenticação de usuários visando oferecer
maior segurança nos acessos remotos.
23. As redes de computadores deverão ser protegidas por um firewall que seja um produto
bem conceituado no mercado, devidamente configurado e permanentemente atualizado,
interligado a um sistema de IDS para reforçar a segurança.
ISO/IEC 17799:2000
8. Equipamentos conectados à rede local não poderão possuir placas ou hardware do tipo
fax modem uma vez que a mesma pode servir como porta de entrada para possíveis
ataques à base de informações da Secretaria de Receita;
9. Equipamentos como fotocopiadoras e máquinas de fax, devem ser instalados de forma
apropriada dentro de áreas de segurança para evitar acesso do público de modo a não
comprometer a segurança da informação;
10. As portas e janelas deverão ser mantidas fechadas quando não utilizadas, sendo
instaladas proteções externas principalmente quando essas portas e janelas se
localizarem em andar térreo;
11. As instalações de processamento da informação gerenciadas pela Secretaria de Receita
devem ficar fisicamente separadas daquelas gerenciadas por terceiros ou contratados
eventuais;
12. Os arquivos e as listas de telefones internas que identificam os locais de processamento
das informações sensíveis não devem ser acessados pelo público;
13. Materiais combustíveis ou perigosos devem ser guardados de forma segura a uma
distância apropriada de uma área de segurança;
14. Equipamentos de contingência e meios magnéticos de reserva devem ser guardados a
uma distância segura para evitar danos que podem se originar em um desastre da
instalação principal;
15. Todo trabalho desenvolvido em área de segurança deverá ser supervisionado por um
funcionário da Gerência de Segurança;
16. Qualquer equipamento de gravação, seja fotografia, vídeo, som ou outro tipo de
equipamento, só deve ser utilizado a partir de autorização da alta administração;
17. Somente pessoal autorizado previamente pelas áreas de segurança da rede e das
informações poderão ter acesso a área de manipulação e suporte (carga e descarga)
externa ao prédio da Secretaria de Receita ;
18. Todo o material de entrada deve ser inspecionado contra potenciais perigos antes de ser
transportado para a área na qual será utilizado, sendo o mesmo registrado conforme
orientação da Gerência de Segurança;
19. Os equipamentos devem ser protegidos contra falhas de energia e outras anomalias na
alimentação elétrica utilizando-se sempre UPS (no-breaks);
20. O sistema de energia elétrica deverá incluir além de alimentação múltipla, geradores e
no-breaks visando a continuidade da operabilidade de acesso às informações da base de
dados;
93
21. O uso de qualquer equipamento para o processamento das informações fora dos limites
da Secretaria de Receita deverá ser autorizado pela alta administração da mesma;
22. Os cabeamentos elétricos e de telecomunicação que transmitem dados ou suportam
serviços de informação devem ser protegidos contra interceptação ou dano;
23. As linhas elétricas e de telecomunicações dos recursos de processamento da
informação devem possuir aterramento, onde possível, ou serem submetidas a proteção
alternativa adequada;
24. O cabeamento da rede deverá ser protegido contra interceptações não autorizadas ou
danos, por exemplo pelo uso de conduítes ou evitando a sua instalação através de áreas
públicas;
25. Os cabos elétricos devem ficar separados dos cabos de comunicação para prevenir
interferências;
26. Todo equipamento deverá ter sua manutenção revista de tempos em tempos, segundo a
orientação do fabricante do mesmo, evitando que a ocorrência de falhas possa
prejudicar o acesso à base de informações;
27. Deve-se usar uma cobertura adequada de seguro para proteger os equipamentos
existentes fora das instalações da Secretaria de Receita;
28. Papéis e meios magnéticos de computadores devem ser guardados em gavetas
adequadas com fechaduras ou em outros itens de mobiliários seguros quando não
estiverem sendo utilizados, especialmente fora do horário normal de trabalho;
29. Computadores pessoais, terminais de computador e impressoras não devem ser
deixados ligados quando não assistidos e devem ser protegidos com senhas, chaves ou
outros controles quando não estiverem em uso;
30. Informações sensíveis e classificadas, quando impressas, devem ser retiradas da
impressora rapidamente;
31. Equipamentos, informações ou software não devem ser retirados da instituição sem
autorização;
32. A sala do CPD deverá permanecer trancada com acesso livre apenas ao pessoal
autorizado da Gerência de Segurança;
33. Os equipamentos servidores e dispositivos que caracterizam o CPD deverão estar em
uma sala devidamente climatizada com controle de acesso;
34. Todos os microcomputadores em rede deverão possuir chave de segurança para
travamento da CPU, não permitindo, portanto, o acesso por pessoa não autorizada ao
interior do equipamento.
94
35. As mídias de backup deverão ser acondicionadas em cofre com características especiais
para suportar incêndios e outros tipos de intempéries;
36. O CPD deverá possuir um sistema de detecção/alarme e combate automático para caso
de incêndio;
37. Todas as salas internas do CPD deverão possuir extintores para combate de incêndio
elétrico (CO2/Pó químico);
38. Todas as saídas de emergência deverão estar claramente identificadas e desimpedidas
visando facilitar a fuga, caso necessário;
39. O backup dos dados deverá ser feito diariamente de forma incremental e semanalmente
de forma completa; e
40. Deverá existir um sistema de iluminação alternativa para o CPD e áreas de fuga.
5.6. APLICABILIDADE
5.7. RESPONSABILIDADE
5.8. SANÇÕES
Cada Secretaria de Receita deve escolher a lista de ameaças que diz respeito a
qualquer recurso de informação em sua localidade, independente das contramedidas. Após
a identificação de todas as possíveis ameaças, a Secretaria de Receita deve avaliá-las e
delinear todas as contramedidas existentes ou propostas para cada ameaça aos recursos. As
Secretarias de Receita devem fazer uma distinção entre as contramedidas existentes e as
propostas. Caso as contramedidas propostas não possam ser implementadas em tempo,
uma solução provisória deve ser identificada.
99
AMEAÇA CONTRAMEDIDA
Este é um plano que facilita a segura restauração das operações do sistema após a
concretização de uma ameaça e a contenção dos danos. O propósito deste plano é reduzir o
impacto de um desastre através de uma rápida recuperação. A recuperação é efetuada por
meio de coordenação e efetiva utilização de todos os recursos de informação disponíveis.
Este plano prevê uma resposta regional ou global a desastres através de esforços
combinados entre as Secretarias de Receita. Esta resposta deve adotar o conceito de
compartilhamento e/ou redirecionamento de recursos sobressalentes de informação entre
as diversas unidades das Secretarias de Receita. Este conceito incentiva o apoio mútuo
entre as unidades sem incorrer em custos adicionas substanciais.
5.10. AUDITORIA
Auditar e ouvir são sinônimos, pois vêm do verbo latino auditare, portanto
auditoria é ouvir as informações sobre um processo, a fim de transformá-las em correções
ou melhorias deste processo.
Auditar um processo, é gerar conhecimento de suas várias etapas. A eficácia da
auditoria dependerá de sua continuidade e de seu dinamismo em acompanhar um processo
em seu desenvolvimento. A auditoria tem o papel de colher informações e transformá-las
em conhecimento. É a principal auxiliar na administração de um sistema de dados, pois a
eficácia administrativa está na aplicação dos conhecimentos continuamente adquiridos.
101
Aplicação de Auditoria Interna e Externa tem sido empregada com bastante êxito
em várias empresas privadas ou públicas. As auditorias internas são mantidas com recursos
e funcionários da própria empresa, em sua maioria da área de informática. Auditorias
externas são formadas por firmas especializadas em auditoria de sistemas, que
disponibilizam os seus serviços a empresas contratantes.
A melhor maneira de se colherem informações de um sistema é com as pessoas que
estão vivenciando o processo atual do sistema de dados e também com aquelas que têm
103
5.10.5. Metodologia
Fonte: Implementation Tool Set CobiT, 3rd Edition Boston July 2000, CobiT Steering Committee and the IT
governance Institute
109
6. CONCLUSÃO
Com base no que foi apresentado e desenvolvido neste trabalho constatamos que a
implementação de uma política de segurança de informação nas organizações como as
Secretarias de Receita tornou-se fundamental.
A preocupação com a integridade, confidencialidade e autenticidade das
informações exige das organizações uma meticulosa análise de vulnerabilidades e riscos
que ameaçam suas bases de dados.
É importante ressaltar que tivemos algumas limitações para a realização deste
trabalho, pois muitos detalhes técnicos, características próprias e situações encontradas
durante o processo de levantamento de informações não puderam ser divulgados para
garantir e resguardar o funcionamento e segurança das próprias Secretarias de Receita.
Mecanismos e ferramentas de defesa tais como os apresentados neste trabalho
foram apresentados com o intuito de garantir a proteção das informações consideradas
sigilosas ou de acesso restrito.
Neste trabalho, procurou-se sugerir às Secretarias de Receitas recursos de proteção
das informações, procedimentos de usuários, métodos de controle através de auditorias e
um plano de contingência que viabilizasse a continuidade dos negócios em caso de
desastres ou qualquer tipo de infortúnio, baseando-nos no levantamento dos riscos,
ameaças e vulnerabilidades a que este tipo de organização esta sujeita.
Nossa base de estudo para coleta de dados foi a Secretaria de Receita de Brasília-
DF. Assim, faz-se necessário que, para cada Secretaria, distribuída por todo território
nacional, seja implementada uma política de segurança adaptada à sua realidade.
Enfatizamos a necessidade de criação e implementação de planos de ação
emergenciais e recuperação de informação em caso de desastres reforçando ainda, a
importância de que todo este processo seja constantemente auditado.
Constatamos que a prática constante de auditorias internas e externas é o modo
mais eficaz de ouvir e responder ao dinamismo de um processo de TI. Para apresentação
deste tema, tomamos como base o sistema CobiT, elaborado e inspirado na norma ISO/IEC
17799:2000. O CobiT é bastante novo e pouco conhecido, não sendo encontrado muito
material a seu respeito.
A ISO/IEC 17799:2000 serviu como principal fonte de referência e base para o
trabalho no que se refere aos conceitos envolvidos na implementação de uma Política de
110
REFERÊNCIAS BIBLIOGRÁFICAS
A Comparison of Internal Controls: CobiT®, SAC, COSO and SAS 55/78; By: Janet L.
Colbert, Ph.D., CPA; e Paul L. Bowen, Ph.D., CPA, 2001. Disponível em:
http://www.isaca.org/bkr_cbt3.htm. Acesso em abril de 2001.
BRASIL. Constituição Federal. Lei n.º 7.716 de 1996 sobre discriminação racial; Lei No.
8.069 de 1991 sobre pornografia infantil; e Lei No. 9.296 de 96 sobre interceptação
telemática (grampo).
Cooperation on Security of Information Systems Joint Task 01. Foundations for the
Harmonization of Information Technology Security Standards; Revised Draft, Version
b; Abril 1993.
HELD, Gilbert. Comunicação de Dados. 6ª Ed. Rio de Janeiro: Editora Campus, 1999.
Implementation Tool Set CobiT. 3rd Edition Boston July 2000, CobiT Steering Committee
and the IT Governance Institute. http://www.isaca.org e http://www.Itgovernace.org.
Acesso em maio de 2001.
OPPENHEIMER, Priscila. Projetos de Redes Top-Down. 1a. Ed. Rio: Campus, 1999.
Rede Tchê: Segurança de Dados. Universidade Federal do Rio Grande do Sul. Disponível
em http://www.cert-rs.tche.br/servicos/infosec.html. Acesso em abril de 2001.
113
Risk Management Guide. NIST Special Publication 800-30. First Public Draft June 2001.
Disponível em http://www.nist.gov. Acesso em julho de 2001.
VENEMA, Wietse & FARMER, Dan. Security Auditing & Risk Analysis. April
30th,1996. Santa Clara (CA). Disponível em http://www.porcupine.org/auditing. Acesso
em april de 2001.
ANEXO I
A Comparison Internal Controls: CobitT®, SAC, COSO and SAS 55/78; By: Janet L. Colbert, Ph.D.,
CPA, CIA;and Paul L. Bowen, Ph.D., CPA, year 2001(http://www.isaca.org/bkr_cbt3.htm)
115
ANEXO II
REQUERIMENTO
Pelo presente requerimento, eu, (fulano de tal), solicito acesso aos Sistemas da Secretaria da
Receita, declarando que utilizarei o mesmo somente no estrito cumprimento de minhas
atividades profissionais estando de pleno acordo com as seguintes determinações:
ANEXO III