You are on page 1of 15

Joel Simberg Vieira

Liberdade e restrição de uso da Internet e das máquinas em uma rede corporativa.

São Paulo 10/2011

Tecnologias e Negócios Professor Doutor Edson S. Artigo apresentado para PECE – Programa de Educação Continuada em Engenharia da Escola Politécnisca da Universidade de São Paulo Curso de Especialização Tecnologia da Informação em Direito e Disciplina: Software: Conceitos. Gomi Professora Doutora Anarosa Alves Franco Brandão São Paulo 10/2011 .Joel Simberg Vieira Liberdade e restrição de uso da Internet e das máquinas em uma rede corporativa.

Tecnologias e Negócios Professor Doutor Edson S. Artigo apresentado para PECE – Programa de Educação Continuada em Engenharia da Escola Politécnisca da Universidade de São Paulo Curso de Especialização Tecnologia da Informação em Direito e Disciplina: Software: Conceitos.Joel Simberg Vieira Liberdade e restrição de uso da Internet e das máquinas em uma rede corporativa. Gomi Professora Doutora Anarosa Alves Franco Brandão São Paulo 10/2011 .

Também demonstra que a questão da segurança deve alcançar todos os funcionários para que eles se tornem participantes da política de segurança.RESUMO Esse artigo visa apresentar as dificuldades de conciliar segurança institucional e atendimento das necessidades do usuário. Institucional. Restrição. mas também fazendo o papel de “vigilantes” sobre comportamentos que possam vir a ser danosos a segurança. Palavras chave: Segurança. assumindo responsabilidades não só sobre o que fazem. Organização. sem restringir além do necessário. Negócio. .

but also playing the role of "vigilant" about behaviors that may be harmful to security. taking responsibility not only about what they do. . Business. Organization. Keywords: Security. It also demonstrates that the issue of security must reach all employees so that they become participants of the security policy. Restriction. Institutional. without restricting than necessary.ABSTRACT This article aims to present the difficulties of reconciling institutional security and meeting user needs.

........................................................................................................................................................13 ......................................................................................................................................................................................................................12 CONCLUSÃO...........................7 Segurança............................................................................................7 ENTREVISTA................................10 Política de Segurança da Universidade de Princeton......................................................................................................................Sumário INTRODUÇÃO.........................................................................................................8 portaria interna DIR-942/2006.................................................

certificação digital. Mas. Temos que entender qual o verdadeiro propósito da utilização do equipamento. falar em um plano de uso que não possa ser revisto. na conversão para IP's Administrativos com NAT (Network address Translation).gov. funcionários e colegas da minha seção. Como resolver essa gama de interesses diferentes. se o conceito de segurança que se limita a “fechar tudo” é de fato a melhor política. quem tem direito de acesso e quais serão esses alcances. que não devamos ouvir todos os usuários.php?conteudo=1671 . Se um elo da 1 http://www.pr.. no uso de sistemas DMZ (Demilitarized Zone). sem falar em Anti-Vírus. Além dos elementos de rede. recursos de suporte e a própria aplicação. logs. Isso não quer dizer. atualização dos sistemas operacionais e muitas outras medidas. cada um com sua opinião. A questão de segurança abrange muitos itens como: colocação de Firewalls.batebyte.Qual a sua visão sobre gerência de redes corporativas. professores. de IDS (Intrusion Detection System).INTRODUÇÃO Tenho me deparado com a gestão de segurança na rede da instituição e tento “compreender” a sonoro debate que ocorre pelas partes: os alunos. bem como outros Analistas e Técnicos da USP. visão. Da mesma forma temos que ver como criar um sistema de segurança para esses acessos. tema de sua dissertação do mestrado? (Armando Rech Filho) Gerência de redes corporativas só faz sentido se estiver orientada para o negócio da organização. ENTREVISTA Abaixo coloco uma entrevista da Bate Byte (jornal técnico que circula dentro da CELEPAR) com Armando Rech Filho. . Gerente de Serviços de Rede da CELEPAR (Companhia de Informática do Paraná – governo do estado do Paraná). em uma área como informática é intrinsecamente incoerente. etc. incluindo política de senhas. mesmo porque. argumentos e experiência com relação à segurança no uso dos equipamentos.. no uso de Proxys. esses propósitos não são inflexíveis e podem sofrer alteração. quero tratar nesse artigo sobre a política de segurança da instituição e como ela é vista pelos usuários internos. é necessário que se acrescente à estrutura de gerenciamento também os servidores. 1 ”BB ..br/modules/conteudo/conteudo. os sistemas de bancos de dados. da rede e do acesso à Internet. hoje vejo que a ideia básica é atender a função precípua da utilização dos equipamentos e da rede e não atender os desejos pessoais dos usuários.

Integridade e Disponibilidade.” (Os grifos no texto são meus. Em que pese as dificuldades. mas estatísticas demonstram que a maior parte das violações de segurança provém de dentro da própria rede. Entende-se por vulnerabilidade as falhas ou falta de segurança das quais pessoas mal intencionadas podem se valer para invadir. que a segurança sempre é uma luta para encontrar as vulnerabilidades e dificultar as ações de uma possível invasão. aplicativos. antes que seja tarde. BB .) Primeiro vamos conceituar o que significa Segurança: “A ISO define [ISO89] a segurança como a tentativa de se minimizar as vulnerabilidades de valores e recursos dos sistemas. a visão quanto aos impactos do comportamento da arquitetura de TI sobre um determinado negócio vai ser sempre parcial. onde havia muita vulnerabilidade. ou seja. “ (DUARTE. reduzimos a facilidade de uma invasão. temos na maioria dos autores um tripé: Confidencialidade. 2003 p. etc.E sobre segurança? (Armando Rech Filho) A CELEPAR tem investido no desenvolvimento de uma política de segurança mas a sua implementação na rede corporativa não tem sido realizada com a velocidade que as mudanças no contexto de tecnologia da informação tem requerido. adulterar e destruir informações confidenciais. Como na maioria das organizações. rede. entendo que alavancar a implementação de políticas e mecanismos de segurança é uma das principais questões sobre a qual temos que trabalhar.. servidores. estou me referindo a todos os elos que abrangem o acesso informático: máquinas. Quando digo sistema.cadeia estiver fora. Dos aspectos fundamentais colocados acima. restrições à liberdade que os indivíduos têm no acesso à rede. temos uma proteção muito forte na porta de entrada da Internet. o grande vilão. mas de fato não conseguimos garantir que essa casa nunca será invadida. assim como não conseguimos garantir o mesmo em um sistema. para se compreender segurança. Bancos de Dados. . Implementar políticas de segurança implica em colocar barreiras.. acessar ilegalmente. trazemos mais segurança.14) Segurança não é garantia e sim tentativa. gera sentimento de perda. subtrair. Como uma casa que tem portas e que para aumentar a segurança reforçamos com fechaduras quádruplas ou em janelas que colocamos grades. essa é uma ideia que não pode ser esquecida.

http://labs. Em outras palavras. devem seguir as leis do país. a autenticidade reside no fato de as duas partes de uma comunicação terem a certeza de que estão trocando informações com a entidade correta. gera sentimento de perda. Disponibilidade: Assegurar que os usuários autorizados tenham acesso às informações e aos ativos associados quando necessário. Autenticidade: “Autenticidade é a garantia de que a identidade da entidade com a qual se está comunicando corresponde àquela desejada.asp?co=252&rv=Direito . desde a queda do serviço de um servidor.2 “Confidencialidade: Garantir que as informações sejam acessíveis apenas para aqueles que estão autorizados a acessá-las. ou um sistema e ele está fora do ar.pdf http://www. baixar filmes ou músicas ilegais. restrições à liberdade que os indivíduos têm no acesso à rede. por falha de hardware ou software ou por um ataque DOS (Denial of Service – Ataque de negação de Serviço . por falta de energia. Irretratabilidade (Não Repúdio) e Privacidade. ou seja.kplus. a disponibilidade. inacessível. instalar programas ilegais. seja preciso quebrá-la na sua disponibilidade e usabilidade. visto que para manter a segurança. O funcionamento da rede institucional.br/materia. 2 3 4 ISO/IEC 17799:2000 página 1 . em conformidade com os preceitos da legislação em vigor”.Padrão de ataque que visa tornar um serviço indisponível).goulart.” Isso parece uma incoerência. houve uma quebra de segurança.com. a segurança também deve seguir as condições das leis do país e os regulamentos da empresa. Outros itens importantes que completam o tripé dos fundamentos da segurança. Integridade: Salvaguardar a exatidão e a inteireza das informações e métodos de processamento. Como disse Armando Rech Filho na entrevista acima: “Implementar políticas de segurança implica em colocar barreiras.“ O conceito de disponibilidade é importante.International Standartization Organization em dezembro de 2000. Legalidade: 4“Estado legal da informação. como: 3Legalidade. Essa falha pode ocorrer por várias razões. que muitas vezes não é entendido como parte da segurança. Autenticidade.” (SOUSA JÚNIOR) Geralmente o uso de senhas é utilizado para verificação da autenticidade do usuário. Se existe necessidade de se acessar um site. seus acessos.info/wp-content/uploads/2011/04/principios-elementares-da-seguranca-dainformacao. pirataria é crime.

” (Não Repúdio) – Dessa forma pode se saber quem foi o autor do envio de uma mensagem ou ato na rede.org. etc. da mesma forma que essa máquina possa acessar arquivos de outras máquinas. Diretor da Escola Politécnica da Universidade de São Paulo.br/grad/06_1/p2p/seguranca. determinando o nível de interação com seu ambiente.pecepoli. etc.goulart. shareaza.pt/~jvv/Assuntos/Secur/full.fe.” Rede “Peer to Peer” .br/PT/Servicos/Portaria_Poli_DIR-942_2006. 5 6 http://paginas. vídeos.pdf http://www. 7 “1. 2000). Fica proibida a instalação de ambientes P2P de compartilhamento de arquivos ao estilo emule.html . Ao ser identificado um equipamento violando os pontos 1 e/ou 2 acima. por causa de uso de programas P2P: − Desrespeito ao direito do autor.gta. baixada pelo Professor Doutor Ivan Gilberto Sandoval Falleiros.html http://labs. são redes em que a máquina do usuário se torna um servidor. gnutela. Privacidade: 6“Segundo o glossário de segurança da internet (SHIREY.pdf 7 8 http://www. kazaa. incluindo o nível de compartilhamento das informações pessoais com outros. para que outros conectados possam baixar arquivos do seu disco. as necessidades do usuário para desempenhar seu trabalho e o que deve ser bloqueado para que a rede não fique exposta. Um exemplo interessante é a repercussão da portaria interna DIR-942/2006.Ponto a Ponto.) 3. em equipamentos da EPUSP ou em equipamentos a ela conectados.info/wp-content/uploads/2011/04/principios-elementares-da-seguranca-dainformacao. posteriormente. privacidade é o direito de uma entidade (geralmente uma pessoa) agir por si próprio.up. 8 ”Problemas com segurança na rede. amule.Irretratabilidade: 5“Garantia de que o emissor não pode. o acesso à rede do equipamento em questão será bloqueado e o caso será motivo de investigação interna. softwares.ufrj. músicas. É proibida a manutenção na rede da EPUSP de arquivos para os quais o usuário não detenha a concernente licença (livros. negar a autoria. com grande número de troca de arquivos de filmes.” Precisamos resguardar a segurança da rede entendendo o propósito da entidade. 2. músicas e arquivos sem pagar os direitos autorais.

sendo que a tecnologia por si só não tem nenhum problema. por acaso poderíamos fazê-lo? Obviamente não. Deixando outros usuários sem condições adequadas de utilização da rede. o que já é proibido por lei brasileira. acima: “Gerência de redes corporativas só faz sentido se estiver orientada para o negócio da organização” A portaria trouxe uma discussão interessante.proibe o download de conteúdo protegido pela lei dos direitos autorais.. Se por acaso essa portaria liberasse o download desses conteúdos. Proibição de programas P2P não é privilégio da POLI. ou inativos. Poderíamos considerar P2P como utilização adequada e dentro dos propósitos da empresa? ou como Armando Rech Filho diz em sua entrevista. spywares. sendo enviados e retransmitidos para muitos usuários. umas interessantes e outras apenas murmúrios de insatisfação e algumas palavras a favor da proibição. apesar de haver razões claras para o bloqueio. 9 “Eu ainda não me conformo com essa portaria por dois fatos: . imagine vários usuários fazendo uploads e downloads. worms. o que é um absurdo!) e . é importante escutar os usuários envolvidos.” Há muitas outras reclamações. o consumo poderia deixar outros serviços lentos. − Acesso ao computador por um bug do software P2P. para que o serviço prestado seja adequado e todos os argumentos sejam compreendidos e pesados na discussão.htm 10 . ou seja.proibe o uso da tecnologia P2P e de programas que a utilizem.html http://www.. distribuir ou executar qualquer tipo de aplicativo ou arquivo não homologado e/ou autorizado pela Diretoria de Tecnologia (DT). como falei anteriormente. proibe o que já é proibido. Aplicativos podem incluir. trojans e backdoors.usp. podendo inclusive ser usada para a pesquisa dentro da escola (esquecem que temos um departamento de computação? Apesar deles nem se pronunciarem sobre o fato. mas não necessariamente se limitar a 9 http://stoa. como podemos ver no termo de uso da Internet e Ativos de Informática da PUC do Paraná: 10 “Utilizar os recursos disponibilizados para armazenar. pois uma portaria da escola não sobrepõe uma lei brasileira.− No meio desses arquivos. − Destinação da rede e dos equipamentos.” Incluo mais dois pontos por minha conta: − Consumo da banda de utilização de tráfego da rede.pucpr.br/nathaliapatricio/weblog/36667. temos vírus.br/tutoriais/seguranca_rede/aluno/index.

) e jogos em geral. 11 http://www.).softwares ilegais¹.) 10. IRC etc. Your obligation to protect sensitive information continues after you leave the University.) Veja que a obrigação da segurança sai da exclusividade do departamento de informática e penetra nas atribuições de todos os usuários e chefias.edu/itsecurity/policies/infosecpolicy/ . Isso permite que acessos diferenciados possam contemplar usuários. (Você deve relatar qualquer atividade que suspeite poder comprometer informações sigilosas para seu supervisor ou para o Diretor de Segurança de TI da Universidade. Morpheus etc. 11. Sua obrigação de proteger informações sigilosas continua mesmo depois que deixar a Universidade. E-mule.” A Política de Segurança deve ser clara e adequada com o plano de negócios da empresa/instituição. mesmo que desagrade os usuários. ferramentas de compartilhamento de arquivos (Kazaa. Você pode apenas acessar informações necessárias para executar sua legítima obrigação como um empregado da Universidade e apenas quando autorizado pelo apropriado Guardião da Informação ou representante.princeton. You must report any activities that you suspect may compromise sensitive information to your supervisor or to the University IT Security Officer. com autorização de alguém competente contanto que seja para uso nas atividades de seu trabalho e com responsabilidade pelos atos.” (tradução minha: Para todos empregados e contratados. Observando a Política de Segurança da Universidade de Princeton 11 “ All Employees and Contractors You may only access information needed to perform your legitimate duties as a University employee and only when authorized by the appropriate Information Guardian or designee. aplicativos de mensagens instantâneas (ICQ.

mas essencial. alguns usuários ficam procurando brechas. o inimigo está dentro. fechaduras nas portas. o que não é fácil. Pois a política de segurança não existe para impedir os acessos e uso racional e sim para fazê-los com sabedoria e com o devido cuidado. auditorias e sanções são importantes para ajudar nesse processo.CONCLUSÃO Com responsabilidade. falhas e tentando instalar programas não permitidos. grades nas janelas. se o ladrão está dentro da casa? Que tipo de política de segurança realmente está ocorrendo? Temos que “converter” esse tipo de comportamento inimigo em amigo. for. o que adianta colocar cadeados nos portões. deve haver uma ponderação sobre os benefícios e riscos envolvidos para se fazer uma liberação desse acesso. Se um determinado software. diretrizes de uso e com sanções aos usuários que desobedeçam. com responsabilidade de informar qualquer atividade suspeita. controle de logs. O usuário deve ajudar na segurança e não ser um adversário a ser contido. de fato. Pois lembrando a entrevista acima. Ou seja. conscientização. Treinamentos. sites e serviços bloqueados. ajudaria e muito. útil para o desenvolvimento de uma atividade que faz parte dos negócios da empresa. mas como agente fiscalizador. não só pelos seus atos. a diminuir que os usuários fiquem “lutando” contra os Departamentos de TI. que encontrando portas. esse nível de conscientização deve ser alcançado. Tendo o usuário do lado da política da segurança. . podemos colocar o usuário como coparticipante da segurança da instituição. temos: “maior parte das violações de segurança provém de dentro da própria rede”. porta ou site no momento bloqueado.

Acesso em 16 out. As políticas de segurança da informação. computação pessoal e computação corporativa da AR (Autoridade de Registro de Certificação Digital).redes. 3 p. 2011. Disponível em: <http://www. : As políticas de segurança da informação. SOUSA JÚNIOR.html>. Anderson: Princípios elementares da segurança da informação: uma análise qualitativa sobre serviços web. Robert W. International Standartization Organization. Disponível em: <http://paginas.html>. Disponível em: <http://www. computação pessoal e computação corporativa da AR (Autoridade de Registro de Certificação Digital).br/materia. Escola Politécnica da Universidade de São Paulo. Marco Aurélio B.gov. Acesso em 16 out.br/modules/conteudo/ conteudo. Rafael T. Chagas. entrevista com Armando Rech Filho). Disponível em: <http://www.goulart. Acesso em 16 out.com.br/PT/Servicos/Portaria_Poli_DIR942_2006. de A. ISO/IEC 17799:2000: 2000. Verde.html>. RFC 2828: Internet Security Glossary. 2009. de. SHIREY.br/grad/06_1/p2p/seguranca. 2011. Ricardo S.org.pr. Disponível em: <http://labs. Segurança em Redes P2P – Universidade Federal do Rio de Janeiro. CHAGAS. PUTTINI.pdf>.ietf. de.com.REFERÊNCIAS Bate Byte (jornal técnico que circula dentro da CELEPAR.11x (TCC). Faculdade de Engenharia da Universidade do Porto. 2000. 2011.php?conteudo=1671>. Disponível em: <http://www. 14 p. Análise de Vulnerabilidades e Ataques Inerentes a Redes Sem Fio 802. portaria interna DIR-943/2006. 2011. 2003. Acesso em 16 out.br/security/ssleay/tutorial.asp? co=252&rv=Direito>. 2011. 1 p. Acesso em 16 out. Disponível em: <http://www. Acesso em 16 out. 2011. Disponível em: <http://www.org/rfc/rfc2828.ufrj. DUARTE.pdf>.kplus.kplus. Acesso em 16 out. São José do Rio Preto: UNESP. SSL Leavy / OpenSSL.batebyte. . 2011.up.pecepoli.br/materia.info/wp-content/uploads/2011/04/principioselementares-da-seguranca-da-informacao. Isidro Vila: Segurança versus acessibilidade.fe. Acesso em 16 out. Luiz Otávio.txt>. Marco Aurélio B.asp? co=252&rv=Direito>. 2011.unb. Salvador: Universidade Federal Fluminense. GOULART.gta. Disponível em: <http://www.pt/~jvv/Assuntos/Secur/ full.

aluna da Poli. Disponível em: <http://www.html>.htm>. 2011. PUC Paraná.br/tutoriais/seguranca_rede/aluno/index. Universidade de Princeton. Acesso em 16 out.br/nathaliapatricio/weblog/36667. 2011.princeton. Disponível em: <http://www. Disponível <http://stoa.usp.pucpr. . Acesso em 16 out.edu/itsecurity/policies/infosecpolicy/>. 2011. Acesso em 16 out. Política de Segurança. em: Tutorial sobre Segurança.Reclamações sobre P2P.