SlideShare uma empresa Scribd logo

Segurança da informação em ambientes corporativos: analise de segurança da informação do Distrito do Goturuba e verificação da adequação a NBR ISO/IEC 27002:2005

Diego Villendel Rodrigues Rocha
Diego Villendel Rodrigues Rocha
Tecnologia
1 de 53
Baixar para ler offline
1 Diego Villendel Rodrigues Rocha SEGURANÇA DA INFORMAÇÃO EM AMBIENTES CORPORATIVOS: ANÁLISE DE SEGURANÇA DA INFORMAÇÃO DO DISTRITO DO GORUTUBA E VERIFICAÇÃO DA SUA ADEQUAÇÃO À NBR ISO/IEC 27002:2005 Monografia apresentada ao Curso de Engenharia da Computação da Faculdade de Ciência e Tecnologia de Montes Claros, como parte dos requisitos para obtenção do diploma de Engenheiro da Computação. Orientador: PROF. RODRIGO CAETANO FILGUEIRA Montes Claros 2012
2 FUNDAÇÃO EDUCACIONAL MONTES CLAROS Faculdade de Ciência e Tecnologia de Montes Claros Diego Villendel Rodrigues Rocha SEGURANÇA DA INFORMAÇÃO EM AMBIENTES CORPORATIVOS: ANÁLISE DE SEGURANÇA DA INFORMAÇÃO DO DISTRITO DO GORUTUBA E VERIFICAÇÃO DA SUA ADEQUAÇÃO À NBR ISO/IEC 27002:2005 Esta monografia foi julgada adequada como parte dos requisitos para a obtenção do diploma de Engenheiro da Computação aprovada pela banca examinadora da Faculdade de Ciência e Tecnologia de Montes Claros. ______________________________________ Prof. Maurílio José Inácio Coord. do Curso de Engenharia da Computação Banca Examinadora Prof. Rodrigo Caetano Filgueira, FACIT/ (Orientador) _______________________________________ Prof. Ms. Leonardo Santos Amaral _______________________________________ Montes Claros, 26 de novembro de 2012
3 Dedico este trabalho as pessoas que viram nos meus olhos não apenas um sonho, mas sim o brilho de quem sonha em ser um vencedor.
4 AGRADECIMENTOS Agradeço primeiramente a Deus por me dar a oportunidade de chegar a um momento tão importante em minha vida e aos meus pais pelo devido apoio e compreensão da minha ausência, justificada pela execução deste importante trabalho. Agradeço aos meus amigos pela força e apoio dado nos momentos difíceis e aos professores por contribuírem diretamente na minha formação e na construção de meus sonhos.
5 "Computadores e redes podem mudar nossas vidas para melhor ou para pior. O mundo virtual tem as mesmas características do mundo real, e há tempos, os eventos de segurança, ataques e invasões a computadores deixaram de ser atividades solitárias e não destrutivas." Adriano Mauro Cansian – Professor Titular da Unesp.
6 RESUMO Esta pesquisa visa abordar os principais métodos, equipamentos, tecnologias e procedimentos necessários para garantir à segurança da informação em ambientes corporativos com acesso a internet. Como fundamentos para a pesquisa, foram revisados os principais conceitos de segurança da informação, bem como a sua necessidade do mundo atual, conceitos de redes de computadores, segurança de rede e a norma NBR ISO/IEC 27002 que sugere implementações para serem aplicados em ambientes corporativos visando obter melhores resultados em segurança da informação e tratar seus incidentes. Para ilustrar o estudo, foi feita uma análise em um ambiente empresarial real, identificando os equipamentos da rede de computadores e levantando os principais meios utilizados na empresa para garantir a segurança no tráfego das informações objetivando verificar a conformidade desses métodos com as normas técnicas. Para servir de parâmetros para a análise de segurança, foi feita a aplicação de um formulário no ambiente pesquisado com o objetivo de se ter uma avaliação das implementações de segurança da informação do ambiente pesquisado em relação a NBR ISO/IEC 27002. Palavras-Chave: Segurança de rede, segurança da informação, NBR ISO/IEC 27002.
7 ABSTRACT This research aims to approach the main methods, equipment, technologies and procedures to ensure the security of information in corporative environments with internet access. As fundamentals for the search, main concepts of information security were revised, as well as its necessity in the world nowadays, concepts of computer networks, network security and NBR ISO/IEC 27002 rule that suggests that implementations to be applied in environments corporative to obtain better results in information security and treat their incidents. In order to illustrate the study, an analysis in a real business environment was done, identifying the equipment of the computer network and raising the main means used in the company to ensure the safety of traffic information in order to verify the compliance of these methods with technical standards. To serve as parameters for the safety analysis, the application was made in the form of a searchable environment in order to get an assessment of implementations of information security environment studied in relation to ISO/IEC 27002. Keywords: Network security, information security, NBR ISO/IEC 27002.
8 LISTA DE ILUSTRAÇÕES FIGURA 1 - Topologia de rede ponto a ponto ......................................................................... 14 FIGURA 2 - Topologia de rede barramento ............................................................................. 15 FIGURA 3 - Topologia de rede anel ........................................................................................ 15 FIGURA 4 - Topologia de rede estrela .................................................................................... 16 QUADRO 1 - Modelo OSI na forma de pilha .......................................................................... 16 FIGURA 5 - TCP/IP e sua correspondência com o modelo OSI ............................................. 19 GRÁFICO 1 - Relatório de evolução do número de incidentes de segurança da informação registrados no Brasil ................................................................................................................. 21 GRÁFICO 2 - Países de países que originam ataques aos sistemas brasileiros ....................... 22 FIGURA 6 - Exemplo de implementação do firewall .............................................................. 23 FIGURA 7 - Exemplo de implementação do DMZ ................................................................. 24 FIGURA 8 - Arquitetura da rede de computadores do DTGA ................................................ 34 FIGURA 9 - Servidor de arquivos local do DTGA e nobreak ................................................. 34 FIGURA 10 - Equipamentos de rede (modem, roteador, switch e patch panel ....................... 35 GRÁFICO 3 - Resultados obtidos por seção da norma ............................................................ 39 GRÁFICO 4 - Resultado geral da análise do formulário ......................................................... 40
9 LISTA DE SIGLAS ABNT – Associação Brasileira de Normas Técnicas ACL - Access Control Lists AES - Advanced Encryption Standard AH - Authentication Header ARP - Addres Resolution Protocol CERT - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil COPASA – Companhia de Saneamento de Minas Gerais DES - Data Encryption DMZ – DeMilitarized Zone Network DNS - Domain Name System DTGA – Distrito do Gorutuba ESP - Encapsulating Security Payload FTP – File Transfer Protocol HIDS - IDS baseado em Host HTTP - Hypertext Transfer Protocol ICMP - Internet Control Message Protocol IDS – Intrusion Detection Systems IEC - International Electrotechnical Commission IP – Internet Protocol IPsec – IP Security ISO - Institute of Standardization Organization NBR – Norma Brasileira Regulamentatória NIDS - IDS baseado em rede NP – Norma de Procedimentos OSI - Open Systems Interconnection RARP – Reverse Addres Resolution Protocol SMTP - Simple Mail Transfer Protocol SPI - Security Parameters Index TCP - Transmission Control Protocol UDP – User Datagram Protocol VPN – Virtual Private Network
10 SUMÁRIO INTRODUÇÃO ...................................................................................................................... 12 CAPÍTULO 1 REDES DE COMPUTADORES E SEGURANÇA DE REDE ................. 14 1.1 Redes de Computadores ..................................................................................................... 14 1.2 Modelo OSI ........................................................................................................................ 16 1.3 TCP/IP ................................................................................................................................ 18 1.4 Internet ............................................................................................................................... 19 1.5 Necessidade de segurança de redes .................................................................................... 19 1.6 Segurança de rede ............................................................................................................... 22 1.6.1 Firewall ........................................................................................................................... 23 1.6.1.1 DMZ ............................................................................................................................. 24 1.6.2 Criptografia...................................................................................................................... 24 1.6.3 IPSec ................................................................................................................................ 25 1.6.4 VPN ................................................................................................................................. 25 1.6.5 Sistema de detecção de intrusão ...................................................................................... 26 1.6.6 Autenticação e controle de acesso ................................................................................... 26 1.6.7 Elementos essenciais de segurança da informação.......................................................... 27 1.7 NBR/IEC ISO 27002:2005 ................................................................................................. 27 1.7.1 Política de segurança da informação ............................................................................... 28 1.7.2 Organizando a segurança da informação ......................................................................... 28 1.7.3 Gestão de ativos ............................................................................................................... 29 1.7.4 Segurança em recursos humanos ..................................................................................... 29 1.7.5 Segurança física e do ambiente ....................................................................................... 29 1.7.6 Gerenciamento das operações e comunicação................................................................. 30 1.7.7 Controle de acessos ......................................................................................................... 30 1.7.8 Aquisição, desenvolvimento e manutenção de sistemas de informação ......................... 30 1.7.9 Gestão de incidentes de segurança da informação .......................................................... 31 1.7.10 Gestão da continuidade do negócio ............................................................................... 31 1.7.11 Conformidade ................................................................................................................ 31 CAPÍTULO 2 MATERIAIS E MÉTODOS ......................................................................... 33
11 2.1 Descrições do ambiente de pesquisa .................................................................................. 33 2.2 Metodologias da pesquisa................................................................................................... 36 2.3 Aplicação de formulário para levantamento de informações ............................................. 36 2.4 Análise dos elementos essenciais de segurança da informação ......................................... 37 CAPÍTULO 3 RESULTADOS .............................................................................................. 39 CAPÍTULO 4 ANÁLISE E DISCURSÃO DOS RESULTADOS ...................................... 41 CONSIDERAÇÕES FINAIS ................................................................................................. 45 REFERÊNCIAS ..................................................................................................................... 47 APÊNDICE A – FORMULÁRIO DE VERIFICAÇÃO DE ADEQUAÇÃO A NBR ISO/IEC 27002:2005 ............................................................................................................... 49
12 INTRODUÇÃO A necessidade de informatizar os processos de negócio, bem como o investimento em segurança da informação é algo extremamente importante e comum em qualquer empresa que visa a competitividade no mundo contemporâneo. A segurança da informação tem o objetivo de garantir a sobrevivência de negócios em empresas que possuem os processos informatizados totalmente envolvidos com o desenvolvimento das atividades. Visa garantir a confiabilidade e continuidade dos negócios, melhora a imagem da empresa perante o mercado, evita perdas e transtornos e com isso facilita o exercício das atividades fins da empresa. Existem normas que regulamentam as boas práticas de segurança da informação, dentre elas a NBR ISO/IEC 27002:2005 que será objeto de nosso estudo e fundamental para obtenção dos resultados dessa pesquisa. Essa pesquisa tem o objetivo de apontar os principais itens, conceitos e tecnologias da segurança da informação, efetuar o estudo da norma que regulamenta as práticas de segurança da informação em um ambiente empresarial e aplicar essa norma em um ambiente corporativo real. As hipóteses principais desta pesquisa é que a NBR ISO/IEC 27002 é eficaz e que o ambiente empresarial estudado é seguro no tratamento de informações, nas quais essas hipóteses serão verificadas nas discussões dos resultados. Com a aplicação desta pesquisa, poderemos concluir se segurança da informação em sistemas de informação das empresas é realmente necessário, se o ambiente estudado é seguro, se as práticas sugeridas pela norma são aplicáveis e eficazes. O Capítulo 1 mostra, de acordo com a literatura dos principais autores de obras sobre redes de computadores e segurança de redes, onde são destacados os principais conceitos de redes de computadores, os principais protocolos de comunicação, necessidade de segurança da informação, principais conceitos de segurança de redes, seus equipamentos e tecnologias. É feita também uma pequena revisão sobre a NBR ISO/IEC 27002:2005, destacando de forma geral as seções em que são organizadas essa norma e suas principais abordagens e recomendações. O Capítulo 2 tem o objetivo de apresentar o ambiente pesquisado e os materiais e métodos utilizados para desenvolver a pesquisa. É feita a apresentação da estrutura de redes de computadores de uma unidade administrativa da Copasa, denominada DTGA, relatadas as principais práticas de segurança da informação identificadas e feita uma análise dos elementos essenciais da segurança da informação. Neste capítulo também é explicado a estrutura e
13 objetivos do formulário aplicado nesta pesquisa para verificação da adequação das práticas do ambiente pesquisado em relação a norma apresentada. No Capítulo 3 são apresentados os gráficos com os resultados obtidos com a aplicação do formulário acima citado e no Capítulo 4 são analisados e discutidos esses resultados obtidos, identificando os principais pontos positivos e negativos que influenciaram na obtenção dos resultados. Nas considerações finais é apresentada uma conclusão geral da pesquisa e dos resultados, são sugeridas adaptações que podem ser aplicadas pela empresa para melhorar a segurança da informação e adequação a norma regulamentadora e são expostos alguns tópicos para futuras pesquisas. No apêndice é apresentado o formulário aplicado para levantamento de informações para obtenção e discussão dos resultados.
14 CAPÍTULO 1 REDES DE COMPUTADORES E SEGURANÇA DE REDES 1.1 Redes de Computadores Referem-se a redes de computadores quando dois ou mais computadores estão interligados sob algum meio e regida sob um conjunto de protocolos, com o intuito de transferir ou compartilhar dados, informações ou recursos, encurtar distâncias, unir departamentos, entre outros. Também podemos definir rede de computadores como "um conjunto de computadores autônomos interconectados por uma única tecnologia" (TANENBAUM, 2003, p. 15). Segundo Valle e Ulbrich (2009), as redes de computadores evoluíram das redes telefônicas, que foi uma evolução dos telégrafos. As redes de computadores são compostas de vários componentes físicos (estrutura física), organizados sob algum tipo de organização (topologia) e regidos sob algumas normas (protocolos). A estrutura física inclui os equipamentos de hardware que compõem a rede, como: hubs, switches, roteadores, placas de rede, cabeamento, antenas, servidores, clientes, etc. As principais topologias são : ponto a ponto, barramento, anel e estrela. FIGURA 1 - Topologia de rede ponto a ponto Fonte: Autoria própria Na topologia ponto a ponto, também conhecida como linear, os computadores são ligados em série e os dados transmitidos passam por todos os computadores, mas somente são interceptados pela máquina receptora.
15 FIGURA 2 - Topologia de rede barramento Fonte: Autoria própria Na topologia de redes em barramento, os computadores compartilham um mesmo barramento físico, geralmente esse barramento é um cabo coaxial. Uma característica dessa topologia é que apenas uma máquina pode escrever no barramento por vez, os dados chegam a todas as máquinas, porém apenas a máquina destinatária pode captar os dados. FIGURA 3 - Topologia de rede anel Fonte: Autoria própria Na topologia em anel, os computadores são ligados em um circuito fechado, como um circulo. Segundo Valle e Ulbrich (2009), um exemplo dessa topologia é a conhecida como Token Ring.
16 FIGURA 4 - Topologia de rede estrela Fonte: Autoria própria Na topologia em forma de estrela, os computadores são interligados por um equipamento centralizador, como um hub ou switch, em que todos os dados têm que obrigatoriamente passar por esse dispositivo. 1.2 Modelo OSI O Open Systems Interconnection (OSI) é um modelo de conjunto de protocolos de comunicação organizada em uma pilha de 7 camadas: física, enlace, rede, transporte, sessão, apresentação e aplicação. Como mostrada no Quad. 1 abaixo. QUADRO 1 Modelo OSI na forma de pilha Fonte: Autoria própria
17 Cada camada é composta por um conjunto de protocolos responsável por oferecer um conjunto de serviços específicos. "Os protocolos são agrupados em famílias organizadas em camadas que, por sua vez, formam uma pilha" (ALBUQUERQUE, 2001, p. 10). A pilha pode ser observada no Quad.1, onde as camadas são organizadas uma sobre a outra seguindo uma certa ordem. A camada de Aplicação tem a função de fazer "a interface entre o protocolo de comunicação e o aplicativo que pediu ou receberá a informação através da rede" (TORRES, 2001, p. 43). Essa camada é a que está mais próxima ao usuário. A camada de Apresentação traduz os dados recebidos pela aplicação a um formato comum a ser usado na transferência. Essa camada "está relacionada a sintaxe e a semântica das informações transmitidas" (TANENBAUM, 2003, p. 45), ou seja, está diretamente relacionada com a forma com que os dados serão apresentados. "Pode ter outros usos, como compressão de dados e criptografia" (TORRES, 2001, p. 44). A camada de Sessão é responsável por estabelecer uma comunicação entre dois computadores, define como será feita a transmissão e insere marcadores nos dados para que caso haja alguma falha na transmissão, esta pode ser retomada a partir dos dados marcados. Complementando, segundo Tanenbaum (2003), essa camada oferece diversos serviços como: controle de diálogo (define quem irá transmitir), gerenciamento de símbolos (impede a execução de uma operação crítica simultaneamente por duas aplicações diferentes) e sincronização (marcação dos dados). A camada de Transporte é responsável por receber os dados da camada de Sessão, fragmentá- los, se necessário, e repassá-los a camada inferior (Rede). No receptor é responsável por remontar esses fragmentos e entregá-los a camada de sessão. Também "oferece recuperação de erro e controle de fluxo de ponta a ponta" (STALLINGS, 2002, p. 97). A camada de Rede é responsável por endereçar os pacotes recebidos da camada de Transporte, converter endereço lógico em endereço físico e definir o caminho pelo qual o pacote irá seguir, evitando congestionamento e buscando otimizar a rota (roteamento), já que as redes possuem sempre mais de um caminho. A camada de Enlace, também conhecida como Link de Dados, recebe os pacotes de dados da camada de Rede e os transforma em quadros, adicionando alguns dados em seu cabeçalho, como endereço físico da placa de rede de origem e destino. É responsável por controlar o tráfego na transferência, caso a velocidade do transmissor e receptor apresentem incompatibilidade. Na recepção, segundo Torres (2001), confere se o dado chegou íntegro,
18 enviando uma confirmação de recebimento, que caso não seja recebido, faz com que o transmissor re-envie o quadro. A camada Física é a camada mais inferior da estrutura do modelo OSI. Segundo Torres (2001), essa camada recebe os dados da camada de enlace e os transforma em sinais compatíveis com o meio em que serão transmitidos. Complementando, "lida com características mecânicas, elétricas, funcionais e de procedimento para acessar o meio físico" (STALLINGS, 2002, p.97), ou seja, define como os dados serão transmitidos conforme o meio, tendo, como exemplo a conversão para sinais elétricos se o meio for elétrico, sinais luminosos se o meio for óptico ou sinais de ondas de rádio se o meio for atmosférico. 1.3 TCP/IP TCP/IP é um protocolo, ou seja, é um conjunto de protocolos de redes, no qual dois dos principais derivaram o seu nome. Segundo Torres (2001), é o protocolo mais utilizado em redes locais, foi feito para ser utilizado na internet, atualmente é suportado em todos os sistemas operacionais e é roteável, ou seja, feito para ser utilizado em redes grandes e de longa distância podendo ter vários caminhos para o dado chegar ao destino. O protocolo TCP/IP é dividido em 4 camadas: aplicação, transporte, internet e interface com a rede (inter-redes). A camada de Aplicação, segundo Valle e Ulbrich (2009), é responsável pela comunicação entre o protocolo de transporte e os aplicativos que solicitam os recursos da rede, como DNS, FTP, HTTP, SMTP, entre outros. Corresponde as camadas de aplicação, apresentação e sessão do modelo OSI. A camada de Transporte do modelo TCP/IP equivale à camada de mesmo nome do modelo OSI. Segundo Torres (2001), essa camada transforma em pacotes os dados recebidos da camada de Aplicação e passa-os a camada de Internet, utiliza o esquema de multiplexação, que possibilita a transmissão de dados de várias aplicações simultaneamente e utiliza o conceito de portas. Nessa camada operam os protocolos Transmission Control Protocol (TCP) e User Datagram Protocol (UDP), sendo o TCP orientado a conexão, ou seja, verifica se o dado realmente chegou ao destino, e o UDP, que não tem essa característica do TCP, e com isso garante maior velocidade na entrega do pacote, mas sem garantia de entrega. A camada de Internet, como no modelo OSI, "é responsável pela organização e roteamento dos pacotes definindo seus endereços" (VALLE; ULBRICH, 2009, p. 55). Atuam nessa
19 camada os protocolos Internet Protocol (IP), Internet Control Message Protocol (ICMP), Addres Resolution Protocol (ARP) e Reverse Addres Resolution Protocol (RARP). A camada de Interface com a Rede equivale com as camadas de Enlace e Física do modelo OSI e é responsável por enviar os dados recebidos pela camada de Internet pela rede. FIGURA 5 - Modelo TCP/IP e sua correspondência com o modelo OSI Fonte: Autoria própria 1.4 Internet A internet, ou rede mundial de computadores, segundo Valle e Ulbrich (2009), é o conjunto de redes espalhadas pelo mundo baseadas no protocolo TCP/IP, formada por redes de alta capacidade, conectadas a computadores altamente poderosos conhecidos como backbones. O paradigma da internet é baseada na comutação por pacotes e cada computador ligado a internet possui um único endereço lógico único (IP) que identifica não só a máquina propriamente dita, como também a rede a qual pertence. Com a internet é possível estabelecer a comunicação entre computadores localizados em qualquer lugar do planeta, que também esteja conectado a internet, acessar sites, transferir arquivos, trocar emails, entre diversas outras funcionalidades. 1.5 Necessidade de segurança de redes A aplicação da segurança em redes de comunicação de computadores passou a ser necessária quando, com a evolução da tecnologia de processamento de dados, as corporações passaram a utilizar os meios computacionais para solucionar problemas das empresas e armazenar suas
20 informações. A segurança de dados e informações antigamente era exclusivamente física, Stallings (2002) cita como exemplo de segurança de dados o uso dos grandes armários trancados com fechaduras de segredo para guardar documentos importantes. Atualmente, o uso dos recursos computacionais e dos meios de telecomunicações é de extrema importância para o desenvolvimento e organização de qualquer instituição. Empresas que não se adequam ou acompanham os avanços das tecnologias digitais apresentam cada vez mais dificuldade de se manterem vivas em um mercado que está cada vez mais exigente e competitivo. Computação, hoje, está presente em praticamente todos os ambientes que o ser humano pode conviver, seja utilizando internet em casa para acessar algum site de relacionamento ou efetuar o pagamento de contas, gerenciando e compartilhando informações em um ambiente empresarial ou acessando internet via celular através de uma rede de comunicação pública. Os avanços das redes de computadores e internet facilitaram a troca e compartilhamento de informações entre pessoas localizadas em qualquer extremidade do mundo, fazendo com que o acesso a redes privadas e locais por pessoas indevidas, se tornasse cada vez mais viáveis. Paralelamente ao crescimento do uso dos recursos computacionais, cresceu-se também o número de ataques a esses ambientes, visando roubo de dados confidenciais, para prejudicarem alguma instituição ou pessoa ou até mesmo somente para que o invasor mostre sua capacidade de invadir uma rede e provocar algum tipo de dano. A tecnologia não só facilitou a vida da sociedade, como também abriu oportunidade de indivíduos maliciosos se aproveitarem desses meios para praticarem atos ilícitos. Segundo Melo (2009), com uso crescente de recursos na internet, a ampliação da infra-estrutura e softwares de natureza ilícita, de fácil acesso e utilização, tem como consequência o significativo aumento de invasões de computadores e roubo de informações.
21 GRÁFICO 1 - Relatório de evolução do número de incidentes de segurança da informação registrados no Brasil Fonte: www.cert.br O Graf. 1 acima mostra a evolução do número de ataques registrados do ano de 1999 até junho de 2012 no Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.br), que é grupo de resposta a incidentes de segurança para a internet brasileira. O número de ataques registrados em 2011 é quase 130 vezes maior do que o registrado no inicio da contagem em 1999.
22 GRÁFICO 2 - Países que originam ataques aos sistemas brasileiros Fonte: www.cert.br O Graf. 2 ilustra de que país surge os principais ataques aos sistemas brasileiros, sendo destacada a maior parte originada do próprio Brasil. Como a sociedade atual passou a ser totalmente dependente dos computadores e analisando a importância que esse recurso se tornou para o desenvolvimento econômico e social, viu-se a necessidade de investir em meios, técnicas, equipamentos e estruturas visando à segurança no armazenamento e transferência de informações, visando evitar a perda, extravio ou uso indevido dessas informações. 1.6 Segurança de rede Segurança de rede é a expressão utilizada quando se refere as implementações, equipamentos, técnicas, métodos visando garantir a integridade, disponibilidade, autenticidade e confidencialidade dos dados trafegados pela rede, bem como garantir o pleno funcionamento da estrutura de redes. Segundo Tanenbaum (2009), a segurança de redes pode ser dividida em sigilo (manter as informações longe de usuários não autorizados), autenticação (determinar os agentes da comunicação), não repúdio (provar a autenticidade da comunicação) e controle de integridade (provar a legitimidade da comunicação). As implementações de segurança podem ser distribuídas, segundo Tanenbaum (2003), em diversas camadas do encapsulamento da comunicação. Na camada de enlace pode ser aplicada
23 a criptografia de enlace, codificando mensagens ao sair de uma máquina e decodificando ao entrar em outra. Na camada de rede podem ser instalados firewalls para monitorar e filtrar os dados que circulam pela rede. Na camada de transporte pode-se criptografar conexões inteiras. E na camada de aplicação podem ser feitas as autenticações de usuários. 1.6.1 Firewall Em geral firewall, segundo Pfaffenberger (1998), pode ou não ser uma máquina, ou talvez um software, com o objetivo de conter o tráfego ou acesso indevido através da análise do cabeçalho dos pacotes que trafegam na rede, filtrando esses pacotes que infringem as regras estabelecidas em uma política de segurança. FIGURA 6 - Exemplo de implementação do firewall Fonte: Autoria própria Os firewalls basicamente se dividem em duas categorias: firewall de rede ou firewall de gateway de aplicativo (proxy). Os firewalls de rede, geralmente, são roteadores com capacidade de filtrar pacotes podendo negar acesso analisando diversos fatores como endereço (origem e destino), protocolo, número de porta (origem ou destino) ou conteúdo. O gateway de aplicação, segundo Tanenbaum, não examina pacotes brutos, atua também na camada de aplicação, verificando dados do cabeçalho referentes a aplicação e tamanho da mensagem. Existem diversas implementações de firewall, podendo ser utilizados até mais de um firewall dependendo da finalidade, arquitetura da rede e do nível de segurança exigido. Pode-se destacar o uso de firewalls na entrada da rede local, isolando servidores, isolando os servidores da rede interna, filtrando dados entre sub-redes, DMZ, dentre outras.
24 1.6.1.1 DMZ DeMilitarized Zone Network (DMZ) ou simplesmente Rede Desmilitarizada, é uma configuração em que são utilizados dois firewalls, um na saída para a rede externa e outro na entrada da rede interna conforme a figura abaixo. FIGURA 7 - Exemplo de implementação do DMZ Fonte: Autoria própria Nessa figura o Firewall 1 tem a função de filtrar o acesso aos servidores localizados na DMZ, enquanto o Firewall 2 tem a função de filtrar o fluxo de dados que entra e sai da rede interna. 1.6.2 Criptografia Criptografar é uma técnica que cifra os dados antes de serem enviados, e esses dados são decifrados no recebimento, "consiste em traduzir os dados para um formato não compreensível" (ALBUQUERQUE, 2001, p. 219). É composto de algoritmos que representam a função de chaves, trancando e abrindo o código criptografado. Albuquerque (2001) categoriza os algoritmos de criptografia como: chave privada (simétricos), chave pública e chave de sessão. Nos algoritmos de chave privada são utilizados uma mesma chave para cifrar e decifrar. Exemplos desse algoritmo são o Data Encryption (DES), o Advanced Encryption Standard (AES) e o Triple-DES. A segurança desse algoritmo está restrito a segurança da chaves, sendo que se a chave for descoberta os dados poderão ser acessados.
25 Os algoritmos de chave pública possuem uma chave para cifrar e outra para decifrar, sendo a primeira de conhecimento público e a última de conhecimento privado. Exemplos desse algoritmo são o Diffie-Hellman e RSA. Esses algoritmos possuem a desvantagem de consumir muito poder computacional. Os algoritmos baseados em chaves de sessão utilizam tanto algoritmos de chaves públicas quanto de chaves privadas, consomem bem menos recursos do que estes, porém mantém a mesma capacidade de segurança. 1.6.3 IPSec O IPSec ou IP Security possibilita a conexão segura em redes TCP/IP e é obrigatório em redes que utilizam o IPv6. Segundo Albuquerque (2001), garante o sigilo, autenticidade e integridade dos dados nos pacotes IP. Stallings (2005) cita que o IPSec oferece três funções principais, sendo a Authentication Header (AH) responsável pela autenticação, a Encapsulating Security Payload (ESP) responsável pela autenticação/criptografia e uma terceira função de troca de chave. O AH possui informações, segundo Stallings (2005), de identificação do próximo cabeçalho, tamanho da assinatura digital, Security Parameters Index (SPI) e assinatura digital. O ESP é utilizado para manter o sigilo dos dados, integridade e autenticidade. De acordo com Stallings (2005), o ESP pode trabalhar no modo de transporte ou túnel, sendo o transporte oferece proteção dos protocolos de camada superior, e o modo túnel protege (criptografa) o pacote IP inteiro. 1.6.4 Virtual Private Network Uma Virtual Private Network (VPN) ou Rede Virtual Privada usa os recursos da internet para interligar diversas redes de uma organização. Basicamente, uma VPN consiste em um conjunto de computadores interconectados por meios de uma rede relativamente insegura e que utiliza a criptografia e protocolos especiais para fornecer segurança. Em cada local corporativo, estações de trabalho, servidores e bancos de dados são conectados por uma ou mais redes locais (LANs) (STALLINGS, 2005, p. 397).
26 A VPN permite a comunicação remota entre os departamentos, utilizando de provedores comerciais, não sendo necessários investimentos em equipamentos de comunicação por parte da empresa. A comunicação é criptografada para garantir a segurança e pode ser necessário o uso de firewalls para reforçar a segurança e controlar o acesso às redes. 1.6.5 Sistema de detecção de intrusão O sistema de detecção de intrusão, ou Intrusion Detections Systems (IDS), segundo Nakamura e Geus (2010), é extremamente importante em um ambiente corporativo. Com ele é possível detectar diversos ataques e com isso tomar as devidas providências antes que o ataque tome maiores consequências. Esse sistema tem o objetivo de detectar atividades suspeitas e serve de complemento para as atividades não protegidas pelo firewall. Segundo Nakamura e Geus (2010), os tipos de detecção realizados pelo IDS dependem do tipo de IDS, metodologia de detecção, posicionamento dos sensores e localização do IDS. As principais características, de acordo com Moraes (2010), são: execução contínua, tolerância a falhas, mínimo de overhead da rede e dificuldade de ser atacado. Segundo Nakamura e Geus (2010), os principais tipos de IDS são: IDS baseado em Host (HIDS), IDS baseado em rede (NIDS) e o IDS híbrido. O HIDS monitora os arquivos de logs, monitora um segmento de tráfego de rede e o híbrido é uma mistura das duas características. 1.6.6 Autenticação e controle de acesso A autenticação visa garantir que a pessoa que tenta acessar determinado sistema é autêntica. A autenticação, segundo Nakamura e Geos (2010), pode ser realizada com base no que o usuário sabe, como senha ou chave criptográfica, com base no que o usuário possui, como cartão ou token, ou com base nas características do usuário, como características biométricas. O Controle de acesso, que se divide em controle de acesso lógico e externo, garante que os recursos e informações sejam acessados de forma correta e por usuários devidamente autorizados a acessá-las e é responsável por: proteger contra modificações não autorizadas, garantir a integridade e disponibilidade das informações e garantir o sigilo das informações. Os principais métodos de controle de acesso lógico são Access Control Lists (ACL), utilizada em firewalls, uso de interface com usuários e labels. O principal método de controle de acesso externo é implementado através de firewalls.
27 1.6.7 Elementos essenciais de segurança da informação Alguns elementos são fundamentais para definir o nível de segurança das organizações. Segundo Stallings (2002), a segurança de computador e de rede trata dos seguintes requisitos: privacidade, integridade, disponibilidade e autenticidade. Para Pinheiro (2005), para cumprir esses objetivos são necessários seguir quatro paradigmas básicos: integridade, confidencialidade, disponibilidade e legalidade. Para verificar o nível de segurança no ambiente estudado, vamos conceituar os elementos integridade, confidencialidade, disponibilidade e auditoria. Segundo Moraes (2012), integridade é garantir que a informação não seja alterada durante a transmissão ou armazenamento sem prévia autorização, ou seja, a informação enviada será idêntica a informação recebida. A confidencialidade, segundo Moraes (2012), é garantir que os recursos e informações não sejam acessados por usuários não autorizados. A disponibilidade garante que os recursos estarão disponíveis sempre que necessário. Auditoria, segundo Moraes (2012), consiste em manter registros (logs) de ações ocorridas na rede, monitorar o tráfego de informações e registrar para uma futura auditoria de verificação de irregularidades. Assim, caso seja necessário uma inspeção futura, os registros estarão disponíveis para a verificação e identificação das possíveis irregularidades que possam ocorrer. 1.7 ABNT NBR ISO/IEC 27002:2005 De acordo com a ABNT (2005), a NBR ISO/IEC 27002 é uma norma técnica elaborada pela Associação Brasileira de Normas Técnicas (ABNT) em 2005, baseada na ISO/IEC 27002 de autoria do Institute of Standardization Organization (ISO) em substituição a NBR ISO/IEC 17799 de 2005. Esta norma apresenta alguns conceitos de segurança da informação, sua necessidade, requisitos, análise de risco, controle e elaboração de diretrizes. Os principais objetivos da NBR 27002 são estabelecer "diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização" (ABNT, 2007, p. 1), servindo como um guia prático para auxiliar o desenvolvimento de procedimentos de segurança da informação dentro de qualquer organização, contribuindo para a confiança nas atividades da organização. É subdividida em
28 11 seções de controle de segurança da informação que serão explicitadas individualmente nos próximos subcapítulos, na ordem em que são apresentados na norma. 1.7.1 Política de segurança da informação A política de segurança é um documento formal, elaborado pelos especialistas em segurança da informação e com o total apoio das lideranças e define as diretrizes quanto ao uso das informações e recursos no ambiente coorporativo. Segundo Moraes (2010), algumas das diretrizes são: riscos ao patrimônio, risco de roubo e fraude, acesso aos sistemas, utilização dos meios de comunicação, redundância e falhas e garantia e integridade. A política de segurança estabelece claramente o que deve ser protegido, atribuir responsabilidades para o cumprimento das normas e serve como principal referência para o gerenciamento da segurança da informação. A política de segurança deve ser constantemente atualizada e adaptada a cultura da organização, escrita de forma clara e disponível para todos os colaboradores. Nakamura e Geus (2007) conceituam que a política de segurança deve ser composta de alguns elementos essenciais, dentre eles: vigilância, atitude, estratégia e tecnologia, além de definir política para senhas, firewall e acesso remoto. 1.7.2 Organizando a segurança da informação Este tópico orienta como gerir a segurança da informação dentro de uma organização e, segundo ABNT (2005), sugere alguns pontos importantes como: a) a instauração de uma estrutura de gerenciamento para controlar as implementações de segurança da informação; b) o envolvimento da direção da empresa, aprovando as políticas, atribuindo funções, fornecendo recursos, coordenando e analisando as implementações da segurança da informação; c) a contratação, quando necessário, de consultoria externa especializada em segurança da informação para manter atualizada as estruturas de acordo com as tendências do mercado e fornecer apoio na ocorrência de incidentes de segurança da informação; d) a coordenação da segurança da informação por representantes de diversas áreas da organização nos diversos níveis hierárquicos;
29 e) definição de todas as responsabilidades pela segurança da informação e autorização para os novos recursos de processamento de informação; f) identificação de riscos com as partes externas, clientes e terceiros. No geral este item verifica como estão sendo organizadas, controladas e coordenadas as práticas de segurança da informação e se a diretoria está realmente envolvida em todos esses processos. 1.7.3 Gestão de ativos Segundo ABNT (2005), esta seção sugere que os ativos de informação da empresa recebam proteção adequada, podendo ser feita classificação, registro e controle desses ativos. Todos esses ativos devem ser inventariados e possuir um responsável por garantir a proteção, guarda e manutenção desse bem. 1.7.4 Segurança em recursos humanos O principal objetivo deste tópico é "assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos" (ABNT, 2005, p. 24), ou seja, garantir a ciência e responsabilidade de forma registrada, desde a contratação até a demissão, que funcionários e terceiros têm da importância do uso correto e seguro dos sistemas de informação. 1.7.5 Segurança física e do ambiente Os conceitos dessa seção têm o objetivo de prevenir o acesso não autorizado e danos as instalações e informações da organização. Segundo a ABNT (2005), as instalações onde são processadas e armazenadas as informações devem ser mantidas em áreas seguras com controle de acesso apropriado e seguras de ameaças inerentes do meio ambiente, desastres naturais e incêndios. Também orienta quanto ao envio de equipamentos para manutenção em ambientes externos.
30 1.7.6 Gerenciamento das operações e comunicação Segundo a ABNT (2005), esta seção visa garantir a operação segura e correta dos recursos de processamento da informação, documentando e definindo os procedimentos e responsabilidades pela gestão e operação destes recursos. Visa manter segurança da informação e entrega de serviços em casos de serviços com terceiros, monitorando e acompanhando mudanças. Uma parte muito importante abordada nessa seção são orientações para minimizar o risco de falhas dos sistemas, implementações de controles contra códigos maliciosos, efetuar cópias de seguranças, segurança em redes, manuseio e descarte de mídias, orientações para troca de informações, uso de correio eletrônico, comércio eletrônico, monitoramento e auditoria. 1.7.7 Controle de acessos Esse tópico visa orientar na elaboração de políticas, requisitos, gerenciamento, privilégios, senhas e direitos para controle de acesso dos usuários aos sistemas de informação, rede, sistemas operacionais, aplicações e sistemas remotos, garantindo que os usuários tenham o direito de acesso aos sistemas, recursos e informações necessários a realização de suas atividades, bem como garantir que não ocorra acesso indevido as informações críticas e restritas por pessoas não autorizadas. 1.7.8 Aquisição, desenvolvimento e manutenção de sistemas de informação Esse tópico fornece uma visão de como a segurança deve ser implantada em todos os ambientes que envolvem os sistemas de informação. Especificam os requisitos de segurança, processamento correto nas aplicações para prevenir erros, perdas e mau uso, estabelece políticas para controles criptográficos e gerenciamento de chaves, garante a segurança nos arquivos de sistemas e código fonte de programas, orienta o gerenciamento de modificações e vazamento de informações. Enfatiza quanto à supervisão e acompanhamento de desenvolvimento de software por terceiros garantindo a qualidade e exatidão do serviço realizado bem como a funcionalidade da segurança do código, aplicando testes antes da instalação dos sistemas para garantir a ausência de código malicioso.
31 1.7.9 Gestão de incidentes de segurança da informação Essa seção trata de como agir em caso de ocorrência de incidentes de segurança da informação, formalizando os meios de notificação de incidentes bem como gerir essas ocorrências, para que as providências sejam tomadas de forma mais breve possível e que as evidências sejam preservadas para uma futura investigação do evento ocorrido. A ABNT (2007) cita alguns exemplos de incidentes de segurança da informação, como: a) perda de serviço, equipamento ou recurso; b) mau funcionamento ou sobrecarga do sistema; c) erros humanos; d) não conformidade com políticas ou diretrizes; e) mudanças descontroladas de sistemas; f) mau funcionamento de software ou hardware; g) violação de acesso. Um procedimento importante sugerido nessa seção é a padronização de um formulário, para orientar e facilitar a comunicação desses incidentes pelos usuários aos responsáveis pela gestão da segurança da informação. 1.7.10 Gestão da continuidade do negócio Essa seção, segundo a ABNT (2005), expõe os aspectos da gestão da continuidade do negócio relativos à segurança da informação, com o objetivo de evitar a interrupção das atividades do negócio, proteger os processos críticos contra falhas e assegurar o seu reestabelecimento em tempo hábil. Para uma boa gestão de continuidade do negócio é necessário identificar os riscos, efetuar testes e manutenções e criar planos para gerir as potenciais pausas nas atividades essenciais do negócio que envolva os sistemas de informação. 1.7.11 Conformidade O objetivo desta seção é evitar violações de quaisquer obrigações legais visando garantir que o projeto, a operação, o uso e a gestão de sistemas de informação estejam em conformidade com os requisitos contratuais e leis regulamentadoras (ABNT, 2005). É recomendada a identificação da legislação aplicável, dos direitos de propriedade intelectual, a proteção de
32 registros organizacionais e garantir a privacidade de informações pessoais. Convém garantir a conformidade com as políticas e normas da segurança da informação, efetuando controle de auditoria para verificar se as implementações estão de acordo com as normas técnicas.
33 CAPÍTULO 2 MATERIAIS E MÉTODOS 2.1 Descrições do ambiente de pesquisa O ambiente escolhido para ilustrar a implementação de segurança em redes de computadores foi Distrito de Serviços do Gorutuba (DTGA), que é uma unidade administrativa da Companhia de Saneamento de Minas Gerais (COPASA) no município de Janaúba. A utilização dos recursos computacionais da empresa é regida por uma norma de procedimentos, denominada NP 2011-005/0, que aborda as políticas de segurança da informação. Essa norma está disponível a todos os funcionários através da intranet, juntamente com as demais normas de procedimentos da empresa. Foi desenvolvida em 2011 com o pleno apoio da administração da empresa e define as competências das unidades responsáveis pela gestão da estrutura de rede e das demais unidades da COPASA que a utilizam, a criação de uma Comissão de Segurança da Informação e critérios gerais para utilização dos recursos de informática, segurança da informação e controle de acesso e tratamento de informações do ambiente web. A rede de computadores do DTGA é composta dos equipamentos descritos na relação abaixo, e são organizados conforme a Fig. 8: 40 (quarenta) Computadores com sistemas operacionais Windows XP ou Windows 7; 01 (um) Servidor de arquivos Itautec com processador Intel Inside Xeon; 01 (um) Roteador Cisco modelo CDA 2501; 01 (um) Switch 3Com 28 portas; 01 (um) Modem HDSL New Bridge modelo MainStreet 2821; 01 (um) Switch 3Com 26 portas modelo SuperStack 3 3C17300A 4020; 01 (um) Switch 3Com 28 portas modelo SuperStack 3C17301 4228G.
34 FIGURA 8 - Arquitetura da rede de computadores do DTGA Fonte: Autoria própria Como mostrado na Fig. 8, são apresentados na Fig. 9 a imagem do servidor de arquivos local e o nobreak e na Fig. 10 são apresentados os equipamentos da rede do DTGA. FIGURA 9 - Servidor de arquivos local do DTGA e nobreak Fonte: Autoria própria
35 FIGURA 10 – Equipamentos de rede (modem, roteador, switch e patch panel) Fonte: Autoria própria Os usuários da empresa utilizam a rede para compartilhar arquivos e impressores, acesso à intranet, utilização de software de gestão, acesso à internet (somente alguns computadores possuem acesso à internet) e webmail. O software sistema de gestão (ERP SAP) é instalado em todas as máquinas na forma de terminal cliente, sendo todo o processamento feito em um servidor central na matriz, em Belo Horizonte. Porém não entraremos em detalhes para não fugir do campo de abrangência desta pesquisa. Para acesso às máquinas, segundo a Companhia de Saneamento de Minas Gerais (COPASA, 2011), conforme é descrito na NP 2011-005/0, os usuários necessitam de autenticação na forma de login e senha. Os usuários não possuem permissão para alterar configurações nem instalar softwares nas máquinas, demandas desse tipo são feitas pelos administradores de rede das unidades de gestão. As cópias de segurança (backup) do servidor de arquivos são feitas remotamente para os servidores em Belo Horizonte e possuem frequência de operação diária. Todas as máquinas possuem antivírus MacAfee instalado e, com os sistemas e softwares com programação de atualização automática. A empresa mantém um serviço de Help Desk, composta de uma equipe treinada e capacitada para solucionar a maioria dos problemas que os usuários possam ter com o ambiente de informática, sendo a maior parte dos problemas solucionados por acesso remoto em tempo hábil. Essa estratégia visa reduzir o período de ociosidade que os equipamentos e usuários possam ter com a falha de algum serviço ou equipamento.
36 Não há acesso por meio de tecnologia sem fio a rede do DTGA. 2.2 Metodologias da pesquisa A natureza da pesquisa é definida como qualitativa, por ter característica observacional e compreender os acontecimentos que envolvem a pesquisa. A finalidade da pesquisa é caracterizada como básica, por estar ligada ao incremento do conhecimento cientifico, sem quaisquer objetivos comerciais. O tipo de pesquisa possui natureza descritiva, por ter como objetivo descrever como são implementadas as soluções de segurança de rede e enquadramento quanto a normas técnicas no ambiente pesquisado. A estratégia de pesquisa em relação ao local de coleta de dados se caracteriza como pesquisa de laboratório, onde os dados serão coletados e monitorados a fim de observar seu comportamento em um ambiente controlado. Quanto à fonte de informação, teremos as duas características: em campo, por necessitar consultar alguns especialistas da área, analistas de Tecnologia da Informação (TI) da COPASA, bem como professores que possuem conhecimento sobre o assunto e bibliográfica por ser necessária a consulta de livros, revistas, periódicos, normas técnicas, normas de procedimentos internos da empresa e internet para obter mais informações sobre o tema. Como o ambiente analisado não permite um envolvimento mais profundo, como inserir máquinas particulares nem instalar softwares nas máquinas da rede, devido a restrições das políticas de segurança da empresa, será necessário a aplicação de formulários e realizar entrevistas com os Analistas de TI da COPASA a fim de conhecer, familiarizar, descrever e simular o ambiente operacional de rede da empresa pesquisada para se chegar o mais próximo possível da realidade implementada. Com as informações levantadas, será possível verificar o nível de segurança implantado no ambiente de pesquisa de acordo as normas técnicas e sugerir melhorias para adequação a tais normas. 2.3 Aplicação de formulário para levantamento de informações Para descobrir mais sobre as implementações de segurança da informação no ambiente de rede do DTGA, foi aplicado um formulário, anexo a essa pesquisa como apêndice. Esse formulário foi uma adaptação do formulário aplicado pelo Rosemann (2002) na sua
37 monografia intitulada "Software para avaliação da segurança da informação de uma empresa conforme a norma NBR ISO/IEC 17799" na qual cria um modelo de software na qual é possível avaliar e quantificar a análise de segurança da informação segundo a norma citada. O formulário aplicado é composto de 75 questões, divididas em 11 seções conforme a norma NBR ISO/IEC 27002, e suas respostas são expostas na forma dicotômica, podendo ser respondidas em SIM, caso o questionamento se aplica na empresa, ou NÃO caso contrário. Para obtenção dos resultados serão analisadas as respostas geradas em cada seção em um todo com o objetivo de verificar a conformidade do ambiente analisado com a norma NBR ISO/IEC 27002. 2.4 Análise dos elementos essenciais de segurança da informação No DTGA, foi observado, que para garantir a integridade das informações, é utilizado o método de controle de segurança que, segundo Moraes (2012), é conhecido como Need to Know, em que concede aos usuários permissão de acesso somente aos recursos que são necessários para utilização dos trabalhos, visando garantir a integridade das informações. Somente algumas máquinas possuem acesso liberado à internet, sendo que alguns sites que não tem finalidade compatível com as atividades da empresa são bloqueados pelo servidor proxy. Para garantir a confidencialidade, são utilizados para acessar a rede, a identificação do usuário que, conforme citado anteriormente, é composta de login e senha. O login corresponde a matrícula de registro do funcionário composta de cinco números. A senha deve possuir pelo menos oito caracteres e ser composta de números, letras e caracteres especiais (pelo menos um caractere de cada tipo), sendo expirada automaticamente após 3 meses, devendo ser redefinida após essa prazo. Também são utilizados softwares antivírus em cada máquina, com atualizações constantes, para evitar o furto de informações confidenciais para entidades externas ao sistema. A arquitetura da rede também foi projetada visando dar mais segurança contra invasão, sendo a comunicação com o ambiente externo filtrada por firewalls e há a filtragem de pacotes de rede pelo servidor proxy nas comunicações com a internet. A principal causa de falta de disponibilidades da rede identificada é a falta de energia elétrica, que ocorre muito raramente e por tempo considerado curto, e que não sobrecarrega as atividades da empresa, sendo, portanto, não necessário o investimento em equipamentos que minimizem a situação, como geradores de energia. São utilizados equipamentos NoBreaks
38 para garantir que os servidores serão encerrados corretamente ou aguardar o restabelecimento da energia elétrica. A rotina de backups realizada no servidor de arquivos também contribui para a disponibilidade das informações, sendo restaurados os dados imediatamente sempre que há alguma falha no servidor de arquivos. A equipe de Help Desk também é uma importante estratégia utilizada para restabelecer os recursos em caso de falhas. Na Copasa, os logs de todas as unidades são armazenados na Matriz da empresa pelo servidor de proxy, mas somente são analisados sob demanda ou denúncia de uso inadequado pelos usuários, são sendo gerados alertas de tentativas de burlar as restrições.
39 CAPÍTULO 3 RESULTADOS Para ilustrar os resultados obtidos, foram gerados gráficos com a porcentagem de questões em que foram respondidas afirmativamente e negativamente, em relação ao total de questões aplicadas relativas a cada seção do formulário aplicado. P 120 o 100 100 100 100 100 r 100 92 c 86 83 e 80 80 75 n 67 t a 60 g e 40 33 m 25 20 20 14 17 Sim 8 0 0 0 0 0 Não 0 GRÁFICO 3 - Resultados obtidos por seção da norma Fonte: Autoria própria No Graf. 3 foram mostrados os resultados obtidos individualmente em todas as seções abordadas no formulário aplicado. O objetivo de se mostrar resultados divididos em seções é facilitar a identificação das deficiências encontradas nessa análise. Os resultados foram obtidos de acordo com as respostas do responsável pela segurança da informação na empresa, na Divisão de Telecomunicações (DVTL), foi aplicado somente a este por entender todos os processos que envolvem segurança da informação, e pelo formulário conter alguns conteúdos técnicos que o usuário comum não teria condições de responder com clareza e objetividade.
40 Para ilustrar o resultado de uma forma geral, foi gerado o Graf. 4 mostrado logo abaixo, na qual são utilizados como parâmetros os resultados obtidos em todas as seções no Graf. 3 e retirada uma média aritmética. Resultado Geral 18% Sim Não 82% GRÁFICO 4 - Resultado geral da análise do formulário Fonte: Autoria própria O Graf. 4 ilustra a obtenção de 82% de conformidade com a norma NBR ISO/IEC 27002 e 18% de não conformidade.
41 CAPÍTULO 4 ANÁLISE E DISCURSÃO DOS RESULTADOS Com a análise dos gráficos, verifica-se na Seção 1 - Política de segurança da informação, a obtenção de 100% de adequação do ambiente analisado em relação à norma. Como justificativa para o resultado obtido, verificou-se que a empresa possui um documento aprovado pela direção, em que são descritas as políticas de segurança da informação. Esse documento serve de guia para definir os responsáveis pela implantação da segurança da informação nos diversos setores da empresa, bem como as instruções que deverão ser seguidas pelos usuários para obterem acesso à rede de computadores e como utiliza-la da forma segura. Existe uma comissão interna, denominada Comissão de Segurança da Informação, responsável por analisar e aprovar as propostas de revisão das políticas de segurança, com o objetivo de adequá-la aos interesses da empresa com as boas práticas do mercado. Essa comissão é composta pelos gerentes de todas as áreas responsáveis pela segurança da informação, juntamente com o gerente do setor de auditoria e se reúnem semestralmente ou extraordinariamente quando necessário. Na Seção 2 - Organizando a segurança da informação, obteve-se cerca de 86% de adequação à norma, sendo justificado, também, pela existência da Comissão de Segurança da Informação que coordena as implementações de controles de segurança da informação e analisa criticamente as políticas de segurança da informação. Os riscos de segurança com prestadores de serviço são identificados e controlados e são definidos no contrato os requisitos de segurança da informação, sendo definido pelo controle de acesso, apenas, as funcionalidades necessárias para a realização de serviços terceiros. Um fato negativo encontrado nessa seção é o fato de a empresa nunca obter uma consultoria especializada em segurança da informação, talvez pelo fato de não se ter registros de ataque ou incidentes de segurança informação no ambiente de rede da empresa. Na Seção 3 – Gestão de ativos foi obtida 100% de conformidade com a norma, sendo justificado pelo fato de a empresa manter um rígido controle patrimonial, inclusive com os ativos importantes de segurança da informação, no qual é feito um inventário com os bens sob responsabilidade de cada funcionário. Esse controle garante que nenhum bem patrimonial da empresa seja transferido de local ou responsável sem que seja preenchido um formulário específico de transferência de bens, definindo a origem e o destino desse bem. Semestralmente são feitas pela unidade responsável pelo controle de bens patrimoniais as conferências dos inventários de cada funcionário, garantindo a integridade de cada bem patrimonial da empresa.
42 Na Seção 4 – Segurança em pessoas foi encontrado um baixo nível de conformidade, sendo obtido somente 25% de adequação. Esse resultado se justifica pela falta de investimento da empresa no treinamento e conscientização dos funcionários em como seguir as diretrizes de segurança e formalizar meios para que os mesmos possam notificar as ocorrências de incidentes de segurança. Em contrapartida, existe um canal de comunicação denominado Help Desk, no qual os funcionários podem reportar incidentes de segurança à direção da empresa. Existem também normas disciplinares com o objetivo de dissuadir os funcionários que desrespeitem as normas impostas nas políticas de segurança. Na Seção 5 – Segurança física e do ambiente, o resultado obtido foi de 80% de conformidade com a norma, sendo os fatores importantes para a obtenção desse resultado a implementação de medidas de segurança para acesso as instalações da empresa, como entrada registrada por cartão magnético, funcionários recepcionistas. São utilizados equipamentos Nobreaks para evitar que possíveis quedas de energia elétrica danifiquem os equipamentos ou corrompam arquivos em processamento. Destaca-se que as manutenções dos equipamentos de informática são feitos somente por pessoal autorizado, a solicitação de manutenção dos equipamentos são registrados por meio do canal Help Desk e em caso de impossibilidade de a manutenção dos equipamentos serem feitas na própria unidade, os equipamentos danificados são enviados para a matriz para as devidas providências, transportada somente por funcionários da empresa, sem contato com terceiros, sendo vetada a remoção de equipamentos sem adequada autorização. Existem métodos de bloqueio automático de tela assim que os computadores ficam ociosos por mais de 10 minutos, visando evitar que pessoas não autorizadas tenham acesso à rede de computadores. Conforme comentado na discussão dos resultados da Seção 3, são feitas inspeções regulares para controle patrimonial e os funcionários então cientes que o controle está sendo acompanhado. Os fatores que impactaram negativamente no resultado na Seção 5 foi a falta de instalação adequada dos equipamentos de processamento da rede, como servidores e roteadores, a ausência de trancas para acesso a esses equipamentos e a exposição dos cabeamentos de rede. Na Seção 6 – Gerenciamento das operações e comunicação, os questionamentos foram respondidos na sua totalidade de forma afirmativa, sendo destacado o empenho da empresa em garantir a disponibilidade dos dados, como rotinas de backup bem definidas e documentadas, controle dos softwares instalados nas máquinas, uso de softwares licenciados e antivírus nas máquinas, verificação do tráfego de dados com a rede externa por meio de antivírus de gateway, utilização de VPN na comunição entre a rede do DTGA e o backbone da empresa. As rotinas de backup são realizadas remotamente e são armazenadas em local
43 seguro na matriz. Os funcionários são orientados a utilizarem o correio eletrônico somente para atividades relacionadas com o negócio da empresa. Na Seção 7 – Controle de acesso, obteve-se o resultado de quase 92%, destacando-se a eficiência nos procedimentos adotados para o controle de acesso a rede. As regras para o controle de acesso estão documentadas na política de segurança e a concessão de privilégios de acesso somente são concedidos após análise das necessidades dos usuários. Recentemente, foi disponibilizado um guia para orientar os usuários na escolha de senhas e foram definidos novos procedimentos para composição de senha como tamanho mínimo de oito caracteres, obrigatoriamente composta de pelo menos um numeral, letra e caractere especial e deverá ser alterada após um período de três meses, sendo vetada a reutilização das últimas três senhas. O login de identificação é individual e representa a matrícula de cada funcionário. O horário das máquinas é sincronizado pela rede e os usuários comuns não possuem autorização de acesso a alteração dessa propriedade. Na Seção 8 – Desenvolvimento e manutenção de sistemas foram aplicados somente duas questões, devido a não identificação desta seção com as atividades desenvolvidas pela empresa. Apesar disso, obteve-se 100% de adequação devido a utilização de softwares antivírus nas máquinas, antivírus de gateway na interface de comunicação com a rede externa e atualização constantes dos softwares e sistemas visando garantir a não ocorrência de falhas e introdução de Cavalos de Troia. Na Seção 9 – Gestão de incidentes de segurança da informação o resultado obtido foi de 33%, sendo novamente os fatores determinantes desse resultado a falta de comunicação da empresa com os usuários da rede quando o assunto é segurança da informação. Apesar da preocupação de se notificar a direção da empresa em caso de ocorrência de incidentes de segurança da informação, não existe o alerta para que os funcionários notifiquem eventos de segurança da informação nem algum formulário que apoie estes em caso de incidentes. Na Seção 10 – Gestão da continuidade do negócio obteve-se o resultado de 100% pelo fato de a empresa identificar as possíveis causas de interrupções nos sistemas que influem diretamente no negócio e tomar medidas que garantem a continuidade do negócio como uso de instalação de extintores de incêndio, utilização de equipamentos no-breaks e rotinas de backup. Na Seção 11 – Conformidade obteve-se 83% de conformidade com a norma. Foi identificada que a empresa possui políticas que asseguram a aquisição e instalação de software com licença de utilização, sendo sempre respeitada as leis de direitos autorais e patentes, e vetada a cópia por pessoal não autorizado. São sempre armazenadas em arquivo físico os registros
44 importantes da empresa, é vetado o uso de recursos de processamento para finalidade que não seja compatível com a natureza das atividades da empresa, bem como usos particulares e as máquinas possuem mensagens na tela de logon, informando que é um sistema restrito somente aos usuários com acesso a rede. O fator negativo identificado nessa seção foi a falta de procedimentos de auditoria visando minimizar o risco de interrupção dos processos do negócio. No geral, foi obtido o resultado de 82% de adequação com as práticas abordadas na norma NBR ISO/IEC 27002/2005, sendo considerado um ótimo resultado, onde observou-se que a empresa mantém boas implementações físicas e lógicas no âmbito da segurança da informação, mas peca em treinar, instruir e conscientizar os funcionários para o uso correto da infraestrutura da empresa, bem como não possui meios facilitados para que os funcionários possam notificar incidentes de segurança nem facilita o acesso a política de segurança da informação.
45 CONSIDERAÇÕES FINAIS A segurança da informação é um dos principais fatores para o bom funcionamento de sistemas informatizados e a sua boa gestão traz excelentes resultados para a continuidade dos negócios de qualquer organização, trazendo confiança nos serviços oferecidos e reduzindo perdas com a indisponibilidade de recursos e roubos de informações, sendo esses os itens principais que garantam a importância dessa pesquisa e o que a torna totalmente aplicável em qualquer organização que utilize sistemas informatizados na execução das suas atividades. Analisando os resultados obtidos, avalia-se a estrutura de redes do ambiente analisado como um ambiente seguro, com pouca visada de ataques, poucos incidentes de contaminação por vírus, sem registros de ataques externos e raríssimos registros de indisponibilidade dos recursos. São identificados poucos incidentes de indisponibilidade da rede, sendo os meios utilizados para controlar e restabelecer a comunicação considerada eficiente para este tipo de ambiente e atividades desenvolvidas. O resultado obtido de 82% de conformidade com a norma verifica as boas implementações da empresa com as práticas sugeridas, contribuindo assim para um ambiente informatizado mais seguro, tendo se em vista que o ambiente analisado tem poucos registros de tentativas de ataques, poucos incidentes de contaminação por vírus, sem registros de ataques externos, raríssimos registros de indisponibilidade dos recursos, apesar de não existir no mundo um ambiente informatizado 100% seguro e imune a ataques. Serão sugeridas melhorias nos itens identificados, principalmente em segurança em pessoas e gestão de incidentes de segurança da informação por apresentarem baixos índices de conformidade e com resultados abaixo da média em relação aos demais, mesmo assim considerado de igual importância pela norma ISO/IEC 27002. A segurança em pessoas é fundamental para toda a gestão de segurança da informação, pois são pessoas que utilizam os sistemas informatizados e os principais incidentes são ocasionados pela falta de orientação ou mau uso por parte dos usuários. Os objetivos da pesquisa foram atingidos já que se conseguiu identificar os principais métodos sugeridos pela norma, com resultados satisfatórios, e foram apontados itens para melhoria das práticas visando o aumento e controle da segurança da informação. Como pesquisas futuras, podem ser feitos estudos para propor melhorias no desempenho da comunicação da rede de computadores do DTGA e outras unidades semelhantes, bem como aplicar uma pesquisa investigativa, como forense computacional, visando identificar possíveis
46 incidentes de segurança da informação que venham a acontecer, e estudar meios de como trata-los e, se possível, evitar futuros incidentes.
47 REFERÊNCIAS ALBUQUERQUE, Fernando. TCP/IP Internet: Protocolos & Tecnologia. Rio de Janeiro: Alta Books, 2001. 3. ed. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. 120 p. COMPANHIA DE SANEAMENTO DE MINAS GERAIS. NP 2011-005/0: Utilização de recursos computacionais, segurança e tratamento de informações. Belo Horizonte, 2011. 16 p. MELO, Sandro. Computação Forense com software livre: conceitos, técnicas, ferramentas e estudos de casos. Rio de Janeiro: Alta Books, 2009. MORAES, Alexandre Fernandes de. Segurança em redes: Fundamentos. São Paulo: Editora Érica, 2010. NAKAMURA, Emilio Tissato; GEUS, Paulo Lício de. Segurança de redes em ambientes cooperativos. São Paulo: Novatec, 2007. PFAFFENBBERGER, Bryan. Estratégias de extranet. São Paulo: Berkeley Brasil, 1998. PINHEIRO, José Maurício Santos. Programas de Segurança para Redes Corporativas. Disponível em: http://www.projetoderedes.com.br/artigos/artigo_programas_de_seguranca_para_redes_corpo rativas.php. Acesso em: 19 abr. 2012. ROSEMANN, Douglas. SOFTWARE PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO DE UMA EMPRESA CONFORME A NORMA NBR ISO/IEC 17799. 2002. 102 f. Monografia (Graduação em Ciências da Computação) – Centro de Ciências Exata e Naturais, Universidade Regional de Blumenau, Blumenau, 2002. STALLINGS, Willian. Redes e sistemas de comunicação de dados. 5 ed. Rio de Janeiro: Elsevier, 2005. TANENBAUM, Andrew S. Redes de Computadores. 4 ed. Rio de Janeiro: Editora Campus, 2003.
48 TORRES, Gabriel. Redes de Computadores: Curso Completo. Rio de Janeiro: Editora Axcel Books do Brasil, 2001. VALLE, James Della, ULBRICH, Henrique César. Universidade Hacker: Desvende todos os segredos do submundo dos hackers. 6 ed. São Paulo: Digerati Books, 2009.
49 APÊNDICE A – FORMULÁRIO DE VERIFICAÇÃO DE ADEQUAÇÃO A NBR ISO/IEC 27002:2005 Questão de auditoria S N 1 Política de segurança da informação 1.1 Se existe alguma política de segurança da informação, que seja aprovado pela direção, publicado e comunicado, de forma adequada, para todos os funcionários. 1.2 Se esta expressa as preocupações da direção e estabelece as linhas-mestras para a gestão da segurança da informação. 1.3 Se a política de segurança tem um gestor que seja responsável por sua manutenção e análise crítica, de acordo com um processo de análise crítica definido. 1.4 Se o processo garante que a análise crítica ocorra como decorrência de qualquer mudança que venha afetar a avaliação de risco original. Exemplo: Incidentes de segurança significativos, novas vulnerabilidades ou mudanças organizacionais ou na infra-estrutura técnica. 2 Organizando a segurança da informação 2.1 Se existe um fórum multifuncional com representantes da direção de áreas relevantes da organização para coordenar a implementação de controles de segurança da informação. 2.2 Se as responsabilidades pela proteção de cada ativo e pelo cumprimento de processos de segurança específicos sejam claramente definidos. 2.3 Se foi implantado um processo de gestão de autorização para novos recursos de processamento da informação. Isto deve incluir todos os novos recursos, como hardware e software. 2.4 Se uma consultoria especializada em segurança da informação é obtida quando apropriado. Um indivíduo específico deve ser identificado para coordenar conhecimentos e experiências dentro da organização para assegurar consistência, e prover ajuda na decisão de segurança. 2.5 Se a implementação da política de segurança é analisada criticamente, de forma independente. Isto é para fornecer garantia de que as práticas da organização refletem apropriadamente a política, e que esta é adequada e eficiente. 2.6 Se os riscos de segurança com prestadores de serviço trabalhando no ambiente da empresa foram identificados e controles apropriados são identificados. 2.7 Se os requisitos de segurança são definidos no contrato com prestadores de serviços, quando a organização tiver terceirizado o gerenciamento e controle de todos ou alguns dos sistemas de informação, redes e/ ou estações de trabalho. 3 Gestão de ativos 3.1 Se um inventário ou registro é mantido com os ativos importantes relacionados com cada sistema de informação. 3.2 Se cada ativo identificado possui um gestor, se foi definido e acordado na classificação de segurança, e se sua localização foi definida.
50 4 Segurança em pessoas 4.1 Se regras e responsabilidades de segurança são documentadas onde for apropriado, de acordo com a política de segurança da informação da organização. 4.2 Se os funcionários são questionados a assinarem acordos de confidencialidade ou não divulgação como parte dos termos e condições iniciais de contratação. 4.3 Se os termos e condições de trabalho determinam as responsabilidades dos funcionários pela segurança da informação. Quando apropriado, estas responsabilidades devem continuar por um período de tempo definido, após o término do contrato de trabalho. 4.4 Se todos os funcionários da organização e, onde for relevante, prestadores de serviços recebem treinamento apropriado e atualizações regulares sobre as políticas e procedimentos organizacionais. 4.5 Se existe um procedimento ou diretriz formal para reportar incidentes de segurança através dos canais apropriados da direção, o mais rapidamente possível. 4.6 Se existe um procedimento ou diretriz formal para que os usuários sejam instruídos a registrar e notificar quaisquer fragilidades ou ameaças, ocorridas ou suspeitas, na segurança de sistemas ou serviços. 4.7 Se foram estabelecidos procedimentos para notificar qualquer mau funcionamento de software. 4.8 Se existe um processo disciplinar formal para os funcionários que tenham violado as políticas e procedimentos de segurança organizacional. Tal processo pode dissuadir funcionários que, de outra forma, seriam inclinados a desrespeitar os procedimentos de segurança. 5 Segurança física e do ambiente 5.1 Se barreiras físicas, como recursos de segurança, foram implementadas para proteger o serviço de processamento da informação. Alguns exemplos de tais recursos de segurança são o controle por cartão do portão de entrada, muros, presença de um funcionário na recepção, etc. 5.2 Se existem controles de entrada para permitir somente a entrada do pessoal autorizado dentro de várias áreas da organização. 5.3 Se as salas, que possuem o serviço de processamento de informação ou contêm armários fechados ou cofres, são trancadas. 5.4 Se o equipamento foi instalado em local apropriado para minimizar acesso não autorizado à área de trabalho. 5.5 Se o equipamento é protegido contra falhas de energia e outras anomalias na alimentação elétrica., utilizando fornecimento de energia permanente como alimentação múltipla, no-break, gerador de reserva, etc. 5.6 Se o cabeamento elétrico e de telecomunicações que transmite dados ou suporta os serviços de informação é protegido contra interceptação ou dano. 5.7 Se a manutenção é realizada apenas pelo pessoal autorizado. 5.8 Se são mantidos registros com todas as falhas suspeitas ou ocorridas e de toda a manutenção corretiva e preventiva.
51 5.9 Se os controles apropriados são utilizados quando do envio de equipamentos para manutenção fora da instalação física. 5.10 Se um equipamento é autorizado pela direção quando necessitar ser utilizado fora das instalações da organização. 5.11 Se um serviço de bloqueio automático de tela de computador está ativo. Isso irá travar o computador sempre que for 5.12 deixado ocioso por um determinadodeixar qualquer material Se os empregados são avisados para tempo. confidencial de forma segura e trancada. 5.13 Se é vetada a remoção de equipamentos, informações ou software sem adequada autorização. 5.14 Se inspeções regulares são realizadas para detectar remoção de propriedade não autorizada. 5.15 Se as pessoas estão cientes que estas inspeções regulares estão realizadas. 6 Gerenciamento das operações e comunicações 6.1 Se uma política de segurança identifica qualquer procedimento operacional como backup, manutenção de equipamentos, etc. 6.2 Se estes procedimentos estão documentados e são utilizados. 6.3 Se todos os programas executados no sistema de produção são submetidos ao controle estrito de mudanças. Qualquer mudança nesses programas de produção deve ser autorizada pelo controle de mudanças. 6.4 Se existe algum controle contra o uso de software malicioso. 6.5 Se a política de segurança define características de licenciamento de software como proibição do uso de software não autorizado. 6.6 Se um software antivírus está instalado nos computadores para verificar e isolar ou remover qualquer vírus do computador ou mídia. 6.7 Se a assinatura deste software está atualizada em uma base regular para verificar por últimas versões de vírus. 6.8 Se todo o tráfego originado de uma rede insegura para a organização é verificado por vírus. Exemplo: Verificar vírus no e-mail, anexos de e-mail , web, tráfego FTP. 6.9 Se cópias de segurança de informações essenciais aos negócios como servidor de produção, componentes críticos de rede, configuração, etc, são realizadas regularmente. Exemplo: Segunda-Quinta: Cópia incremental. Sexta: Cópia completa. 6.10 Se a mídia que contém a cópia de segurança e o procedimento para restaurar tal cópia são armazenados seguramente e bem longe do local onde foram realizadas. 6.11 Se existe algum controle especial para assegurar confidencialidade e integridade do processamento de dados em uma rede pública e para proteger sistemas conectados. Exemplo: Redes privadas virtuais (VPN), outros mecanismos de encriptação e hashing, etc. 6.12 Se a documentação do sistema é protegida contra acesso não autorizado. 6.13 Se a lista de acesso para a documentação do sistema é mantida mínima e autorizada pelo dono da aplicação. Exemplo: Documentação do sistema necessita ser mantida em um drive compartilhado para fins específicos. A documentação necessita ter listas de controle de acessos ativa (para ser acessada somente por usuários limitados).
52 6.14 Se existe uma política ativa para o uso de correio eletrônico ou política de segurança que define características em relação ao uso do correio eletrônico. 6.15 Se controles como verificação de antivírus, isolação de anexos potencialmente inseguros, controle de spam, anti relaying, etc, estão ativos para reduzir os riscos criados pelo correio eletrônico. 7 Controle de acesso 7.1 Se os requisitos do negócio para controle de acesso foram definidos e documentados. 7.2 Se a política de controle de acesso define as regras e direitos para cada usuário ou um grupo de usuários. 7.3 Se a concessão e o uso de quaisquer privilégios de um sistema de informação multiusuário é restrito e controlado, por exemplo, se privilégios são concedidos pela necessidade do usuário, e somente depois de um processo de autorização formal. 7.4 Se os usuários são solicitados a assinar uma declaração a fim de manter a confidencialidade de sua senha pessoal. A concessão e alteração de senhas devem ser controladas por um processo de gerenciamento formal. 7.5 Se existe alguma diretriz para guiar usuários na escolha e manutenção segura de senhas. 7.6 Se o acesso ao sistema de informação é realizado através de um processo seguro de entrada (login) no sistema. 7.7 Convém os usuários (incluindode pessoal de suporte técnico, Se todos que o procedimento o entrada no sistema de computador seja projetado para minimizar a oportunidade de como operadores, administradores de redes, programadores acessos não autorizados. de sistema e administradores de rede) tenham um identificador único. 7.8 As o método de autenticação utilizado somente seridentidade Se contas genéricas de usuário devem confirma a fornecidas sobre circunstâncias excepcionais no qual há um benefício de alegada pelo usuário. Método comumente utilizado: Senhas negócio claro. Controles adicionais devem ser necessários somente conhecidas pelos usuários. para gerenciar as contas. 7.9 Se existe um sistema de gerenciamento de senhas que reforça vários controles de senhas, como: Senha individual, reforça alterações de senha, gravar senha de forma criptografada, não mostrar senhas na tela, etc. 7.10 Terminais inativos em áreas públicas devem ser configurados para limpar a tela ou desligar automaticamente após um período predeterminado de inatividade. 7.11 Se o acesso à aplicação por vários grupos ou pessoal dentro da organização é definido na política de controle de acesso como requisito de aplicação de negócio individual e é consistente com a política de acesso a Informação da organização. 7.12 Se trilhas de auditoria registrando as exceções e outros eventos de segurança relevantes são produzidas e mantidas por um período de tempo acordado para auxiliar em investigações futuras e na monitoração do controle de acesso. 7.13 Se os computadores ou dispositivos de comunicação têm a capacidade de operar com um relógio em tempo real, ele deve ser ajustado conforme o padrão adotado, por exemplo, o tempo coordenado universal (Universal Coordinated time – UCT) ou um padrão local de tempo. O estabelecimento correto dos relógios dos computadores é importante para garantir a exatidão dos registros de auditoria. 8 Desenvolvimento e manutenção de sistemas 8.1 Se foram implantados controles para assegurar que covert channels e cavalos de Tróia não foram introduzidos em novos sistemas ou atualizações. Um covert channel pode expor informações por meios indiretos e obscuros. Cavalo de Tróia é desenvolvido para afetar um sistema de forma não autorizada.
53 8.2 A atualização do software operacional, de aplicativos e de bibliotecas de programas são executadas somente por administradores treinados e com autorização gerencial? 9 Gestão de incidentes de segurança da informação 9.1 A direção da empresa é notificada quando ocorre algum evento de segurança da informação? 9.2 Os funcionários e demais usuários dos sistemas são alertados sobre a sua responsabilidade de notificar qualquer evento de segurança da informação, de forma ágil? 9.3 Existe algum formulário para apoiar a ação de notificar um evento de segurança da informação e ajudar as pessoas a lembrar as ações necessárias para a notificação do evento? 10 Gestão da continuidade do negócio 10.1 Se eventos que podem causar interrupções ao processo de negócio foram identificados. Exemplo: Falha de equipamento, inundação e fogo. 10.2 Se foram desenvolvidos planos para restaurar operações do negócio dentro de um período de tempo requerido após uma interrupção ou falha do processo de negócio. 11 Conformidade 11.1 Se existe algum procedimento para assegurar conformidade com as restrições legais no uso de material de acordo com as leis de propriedade intelectual, como as de direitos autorais, patentes ou marcas registradas. 11.2 Se produtos de software proprietários são fornecidos sob um contrato de licenciamento que restringe o uso dos produtos em máquinas especificadas e que pode limitar a cópia apenas para criação de uma cópia de segurança. 11.3 Se registros importantes da organização são protegidos contra perda, destruição ou falsificação. 11.4 Se o uso de recursos de processamento da informação para algum propósito sem relação com o negócio ou não autorizado, sem aprovação da direção, é tratado como uso impróprio do recurso. 11.5 Se é apresentada uma mensagem na tela do computador, no log-on, indicando que o sistema é privado e o acesso não autorizado não é permitido. 11.6 Se requisitos de auditoria e atividades envolvendo verificações em sistemas operacionais são cuidadosamente planejados e acordados para minimizar o risco de interrupção dos processos do negócio.

Recomendados

Nr 10 e 18 em canteiro de obras
Nr 10 e 18 em canteiro de obrasNr 10 e 18 em canteiro de obras
Nr 10 e 18 em canteiro de obrasRobson Peixoto
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoFernando Palma
 
Monografia Marcos Bezerra 2008
Monografia Marcos Bezerra 2008Monografia Marcos Bezerra 2008
Monografia Marcos Bezerra 2008Marcos Bezerra
 
22403989 seguranca-intrinseca-pdf
22403989 seguranca-intrinseca-pdf22403989 seguranca-intrinseca-pdf
22403989 seguranca-intrinseca-pdfFernando Monteiro
 
Seguranca intrinseca
Seguranca intrinsecaSeguranca intrinseca
Seguranca intrinsecaFernando Monteiro
 
Exemplo de política de segurança
Exemplo de política de segurançaExemplo de política de segurança
Exemplo de política de segurançaFernando Palma
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoCarlos De Carvalho
 
MyHome - Sistema de Automação Residencial para Dispositivos Móveis.
MyHome - Sistema de Automação Residencial para Dispositivos Móveis.MyHome - Sistema de Automação Residencial para Dispositivos Móveis.
MyHome - Sistema de Automação Residencial para Dispositivos Móveis.Douglas Scriptore
 

Recomendados

Nr 10 e 18 em canteiro de obras
Nr 10 e 18 em canteiro de obrasNr 10 e 18 em canteiro de obras
Nr 10 e 18 em canteiro de obrasRobson Peixoto
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoFernando Palma
 
Monografia Marcos Bezerra 2008
Monografia Marcos Bezerra 2008Monografia Marcos Bezerra 2008
Monografia Marcos Bezerra 2008Marcos Bezerra
 
22403989 seguranca-intrinseca-pdf
22403989 seguranca-intrinseca-pdf22403989 seguranca-intrinseca-pdf
22403989 seguranca-intrinseca-pdfFernando Monteiro
 
Seguranca intrinseca
Seguranca intrinsecaSeguranca intrinseca
Seguranca intrinsecaFernando Monteiro
 
Exemplo de política de segurança
Exemplo de política de segurançaExemplo de política de segurança
Exemplo de política de segurançaFernando Palma
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoCarlos De Carvalho
 
MyHome - Sistema de Automação Residencial para Dispositivos Móveis.
MyHome - Sistema de Automação Residencial para Dispositivos Móveis.MyHome - Sistema de Automação Residencial para Dispositivos Móveis.
MyHome - Sistema de Automação Residencial para Dispositivos Móveis.Douglas Scriptore
 
Douglasbentoscriptoretcc 130423092544-phpapp01 (1)
Douglasbentoscriptoretcc 130423092544-phpapp01 (1)Douglasbentoscriptoretcc 130423092544-phpapp01 (1)
Douglasbentoscriptoretcc 130423092544-phpapp01 (1)Douglas Leandro Gross de Souza
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Vpn alan-rafael
Vpn alan-rafaelVpn alan-rafael
Vpn alan-rafaelPaulo Henrique Henrique
 
Investigação de Predição de Fluxos em Redes de Computadores
Investigação de Predição de Fluxos em Redes de ComputadoresInvestigação de Predição de Fluxos em Redes de Computadores
Investigação de Predição de Fluxos em Redes de ComputadoresOrlando Junior
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...TI Safe
 
Tcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetTcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetalexandrino1
 
Avaliação dos sistemas biométricos e suas oportunidades de aplicação
Avaliação dos sistemas biométricos e suas oportunidades de aplicaçãoAvaliação dos sistemas biométricos e suas oportunidades de aplicação
Avaliação dos sistemas biométricos e suas oportunidades de aplicaçãoRafael Duarte de Paula Ribas
 
Documentação Software - SICOBM
Documentação Software - SICOBMDocumentação Software - SICOBM
Documentação Software - SICOBMeduardo854
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2Nicole Aires
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2Nicole Aires
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2Nicole Aires
 
PROPOSTA DE SOFTWARE PARA CONTROLE DE EQUIPAMENTOS
PROPOSTA DE SOFTWARE PARA CONTROLE DE EQUIPAMENTOSPROPOSTA DE SOFTWARE PARA CONTROLE DE EQUIPAMENTOS
PROPOSTA DE SOFTWARE PARA CONTROLE DE EQUIPAMENTOSZózimo Rodrigues
 
Tcc sistema controle-equipamento
Tcc sistema controle-equipamentoTcc sistema controle-equipamento
Tcc sistema controle-equipamentoZózimo Rodrigues
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 
SEGURANÇA E SUSTENTABILIDADE EM COMPUTAÇÃO NAS NUVENS: APLICAÇÃO EM EMPRESAS ...
SEGURANÇA E SUSTENTABILIDADE EM COMPUTAÇÃO NAS NUVENS: APLICAÇÃO EM EMPRESAS ...SEGURANÇA E SUSTENTABILIDADE EM COMPUTAÇÃO NAS NUVENS: APLICAÇÃO EM EMPRESAS ...
SEGURANÇA E SUSTENTABILIDADE EM COMPUTAÇÃO NAS NUVENS: APLICAÇÃO EM EMPRESAS ...lystermachado
 
Proposta de Projeto de Pesquisa - CEFET - 2014
Proposta de Projeto de Pesquisa - CEFET - 2014Proposta de Projeto de Pesquisa - CEFET - 2014
Proposta de Projeto de Pesquisa - CEFET - 2014Waldir R. Pires Jr
 
Gerencia de Serviços de TI
Gerencia de Serviços de TIGerencia de Serviços de TI
Gerencia de Serviços de TIOhio University
 
Gerenciamento de serviços de TI
Gerenciamento de serviços de TIGerenciamento de serviços de TI
Gerenciamento de serviços de TIOhio University
 
Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informaçãoSebastião de Aquino Ribeiro Junior
 

Mais conteúdo relacionado

Semelhante a Segurança da informação em ambientes corporativos: analise de segurança da informação do Distrito do Goturuba e verificação da adequação a NBR ISO/IEC 27002:2005

Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Investigação de Predição de Fluxos em Redes de Computadores
Investigação de Predição de Fluxos em Redes de ComputadoresInvestigação de Predição de Fluxos em Redes de Computadores
Investigação de Predição de Fluxos em Redes de ComputadoresOrlando Junior
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...TI Safe
 
Tcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetTcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetalexandrino1
 
Avaliação dos sistemas biométricos e suas oportunidades de aplicação
Avaliação dos sistemas biométricos e suas oportunidades de aplicaçãoAvaliação dos sistemas biométricos e suas oportunidades de aplicação
Avaliação dos sistemas biométricos e suas oportunidades de aplicaçãoRafael Duarte de Paula Ribas
 
Documentação Software - SICOBM
Documentação Software - SICOBMDocumentação Software - SICOBM
Documentação Software - SICOBMeduardo854
 
PROPOSTA DE SOFTWARE PARA CONTROLE DE EQUIPAMENTOS
PROPOSTA DE SOFTWARE PARA CONTROLE DE EQUIPAMENTOSPROPOSTA DE SOFTWARE PARA CONTROLE DE EQUIPAMENTOS
PROPOSTA DE SOFTWARE PARA CONTROLE DE EQUIPAMENTOSZózimo Rodrigues
 
Tcc sistema controle-equipamento
Tcc sistema controle-equipamentoTcc sistema controle-equipamento
Tcc sistema controle-equipamentoZózimo Rodrigues
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 
SEGURANÇA E SUSTENTABILIDADE EM COMPUTAÇÃO NAS NUVENS: APLICAÇÃO EM EMPRESAS ...
SEGURANÇA E SUSTENTABILIDADE EM COMPUTAÇÃO NAS NUVENS: APLICAÇÃO EM EMPRESAS ...SEGURANÇA E SUSTENTABILIDADE EM COMPUTAÇÃO NAS NUVENS: APLICAÇÃO EM EMPRESAS ...
SEGURANÇA E SUSTENTABILIDADE EM COMPUTAÇÃO NAS NUVENS: APLICAÇÃO EM EMPRESAS ...lystermachado
 
Proposta de Projeto de Pesquisa - CEFET - 2014
Proposta de Projeto de Pesquisa - CEFET - 2014Proposta de Projeto de Pesquisa - CEFET - 2014
Proposta de Projeto de Pesquisa - CEFET - 2014Waldir R. Pires Jr
 
Gerencia de Serviços de TI
Gerencia de Serviços de TIGerencia de Serviços de TI
Gerencia de Serviços de TIOhio University
 
Gerenciamento de serviços de TI
Gerenciamento de serviços de TIGerenciamento de serviços de TI
Gerenciamento de serviços de TIOhio University
 

Semelhante a Segurança da informação em ambientes corporativos: analise de segurança da informação do Distrito do Goturuba e verificação da adequação a NBR ISO/IEC 27002:2005 (20)

Douglasbentoscriptoretcc 130423092544-phpapp01 (1)
Douglasbentoscriptoretcc 130423092544-phpapp01 (1)Douglasbentoscriptoretcc 130423092544-phpapp01 (1)
Douglasbentoscriptoretcc 130423092544-phpapp01 (1)
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Vpn alan-rafael
Vpn alan-rafaelVpn alan-rafael
Vpn alan-rafael
 
Investigação de Predição de Fluxos em Redes de Computadores
Investigação de Predição de Fluxos em Redes de ComputadoresInvestigação de Predição de Fluxos em Redes de Computadores
Investigação de Predição de Fluxos em Redes de Computadores
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
CLASS 2022 - Thiago Branquinho (TI Safe) - Como implementar e certificar um S...
 
Tcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetTcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internet
 
Avaliação dos sistemas biométricos e suas oportunidades de aplicação
Avaliação dos sistemas biométricos e suas oportunidades de aplicaçãoAvaliação dos sistemas biométricos e suas oportunidades de aplicação
Avaliação dos sistemas biométricos e suas oportunidades de aplicação
 
Documentação Software - SICOBM
Documentação Software - SICOBMDocumentação Software - SICOBM
Documentação Software - SICOBM
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
PROPOSTA DE SOFTWARE PARA CONTROLE DE EQUIPAMENTOS
PROPOSTA DE SOFTWARE PARA CONTROLE DE EQUIPAMENTOSPROPOSTA DE SOFTWARE PARA CONTROLE DE EQUIPAMENTOS
PROPOSTA DE SOFTWARE PARA CONTROLE DE EQUIPAMENTOS
 
Tcc sistema controle-equipamento
Tcc sistema controle-equipamentoTcc sistema controle-equipamento
Tcc sistema controle-equipamento
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASE
 
SEGURANÇA E SUSTENTABILIDADE EM COMPUTAÇÃO NAS NUVENS: APLICAÇÃO EM EMPRESAS ...
SEGURANÇA E SUSTENTABILIDADE EM COMPUTAÇÃO NAS NUVENS: APLICAÇÃO EM EMPRESAS ...SEGURANÇA E SUSTENTABILIDADE EM COMPUTAÇÃO NAS NUVENS: APLICAÇÃO EM EMPRESAS ...
SEGURANÇA E SUSTENTABILIDADE EM COMPUTAÇÃO NAS NUVENS: APLICAÇÃO EM EMPRESAS ...
 
Proposta de Projeto de Pesquisa - CEFET - 2014
Proposta de Projeto de Pesquisa - CEFET - 2014Proposta de Projeto de Pesquisa - CEFET - 2014
Proposta de Projeto de Pesquisa - CEFET - 2014
 
Gerencia de Serviços de TI
Gerencia de Serviços de TIGerencia de Serviços de TI
Gerencia de Serviços de TI
 
Gerenciamento de serviços de TI
Gerenciamento de serviços de TIGerenciamento de serviços de TI
Gerenciamento de serviços de TI
 
Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informação
 

Segurança da informação em ambientes corporativos: analise de segurança da informação do Distrito do Goturuba e verificação da adequação a NBR ISO/IEC 27002:2005

  • 1. 1 Diego Villendel Rodrigues Rocha SEGURANÇA DA INFORMAÇÃO EM AMBIENTES CORPORATIVOS: ANÁLISE DE SEGURANÇA DA INFORMAÇÃO DO DISTRITO DO GORUTUBA E VERIFICAÇÃO DA SUA ADEQUAÇÃO À NBR ISO/IEC 27002:2005 Monografia apresentada ao Curso de Engenharia da Computação da Faculdade de Ciência e Tecnologia de Montes Claros, como parte dos requisitos para obtenção do diploma de Engenheiro da Computação. Orientador: PROF. RODRIGO CAETANO FILGUEIRA Montes Claros 2012
  • 2. 2 FUNDAÇÃO EDUCACIONAL MONTES CLAROS Faculdade de Ciência e Tecnologia de Montes Claros Diego Villendel Rodrigues Rocha SEGURANÇA DA INFORMAÇÃO EM AMBIENTES CORPORATIVOS: ANÁLISE DE SEGURANÇA DA INFORMAÇÃO DO DISTRITO DO GORUTUBA E VERIFICAÇÃO DA SUA ADEQUAÇÃO À NBR ISO/IEC 27002:2005 Esta monografia foi julgada adequada como parte dos requisitos para a obtenção do diploma de Engenheiro da Computação aprovada pela banca examinadora da Faculdade de Ciência e Tecnologia de Montes Claros. ______________________________________ Prof. Maurílio José Inácio Coord. do Curso de Engenharia da Computação Banca Examinadora Prof. Rodrigo Caetano Filgueira, FACIT/ (Orientador) _______________________________________ Prof. Ms. Leonardo Santos Amaral _______________________________________ Montes Claros, 26 de novembro de 2012
  • 3. 3 Dedico este trabalho as pessoas que viram nos meus olhos não apenas um sonho, mas sim o brilho de quem sonha em ser um vencedor.
  • 4. 4 AGRADECIMENTOS Agradeço primeiramente a Deus por me dar a oportunidade de chegar a um momento tão importante em minha vida e aos meus pais pelo devido apoio e compreensão da minha ausência, justificada pela execução deste importante trabalho. Agradeço aos meus amigos pela força e apoio dado nos momentos difíceis e aos professores por contribuírem diretamente na minha formação e na construção de meus sonhos.
  • 5. 5 "Computadores e redes podem mudar nossas vidas para melhor ou para pior. O mundo virtual tem as mesmas características do mundo real, e há tempos, os eventos de segurança, ataques e invasões a computadores deixaram de ser atividades solitárias e não destrutivas." Adriano Mauro Cansian – Professor Titular da Unesp.
  • 6. 6 RESUMO Esta pesquisa visa abordar os principais métodos, equipamentos, tecnologias e procedimentos necessários para garantir à segurança da informação em ambientes corporativos com acesso a internet. Como fundamentos para a pesquisa, foram revisados os principais conceitos de segurança da informação, bem como a sua necessidade do mundo atual, conceitos de redes de computadores, segurança de rede e a norma NBR ISO/IEC 27002 que sugere implementações para serem aplicados em ambientes corporativos visando obter melhores resultados em segurança da informação e tratar seus incidentes. Para ilustrar o estudo, foi feita uma análise em um ambiente empresarial real, identificando os equipamentos da rede de computadores e levantando os principais meios utilizados na empresa para garantir a segurança no tráfego das informações objetivando verificar a conformidade desses métodos com as normas técnicas. Para servir de parâmetros para a análise de segurança, foi feita a aplicação de um formulário no ambiente pesquisado com o objetivo de se ter uma avaliação das implementações de segurança da informação do ambiente pesquisado em relação a NBR ISO/IEC 27002. Palavras-Chave: Segurança de rede, segurança da informação, NBR ISO/IEC 27002.
  • 7. 7 ABSTRACT This research aims to approach the main methods, equipment, technologies and procedures to ensure the security of information in corporative environments with internet access. As fundamentals for the search, main concepts of information security were revised, as well as its necessity in the world nowadays, concepts of computer networks, network security and NBR ISO/IEC 27002 rule that suggests that implementations to be applied in environments corporative to obtain better results in information security and treat their incidents. In order to illustrate the study, an analysis in a real business environment was done, identifying the equipment of the computer network and raising the main means used in the company to ensure the safety of traffic information in order to verify the compliance of these methods with technical standards. To serve as parameters for the safety analysis, the application was made in the form of a searchable environment in order to get an assessment of implementations of information security environment studied in relation to ISO/IEC 27002. Keywords: Network security, information security, NBR ISO/IEC 27002.
  • 8. 8 LISTA DE ILUSTRAÇÕES FIGURA 1 - Topologia de rede ponto a ponto ......................................................................... 14 FIGURA 2 - Topologia de rede barramento ............................................................................. 15 FIGURA 3 - Topologia de rede anel ........................................................................................ 15 FIGURA 4 - Topologia de rede estrela .................................................................................... 16 QUADRO 1 - Modelo OSI na forma de pilha .......................................................................... 16 FIGURA 5 - TCP/IP e sua correspondência com o modelo OSI ............................................. 19 GRÁFICO 1 - Relatório de evolução do número de incidentes de segurança da informação registrados no Brasil ................................................................................................................. 21 GRÁFICO 2 - Países de países que originam ataques aos sistemas brasileiros ....................... 22 FIGURA 6 - Exemplo de implementação do firewall .............................................................. 23 FIGURA 7 - Exemplo de implementação do DMZ ................................................................. 24 FIGURA 8 - Arquitetura da rede de computadores do DTGA ................................................ 34 FIGURA 9 - Servidor de arquivos local do DTGA e nobreak ................................................. 34 FIGURA 10 - Equipamentos de rede (modem, roteador, switch e patch panel ....................... 35 GRÁFICO 3 - Resultados obtidos por seção da norma ............................................................ 39 GRÁFICO 4 - Resultado geral da análise do formulário ......................................................... 40
  • 9. 9 LISTA DE SIGLAS ABNT – Associação Brasileira de Normas Técnicas ACL - Access Control Lists AES - Advanced Encryption Standard AH - Authentication Header ARP - Addres Resolution Protocol CERT - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil COPASA – Companhia de Saneamento de Minas Gerais DES - Data Encryption DMZ – DeMilitarized Zone Network DNS - Domain Name System DTGA – Distrito do Gorutuba ESP - Encapsulating Security Payload FTP – File Transfer Protocol HIDS - IDS baseado em Host HTTP - Hypertext Transfer Protocol ICMP - Internet Control Message Protocol IDS – Intrusion Detection Systems IEC - International Electrotechnical Commission IP – Internet Protocol IPsec – IP Security ISO - Institute of Standardization Organization NBR – Norma Brasileira Regulamentatória NIDS - IDS baseado em rede NP – Norma de Procedimentos OSI - Open Systems Interconnection RARP – Reverse Addres Resolution Protocol SMTP - Simple Mail Transfer Protocol SPI - Security Parameters Index TCP - Transmission Control Protocol UDP – User Datagram Protocol VPN – Virtual Private Network
  • 10. 10 SUMÁRIO INTRODUÇÃO ...................................................................................................................... 12 CAPÍTULO 1 REDES DE COMPUTADORES E SEGURANÇA DE REDE ................. 14 1.1 Redes de Computadores ..................................................................................................... 14 1.2 Modelo OSI ........................................................................................................................ 16 1.3 TCP/IP ................................................................................................................................ 18 1.4 Internet ............................................................................................................................... 19 1.5 Necessidade de segurança de redes .................................................................................... 19 1.6 Segurança de rede ............................................................................................................... 22 1.6.1 Firewall ........................................................................................................................... 23 1.6.1.1 DMZ ............................................................................................................................. 24 1.6.2 Criptografia...................................................................................................................... 24 1.6.3 IPSec ................................................................................................................................ 25 1.6.4 VPN ................................................................................................................................. 25 1.6.5 Sistema de detecção de intrusão ...................................................................................... 26 1.6.6 Autenticação e controle de acesso ................................................................................... 26 1.6.7 Elementos essenciais de segurança da informação.......................................................... 27 1.7 NBR/IEC ISO 27002:2005 ................................................................................................. 27 1.7.1 Política de segurança da informação ............................................................................... 28 1.7.2 Organizando a segurança da informação ......................................................................... 28 1.7.3 Gestão de ativos ............................................................................................................... 29 1.7.4 Segurança em recursos humanos ..................................................................................... 29 1.7.5 Segurança física e do ambiente ....................................................................................... 29 1.7.6 Gerenciamento das operações e comunicação................................................................. 30 1.7.7 Controle de acessos ......................................................................................................... 30 1.7.8 Aquisição, desenvolvimento e manutenção de sistemas de informação ......................... 30 1.7.9 Gestão de incidentes de segurança da informação .......................................................... 31 1.7.10 Gestão da continuidade do negócio ............................................................................... 31 1.7.11 Conformidade ................................................................................................................ 31 CAPÍTULO 2 MATERIAIS E MÉTODOS ......................................................................... 33
  • 11. 11 2.1 Descrições do ambiente de pesquisa .................................................................................. 33 2.2 Metodologias da pesquisa................................................................................................... 36 2.3 Aplicação de formulário para levantamento de informações ............................................. 36 2.4 Análise dos elementos essenciais de segurança da informação ......................................... 37 CAPÍTULO 3 RESULTADOS .............................................................................................. 39 CAPÍTULO 4 ANÁLISE E DISCURSÃO DOS RESULTADOS ...................................... 41 CONSIDERAÇÕES FINAIS ................................................................................................. 45 REFERÊNCIAS ..................................................................................................................... 47 APÊNDICE A – FORMULÁRIO DE VERIFICAÇÃO DE ADEQUAÇÃO A NBR ISO/IEC 27002:2005 ............................................................................................................... 49
  • 12. 12 INTRODUÇÃO A necessidade de informatizar os processos de negócio, bem como o investimento em segurança da informação é algo extremamente importante e comum em qualquer empresa que visa a competitividade no mundo contemporâneo. A segurança da informação tem o objetivo de garantir a sobrevivência de negócios em empresas que possuem os processos informatizados totalmente envolvidos com o desenvolvimento das atividades. Visa garantir a confiabilidade e continuidade dos negócios, melhora a imagem da empresa perante o mercado, evita perdas e transtornos e com isso facilita o exercício das atividades fins da empresa. Existem normas que regulamentam as boas práticas de segurança da informação, dentre elas a NBR ISO/IEC 27002:2005 que será objeto de nosso estudo e fundamental para obtenção dos resultados dessa pesquisa. Essa pesquisa tem o objetivo de apontar os principais itens, conceitos e tecnologias da segurança da informação, efetuar o estudo da norma que regulamenta as práticas de segurança da informação em um ambiente empresarial e aplicar essa norma em um ambiente corporativo real. As hipóteses principais desta pesquisa é que a NBR ISO/IEC 27002 é eficaz e que o ambiente empresarial estudado é seguro no tratamento de informações, nas quais essas hipóteses serão verificadas nas discussões dos resultados. Com a aplicação desta pesquisa, poderemos concluir se segurança da informação em sistemas de informação das empresas é realmente necessário, se o ambiente estudado é seguro, se as práticas sugeridas pela norma são aplicáveis e eficazes. O Capítulo 1 mostra, de acordo com a literatura dos principais autores de obras sobre redes de computadores e segurança de redes, onde são destacados os principais conceitos de redes de computadores, os principais protocolos de comunicação, necessidade de segurança da informação, principais conceitos de segurança de redes, seus equipamentos e tecnologias. É feita também uma pequena revisão sobre a NBR ISO/IEC 27002:2005, destacando de forma geral as seções em que são organizadas essa norma e suas principais abordagens e recomendações. O Capítulo 2 tem o objetivo de apresentar o ambiente pesquisado e os materiais e métodos utilizados para desenvolver a pesquisa. É feita a apresentação da estrutura de redes de computadores de uma unidade administrativa da Copasa, denominada DTGA, relatadas as principais práticas de segurança da informação identificadas e feita uma análise dos elementos essenciais da segurança da informação. Neste capítulo também é explicado a estrutura e
  • 13. 13 objetivos do formulário aplicado nesta pesquisa para verificação da adequação das práticas do ambiente pesquisado em relação a norma apresentada. No Capítulo 3 são apresentados os gráficos com os resultados obtidos com a aplicação do formulário acima citado e no Capítulo 4 são analisados e discutidos esses resultados obtidos, identificando os principais pontos positivos e negativos que influenciaram na obtenção dos resultados. Nas considerações finais é apresentada uma conclusão geral da pesquisa e dos resultados, são sugeridas adaptações que podem ser aplicadas pela empresa para melhorar a segurança da informação e adequação a norma regulamentadora e são expostos alguns tópicos para futuras pesquisas. No apêndice é apresentado o formulário aplicado para levantamento de informações para obtenção e discussão dos resultados.
  • 14. 14 CAPÍTULO 1 REDES DE COMPUTADORES E SEGURANÇA DE REDES 1.1 Redes de Computadores Referem-se a redes de computadores quando dois ou mais computadores estão interligados sob algum meio e regida sob um conjunto de protocolos, com o intuito de transferir ou compartilhar dados, informações ou recursos, encurtar distâncias, unir departamentos, entre outros. Também podemos definir rede de computadores como "um conjunto de computadores autônomos interconectados por uma única tecnologia" (TANENBAUM, 2003, p. 15). Segundo Valle e Ulbrich (2009), as redes de computadores evoluíram das redes telefônicas, que foi uma evolução dos telégrafos. As redes de computadores são compostas de vários componentes físicos (estrutura física), organizados sob algum tipo de organização (topologia) e regidos sob algumas normas (protocolos). A estrutura física inclui os equipamentos de hardware que compõem a rede, como: hubs, switches, roteadores, placas de rede, cabeamento, antenas, servidores, clientes, etc. As principais topologias são : ponto a ponto, barramento, anel e estrela. FIGURA 1 - Topologia de rede ponto a ponto Fonte: Autoria própria Na topologia ponto a ponto, também conhecida como linear, os computadores são ligados em série e os dados transmitidos passam por todos os computadores, mas somente são interceptados pela máquina receptora.
  • 15. 15 FIGURA 2 - Topologia de rede barramento Fonte: Autoria própria Na topologia de redes em barramento, os computadores compartilham um mesmo barramento físico, geralmente esse barramento é um cabo coaxial. Uma característica dessa topologia é que apenas uma máquina pode escrever no barramento por vez, os dados chegam a todas as máquinas, porém apenas a máquina destinatária pode captar os dados. FIGURA 3 - Topologia de rede anel Fonte: Autoria própria Na topologia em anel, os computadores são ligados em um circuito fechado, como um circulo. Segundo Valle e Ulbrich (2009), um exemplo dessa topologia é a conhecida como Token Ring.
  • 16. 16 FIGURA 4 - Topologia de rede estrela Fonte: Autoria própria Na topologia em forma de estrela, os computadores são interligados por um equipamento centralizador, como um hub ou switch, em que todos os dados têm que obrigatoriamente passar por esse dispositivo. 1.2 Modelo OSI O Open Systems Interconnection (OSI) é um modelo de conjunto de protocolos de comunicação organizada em uma pilha de 7 camadas: física, enlace, rede, transporte, sessão, apresentação e aplicação. Como mostrada no Quad. 1 abaixo. QUADRO 1 Modelo OSI na forma de pilha Fonte: Autoria própria
  • 17. 17 Cada camada é composta por um conjunto de protocolos responsável por oferecer um conjunto de serviços específicos. "Os protocolos são agrupados em famílias organizadas em camadas que, por sua vez, formam uma pilha" (ALBUQUERQUE, 2001, p. 10). A pilha pode ser observada no Quad.1, onde as camadas são organizadas uma sobre a outra seguindo uma certa ordem. A camada de Aplicação tem a função de fazer "a interface entre o protocolo de comunicação e o aplicativo que pediu ou receberá a informação através da rede" (TORRES, 2001, p. 43). Essa camada é a que está mais próxima ao usuário. A camada de Apresentação traduz os dados recebidos pela aplicação a um formato comum a ser usado na transferência. Essa camada "está relacionada a sintaxe e a semântica das informações transmitidas" (TANENBAUM, 2003, p. 45), ou seja, está diretamente relacionada com a forma com que os dados serão apresentados. "Pode ter outros usos, como compressão de dados e criptografia" (TORRES, 2001, p. 44). A camada de Sessão é responsável por estabelecer uma comunicação entre dois computadores, define como será feita a transmissão e insere marcadores nos dados para que caso haja alguma falha na transmissão, esta pode ser retomada a partir dos dados marcados. Complementando, segundo Tanenbaum (2003), essa camada oferece diversos serviços como: controle de diálogo (define quem irá transmitir), gerenciamento de símbolos (impede a execução de uma operação crítica simultaneamente por duas aplicações diferentes) e sincronização (marcação dos dados). A camada de Transporte é responsável por receber os dados da camada de Sessão, fragmentá- los, se necessário, e repassá-los a camada inferior (Rede). No receptor é responsável por remontar esses fragmentos e entregá-los a camada de sessão. Também "oferece recuperação de erro e controle de fluxo de ponta a ponta" (STALLINGS, 2002, p. 97). A camada de Rede é responsável por endereçar os pacotes recebidos da camada de Transporte, converter endereço lógico em endereço físico e definir o caminho pelo qual o pacote irá seguir, evitando congestionamento e buscando otimizar a rota (roteamento), já que as redes possuem sempre mais de um caminho. A camada de Enlace, também conhecida como Link de Dados, recebe os pacotes de dados da camada de Rede e os transforma em quadros, adicionando alguns dados em seu cabeçalho, como endereço físico da placa de rede de origem e destino. É responsável por controlar o tráfego na transferência, caso a velocidade do transmissor e receptor apresentem incompatibilidade. Na recepção, segundo Torres (2001), confere se o dado chegou íntegro,
  • 18. 18 enviando uma confirmação de recebimento, que caso não seja recebido, faz com que o transmissor re-envie o quadro. A camada Física é a camada mais inferior da estrutura do modelo OSI. Segundo Torres (2001), essa camada recebe os dados da camada de enlace e os transforma em sinais compatíveis com o meio em que serão transmitidos. Complementando, "lida com características mecânicas, elétricas, funcionais e de procedimento para acessar o meio físico" (STALLINGS, 2002, p.97), ou seja, define como os dados serão transmitidos conforme o meio, tendo, como exemplo a conversão para sinais elétricos se o meio for elétrico, sinais luminosos se o meio for óptico ou sinais de ondas de rádio se o meio for atmosférico. 1.3 TCP/IP TCP/IP é um protocolo, ou seja, é um conjunto de protocolos de redes, no qual dois dos principais derivaram o seu nome. Segundo Torres (2001), é o protocolo mais utilizado em redes locais, foi feito para ser utilizado na internet, atualmente é suportado em todos os sistemas operacionais e é roteável, ou seja, feito para ser utilizado em redes grandes e de longa distância podendo ter vários caminhos para o dado chegar ao destino. O protocolo TCP/IP é dividido em 4 camadas: aplicação, transporte, internet e interface com a rede (inter-redes). A camada de Aplicação, segundo Valle e Ulbrich (2009), é responsável pela comunicação entre o protocolo de transporte e os aplicativos que solicitam os recursos da rede, como DNS, FTP, HTTP, SMTP, entre outros. Corresponde as camadas de aplicação, apresentação e sessão do modelo OSI. A camada de Transporte do modelo TCP/IP equivale à camada de mesmo nome do modelo OSI. Segundo Torres (2001), essa camada transforma em pacotes os dados recebidos da camada de Aplicação e passa-os a camada de Internet, utiliza o esquema de multiplexação, que possibilita a transmissão de dados de várias aplicações simultaneamente e utiliza o conceito de portas. Nessa camada operam os protocolos Transmission Control Protocol (TCP) e User Datagram Protocol (UDP), sendo o TCP orientado a conexão, ou seja, verifica se o dado realmente chegou ao destino, e o UDP, que não tem essa característica do TCP, e com isso garante maior velocidade na entrega do pacote, mas sem garantia de entrega. A camada de Internet, como no modelo OSI, "é responsável pela organização e roteamento dos pacotes definindo seus endereços" (VALLE; ULBRICH, 2009, p. 55). Atuam nessa
  • 19. 19 camada os protocolos Internet Protocol (IP), Internet Control Message Protocol (ICMP), Addres Resolution Protocol (ARP) e Reverse Addres Resolution Protocol (RARP). A camada de Interface com a Rede equivale com as camadas de Enlace e Física do modelo OSI e é responsável por enviar os dados recebidos pela camada de Internet pela rede. FIGURA 5 - Modelo TCP/IP e sua correspondência com o modelo OSI Fonte: Autoria própria 1.4 Internet A internet, ou rede mundial de computadores, segundo Valle e Ulbrich (2009), é o conjunto de redes espalhadas pelo mundo baseadas no protocolo TCP/IP, formada por redes de alta capacidade, conectadas a computadores altamente poderosos conhecidos como backbones. O paradigma da internet é baseada na comutação por pacotes e cada computador ligado a internet possui um único endereço lógico único (IP) que identifica não só a máquina propriamente dita, como também a rede a qual pertence. Com a internet é possível estabelecer a comunicação entre computadores localizados em qualquer lugar do planeta, que também esteja conectado a internet, acessar sites, transferir arquivos, trocar emails, entre diversas outras funcionalidades. 1.5 Necessidade de segurança de redes A aplicação da segurança em redes de comunicação de computadores passou a ser necessária quando, com a evolução da tecnologia de processamento de dados, as corporações passaram a utilizar os meios computacionais para solucionar problemas das empresas e armazenar suas
  • 20. 20 informações. A segurança de dados e informações antigamente era exclusivamente física, Stallings (2002) cita como exemplo de segurança de dados o uso dos grandes armários trancados com fechaduras de segredo para guardar documentos importantes. Atualmente, o uso dos recursos computacionais e dos meios de telecomunicações é de extrema importância para o desenvolvimento e organização de qualquer instituição. Empresas que não se adequam ou acompanham os avanços das tecnologias digitais apresentam cada vez mais dificuldade de se manterem vivas em um mercado que está cada vez mais exigente e competitivo. Computação, hoje, está presente em praticamente todos os ambientes que o ser humano pode conviver, seja utilizando internet em casa para acessar algum site de relacionamento ou efetuar o pagamento de contas, gerenciando e compartilhando informações em um ambiente empresarial ou acessando internet via celular através de uma rede de comunicação pública. Os avanços das redes de computadores e internet facilitaram a troca e compartilhamento de informações entre pessoas localizadas em qualquer extremidade do mundo, fazendo com que o acesso a redes privadas e locais por pessoas indevidas, se tornasse cada vez mais viáveis. Paralelamente ao crescimento do uso dos recursos computacionais, cresceu-se também o número de ataques a esses ambientes, visando roubo de dados confidenciais, para prejudicarem alguma instituição ou pessoa ou até mesmo somente para que o invasor mostre sua capacidade de invadir uma rede e provocar algum tipo de dano. A tecnologia não só facilitou a vida da sociedade, como também abriu oportunidade de indivíduos maliciosos se aproveitarem desses meios para praticarem atos ilícitos. Segundo Melo (2009), com uso crescente de recursos na internet, a ampliação da infra-estrutura e softwares de natureza ilícita, de fácil acesso e utilização, tem como consequência o significativo aumento de invasões de computadores e roubo de informações.
  • 21. 21 GRÁFICO 1 - Relatório de evolução do número de incidentes de segurança da informação registrados no Brasil Fonte: www.cert.br O Graf. 1 acima mostra a evolução do número de ataques registrados do ano de 1999 até junho de 2012 no Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.br), que é grupo de resposta a incidentes de segurança para a internet brasileira. O número de ataques registrados em 2011 é quase 130 vezes maior do que o registrado no inicio da contagem em 1999.
  • 22. 22 GRÁFICO 2 - Países que originam ataques aos sistemas brasileiros Fonte: www.cert.br O Graf. 2 ilustra de que país surge os principais ataques aos sistemas brasileiros, sendo destacada a maior parte originada do próprio Brasil. Como a sociedade atual passou a ser totalmente dependente dos computadores e analisando a importância que esse recurso se tornou para o desenvolvimento econômico e social, viu-se a necessidade de investir em meios, técnicas, equipamentos e estruturas visando à segurança no armazenamento e transferência de informações, visando evitar a perda, extravio ou uso indevido dessas informações. 1.6 Segurança de rede Segurança de rede é a expressão utilizada quando se refere as implementações, equipamentos, técnicas, métodos visando garantir a integridade, disponibilidade, autenticidade e confidencialidade dos dados trafegados pela rede, bem como garantir o pleno funcionamento da estrutura de redes. Segundo Tanenbaum (2009), a segurança de redes pode ser dividida em sigilo (manter as informações longe de usuários não autorizados), autenticação (determinar os agentes da comunicação), não repúdio (provar a autenticidade da comunicação) e controle de integridade (provar a legitimidade da comunicação). As implementações de segurança podem ser distribuídas, segundo Tanenbaum (2003), em diversas camadas do encapsulamento da comunicação. Na camada de enlace pode ser aplicada
  • 23. 23 a criptografia de enlace, codificando mensagens ao sair de uma máquina e decodificando ao entrar em outra. Na camada de rede podem ser instalados firewalls para monitorar e filtrar os dados que circulam pela rede. Na camada de transporte pode-se criptografar conexões inteiras. E na camada de aplicação podem ser feitas as autenticações de usuários. 1.6.1 Firewall Em geral firewall, segundo Pfaffenberger (1998), pode ou não ser uma máquina, ou talvez um software, com o objetivo de conter o tráfego ou acesso indevido através da análise do cabeçalho dos pacotes que trafegam na rede, filtrando esses pacotes que infringem as regras estabelecidas em uma política de segurança. FIGURA 6 - Exemplo de implementação do firewall Fonte: Autoria própria Os firewalls basicamente se dividem em duas categorias: firewall de rede ou firewall de gateway de aplicativo (proxy). Os firewalls de rede, geralmente, são roteadores com capacidade de filtrar pacotes podendo negar acesso analisando diversos fatores como endereço (origem e destino), protocolo, número de porta (origem ou destino) ou conteúdo. O gateway de aplicação, segundo Tanenbaum, não examina pacotes brutos, atua também na camada de aplicação, verificando dados do cabeçalho referentes a aplicação e tamanho da mensagem. Existem diversas implementações de firewall, podendo ser utilizados até mais de um firewall dependendo da finalidade, arquitetura da rede e do nível de segurança exigido. Pode-se destacar o uso de firewalls na entrada da rede local, isolando servidores, isolando os servidores da rede interna, filtrando dados entre sub-redes, DMZ, dentre outras.
  • 24. 24 1.6.1.1 DMZ DeMilitarized Zone Network (DMZ) ou simplesmente Rede Desmilitarizada, é uma configuração em que são utilizados dois firewalls, um na saída para a rede externa e outro na entrada da rede interna conforme a figura abaixo. FIGURA 7 - Exemplo de implementação do DMZ Fonte: Autoria própria Nessa figura o Firewall 1 tem a função de filtrar o acesso aos servidores localizados na DMZ, enquanto o Firewall 2 tem a função de filtrar o fluxo de dados que entra e sai da rede interna. 1.6.2 Criptografia Criptografar é uma técnica que cifra os dados antes de serem enviados, e esses dados são decifrados no recebimento, "consiste em traduzir os dados para um formato não compreensível" (ALBUQUERQUE, 2001, p. 219). É composto de algoritmos que representam a função de chaves, trancando e abrindo o código criptografado. Albuquerque (2001) categoriza os algoritmos de criptografia como: chave privada (simétricos), chave pública e chave de sessão. Nos algoritmos de chave privada são utilizados uma mesma chave para cifrar e decifrar. Exemplos desse algoritmo são o Data Encryption (DES), o Advanced Encryption Standard (AES) e o Triple-DES. A segurança desse algoritmo está restrito a segurança da chaves, sendo que se a chave for descoberta os dados poderão ser acessados.
  • 25. 25 Os algoritmos de chave pública possuem uma chave para cifrar e outra para decifrar, sendo a primeira de conhecimento público e a última de conhecimento privado. Exemplos desse algoritmo são o Diffie-Hellman e RSA. Esses algoritmos possuem a desvantagem de consumir muito poder computacional. Os algoritmos baseados em chaves de sessão utilizam tanto algoritmos de chaves públicas quanto de chaves privadas, consomem bem menos recursos do que estes, porém mantém a mesma capacidade de segurança. 1.6.3 IPSec O IPSec ou IP Security possibilita a conexão segura em redes TCP/IP e é obrigatório em redes que utilizam o IPv6. Segundo Albuquerque (2001), garante o sigilo, autenticidade e integridade dos dados nos pacotes IP. Stallings (2005) cita que o IPSec oferece três funções principais, sendo a Authentication Header (AH) responsável pela autenticação, a Encapsulating Security Payload (ESP) responsável pela autenticação/criptografia e uma terceira função de troca de chave. O AH possui informações, segundo Stallings (2005), de identificação do próximo cabeçalho, tamanho da assinatura digital, Security Parameters Index (SPI) e assinatura digital. O ESP é utilizado para manter o sigilo dos dados, integridade e autenticidade. De acordo com Stallings (2005), o ESP pode trabalhar no modo de transporte ou túnel, sendo o transporte oferece proteção dos protocolos de camada superior, e o modo túnel protege (criptografa) o pacote IP inteiro. 1.6.4 Virtual Private Network Uma Virtual Private Network (VPN) ou Rede Virtual Privada usa os recursos da internet para interligar diversas redes de uma organização. Basicamente, uma VPN consiste em um conjunto de computadores interconectados por meios de uma rede relativamente insegura e que utiliza a criptografia e protocolos especiais para fornecer segurança. Em cada local corporativo, estações de trabalho, servidores e bancos de dados são conectados por uma ou mais redes locais (LANs) (STALLINGS, 2005, p. 397).
  • 26. 26 A VPN permite a comunicação remota entre os departamentos, utilizando de provedores comerciais, não sendo necessários investimentos em equipamentos de comunicação por parte da empresa. A comunicação é criptografada para garantir a segurança e pode ser necessário o uso de firewalls para reforçar a segurança e controlar o acesso às redes. 1.6.5 Sistema de detecção de intrusão O sistema de detecção de intrusão, ou Intrusion Detections Systems (IDS), segundo Nakamura e Geus (2010), é extremamente importante em um ambiente corporativo. Com ele é possível detectar diversos ataques e com isso tomar as devidas providências antes que o ataque tome maiores consequências. Esse sistema tem o objetivo de detectar atividades suspeitas e serve de complemento para as atividades não protegidas pelo firewall. Segundo Nakamura e Geus (2010), os tipos de detecção realizados pelo IDS dependem do tipo de IDS, metodologia de detecção, posicionamento dos sensores e localização do IDS. As principais características, de acordo com Moraes (2010), são: execução contínua, tolerância a falhas, mínimo de overhead da rede e dificuldade de ser atacado. Segundo Nakamura e Geus (2010), os principais tipos de IDS são: IDS baseado em Host (HIDS), IDS baseado em rede (NIDS) e o IDS híbrido. O HIDS monitora os arquivos de logs, monitora um segmento de tráfego de rede e o híbrido é uma mistura das duas características. 1.6.6 Autenticação e controle de acesso A autenticação visa garantir que a pessoa que tenta acessar determinado sistema é autêntica. A autenticação, segundo Nakamura e Geos (2010), pode ser realizada com base no que o usuário sabe, como senha ou chave criptográfica, com base no que o usuário possui, como cartão ou token, ou com base nas características do usuário, como características biométricas. O Controle de acesso, que se divide em controle de acesso lógico e externo, garante que os recursos e informações sejam acessados de forma correta e por usuários devidamente autorizados a acessá-las e é responsável por: proteger contra modificações não autorizadas, garantir a integridade e disponibilidade das informações e garantir o sigilo das informações. Os principais métodos de controle de acesso lógico são Access Control Lists (ACL), utilizada em firewalls, uso de interface com usuários e labels. O principal método de controle de acesso externo é implementado através de firewalls.
  • 27. 27 1.6.7 Elementos essenciais de segurança da informação Alguns elementos são fundamentais para definir o nível de segurança das organizações. Segundo Stallings (2002), a segurança de computador e de rede trata dos seguintes requisitos: privacidade, integridade, disponibilidade e autenticidade. Para Pinheiro (2005), para cumprir esses objetivos são necessários seguir quatro paradigmas básicos: integridade, confidencialidade, disponibilidade e legalidade. Para verificar o nível de segurança no ambiente estudado, vamos conceituar os elementos integridade, confidencialidade, disponibilidade e auditoria. Segundo Moraes (2012), integridade é garantir que a informação não seja alterada durante a transmissão ou armazenamento sem prévia autorização, ou seja, a informação enviada será idêntica a informação recebida. A confidencialidade, segundo Moraes (2012), é garantir que os recursos e informações não sejam acessados por usuários não autorizados. A disponibilidade garante que os recursos estarão disponíveis sempre que necessário. Auditoria, segundo Moraes (2012), consiste em manter registros (logs) de ações ocorridas na rede, monitorar o tráfego de informações e registrar para uma futura auditoria de verificação de irregularidades. Assim, caso seja necessário uma inspeção futura, os registros estarão disponíveis para a verificação e identificação das possíveis irregularidades que possam ocorrer. 1.7 ABNT NBR ISO/IEC 27002:2005 De acordo com a ABNT (2005), a NBR ISO/IEC 27002 é uma norma técnica elaborada pela Associação Brasileira de Normas Técnicas (ABNT) em 2005, baseada na ISO/IEC 27002 de autoria do Institute of Standardization Organization (ISO) em substituição a NBR ISO/IEC 17799 de 2005. Esta norma apresenta alguns conceitos de segurança da informação, sua necessidade, requisitos, análise de risco, controle e elaboração de diretrizes. Os principais objetivos da NBR 27002 são estabelecer "diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização" (ABNT, 2007, p. 1), servindo como um guia prático para auxiliar o desenvolvimento de procedimentos de segurança da informação dentro de qualquer organização, contribuindo para a confiança nas atividades da organização. É subdividida em
  • 28. 28 11 seções de controle de segurança da informação que serão explicitadas individualmente nos próximos subcapítulos, na ordem em que são apresentados na norma. 1.7.1 Política de segurança da informação A política de segurança é um documento formal, elaborado pelos especialistas em segurança da informação e com o total apoio das lideranças e define as diretrizes quanto ao uso das informações e recursos no ambiente coorporativo. Segundo Moraes (2010), algumas das diretrizes são: riscos ao patrimônio, risco de roubo e fraude, acesso aos sistemas, utilização dos meios de comunicação, redundância e falhas e garantia e integridade. A política de segurança estabelece claramente o que deve ser protegido, atribuir responsabilidades para o cumprimento das normas e serve como principal referência para o gerenciamento da segurança da informação. A política de segurança deve ser constantemente atualizada e adaptada a cultura da organização, escrita de forma clara e disponível para todos os colaboradores. Nakamura e Geus (2007) conceituam que a política de segurança deve ser composta de alguns elementos essenciais, dentre eles: vigilância, atitude, estratégia e tecnologia, além de definir política para senhas, firewall e acesso remoto. 1.7.2 Organizando a segurança da informação Este tópico orienta como gerir a segurança da informação dentro de uma organização e, segundo ABNT (2005), sugere alguns pontos importantes como: a) a instauração de uma estrutura de gerenciamento para controlar as implementações de segurança da informação; b) o envolvimento da direção da empresa, aprovando as políticas, atribuindo funções, fornecendo recursos, coordenando e analisando as implementações da segurança da informação; c) a contratação, quando necessário, de consultoria externa especializada em segurança da informação para manter atualizada as estruturas de acordo com as tendências do mercado e fornecer apoio na ocorrência de incidentes de segurança da informação; d) a coordenação da segurança da informação por representantes de diversas áreas da organização nos diversos níveis hierárquicos;
  • 29. 29 e) definição de todas as responsabilidades pela segurança da informação e autorização para os novos recursos de processamento de informação; f) identificação de riscos com as partes externas, clientes e terceiros. No geral este item verifica como estão sendo organizadas, controladas e coordenadas as práticas de segurança da informação e se a diretoria está realmente envolvida em todos esses processos. 1.7.3 Gestão de ativos Segundo ABNT (2005), esta seção sugere que os ativos de informação da empresa recebam proteção adequada, podendo ser feita classificação, registro e controle desses ativos. Todos esses ativos devem ser inventariados e possuir um responsável por garantir a proteção, guarda e manutenção desse bem. 1.7.4 Segurança em recursos humanos O principal objetivo deste tópico é "assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos" (ABNT, 2005, p. 24), ou seja, garantir a ciência e responsabilidade de forma registrada, desde a contratação até a demissão, que funcionários e terceiros têm da importância do uso correto e seguro dos sistemas de informação. 1.7.5 Segurança física e do ambiente Os conceitos dessa seção têm o objetivo de prevenir o acesso não autorizado e danos as instalações e informações da organização. Segundo a ABNT (2005), as instalações onde são processadas e armazenadas as informações devem ser mantidas em áreas seguras com controle de acesso apropriado e seguras de ameaças inerentes do meio ambiente, desastres naturais e incêndios. Também orienta quanto ao envio de equipamentos para manutenção em ambientes externos.
  • 30. 30 1.7.6 Gerenciamento das operações e comunicação Segundo a ABNT (2005), esta seção visa garantir a operação segura e correta dos recursos de processamento da informação, documentando e definindo os procedimentos e responsabilidades pela gestão e operação destes recursos. Visa manter segurança da informação e entrega de serviços em casos de serviços com terceiros, monitorando e acompanhando mudanças. Uma parte muito importante abordada nessa seção são orientações para minimizar o risco de falhas dos sistemas, implementações de controles contra códigos maliciosos, efetuar cópias de seguranças, segurança em redes, manuseio e descarte de mídias, orientações para troca de informações, uso de correio eletrônico, comércio eletrônico, monitoramento e auditoria. 1.7.7 Controle de acessos Esse tópico visa orientar na elaboração de políticas, requisitos, gerenciamento, privilégios, senhas e direitos para controle de acesso dos usuários aos sistemas de informação, rede, sistemas operacionais, aplicações e sistemas remotos, garantindo que os usuários tenham o direito de acesso aos sistemas, recursos e informações necessários a realização de suas atividades, bem como garantir que não ocorra acesso indevido as informações críticas e restritas por pessoas não autorizadas. 1.7.8 Aquisição, desenvolvimento e manutenção de sistemas de informação Esse tópico fornece uma visão de como a segurança deve ser implantada em todos os ambientes que envolvem os sistemas de informação. Especificam os requisitos de segurança, processamento correto nas aplicações para prevenir erros, perdas e mau uso, estabelece políticas para controles criptográficos e gerenciamento de chaves, garante a segurança nos arquivos de sistemas e código fonte de programas, orienta o gerenciamento de modificações e vazamento de informações. Enfatiza quanto à supervisão e acompanhamento de desenvolvimento de software por terceiros garantindo a qualidade e exatidão do serviço realizado bem como a funcionalidade da segurança do código, aplicando testes antes da instalação dos sistemas para garantir a ausência de código malicioso.
  • 31. 31 1.7.9 Gestão de incidentes de segurança da informação Essa seção trata de como agir em caso de ocorrência de incidentes de segurança da informação, formalizando os meios de notificação de incidentes bem como gerir essas ocorrências, para que as providências sejam tomadas de forma mais breve possível e que as evidências sejam preservadas para uma futura investigação do evento ocorrido. A ABNT (2007) cita alguns exemplos de incidentes de segurança da informação, como: a) perda de serviço, equipamento ou recurso; b) mau funcionamento ou sobrecarga do sistema; c) erros humanos; d) não conformidade com políticas ou diretrizes; e) mudanças descontroladas de sistemas; f) mau funcionamento de software ou hardware; g) violação de acesso. Um procedimento importante sugerido nessa seção é a padronização de um formulário, para orientar e facilitar a comunicação desses incidentes pelos usuários aos responsáveis pela gestão da segurança da informação. 1.7.10 Gestão da continuidade do negócio Essa seção, segundo a ABNT (2005), expõe os aspectos da gestão da continuidade do negócio relativos à segurança da informação, com o objetivo de evitar a interrupção das atividades do negócio, proteger os processos críticos contra falhas e assegurar o seu reestabelecimento em tempo hábil. Para uma boa gestão de continuidade do negócio é necessário identificar os riscos, efetuar testes e manutenções e criar planos para gerir as potenciais pausas nas atividades essenciais do negócio que envolva os sistemas de informação. 1.7.11 Conformidade O objetivo desta seção é evitar violações de quaisquer obrigações legais visando garantir que o projeto, a operação, o uso e a gestão de sistemas de informação estejam em conformidade com os requisitos contratuais e leis regulamentadoras (ABNT, 2005). É recomendada a identificação da legislação aplicável, dos direitos de propriedade intelectual, a proteção de
  • 32. 32 registros organizacionais e garantir a privacidade de informações pessoais. Convém garantir a conformidade com as políticas e normas da segurança da informação, efetuando controle de auditoria para verificar se as implementações estão de acordo com as normas técnicas.
  • 33. 33 CAPÍTULO 2 MATERIAIS E MÉTODOS 2.1 Descrições do ambiente de pesquisa O ambiente escolhido para ilustrar a implementação de segurança em redes de computadores foi Distrito de Serviços do Gorutuba (DTGA), que é uma unidade administrativa da Companhia de Saneamento de Minas Gerais (COPASA) no município de Janaúba. A utilização dos recursos computacionais da empresa é regida por uma norma de procedimentos, denominada NP 2011-005/0, que aborda as políticas de segurança da informação. Essa norma está disponível a todos os funcionários através da intranet, juntamente com as demais normas de procedimentos da empresa. Foi desenvolvida em 2011 com o pleno apoio da administração da empresa e define as competências das unidades responsáveis pela gestão da estrutura de rede e das demais unidades da COPASA que a utilizam, a criação de uma Comissão de Segurança da Informação e critérios gerais para utilização dos recursos de informática, segurança da informação e controle de acesso e tratamento de informações do ambiente web. A rede de computadores do DTGA é composta dos equipamentos descritos na relação abaixo, e são organizados conforme a Fig. 8: 40 (quarenta) Computadores com sistemas operacionais Windows XP ou Windows 7; 01 (um) Servidor de arquivos Itautec com processador Intel Inside Xeon; 01 (um) Roteador Cisco modelo CDA 2501; 01 (um) Switch 3Com 28 portas; 01 (um) Modem HDSL New Bridge modelo MainStreet 2821; 01 (um) Switch 3Com 26 portas modelo SuperStack 3 3C17300A 4020; 01 (um) Switch 3Com 28 portas modelo SuperStack 3C17301 4228G.
  • 34. 34 FIGURA 8 - Arquitetura da rede de computadores do DTGA Fonte: Autoria própria Como mostrado na Fig. 8, são apresentados na Fig. 9 a imagem do servidor de arquivos local e o nobreak e na Fig. 10 são apresentados os equipamentos da rede do DTGA. FIGURA 9 - Servidor de arquivos local do DTGA e nobreak Fonte: Autoria própria
  • 35. 35 FIGURA 10 – Equipamentos de rede (modem, roteador, switch e patch panel) Fonte: Autoria própria Os usuários da empresa utilizam a rede para compartilhar arquivos e impressores, acesso à intranet, utilização de software de gestão, acesso à internet (somente alguns computadores possuem acesso à internet) e webmail. O software sistema de gestão (ERP SAP) é instalado em todas as máquinas na forma de terminal cliente, sendo todo o processamento feito em um servidor central na matriz, em Belo Horizonte. Porém não entraremos em detalhes para não fugir do campo de abrangência desta pesquisa. Para acesso às máquinas, segundo a Companhia de Saneamento de Minas Gerais (COPASA, 2011), conforme é descrito na NP 2011-005/0, os usuários necessitam de autenticação na forma de login e senha. Os usuários não possuem permissão para alterar configurações nem instalar softwares nas máquinas, demandas desse tipo são feitas pelos administradores de rede das unidades de gestão. As cópias de segurança (backup) do servidor de arquivos são feitas remotamente para os servidores em Belo Horizonte e possuem frequência de operação diária. Todas as máquinas possuem antivírus MacAfee instalado e, com os sistemas e softwares com programação de atualização automática. A empresa mantém um serviço de Help Desk, composta de uma equipe treinada e capacitada para solucionar a maioria dos problemas que os usuários possam ter com o ambiente de informática, sendo a maior parte dos problemas solucionados por acesso remoto em tempo hábil. Essa estratégia visa reduzir o período de ociosidade que os equipamentos e usuários possam ter com a falha de algum serviço ou equipamento.
  • 36. 36 Não há acesso por meio de tecnologia sem fio a rede do DTGA. 2.2 Metodologias da pesquisa A natureza da pesquisa é definida como qualitativa, por ter característica observacional e compreender os acontecimentos que envolvem a pesquisa. A finalidade da pesquisa é caracterizada como básica, por estar ligada ao incremento do conhecimento cientifico, sem quaisquer objetivos comerciais. O tipo de pesquisa possui natureza descritiva, por ter como objetivo descrever como são implementadas as soluções de segurança de rede e enquadramento quanto a normas técnicas no ambiente pesquisado. A estratégia de pesquisa em relação ao local de coleta de dados se caracteriza como pesquisa de laboratório, onde os dados serão coletados e monitorados a fim de observar seu comportamento em um ambiente controlado. Quanto à fonte de informação, teremos as duas características: em campo, por necessitar consultar alguns especialistas da área, analistas de Tecnologia da Informação (TI) da COPASA, bem como professores que possuem conhecimento sobre o assunto e bibliográfica por ser necessária a consulta de livros, revistas, periódicos, normas técnicas, normas de procedimentos internos da empresa e internet para obter mais informações sobre o tema. Como o ambiente analisado não permite um envolvimento mais profundo, como inserir máquinas particulares nem instalar softwares nas máquinas da rede, devido a restrições das políticas de segurança da empresa, será necessário a aplicação de formulários e realizar entrevistas com os Analistas de TI da COPASA a fim de conhecer, familiarizar, descrever e simular o ambiente operacional de rede da empresa pesquisada para se chegar o mais próximo possível da realidade implementada. Com as informações levantadas, será possível verificar o nível de segurança implantado no ambiente de pesquisa de acordo as normas técnicas e sugerir melhorias para adequação a tais normas. 2.3 Aplicação de formulário para levantamento de informações Para descobrir mais sobre as implementações de segurança da informação no ambiente de rede do DTGA, foi aplicado um formulário, anexo a essa pesquisa como apêndice. Esse formulário foi uma adaptação do formulário aplicado pelo Rosemann (2002) na sua
  • 37. 37 monografia intitulada "Software para avaliação da segurança da informação de uma empresa conforme a norma NBR ISO/IEC 17799" na qual cria um modelo de software na qual é possível avaliar e quantificar a análise de segurança da informação segundo a norma citada. O formulário aplicado é composto de 75 questões, divididas em 11 seções conforme a norma NBR ISO/IEC 27002, e suas respostas são expostas na forma dicotômica, podendo ser respondidas em SIM, caso o questionamento se aplica na empresa, ou NÃO caso contrário. Para obtenção dos resultados serão analisadas as respostas geradas em cada seção em um todo com o objetivo de verificar a conformidade do ambiente analisado com a norma NBR ISO/IEC 27002. 2.4 Análise dos elementos essenciais de segurança da informação No DTGA, foi observado, que para garantir a integridade das informações, é utilizado o método de controle de segurança que, segundo Moraes (2012), é conhecido como Need to Know, em que concede aos usuários permissão de acesso somente aos recursos que são necessários para utilização dos trabalhos, visando garantir a integridade das informações. Somente algumas máquinas possuem acesso liberado à internet, sendo que alguns sites que não tem finalidade compatível com as atividades da empresa são bloqueados pelo servidor proxy. Para garantir a confidencialidade, são utilizados para acessar a rede, a identificação do usuário que, conforme citado anteriormente, é composta de login e senha. O login corresponde a matrícula de registro do funcionário composta de cinco números. A senha deve possuir pelo menos oito caracteres e ser composta de números, letras e caracteres especiais (pelo menos um caractere de cada tipo), sendo expirada automaticamente após 3 meses, devendo ser redefinida após essa prazo. Também são utilizados softwares antivírus em cada máquina, com atualizações constantes, para evitar o furto de informações confidenciais para entidades externas ao sistema. A arquitetura da rede também foi projetada visando dar mais segurança contra invasão, sendo a comunicação com o ambiente externo filtrada por firewalls e há a filtragem de pacotes de rede pelo servidor proxy nas comunicações com a internet. A principal causa de falta de disponibilidades da rede identificada é a falta de energia elétrica, que ocorre muito raramente e por tempo considerado curto, e que não sobrecarrega as atividades da empresa, sendo, portanto, não necessário o investimento em equipamentos que minimizem a situação, como geradores de energia. São utilizados equipamentos NoBreaks
  • 38. 38 para garantir que os servidores serão encerrados corretamente ou aguardar o restabelecimento da energia elétrica. A rotina de backups realizada no servidor de arquivos também contribui para a disponibilidade das informações, sendo restaurados os dados imediatamente sempre que há alguma falha no servidor de arquivos. A equipe de Help Desk também é uma importante estratégia utilizada para restabelecer os recursos em caso de falhas. Na Copasa, os logs de todas as unidades são armazenados na Matriz da empresa pelo servidor de proxy, mas somente são analisados sob demanda ou denúncia de uso inadequado pelos usuários, são sendo gerados alertas de tentativas de burlar as restrições.
  • 39. 39 CAPÍTULO 3 RESULTADOS Para ilustrar os resultados obtidos, foram gerados gráficos com a porcentagem de questões em que foram respondidas afirmativamente e negativamente, em relação ao total de questões aplicadas relativas a cada seção do formulário aplicado. P 120 o 100 100 100 100 100 r 100 92 c 86 83 e 80 80 75 n 67 t a 60 g e 40 33 m 25 20 20 14 17 Sim 8 0 0 0 0 0 Não 0 GRÁFICO 3 - Resultados obtidos por seção da norma Fonte: Autoria própria No Graf. 3 foram mostrados os resultados obtidos individualmente em todas as seções abordadas no formulário aplicado. O objetivo de se mostrar resultados divididos em seções é facilitar a identificação das deficiências encontradas nessa análise. Os resultados foram obtidos de acordo com as respostas do responsável pela segurança da informação na empresa, na Divisão de Telecomunicações (DVTL), foi aplicado somente a este por entender todos os processos que envolvem segurança da informação, e pelo formulário conter alguns conteúdos técnicos que o usuário comum não teria condições de responder com clareza e objetividade.
  • 40. 40 Para ilustrar o resultado de uma forma geral, foi gerado o Graf. 4 mostrado logo abaixo, na qual são utilizados como parâmetros os resultados obtidos em todas as seções no Graf. 3 e retirada uma média aritmética. Resultado Geral 18% Sim Não 82% GRÁFICO 4 - Resultado geral da análise do formulário Fonte: Autoria própria O Graf. 4 ilustra a obtenção de 82% de conformidade com a norma NBR ISO/IEC 27002 e 18% de não conformidade.
  • 41. 41 CAPÍTULO 4 ANÁLISE E DISCURSÃO DOS RESULTADOS Com a análise dos gráficos, verifica-se na Seção 1 - Política de segurança da informação, a obtenção de 100% de adequação do ambiente analisado em relação à norma. Como justificativa para o resultado obtido, verificou-se que a empresa possui um documento aprovado pela direção, em que são descritas as políticas de segurança da informação. Esse documento serve de guia para definir os responsáveis pela implantação da segurança da informação nos diversos setores da empresa, bem como as instruções que deverão ser seguidas pelos usuários para obterem acesso à rede de computadores e como utiliza-la da forma segura. Existe uma comissão interna, denominada Comissão de Segurança da Informação, responsável por analisar e aprovar as propostas de revisão das políticas de segurança, com o objetivo de adequá-la aos interesses da empresa com as boas práticas do mercado. Essa comissão é composta pelos gerentes de todas as áreas responsáveis pela segurança da informação, juntamente com o gerente do setor de auditoria e se reúnem semestralmente ou extraordinariamente quando necessário. Na Seção 2 - Organizando a segurança da informação, obteve-se cerca de 86% de adequação à norma, sendo justificado, também, pela existência da Comissão de Segurança da Informação que coordena as implementações de controles de segurança da informação e analisa criticamente as políticas de segurança da informação. Os riscos de segurança com prestadores de serviço são identificados e controlados e são definidos no contrato os requisitos de segurança da informação, sendo definido pelo controle de acesso, apenas, as funcionalidades necessárias para a realização de serviços terceiros. Um fato negativo encontrado nessa seção é o fato de a empresa nunca obter uma consultoria especializada em segurança da informação, talvez pelo fato de não se ter registros de ataque ou incidentes de segurança informação no ambiente de rede da empresa. Na Seção 3 – Gestão de ativos foi obtida 100% de conformidade com a norma, sendo justificado pelo fato de a empresa manter um rígido controle patrimonial, inclusive com os ativos importantes de segurança da informação, no qual é feito um inventário com os bens sob responsabilidade de cada funcionário. Esse controle garante que nenhum bem patrimonial da empresa seja transferido de local ou responsável sem que seja preenchido um formulário específico de transferência de bens, definindo a origem e o destino desse bem. Semestralmente são feitas pela unidade responsável pelo controle de bens patrimoniais as conferências dos inventários de cada funcionário, garantindo a integridade de cada bem patrimonial da empresa.
  • 42. 42 Na Seção 4 – Segurança em pessoas foi encontrado um baixo nível de conformidade, sendo obtido somente 25% de adequação. Esse resultado se justifica pela falta de investimento da empresa no treinamento e conscientização dos funcionários em como seguir as diretrizes de segurança e formalizar meios para que os mesmos possam notificar as ocorrências de incidentes de segurança. Em contrapartida, existe um canal de comunicação denominado Help Desk, no qual os funcionários podem reportar incidentes de segurança à direção da empresa. Existem também normas disciplinares com o objetivo de dissuadir os funcionários que desrespeitem as normas impostas nas políticas de segurança. Na Seção 5 – Segurança física e do ambiente, o resultado obtido foi de 80% de conformidade com a norma, sendo os fatores importantes para a obtenção desse resultado a implementação de medidas de segurança para acesso as instalações da empresa, como entrada registrada por cartão magnético, funcionários recepcionistas. São utilizados equipamentos Nobreaks para evitar que possíveis quedas de energia elétrica danifiquem os equipamentos ou corrompam arquivos em processamento. Destaca-se que as manutenções dos equipamentos de informática são feitos somente por pessoal autorizado, a solicitação de manutenção dos equipamentos são registrados por meio do canal Help Desk e em caso de impossibilidade de a manutenção dos equipamentos serem feitas na própria unidade, os equipamentos danificados são enviados para a matriz para as devidas providências, transportada somente por funcionários da empresa, sem contato com terceiros, sendo vetada a remoção de equipamentos sem adequada autorização. Existem métodos de bloqueio automático de tela assim que os computadores ficam ociosos por mais de 10 minutos, visando evitar que pessoas não autorizadas tenham acesso à rede de computadores. Conforme comentado na discussão dos resultados da Seção 3, são feitas inspeções regulares para controle patrimonial e os funcionários então cientes que o controle está sendo acompanhado. Os fatores que impactaram negativamente no resultado na Seção 5 foi a falta de instalação adequada dos equipamentos de processamento da rede, como servidores e roteadores, a ausência de trancas para acesso a esses equipamentos e a exposição dos cabeamentos de rede. Na Seção 6 – Gerenciamento das operações e comunicação, os questionamentos foram respondidos na sua totalidade de forma afirmativa, sendo destacado o empenho da empresa em garantir a disponibilidade dos dados, como rotinas de backup bem definidas e documentadas, controle dos softwares instalados nas máquinas, uso de softwares licenciados e antivírus nas máquinas, verificação do tráfego de dados com a rede externa por meio de antivírus de gateway, utilização de VPN na comunição entre a rede do DTGA e o backbone da empresa. As rotinas de backup são realizadas remotamente e são armazenadas em local
  • 43. 43 seguro na matriz. Os funcionários são orientados a utilizarem o correio eletrônico somente para atividades relacionadas com o negócio da empresa. Na Seção 7 – Controle de acesso, obteve-se o resultado de quase 92%, destacando-se a eficiência nos procedimentos adotados para o controle de acesso a rede. As regras para o controle de acesso estão documentadas na política de segurança e a concessão de privilégios de acesso somente são concedidos após análise das necessidades dos usuários. Recentemente, foi disponibilizado um guia para orientar os usuários na escolha de senhas e foram definidos novos procedimentos para composição de senha como tamanho mínimo de oito caracteres, obrigatoriamente composta de pelo menos um numeral, letra e caractere especial e deverá ser alterada após um período de três meses, sendo vetada a reutilização das últimas três senhas. O login de identificação é individual e representa a matrícula de cada funcionário. O horário das máquinas é sincronizado pela rede e os usuários comuns não possuem autorização de acesso a alteração dessa propriedade. Na Seção 8 – Desenvolvimento e manutenção de sistemas foram aplicados somente duas questões, devido a não identificação desta seção com as atividades desenvolvidas pela empresa. Apesar disso, obteve-se 100% de adequação devido a utilização de softwares antivírus nas máquinas, antivírus de gateway na interface de comunicação com a rede externa e atualização constantes dos softwares e sistemas visando garantir a não ocorrência de falhas e introdução de Cavalos de Troia. Na Seção 9 – Gestão de incidentes de segurança da informação o resultado obtido foi de 33%, sendo novamente os fatores determinantes desse resultado a falta de comunicação da empresa com os usuários da rede quando o assunto é segurança da informação. Apesar da preocupação de se notificar a direção da empresa em caso de ocorrência de incidentes de segurança da informação, não existe o alerta para que os funcionários notifiquem eventos de segurança da informação nem algum formulário que apoie estes em caso de incidentes. Na Seção 10 – Gestão da continuidade do negócio obteve-se o resultado de 100% pelo fato de a empresa identificar as possíveis causas de interrupções nos sistemas que influem diretamente no negócio e tomar medidas que garantem a continuidade do negócio como uso de instalação de extintores de incêndio, utilização de equipamentos no-breaks e rotinas de backup. Na Seção 11 – Conformidade obteve-se 83% de conformidade com a norma. Foi identificada que a empresa possui políticas que asseguram a aquisição e instalação de software com licença de utilização, sendo sempre respeitada as leis de direitos autorais e patentes, e vetada a cópia por pessoal não autorizado. São sempre armazenadas em arquivo físico os registros
  • 44. 44 importantes da empresa, é vetado o uso de recursos de processamento para finalidade que não seja compatível com a natureza das atividades da empresa, bem como usos particulares e as máquinas possuem mensagens na tela de logon, informando que é um sistema restrito somente aos usuários com acesso a rede. O fator negativo identificado nessa seção foi a falta de procedimentos de auditoria visando minimizar o risco de interrupção dos processos do negócio. No geral, foi obtido o resultado de 82% de adequação com as práticas abordadas na norma NBR ISO/IEC 27002/2005, sendo considerado um ótimo resultado, onde observou-se que a empresa mantém boas implementações físicas e lógicas no âmbito da segurança da informação, mas peca em treinar, instruir e conscientizar os funcionários para o uso correto da infraestrutura da empresa, bem como não possui meios facilitados para que os funcionários possam notificar incidentes de segurança nem facilita o acesso a política de segurança da informação.
  • 45. 45 CONSIDERAÇÕES FINAIS A segurança da informação é um dos principais fatores para o bom funcionamento de sistemas informatizados e a sua boa gestão traz excelentes resultados para a continuidade dos negócios de qualquer organização, trazendo confiança nos serviços oferecidos e reduzindo perdas com a indisponibilidade de recursos e roubos de informações, sendo esses os itens principais que garantam a importância dessa pesquisa e o que a torna totalmente aplicável em qualquer organização que utilize sistemas informatizados na execução das suas atividades. Analisando os resultados obtidos, avalia-se a estrutura de redes do ambiente analisado como um ambiente seguro, com pouca visada de ataques, poucos incidentes de contaminação por vírus, sem registros de ataques externos e raríssimos registros de indisponibilidade dos recursos. São identificados poucos incidentes de indisponibilidade da rede, sendo os meios utilizados para controlar e restabelecer a comunicação considerada eficiente para este tipo de ambiente e atividades desenvolvidas. O resultado obtido de 82% de conformidade com a norma verifica as boas implementações da empresa com as práticas sugeridas, contribuindo assim para um ambiente informatizado mais seguro, tendo se em vista que o ambiente analisado tem poucos registros de tentativas de ataques, poucos incidentes de contaminação por vírus, sem registros de ataques externos, raríssimos registros de indisponibilidade dos recursos, apesar de não existir no mundo um ambiente informatizado 100% seguro e imune a ataques. Serão sugeridas melhorias nos itens identificados, principalmente em segurança em pessoas e gestão de incidentes de segurança da informação por apresentarem baixos índices de conformidade e com resultados abaixo da média em relação aos demais, mesmo assim considerado de igual importância pela norma ISO/IEC 27002. A segurança em pessoas é fundamental para toda a gestão de segurança da informação, pois são pessoas que utilizam os sistemas informatizados e os principais incidentes são ocasionados pela falta de orientação ou mau uso por parte dos usuários. Os objetivos da pesquisa foram atingidos já que se conseguiu identificar os principais métodos sugeridos pela norma, com resultados satisfatórios, e foram apontados itens para melhoria das práticas visando o aumento e controle da segurança da informação. Como pesquisas futuras, podem ser feitos estudos para propor melhorias no desempenho da comunicação da rede de computadores do DTGA e outras unidades semelhantes, bem como aplicar uma pesquisa investigativa, como forense computacional, visando identificar possíveis
  • 46. 46 incidentes de segurança da informação que venham a acontecer, e estudar meios de como trata-los e, se possível, evitar futuros incidentes.
  • 47. 47 REFERÊNCIAS ALBUQUERQUE, Fernando. TCP/IP Internet: Protocolos & Tecnologia. Rio de Janeiro: Alta Books, 2001. 3. ed. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. 120 p. COMPANHIA DE SANEAMENTO DE MINAS GERAIS. NP 2011-005/0: Utilização de recursos computacionais, segurança e tratamento de informações. Belo Horizonte, 2011. 16 p. MELO, Sandro. Computação Forense com software livre: conceitos, técnicas, ferramentas e estudos de casos. Rio de Janeiro: Alta Books, 2009. MORAES, Alexandre Fernandes de. Segurança em redes: Fundamentos. São Paulo: Editora Érica, 2010. NAKAMURA, Emilio Tissato; GEUS, Paulo Lício de. Segurança de redes em ambientes cooperativos. São Paulo: Novatec, 2007. PFAFFENBBERGER, Bryan. Estratégias de extranet. São Paulo: Berkeley Brasil, 1998. PINHEIRO, José Maurício Santos. Programas de Segurança para Redes Corporativas. Disponível em: http://www.projetoderedes.com.br/artigos/artigo_programas_de_seguranca_para_redes_corpo rativas.php. Acesso em: 19 abr. 2012. ROSEMANN, Douglas. SOFTWARE PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO DE UMA EMPRESA CONFORME A NORMA NBR ISO/IEC 17799. 2002. 102 f. Monografia (Graduação em Ciências da Computação) – Centro de Ciências Exata e Naturais, Universidade Regional de Blumenau, Blumenau, 2002. STALLINGS, Willian. Redes e sistemas de comunicação de dados. 5 ed. Rio de Janeiro: Elsevier, 2005. TANENBAUM, Andrew S. Redes de Computadores. 4 ed. Rio de Janeiro: Editora Campus, 2003.
  • 48. 48 TORRES, Gabriel. Redes de Computadores: Curso Completo. Rio de Janeiro: Editora Axcel Books do Brasil, 2001. VALLE, James Della, ULBRICH, Henrique César. Universidade Hacker: Desvende todos os segredos do submundo dos hackers. 6 ed. São Paulo: Digerati Books, 2009.
  • 49. 49 APÊNDICE A – FORMULÁRIO DE VERIFICAÇÃO DE ADEQUAÇÃO A NBR ISO/IEC 27002:2005 Questão de auditoria S N 1 Política de segurança da informação 1.1 Se existe alguma política de segurança da informação, que seja aprovado pela direção, publicado e comunicado, de forma adequada, para todos os funcionários. 1.2 Se esta expressa as preocupações da direção e estabelece as linhas-mestras para a gestão da segurança da informação. 1.3 Se a política de segurança tem um gestor que seja responsável por sua manutenção e análise crítica, de acordo com um processo de análise crítica definido. 1.4 Se o processo garante que a análise crítica ocorra como decorrência de qualquer mudança que venha afetar a avaliação de risco original. Exemplo: Incidentes de segurança significativos, novas vulnerabilidades ou mudanças organizacionais ou na infra-estrutura técnica. 2 Organizando a segurança da informação 2.1 Se existe um fórum multifuncional com representantes da direção de áreas relevantes da organização para coordenar a implementação de controles de segurança da informação. 2.2 Se as responsabilidades pela proteção de cada ativo e pelo cumprimento de processos de segurança específicos sejam claramente definidos. 2.3 Se foi implantado um processo de gestão de autorização para novos recursos de processamento da informação. Isto deve incluir todos os novos recursos, como hardware e software. 2.4 Se uma consultoria especializada em segurança da informação é obtida quando apropriado. Um indivíduo específico deve ser identificado para coordenar conhecimentos e experiências dentro da organização para assegurar consistência, e prover ajuda na decisão de segurança. 2.5 Se a implementação da política de segurança é analisada criticamente, de forma independente. Isto é para fornecer garantia de que as práticas da organização refletem apropriadamente a política, e que esta é adequada e eficiente. 2.6 Se os riscos de segurança com prestadores de serviço trabalhando no ambiente da empresa foram identificados e controles apropriados são identificados. 2.7 Se os requisitos de segurança são definidos no contrato com prestadores de serviços, quando a organização tiver terceirizado o gerenciamento e controle de todos ou alguns dos sistemas de informação, redes e/ ou estações de trabalho. 3 Gestão de ativos 3.1 Se um inventário ou registro é mantido com os ativos importantes relacionados com cada sistema de informação. 3.2 Se cada ativo identificado possui um gestor, se foi definido e acordado na classificação de segurança, e se sua localização foi definida.
  • 50. 50 4 Segurança em pessoas 4.1 Se regras e responsabilidades de segurança são documentadas onde for apropriado, de acordo com a política de segurança da informação da organização. 4.2 Se os funcionários são questionados a assinarem acordos de confidencialidade ou não divulgação como parte dos termos e condições iniciais de contratação. 4.3 Se os termos e condições de trabalho determinam as responsabilidades dos funcionários pela segurança da informação. Quando apropriado, estas responsabilidades devem continuar por um período de tempo definido, após o término do contrato de trabalho. 4.4 Se todos os funcionários da organização e, onde for relevante, prestadores de serviços recebem treinamento apropriado e atualizações regulares sobre as políticas e procedimentos organizacionais. 4.5 Se existe um procedimento ou diretriz formal para reportar incidentes de segurança através dos canais apropriados da direção, o mais rapidamente possível. 4.6 Se existe um procedimento ou diretriz formal para que os usuários sejam instruídos a registrar e notificar quaisquer fragilidades ou ameaças, ocorridas ou suspeitas, na segurança de sistemas ou serviços. 4.7 Se foram estabelecidos procedimentos para notificar qualquer mau funcionamento de software. 4.8 Se existe um processo disciplinar formal para os funcionários que tenham violado as políticas e procedimentos de segurança organizacional. Tal processo pode dissuadir funcionários que, de outra forma, seriam inclinados a desrespeitar os procedimentos de segurança. 5 Segurança física e do ambiente 5.1 Se barreiras físicas, como recursos de segurança, foram implementadas para proteger o serviço de processamento da informação. Alguns exemplos de tais recursos de segurança são o controle por cartão do portão de entrada, muros, presença de um funcionário na recepção, etc. 5.2 Se existem controles de entrada para permitir somente a entrada do pessoal autorizado dentro de várias áreas da organização. 5.3 Se as salas, que possuem o serviço de processamento de informação ou contêm armários fechados ou cofres, são trancadas. 5.4 Se o equipamento foi instalado em local apropriado para minimizar acesso não autorizado à área de trabalho. 5.5 Se o equipamento é protegido contra falhas de energia e outras anomalias na alimentação elétrica., utilizando fornecimento de energia permanente como alimentação múltipla, no-break, gerador de reserva, etc. 5.6 Se o cabeamento elétrico e de telecomunicações que transmite dados ou suporta os serviços de informação é protegido contra interceptação ou dano. 5.7 Se a manutenção é realizada apenas pelo pessoal autorizado. 5.8 Se são mantidos registros com todas as falhas suspeitas ou ocorridas e de toda a manutenção corretiva e preventiva.
  • 51. 51 5.9 Se os controles apropriados são utilizados quando do envio de equipamentos para manutenção fora da instalação física. 5.10 Se um equipamento é autorizado pela direção quando necessitar ser utilizado fora das instalações da organização. 5.11 Se um serviço de bloqueio automático de tela de computador está ativo. Isso irá travar o computador sempre que for 5.12 deixado ocioso por um determinadodeixar qualquer material Se os empregados são avisados para tempo. confidencial de forma segura e trancada. 5.13 Se é vetada a remoção de equipamentos, informações ou software sem adequada autorização. 5.14 Se inspeções regulares são realizadas para detectar remoção de propriedade não autorizada. 5.15 Se as pessoas estão cientes que estas inspeções regulares estão realizadas. 6 Gerenciamento das operações e comunicações 6.1 Se uma política de segurança identifica qualquer procedimento operacional como backup, manutenção de equipamentos, etc. 6.2 Se estes procedimentos estão documentados e são utilizados. 6.3 Se todos os programas executados no sistema de produção são submetidos ao controle estrito de mudanças. Qualquer mudança nesses programas de produção deve ser autorizada pelo controle de mudanças. 6.4 Se existe algum controle contra o uso de software malicioso. 6.5 Se a política de segurança define características de licenciamento de software como proibição do uso de software não autorizado. 6.6 Se um software antivírus está instalado nos computadores para verificar e isolar ou remover qualquer vírus do computador ou mídia. 6.7 Se a assinatura deste software está atualizada em uma base regular para verificar por últimas versões de vírus. 6.8 Se todo o tráfego originado de uma rede insegura para a organização é verificado por vírus. Exemplo: Verificar vírus no e-mail, anexos de e-mail , web, tráfego FTP. 6.9 Se cópias de segurança de informações essenciais aos negócios como servidor de produção, componentes críticos de rede, configuração, etc, são realizadas regularmente. Exemplo: Segunda-Quinta: Cópia incremental. Sexta: Cópia completa. 6.10 Se a mídia que contém a cópia de segurança e o procedimento para restaurar tal cópia são armazenados seguramente e bem longe do local onde foram realizadas. 6.11 Se existe algum controle especial para assegurar confidencialidade e integridade do processamento de dados em uma rede pública e para proteger sistemas conectados. Exemplo: Redes privadas virtuais (VPN), outros mecanismos de encriptação e hashing, etc. 6.12 Se a documentação do sistema é protegida contra acesso não autorizado. 6.13 Se a lista de acesso para a documentação do sistema é mantida mínima e autorizada pelo dono da aplicação. Exemplo: Documentação do sistema necessita ser mantida em um drive compartilhado para fins específicos. A documentação necessita ter listas de controle de acessos ativa (para ser acessada somente por usuários limitados).
  • 52. 52 6.14 Se existe uma política ativa para o uso de correio eletrônico ou política de segurança que define características em relação ao uso do correio eletrônico. 6.15 Se controles como verificação de antivírus, isolação de anexos potencialmente inseguros, controle de spam, anti relaying, etc, estão ativos para reduzir os riscos criados pelo correio eletrônico. 7 Controle de acesso 7.1 Se os requisitos do negócio para controle de acesso foram definidos e documentados. 7.2 Se a política de controle de acesso define as regras e direitos para cada usuário ou um grupo de usuários. 7.3 Se a concessão e o uso de quaisquer privilégios de um sistema de informação multiusuário é restrito e controlado, por exemplo, se privilégios são concedidos pela necessidade do usuário, e somente depois de um processo de autorização formal. 7.4 Se os usuários são solicitados a assinar uma declaração a fim de manter a confidencialidade de sua senha pessoal. A concessão e alteração de senhas devem ser controladas por um processo de gerenciamento formal. 7.5 Se existe alguma diretriz para guiar usuários na escolha e manutenção segura de senhas. 7.6 Se o acesso ao sistema de informação é realizado através de um processo seguro de entrada (login) no sistema. 7.7 Convém os usuários (incluindode pessoal de suporte técnico, Se todos que o procedimento o entrada no sistema de computador seja projetado para minimizar a oportunidade de como operadores, administradores de redes, programadores acessos não autorizados. de sistema e administradores de rede) tenham um identificador único. 7.8 As o método de autenticação utilizado somente seridentidade Se contas genéricas de usuário devem confirma a fornecidas sobre circunstâncias excepcionais no qual há um benefício de alegada pelo usuário. Método comumente utilizado: Senhas negócio claro. Controles adicionais devem ser necessários somente conhecidas pelos usuários. para gerenciar as contas. 7.9 Se existe um sistema de gerenciamento de senhas que reforça vários controles de senhas, como: Senha individual, reforça alterações de senha, gravar senha de forma criptografada, não mostrar senhas na tela, etc. 7.10 Terminais inativos em áreas públicas devem ser configurados para limpar a tela ou desligar automaticamente após um período predeterminado de inatividade. 7.11 Se o acesso à aplicação por vários grupos ou pessoal dentro da organização é definido na política de controle de acesso como requisito de aplicação de negócio individual e é consistente com a política de acesso a Informação da organização. 7.12 Se trilhas de auditoria registrando as exceções e outros eventos de segurança relevantes são produzidas e mantidas por um período de tempo acordado para auxiliar em investigações futuras e na monitoração do controle de acesso. 7.13 Se os computadores ou dispositivos de comunicação têm a capacidade de operar com um relógio em tempo real, ele deve ser ajustado conforme o padrão adotado, por exemplo, o tempo coordenado universal (Universal Coordinated time – UCT) ou um padrão local de tempo. O estabelecimento correto dos relógios dos computadores é importante para garantir a exatidão dos registros de auditoria. 8 Desenvolvimento e manutenção de sistemas 8.1 Se foram implantados controles para assegurar que covert channels e cavalos de Tróia não foram introduzidos em novos sistemas ou atualizações. Um covert channel pode expor informações por meios indiretos e obscuros. Cavalo de Tróia é desenvolvido para afetar um sistema de forma não autorizada.
  • 53. 53 8.2 A atualização do software operacional, de aplicativos e de bibliotecas de programas são executadas somente por administradores treinados e com autorização gerencial? 9 Gestão de incidentes de segurança da informação 9.1 A direção da empresa é notificada quando ocorre algum evento de segurança da informação? 9.2 Os funcionários e demais usuários dos sistemas são alertados sobre a sua responsabilidade de notificar qualquer evento de segurança da informação, de forma ágil? 9.3 Existe algum formulário para apoiar a ação de notificar um evento de segurança da informação e ajudar as pessoas a lembrar as ações necessárias para a notificação do evento? 10 Gestão da continuidade do negócio 10.1 Se eventos que podem causar interrupções ao processo de negócio foram identificados. Exemplo: Falha de equipamento, inundação e fogo. 10.2 Se foram desenvolvidos planos para restaurar operações do negócio dentro de um período de tempo requerido após uma interrupção ou falha do processo de negócio. 11 Conformidade 11.1 Se existe algum procedimento para assegurar conformidade com as restrições legais no uso de material de acordo com as leis de propriedade intelectual, como as de direitos autorais, patentes ou marcas registradas. 11.2 Se produtos de software proprietários são fornecidos sob um contrato de licenciamento que restringe o uso dos produtos em máquinas especificadas e que pode limitar a cópia apenas para criação de uma cópia de segurança. 11.3 Se registros importantes da organização são protegidos contra perda, destruição ou falsificação. 11.4 Se o uso de recursos de processamento da informação para algum propósito sem relação com o negócio ou não autorizado, sem aprovação da direção, é tratado como uso impróprio do recurso. 11.5 Se é apresentada uma mensagem na tela do computador, no log-on, indicando que o sistema é privado e o acesso não autorizado não é permitido. 11.6 Se requisitos de auditoria e atividades envolvendo verificações em sistemas operacionais são cuidadosamente planejados e acordados para minimizar o risco de interrupção dos processos do negócio.