1. 1 Diego Villendel Rodrigues RochaSEGURANA DA INFORMAO EM AMBIENTES CORPORATIVOS: ANLISE DE SEGURANA DA INFORMAO DO DISTRITO DO GORUTUBA E VERIFICAO DA SUA ADEQUAO NBR ISO/IEC 27002:2005 Monografia apresentada ao Curso de Engenharia da Computao da Faculdade de Cincia e Tecnologia de Montes Claros, como parte dos requisitos para obteno do diploma de Engenheiro da Computao. Orientador: PROF. RODRIGO CAETANO FILGUEIRA Montes Claros 2012

2. 2 FUNDAO EDUCACIONAL MONTES CLAROS Faculdade de Cincia e Tecnologia de Montes Claros Diego Villendel Rodrigues RochaSEGURANA DA INFORMAO EM AMBIENTES CORPORATIVOS: ANLISE DE SEGURANA DA INFORMAO DO DISTRITO DO GORUTUBA E VERIFICAO DA SUA ADEQUAO NBR ISO/IEC 27002:2005 Esta monografia foi julgada adequada como parte dos requisitos para a obteno do diploma de Engenheiro da Computao aprovada pela banca examinadora da Faculdade de Cincia e Tecnologia de Montes Claros. ______________________________________ Prof. Maurlio Jos Incio Coord. do Curso de Engenharia da ComputaoBanca ExaminadoraProf. Rodrigo Caetano Filgueira, FACIT/(Orientador) _______________________________________Prof. Ms. Leonardo Santos Amaral _______________________________________ Montes Claros, 26 de novembro de 2012

3. 3Dedico este trabalho as pessoas que viram nosmeus olhos no apenas um sonho, mas sim obrilho de quem sonha em ser um vencedor.

4. 4 AGRADECIMENTOSAgradeo primeiramente a Deus por me dar a oportunidade de chegar a um momento toimportante em minha vida e aos meus pais pelo devido apoio e compreenso da minhaausncia, justificada pela execuo deste importante trabalho. Agradeo aos meus amigos pelafora e apoio dado nos momentos difceis e aos professores por contriburem diretamente naminha formao e na construo de meus sonhos.

5. 5"Computadores e redes podem mudar nossasvidas para melhor ou para pior. O mundo virtualtem as mesmas caractersticas do mundo real, eh tempos, os eventos de segurana, ataques einvases a computadores deixaram de seratividades solitrias e no destrutivas."Adriano Mauro Cansian Professor Titular daUnesp.

6. 6 RESUMOEsta pesquisa visa abordar os principais mtodos, equipamentos, tecnologias e procedimentosnecessrios para garantir segurana da informao em ambientes corporativos com acesso ainternet.Como fundamentos para a pesquisa, foram revisados os principais conceitos de segurana dainformao, bem como a sua necessidade do mundo atual, conceitos de redes decomputadores, segurana de rede e a norma NBR ISO/IEC 27002 que sugere implementaespara serem aplicados em ambientes corporativos visando obter melhores resultados emsegurana da informao e tratar seus incidentes.Para ilustrar o estudo, foi feita uma anlise em um ambiente empresarial real, identificando osequipamentos da rede de computadores e levantando os principais meios utilizados naempresa para garantir a segurana no trfego das informaes objetivando verificar aconformidade desses mtodos com as normas tcnicas. Para servir de parmetros para aanlise de segurana, foi feita a aplicao de um formulrio no ambiente pesquisado com oobjetivo de se ter uma avaliao das implementaes de segurana da informao do ambientepesquisado em relao a NBR ISO/IEC 27002.Palavras-Chave: Segurana de rede, segurana da informao, NBR ISO/IEC 27002.

7. 7 ABSTRACTThis research aims to approach the main methods, equipment, technologies and procedures toensure the security of information in corporative environments with internet access.As fundamentals for the search, main concepts of information security were revised, as wellas its necessity in the world nowadays, concepts of computer networks, network security andNBR ISO/IEC 27002 rule that suggests that implementations to be applied in environmentscorporative to obtain better results in information security and treat their incidents.In order to illustrate the study, an analysis in a real business environment was done,identifying the equipment of the computer network and raising the main means used in thecompany to ensure the safety of traffic information in order to verify the compliance of thesemethods with technical standards. To serve as parameters for the safety analysis, theapplication was made in the form of a searchable environment in order to get an assessment ofimplementations of information security environment studied in relation to ISO/IEC 27002.Keywords: Network security, information security, NBR ISO/IEC 27002.

8. 8 LISTA DE ILUSTRAESFIGURA 1 - Topologia de rede ponto a ponto ......................................................................... 14FIGURA 2 - Topologia de rede barramento ............................................................................. 15FIGURA 3 - Topologia de rede anel ........................................................................................ 15FIGURA 4 - Topologia de rede estrela .................................................................................... 16QUADRO 1 - Modelo OSI na forma de pilha .......................................................................... 16FIGURA 5 - TCP/IP e sua correspondncia com o modelo OSI ............................................. 19GRFICO 1 - Relatrio de evoluo do nmero de incidentes de segurana da informaoregistrados no Brasil ................................................................................................................. 21GRFICO 2 - Pases de pases que originam ataques aos sistemas brasileiros ....................... 22FIGURA 6 - Exemplo de implementao do firewall .............................................................. 23FIGURA 7 - Exemplo de implementao do DMZ ................................................................. 24FIGURA 8 - Arquitetura da rede de computadores do DTGA ................................................ 34FIGURA 9 - Servidor de arquivos local do DTGA e nobreak ................................................. 34FIGURA 10 - Equipamentos de rede (modem, roteador, switch e patch panel ....................... 35GRFICO 3 - Resultados obtidos por seo da norma ............................................................ 39GRFICO 4 - Resultado geral da anlise do formulrio ......................................................... 40

9. 9 LISTA DE SIGLASABNT Associao Brasileira de Normas TcnicasACL - Access Control ListsAES - Advanced Encryption StandardAH - Authentication HeaderARP - Addres Resolution ProtocolCERT - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no BrasilCOPASA Companhia de Saneamento de Minas GeraisDES - Data EncryptionDMZ DeMilitarized Zone NetworkDNS - Domain Name SystemDTGA Distrito do GorutubaESP - Encapsulating Security PayloadFTP File Transfer ProtocolHIDS - IDS baseado em HostHTTP - Hypertext Transfer ProtocolICMP - Internet Control Message ProtocolIDS Intrusion Detection SystemsIEC - International Electrotechnical CommissionIP Internet ProtocolIPsec IP SecurityISO - Institute of Standardization OrganizationNBR Norma Brasileira RegulamentatriaNIDS - IDS baseado em redeNP Norma de ProcedimentosOSI - Open Systems InterconnectionRARP Reverse Addres Resolution ProtocolSMTP - Simple Mail Transfer ProtocolSPI - Security Parameters IndexTCP - Transmission Control ProtocolUDP User Datagram ProtocolVPN Virtual Private Network

10. 10 SUMRIOINTRODUO ...................................................................................................................... 12CAPTULO 1 REDES DE COMPUTADORES E SEGURANA DE REDE ................. 141.1 Redes de Computadores ..................................................................................................... 141.2 Modelo OSI ........................................................................................................................ 161.3 TCP/IP ................................................................................................................................ 181.4 Internet ............................................................................................................................... 191.5 Necessidade de segurana de redes .................................................................................... 191.6 Segurana de rede ............................................................................................................... 221.6.1 Firewall ........................................................................................................................... 231.6.1.1 DMZ ............................................................................................................................. 241.6.2 Criptografia...................................................................................................................... 241.6.3 IPSec ................................................................................................................................ 251.6.4 VPN ................................................................................................................................. 251.6.5 Sistema de deteco de intruso ...................................................................................... 261.6.6 Autenticao e controle de acesso ................................................................................... 261.6.7 Elementos essenciais de segurana da informao.......................................................... 271.7 NBR/IEC ISO 27002:2005 ................................................................................................. 271.7.1 Poltica de segurana da informao ............................................................................... 281.7.2 Organizando a segurana da informao ......................................................................... 281.7.3 Gesto de ativos ............................................................................................................... 291.7.4 Segurana em recursos humanos ..................................................................................... 291.7.5 Segurana fsica e do ambiente ....................................................................................... 291.7.6 Gerenciamento das operaes e comunicao................................................................. 301.7.7 Controle de acessos ......................................................................................................... 301.7.8 Aquisio, desenvolvimento e manuteno de sistemas de informao ......................... 301.7.9 Gesto de incidentes de segurana da informao .......................................................... 311.7.10 Gesto da continuidade do negcio ............................................................................... 311.7.11 Conformidade ................................................................................................................ 31CAPTULO 2 MATERIAIS E MTODOS ......................................................................... 33

11. 112.1 Descries do ambiente de pesquisa .................................................................................. 332.2 Metodologias da pesquisa................................................................................................... 362.3 Aplicao de formulrio para levantamento de informaes ............................................. 362.4 Anlise dos elementos essenciais de segurana da informao ......................................... 37CAPTULO 3 RESULTADOS .............................................................................................. 39CAPTULO 4 ANLISE E DISCURSO DOS RESULTADOS ...................................... 41CONSIDERAES FINAIS ................................................................................................. 45REFERNCIAS ..................................................................................................................... 47APNDICE A FORMULRIO DE VERIFICAO DE ADEQUAO A NBRISO/IEC 27002:2005 ............................................................................................................... 49

12. 12 INTRODUOA necessidade de informatizar os processos de negcio, bem como o investimento emsegurana da informao algo extremamente importante e comum em qualquer empresa quevisa a competitividade no mundo contemporneo. A segurana da informao tem o objetivode garantir a sobrevivncia de negcios em empresas que possuem os processosinformatizados totalmente envolvidos com o desenvolvimento das atividades. Visa garantir aconfiabilidade e continuidade dos negcios, melhora a imagem da empresa perante omercado, evita perdas e transtornos e com isso facilita o exerccio das atividades fins daempresa. Existem normas que regulamentam as boas prticas de segurana da informao,dentre elas a NBR ISO/IEC 27002:2005 que ser objeto de nosso estudo e fundamental paraobteno dos resultados dessa pesquisa.Essa pesquisa tem o objetivo de apontar os principais itens, conceitos e tecnologias dasegurana da informao, efetuar o estudo da norma que regulamenta as prticas de seguranada informao em um ambiente empresarial e aplicar essa norma em um ambiente corporativoreal. As hipteses principais desta pesquisa que a NBR ISO/IEC 27002 eficaz e que oambiente empresarial estudado seguro no tratamento de informaes, nas quais essashipteses sero verificadas nas discusses dos resultados. Com a aplicao desta pesquisa,poderemos concluir se segurana da informao em sistemas de informao das empresas realmente necessrio, se o ambiente estudado seguro, se as prticas sugeridas pela normaso aplicveis e eficazes.O Captulo 1 mostra, de acordo com a literatura dos principais autores de obras sobre redes decomputadores e segurana de redes, onde so destacados os principais conceitos de redes decomputadores, os principais protocolos de comunicao, necessidade de segurana dainformao, principais conceitos de segurana de redes, seus equipamentos e tecnologias. feita tambm uma pequena reviso sobre a NBR ISO/IEC 27002:2005, destacando de formageral as sees em que so organizadas essa norma e suas principais abordagens erecomendaes.O Captulo 2 tem o objetivo de apresentar o ambiente pesquisado e os materiais e mtodosutilizados para desenvolver a pesquisa. feita a apresentao da estrutura de redes decomputadores de uma unidade administrativa da Copasa, denominada DTGA, relatadas asprincipais prticas de segurana da informao identificadas e feita uma anlise dos elementosessenciais da segurana da informao. Neste captulo tambm explicado a estrutura e

13. 13objetivos do formulrio aplicado nesta pesquisa para verificao da adequao das prticas doambiente pesquisado em relao a norma apresentada.No Captulo 3 so apresentados os grficos com os resultados obtidos com a aplicao doformulrio acima citado e no Captulo 4 so analisados e discutidos esses resultados obtidos,identificando os principais pontos positivos e negativos que influenciaram na obteno dosresultados.Nas consideraes finais apresentada uma concluso geral da pesquisa e dos resultados, sosugeridas adaptaes que podem ser aplicadas pela empresa para melhorar a segurana dainformao e adequao a norma regulamentadora e so expostos alguns tpicos para futuraspesquisas.No apndice apresentado o formulrio aplicado para levantamento de informaes paraobteno e discusso dos resultados.

14. 14CAPTULO 1 REDES DE COMPUTADORES E SEGURANA DE REDES1.1 Redes de ComputadoresReferem-se a redes de computadores quando dois ou mais computadores esto interligadossob algum meio e regida sob um conjunto de protocolos, com o intuito de transferir oucompartilhar dados, informaes ou recursos, encurtar distncias, unir departamentos, entreoutros. Tambm podemos definir rede de computadores como "um conjunto de computadoresautnomos interconectados por uma nica tecnologia" (TANENBAUM, 2003, p. 15).Segundo Valle e Ulbrich (2009), as redes de computadores evoluram das redes telefnicas,que foi uma evoluo dos telgrafos.As redes de computadores so compostas de vrios componentes fsicos (estrutura fsica),organizados sob algum tipo de organizao (topologia) e regidos sob algumas normas(protocolos). A estrutura fsica inclui os equipamentos de hardware que compem a rede,como: hubs, switches, roteadores, placas de rede, cabeamento, antenas, servidores, clientes,etc. As principais topologias so : ponto a ponto, barramento, anel e estrela. FIGURA 1 - Topologia de rede ponto a ponto Fonte: Autoria prpriaNa topologia ponto a ponto, tambm conhecida como linear, os computadores so ligados emsrie e os dados transmitidos passam por todos os computadores, mas somente sointerceptados pela mquina receptora.

15. 15FIGURA 2 - Topologia de rede barramentoFonte: Autoria prpriaNa topologia de redes em barramento, os computadores compartilham um mesmo barramentofsico, geralmente esse barramento um cabo coaxial. Uma caracterstica dessa topologia que apenas uma mquina pode escrever no barramento por vez, os dados chegam a todas asmquinas, porm apenas a mquina destinatria pode captar os dados. FIGURA 3 - Topologia de rede anel Fonte: Autoria prpriaNa topologia em anel, os computadores so ligados em um circuito fechado, como um circulo.Segundo Valle e Ulbrich (2009), um exemplo dessa topologia a conhecida como TokenRing.

16. 16 FIGURA 4 - Topologia de rede estrela Fonte: Autoria prpriaNa topologia em forma de estrela, os computadores so interligados por um equipamentocentralizador, como um hub ou switch, em que todos os dados tm que obrigatoriamentepassar por esse dispositivo.1.2 Modelo OSIO Open Systems Interconnection (OSI) um modelo de conjunto de protocolos decomunicao organizada em uma pilha de 7 camadas: fsica, enlace, rede, transporte, sesso,apresentao e aplicao. Como mostrada no Quad. 1 abaixo. QUADRO 1 Modelo OSI na forma de pilha Fonte: Autoria prpria

17. 17Cada camada composta por um conjunto de protocolos responsvel por oferecer umconjunto de servios especficos. "Os protocolos so agrupados em famlias organizadas emcamadas que, por sua vez, formam uma pilha" (ALBUQUERQUE, 2001, p. 10). A pilha podeser observada no Quad.1, onde as camadas so organizadas uma sobre a outra seguindo umacerta ordem.A camada de Aplicao tem a funo de fazer "a interface entre o protocolo de comunicao eo aplicativo que pediu ou receber a informao atravs da rede" (TORRES, 2001, p. 43).Essa camada a que est mais prxima ao usurio.A camada de Apresentao traduz os dados recebidos pela aplicao a um formato comum aser usado na transferncia. Essa camada "est relacionada a sintaxe e a semntica dasinformaes transmitidas" (TANENBAUM, 2003, p. 45), ou seja, est diretamenterelacionada com a forma com que os dados sero apresentados. "Pode ter outros usos, comocompresso de dados e criptografia" (TORRES, 2001, p. 44).A camada de Sesso responsvel por estabelecer uma comunicao entre doiscomputadores, define como ser feita a transmisso e insere marcadores nos dados para quecaso haja alguma falha na transmisso, esta pode ser retomada a partir dos dados marcados.Complementando, segundo Tanenbaum (2003), essa camada oferece diversos servios como:controle de dilogo (define quem ir transmitir), gerenciamento de smbolos (impede aexecuo de uma operao crtica simultaneamente por duas aplicaes diferentes) esincronizao (marcao dos dados).A camada de Transporte responsvel por receber os dados da camada de Sesso, fragment-los, se necessrio, e repass-los a camada inferior (Rede). No receptor responsvel porremontar esses fragmentos e entreg-los a camada de sesso. Tambm "oferece recuperaode erro e controle de fluxo de ponta a ponta" (STALLINGS, 2002, p. 97).A camada de Rede responsvel por enderear os pacotes recebidos da camada deTransporte, converter endereo lgico em endereo fsico e definir o caminho pelo qual opacote ir seguir, evitando congestionamento e buscando otimizar a rota (roteamento), j queas redes possuem sempre mais de um caminho.A camada de Enlace, tambm conhecida como Link de Dados, recebe os pacotes de dados dacamada de Rede e os transforma em quadros, adicionando alguns dados em seu cabealho,como endereo fsico da placa de rede de origem e destino. responsvel por controlar otrfego na transferncia, caso a velocidade do transmissor e receptor apresentemincompatibilidade. Na recepo, segundo Torres (2001), confere se o dado chegou ntegro,

18. 18enviando uma confirmao de recebimento, que caso no seja recebido, faz com que otransmissor re-envie o quadro.A camada Fsica a camada mais inferior da estrutura do modelo OSI. Segundo Torres(2001), essa camada recebe os dados da camada de enlace e os transforma em sinaiscompatveis com o meio em que sero transmitidos. Complementando, "lida comcaractersticas mecnicas, eltricas, funcionais e de procedimento para acessar o meio fsico"(STALLINGS, 2002, p.97), ou seja, define como os dados sero transmitidos conforme omeio, tendo, como exemplo a converso para sinais eltricos se o meio for eltrico, sinaisluminosos se o meio for ptico ou sinais de ondas de rdio se o meio for atmosfrico.1.3 TCP/IPTCP/IP um protocolo, ou seja, um conjunto de protocolos de redes, no qual dois dosprincipais derivaram o seu nome. Segundo Torres (2001), o protocolo mais utilizado emredes locais, foi feito para ser utilizado na internet, atualmente suportado em todos ossistemas operacionais e rotevel, ou seja, feito para ser utilizado em redes grandes e delonga distncia podendo ter vrios caminhos para o dado chegar ao destino.O protocolo TCP/IP dividido em 4 camadas: aplicao, transporte, internet e interface com arede (inter-redes).A camada de Aplicao, segundo Valle e Ulbrich (2009), responsvel pela comunicaoentre o protocolo de transporte e os aplicativos que solicitam os recursos da rede, como DNS,FTP, HTTP, SMTP, entre outros. Corresponde as camadas de aplicao, apresentao esesso do modelo OSI.A camada de Transporte do modelo TCP/IP equivale camada de mesmo nome do modeloOSI. Segundo Torres (2001), essa camada transforma em pacotes os dados recebidos dacamada de Aplicao e passa-os a camada de Internet, utiliza o esquema de multiplexao,que possibilita a transmisso de dados de vrias aplicaes simultaneamente e utiliza oconceito de portas. Nessa camada operam os protocolos Transmission Control Protocol(TCP) e User Datagram Protocol (UDP), sendo o TCP orientado a conexo, ou seja, verificase o dado realmente chegou ao destino, e o UDP, que no tem essa caracterstica do TCP, ecom isso garante maior velocidade na entrega do pacote, mas sem garantia de entrega.A camada de Internet, como no modelo OSI, " responsvel pela organizao e roteamentodos pacotes definindo seus endereos" (VALLE; ULBRICH, 2009, p. 55). Atuam nessa

19. 19camada os protocolos Internet Protocol (IP), Internet Control Message Protocol (ICMP),Addres Resolution Protocol (ARP) e Reverse Addres Resolution Protocol (RARP).A camada de Interface com a Rede equivale com as camadas de Enlace e Fsica do modeloOSI e responsvel por enviar os dados recebidos pela camada de Internet pela rede. FIGURA 5 - Modelo TCP/IP e sua correspondncia com o modelo OSI Fonte: Autoria prpria1.4 InternetA internet, ou rede mundial de computadores, segundo Valle e Ulbrich (2009), o conjuntode redes espalhadas pelo mundo baseadas no protocolo TCP/IP, formada por redes de altacapacidade, conectadas a computadores altamente poderosos conhecidos como backbones. Oparadigma da internet baseada na comutao por pacotes e cada computador ligado ainternet possui um nico endereo lgico nico (IP) que identifica no s a mquinapropriamente dita, como tambm a rede a qual pertence.Com a internet possvel estabelecer a comunicao entre computadores localizados emqualquer lugar do planeta, que tambm esteja conectado a internet, acessar sites, transferirarquivos, trocar emails, entre diversas outras funcionalidades.1.5 Necessidade de segurana de redesA aplicao da segurana em redes de comunicao de computadores passou a ser necessriaquando, com a evoluo da tecnologia de processamento de dados, as corporaes passaram autilizar os meios computacionais para solucionar problemas das empresas e armazenar suas

20. 20informaes. A segurana de dados e informaes antigamente era exclusivamente fsica,Stallings (2002) cita como exemplo de segurana de dados o uso dos grandes armriostrancados com fechaduras de segredo para guardar documentos importantes.Atualmente, o uso dos recursos computacionais e dos meios de telecomunicaes deextrema importncia para o desenvolvimento e organizao de qualquer instituio. Empresasque no se adequam ou acompanham os avanos das tecnologias digitais apresentam cada vezmais dificuldade de se manterem vivas em um mercado que est cada vez mais exigente ecompetitivo.Computao, hoje, est presente em praticamente todos os ambientes que o ser humano podeconviver, seja utilizando internet em casa para acessar algum site de relacionamento ouefetuar o pagamento de contas, gerenciando e compartilhando informaes em um ambienteempresarial ou acessando internet via celular atravs de uma rede de comunicao pblica.Os avanos das redes de computadores e internet facilitaram a troca e compartilhamento deinformaes entre pessoas localizadas em qualquer extremidade do mundo, fazendo com queo acesso a redes privadas e locais por pessoas indevidas, se tornasse cada vez mais viveis.Paralelamente ao crescimento do uso dos recursos computacionais, cresceu-se tambm onmero de ataques a esses ambientes, visando roubo de dados confidenciais, paraprejudicarem alguma instituio ou pessoa ou at mesmo somente para que o invasor mostresua capacidade de invadir uma rede e provocar algum tipo de dano. A tecnologia no sfacilitou a vida da sociedade, como tambm abriu oportunidade de indivduos maliciosos seaproveitarem desses meios para praticarem atos ilcitos. Segundo Melo (2009), com usocrescente de recursos na internet, a ampliao da infra-estrutura e softwares de naturezailcita, de fcil acesso e utilizao, tem como consequncia o significativo aumento deinvases de computadores e roubo de informaes.

21. 21 GRFICO 1 - Relatrio de evoluo do nmero de incidentes de segurana da informao registrados no Brasil Fonte: www.cert.brO Graf. 1 acima mostra a evoluo do nmero de ataques registrados do ano de 1999 atjunho de 2012 no Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana noBrasil (Cert.br), que grupo de resposta a incidentes de segurana para a internet brasileira. Onmero de ataques registrados em 2011 quase 130 vezes maior do que o registrado no inicioda contagem em 1999.

22. 22 GRFICO 2 - Pases que originam ataques aos sistemas brasileiros Fonte: www.cert.brO Graf. 2 ilustra de que pas surge os principais ataques aos sistemas brasileiros, sendodestacada a maior parte originada do prprio Brasil.Como a sociedade atual passou a ser totalmente dependente dos computadores e analisando aimportncia que esse recurso se tornou para o desenvolvimento econmico e social, viu-se anecessidade de investir em meios, tcnicas, equipamentos e estruturas visando segurana noarmazenamento e transferncia de informaes, visando evitar a perda, extravio ou usoindevido dessas informaes.1.6 Segurana de redeSegurana de rede a expresso utilizada quando se refere as implementaes, equipamentos,tcnicas, mtodos visando garantir a integridade, disponibilidade, autenticidade econfidencialidade dos dados trafegados pela rede, bem como garantir o pleno funcionamentoda estrutura de redes. Segundo Tanenbaum (2009), a segurana de redes pode ser dividida emsigilo (manter as informaes longe de usurios no autorizados), autenticao (determinar osagentes da comunicao), no repdio (provar a autenticidade da comunicao) e controle deintegridade (provar a legitimidade da comunicao).As implementaes de segurana podem ser distribudas, segundo Tanenbaum (2003), emdiversas camadas do encapsulamento da comunicao. Na camada de enlace pode ser aplicada

23. 23a criptografia de enlace, codificando mensagens ao sair de uma mquina e decodificando aoentrar em outra. Na camada de rede podem ser instalados firewalls para monitorar e filtrar osdados que circulam pela rede. Na camada de transporte pode-se criptografar conexesinteiras. E na camada de aplicao podem ser feitas as autenticaes de usurios.1.6.1 FirewallEm geral firewall, segundo Pfaffenberger (1998), pode ou no ser uma mquina, ou talvez umsoftware, com o objetivo de conter o trfego ou acesso indevido atravs da anlise docabealho dos pacotes que trafegam na rede, filtrando esses pacotes que infringem as regrasestabelecidas em uma poltica de segurana. FIGURA 6 - Exemplo de implementao do firewall Fonte: Autoria prpriaOs firewalls basicamente se dividem em duas categorias: firewall de rede ou firewall degateway de aplicativo (proxy). Os firewalls de rede, geralmente, so roteadores comcapacidade de filtrar pacotes podendo negar acesso analisando diversos fatores comoendereo (origem e destino), protocolo, nmero de porta (origem ou destino) ou contedo. Ogateway de aplicao, segundo Tanenbaum, no examina pacotes brutos, atua tambm nacamada de aplicao, verificando dados do cabealho referentes a aplicao e tamanho damensagem.Existem diversas implementaes de firewall, podendo ser utilizados at mais de um firewalldependendo da finalidade, arquitetura da rede e do nvel de segurana exigido. Pode-sedestacar o uso de firewalls na entrada da rede local, isolando servidores, isolando osservidores da rede interna, filtrando dados entre sub-redes, DMZ, dentre outras.

24. 241.6.1.1 DMZDeMilitarized Zone Network (DMZ) ou simplesmente Rede Desmilitarizada, umaconfigurao em que so utilizados dois firewalls, um na sada para a rede externa e outro naentrada da rede interna conforme a figura abaixo.FIGURA 7 - Exemplo de implementao do DMZFonte: Autoria prpriaNessa figura o Firewall 1 tem a funo de filtrar o acesso aos servidores localizados na DMZ,enquanto o Firewall 2 tem a funo de filtrar o fluxo de dados que entra e sai da rede interna.1.6.2 CriptografiaCriptografar uma tcnica que cifra os dados antes de serem enviados, e esses dados sodecifrados no recebimento, "consiste em traduzir os dados para um formato nocompreensvel" (ALBUQUERQUE, 2001, p. 219). composto de algoritmos querepresentam a funo de chaves, trancando e abrindo o cdigo criptografado.Albuquerque (2001) categoriza os algoritmos de criptografia como: chave privada(simtricos), chave pblica e chave de sesso.Nos algoritmos de chave privada so utilizados uma mesma chave para cifrar e decifrar.Exemplos desse algoritmo so o Data Encryption (DES), o Advanced Encryption Standard(AES) e o Triple-DES. A segurana desse algoritmo est restrito a segurana da chaves, sendoque se a chave for descoberta os dados podero ser acessados.

25. 25Os algoritmos de chave pblica possuem uma chave para cifrar e outra para decifrar, sendo aprimeira de conhecimento pblico e a ltima de conhecimento privado. Exemplos dessealgoritmo so o Diffie-Hellman e RSA. Esses algoritmos possuem a desvantagem deconsumir muito poder computacional.Os algoritmos baseados em chaves de sesso utilizam tanto algoritmos de chaves pblicasquanto de chaves privadas, consomem bem menos recursos do que estes, porm mantm amesma capacidade de segurana.1.6.3 IPSecO IPSec ou IP Security possibilita a conexo segura em redes TCP/IP e obrigatrio em redesque utilizam o IPv6. Segundo Albuquerque (2001), garante o sigilo, autenticidade eintegridade dos dados nos pacotes IP. Stallings (2005) cita que o IPSec oferece trs funesprincipais, sendo a Authentication Header (AH) responsvel pela autenticao, aEncapsulating Security Payload (ESP) responsvel pela autenticao/criptografia e umaterceira funo de troca de chave.O AH possui informaes, segundo Stallings (2005), de identificao do prximo cabealho,tamanho da assinatura digital, Security Parameters Index (SPI) e assinatura digital.O ESP utilizado para manter o sigilo dos dados, integridade e autenticidade. De acordo comStallings (2005), o ESP pode trabalhar no modo de transporte ou tnel, sendo o transporteoferece proteo dos protocolos de camada superior, e o modo tnel protege (criptografa) opacote IP inteiro.1.6.4 Virtual Private NetworkUma Virtual Private Network (VPN) ou Rede Virtual Privada usa os recursos da internet parainterligar diversas redes de uma organizao. Basicamente, uma VPN consiste em um conjunto de computadores interconectados por meios de uma rede relativamente insegura e que utiliza a criptografia e protocolos especiais para fornecer segurana. Em cada local corporativo, estaes de trabalho, servidores e bancos de dados so conectados por uma ou mais redes locais (LANs) (STALLINGS, 2005, p. 397).

26. 26A VPN permite a comunicao remota entre os departamentos, utilizando de provedorescomerciais, no sendo necessrios investimentos em equipamentos de comunicao por parteda empresa. A comunicao criptografada para garantir a segurana e pode ser necessrio ouso de firewalls para reforar a segurana e controlar o acesso s redes.1.6.5 Sistema de deteco de intrusoO sistema de deteco de intruso, ou Intrusion Detections Systems (IDS), segundo Nakamurae Geus (2010), extremamente importante em um ambiente corporativo. Com ele possveldetectar diversos ataques e com isso tomar as devidas providncias antes que o ataque tomemaiores consequncias. Esse sistema tem o objetivo de detectar atividades suspeitas e servede complemento para as atividades no protegidas pelo firewall.Segundo Nakamura e Geus (2010), os tipos de deteco realizados pelo IDS dependem dotipo de IDS, metodologia de deteco, posicionamento dos sensores e localizao do IDS.As principais caractersticas, de acordo com Moraes (2010), so: execuo contnua,tolerncia a falhas, mnimo de overhead da rede e dificuldade de ser atacado.Segundo Nakamura e Geus (2010), os principais tipos de IDS so: IDS baseado em Host(HIDS), IDS baseado em rede (NIDS) e o IDS hbrido. O HIDS monitora os arquivos de logs,monitora um segmento de trfego de rede e o hbrido uma mistura das duas caractersticas.1.6.6 Autenticao e controle de acessoA autenticao visa garantir que a pessoa que tenta acessar determinado sistema autntica. Aautenticao, segundo Nakamura e Geos (2010), pode ser realizada com base no que o usuriosabe, como senha ou chave criptogrfica, com base no que o usurio possui, como carto outoken, ou com base nas caractersticas do usurio, como caractersticas biomtricas.O Controle de acesso, que se divide em controle de acesso lgico e externo, garante que osrecursos e informaes sejam acessados de forma correta e por usurios devidamenteautorizados a acess-las e responsvel por: proteger contra modificaes no autorizadas,garantir a integridade e disponibilidade das informaes e garantir o sigilo das informaes.Os principais mtodos de controle de acesso lgico so Access Control Lists (ACL), utilizadaem firewalls, uso de interface com usurios e labels. O principal mtodo de controle de acessoexterno implementado atravs de firewalls.

27. 271.6.7 Elementos essenciais de segurana da informaoAlguns elementos so fundamentais para definir o nvel de segurana das organizaes.Segundo Stallings (2002), a segurana de computador e de rede trata dos seguintes requisitos:privacidade, integridade, disponibilidade e autenticidade. Para Pinheiro (2005), para cumpriresses objetivos so necessrios seguir quatro paradigmas bsicos: integridade,confidencialidade, disponibilidade e legalidade.Para verificar o nvel de segurana no ambiente estudado, vamos conceituar os elementosintegridade, confidencialidade, disponibilidade e auditoria.Segundo Moraes (2012), integridade garantir que a informao no seja alterada durante atransmisso ou armazenamento sem prvia autorizao, ou seja, a informao enviada seridntica a informao recebida.A confidencialidade, segundo Moraes (2012), garantir que os recursos e informaes nosejam acessados por usurios no autorizados.A disponibilidade garante que os recursos estaro disponveis sempre que necessrio.Auditoria, segundo Moraes (2012), consiste em manter registros (logs) de aes ocorridas narede, monitorar o trfego de informaes e registrar para uma futura auditoria de verificaode irregularidades. Assim, caso seja necessrio uma inspeo futura, os registros estarodisponveis para a verificao e identificao das possveis irregularidades que possamocorrer.1.7 ABNT NBR ISO/IEC 27002:2005De acordo com a ABNT (2005), a NBR ISO/IEC 27002 uma norma tcnica elaborada pelaAssociao Brasileira de Normas Tcnicas (ABNT) em 2005, baseada na ISO/IEC 27002 deautoria do Institute of Standardization Organization (ISO) em substituio a NBR ISO/IEC17799 de 2005. Esta norma apresenta alguns conceitos de segurana da informao, suanecessidade, requisitos, anlise de risco, controle e elaborao de diretrizes.Os principais objetivos da NBR 27002 so estabelecer "diretrizes e princpios gerais parainiciar, implementar, manter e melhorar a gesto de segurana da informao em umaorganizao" (ABNT, 2007, p. 1), servindo como um guia prtico para auxiliar odesenvolvimento de procedimentos de segurana da informao dentro de qualquerorganizao, contribuindo para a confiana nas atividades da organizao. subdividida em

28. 2811 sees de controle de segurana da informao que sero explicitadas individualmente nosprximos subcaptulos, na ordem em que so apresentados na norma.1.7.1 Poltica de segurana da informaoA poltica de segurana um documento formal, elaborado pelos especialistas em seguranada informao e com o total apoio das lideranas e define as diretrizes quanto ao uso dasinformaes e recursos no ambiente coorporativo. Segundo Moraes (2010), algumas dasdiretrizes so: riscos ao patrimnio, risco de roubo e fraude, acesso aos sistemas, utilizaodos meios de comunicao, redundncia e falhas e garantia e integridade. A poltica desegurana estabelece claramente o que deve ser protegido, atribuir responsabilidades para ocumprimento das normas e serve como principal referncia para o gerenciamento dasegurana da informao.A poltica de segurana deve ser constantemente atualizada e adaptada a cultura daorganizao, escrita de forma clara e disponvel para todos os colaboradores.Nakamura e Geus (2007) conceituam que a poltica de segurana deve ser composta de algunselementos essenciais, dentre eles: vigilncia, atitude, estratgia e tecnologia, alm de definirpoltica para senhas, firewall e acesso remoto.1.7.2 Organizando a segurana da informaoEste tpico orienta como gerir a segurana da informao dentro de uma organizao e,segundo ABNT (2005), sugere alguns pontos importantes como: a) a instaurao de uma estrutura de gerenciamento para controlar as implementaes de segurana da informao; b) o envolvimento da direo da empresa, aprovando as polticas, atribuindo funes, fornecendo recursos, coordenando e analisando as implementaes da segurana da informao; c) a contratao, quando necessrio, de consultoria externa especializada em segurana da informao para manter atualizada as estruturas de acordo com as tendncias do mercado e fornecer apoio na ocorrncia de incidentes de segurana da informao; d) a coordenao da segurana da informao por representantes de diversas reas da organizao nos diversos nveis hierrquicos;

29. 29 e) definio de todas as responsabilidades pela segurana da informao e autorizao para os novos recursos de processamento de informao; f) identificao de riscos com as partes externas, clientes e terceiros. No geral este item verifica como esto sendo organizadas, controladas e coordenadas as prticas de segurana da informao e se a diretoria est realmente envolvida em todos esses processos.1.7.3 Gesto de ativosSegundo ABNT (2005), esta seo sugere que os ativos de informao da empresa recebamproteo adequada, podendo ser feita classificao, registro e controle desses ativos. Todosesses ativos devem ser inventariados e possuir um responsvel por garantir a proteo, guardae manuteno desse bem.1.7.4 Segurana em recursos humanosO principal objetivo deste tpico "assegurar que os funcionrios, fornecedores e terceirosentendam suas responsabilidades e estejam de acordo com os seus papis, e reduzir o risco defurto ou roubo, fraude ou mau uso dos recursos" (ABNT, 2005, p. 24), ou seja, garantir acincia e responsabilidade de forma registrada, desde a contratao at a demisso, quefuncionrios e terceiros tm da importncia do uso correto e seguro dos sistemas deinformao.1.7.5 Segurana fsica e do ambienteOs conceitos dessa seo tm o objetivo de prevenir o acesso no autorizado e danos asinstalaes e informaes da organizao. Segundo a ABNT (2005), as instalaes onde soprocessadas e armazenadas as informaes devem ser mantidas em reas seguras comcontrole de acesso apropriado e seguras de ameaas inerentes do meio ambiente, desastresnaturais e incndios. Tambm orienta quanto ao envio de equipamentos para manuteno emambientes externos.

30. 301.7.6 Gerenciamento das operaes e comunicaoSegundo a ABNT (2005), esta seo visa garantir a operao segura e correta dos recursos deprocessamento da informao, documentando e definindo os procedimentos eresponsabilidades pela gesto e operao destes recursos. Visa manter segurana dainformao e entrega de servios em casos de servios com terceiros, monitorando eacompanhando mudanas.Uma parte muito importante abordada nessa seo so orientaes para minimizar o risco defalhas dos sistemas, implementaes de controles contra cdigos maliciosos, efetuar cpias deseguranas, segurana em redes, manuseio e descarte de mdias, orientaes para troca deinformaes, uso de correio eletrnico, comrcio eletrnico, monitoramento e auditoria.1.7.7 Controle de acessosEsse tpico visa orientar na elaborao de polticas, requisitos, gerenciamento, privilgios,senhas e direitos para controle de acesso dos usurios aos sistemas de informao, rede,sistemas operacionais, aplicaes e sistemas remotos, garantindo que os usurios tenham odireito de acesso aos sistemas, recursos e informaes necessrios a realizao de suasatividades, bem como garantir que no ocorra acesso indevido as informaes crticas erestritas por pessoas no autorizadas.1.7.8 Aquisio, desenvolvimento e manuteno de sistemas de informaoEsse tpico fornece uma viso de como a segurana deve ser implantada em todos osambientes que envolvem os sistemas de informao. Especificam os requisitos de segurana,processamento correto nas aplicaes para prevenir erros, perdas e mau uso, estabelecepolticas para controles criptogrficos e gerenciamento de chaves, garante a segurana nosarquivos de sistemas e cdigo fonte de programas, orienta o gerenciamento de modificaes evazamento de informaes. Enfatiza quanto superviso e acompanhamento dedesenvolvimento de software por terceiros garantindo a qualidade e exatido do serviorealizado bem como a funcionalidade da segurana do cdigo, aplicando testes antes dainstalao dos sistemas para garantir a ausncia de cdigo malicioso.

31. 311.7.9 Gesto de incidentes de segurana da informaoEssa seo trata de como agir em caso de ocorrncia de incidentes de segurana dainformao, formalizando os meios de notificao de incidentes bem como gerir essasocorrncias, para que as providncias sejam tomadas de forma mais breve possvel e que asevidncias sejam preservadas para uma futura investigao do evento ocorrido.A ABNT (2007) cita alguns exemplos de incidentes de segurana da informao, como: a) perda de servio, equipamento ou recurso; b) mau funcionamento ou sobrecarga do sistema; c) erros humanos; d) no conformidade com polticas ou diretrizes; e) mudanas descontroladas de sistemas; f) mau funcionamento de software ou hardware; g) violao de acesso.Um procedimento importante sugerido nessa seo a padronizao de um formulrio, paraorientar e facilitar a comunicao desses incidentes pelos usurios aos responsveis pelagesto da segurana da informao.1.7.10 Gesto da continuidade do negcioEssa seo, segundo a ABNT (2005), expe os aspectos da gesto da continuidade do negciorelativos segurana da informao, com o objetivo de evitar a interrupo das atividades donegcio, proteger os processos crticos contra falhas e assegurar o seu reestabelecimento emtempo hbil. Para uma boa gesto de continuidade do negcio necessrio identificar osriscos, efetuar testes e manutenes e criar planos para gerir as potenciais pausas nasatividades essenciais do negcio que envolva os sistemas de informao.1.7.11 ConformidadeO objetivo desta seo evitar violaes de quaisquer obrigaes legais visando garantir queo projeto, a operao, o uso e a gesto de sistemas de informao estejam em conformidadecom os requisitos contratuais e leis regulamentadoras (ABNT, 2005). recomendada aidentificao da legislao aplicvel, dos direitos de propriedade intelectual, a proteo de

32. 32registros organizacionais e garantir a privacidade de informaes pessoais. Convm garantir aconformidade com as polticas e normas da segurana da informao, efetuando controle deauditoria para verificar se as implementaes esto de acordo com as normas tcnicas.

33. 33CAPTULO 2 MATERIAIS E MTODOS2.1 Descries do ambiente de pesquisaO ambiente escolhido para ilustrar a implementao de segurana em redes de computadoresfoi Distrito de Servios do Gorutuba (DTGA), que uma unidade administrativa daCompanhia de Saneamento de Minas Gerais (COPASA) no municpio de Janaba.A utilizao dos recursos computacionais da empresa regida por uma norma deprocedimentos, denominada NP 2011-005/0, que aborda as polticas de segurana dainformao. Essa norma est disponvel a todos os funcionrios atravs da intranet,juntamente com as demais normas de procedimentos da empresa. Foi desenvolvida em 2011com o pleno apoio da administrao da empresa e define as competncias das unidadesresponsveis pela gesto da estrutura de rede e das demais unidades da COPASA que autilizam, a criao de uma Comisso de Segurana da Informao e critrios gerais parautilizao dos recursos de informtica, segurana da informao e controle de acesso etratamento de informaes do ambiente web.A rede de computadores do DTGA composta dos equipamentos descritos na relao abaixo,e so organizados conforme a Fig. 8:40 (quarenta) Computadores com sistemas operacionais Windows XP ou Windows 7;01 (um) Servidor de arquivos Itautec com processador Intel Inside Xeon;01 (um) Roteador Cisco modelo CDA 2501;01 (um) Switch 3Com 28 portas;01 (um) Modem HDSL New Bridge modelo MainStreet 2821;01 (um) Switch 3Com 26 portas modelo SuperStack 3 3C17300A 4020;01 (um) Switch 3Com 28 portas modelo SuperStack 3C17301 4228G.

34. 34 FIGURA 8 - Arquitetura da rede de computadores do DTGA Fonte: Autoria prpriaComo mostrado na Fig. 8, so apresentados na Fig. 9 a imagem do servidor de arquivos locale o nobreak e na Fig. 10 so apresentados os equipamentos da rede do DTGA. FIGURA 9 - Servidor de arquivos local do DTGA e nobreak Fonte: Autoria prpria

35. 35 FIGURA 10 Equipamentos de rede (modem, roteador, switch e patch panel) Fonte: Autoria prpriaOs usurios da empresa utilizam a rede para compartilhar arquivos e impressores, acesso intranet, utilizao de software de gesto, acesso internet (somente alguns computadorespossuem acesso internet) e webmail. O software sistema de gesto (ERP SAP) instaladoem todas as mquinas na forma de terminal cliente, sendo todo o processamento feito em umservidor central na matriz, em Belo Horizonte. Porm no entraremos em detalhes para nofugir do campo de abrangncia desta pesquisa.Para acesso s mquinas, segundo a Companhia de Saneamento de Minas Gerais (COPASA,2011), conforme descrito na NP 2011-005/0, os usurios necessitam de autenticao naforma de login e senha. Os usurios no possuem permisso para alterar configuraes neminstalar softwares nas mquinas, demandas desse tipo so feitas pelos administradores de rededas unidades de gesto.As cpias de segurana (backup) do servidor de arquivos so feitas remotamente para osservidores em Belo Horizonte e possuem frequncia de operao diria.Todas as mquinas possuem antivrus MacAfee instalado e, com os sistemas e softwares comprogramao de atualizao automtica.A empresa mantm um servio de Help Desk, composta de uma equipe treinada e capacitadapara solucionar a maioria dos problemas que os usurios possam ter com o ambiente deinformtica, sendo a maior parte dos problemas solucionados por acesso remoto em tempohbil. Essa estratgia visa reduzir o perodo de ociosidade que os equipamentos e usuriospossam ter com a falha de algum servio ou equipamento.

36. 36No h acesso por meio de tecnologia sem fio a rede do DTGA.2.2 Metodologias da pesquisaA natureza da pesquisa definida como qualitativa, por ter caracterstica observacional ecompreender os acontecimentos que envolvem a pesquisa.A finalidade da pesquisa caracterizada como bsica, por estar ligada ao incremento doconhecimento cientifico, sem quaisquer objetivos comerciais.O tipo de pesquisa possui natureza descritiva, por ter como objetivo descrever como soimplementadas as solues de segurana de rede e enquadramento quanto a normas tcnicasno ambiente pesquisado.A estratgia de pesquisa em relao ao local de coleta de dados se caracteriza como pesquisade laboratrio, onde os dados sero coletados e monitorados a fim de observar seucomportamento em um ambiente controlado. Quanto fonte de informao, teremos as duascaractersticas: em campo, por necessitar consultar alguns especialistas da rea, analistas deTecnologia da Informao (TI) da COPASA, bem como professores que possuemconhecimento sobre o assunto e bibliogrfica por ser necessria a consulta de livros, revistas,peridicos, normas tcnicas, normas de procedimentos internos da empresa e internet paraobter mais informaes sobre o tema.Como o ambiente analisado no permite um envolvimento mais profundo, como inserirmquinas particulares nem instalar softwares nas mquinas da rede, devido a restries daspolticas de segurana da empresa, ser necessrio a aplicao de formulrios e realizarentrevistas com os Analistas de TI da COPASA a fim de conhecer, familiarizar, descrever esimular o ambiente operacional de rede da empresa pesquisada para se chegar o mais prximopossvel da realidade implementada. Com as informaes levantadas, ser possvel verificar onvel de segurana implantado no ambiente de pesquisa de acordo as normas tcnicas esugerir melhorias para adequao a tais normas.2.3 Aplicao de formulrio para levantamento de informaesPara descobrir mais sobre as implementaes de segurana da informao no ambiente derede do DTGA, foi aplicado um formulrio, anexo a essa pesquisa como apndice. Esseformulrio foi uma adaptao do formulrio aplicado pelo Rosemann (2002) na sua

37. 37monografia intitulada "Software para avaliao da segurana da informao de uma empresaconforme a norma NBR ISO/IEC 17799" na qual cria um modelo de software na qual possvel avaliar e quantificar a anlise de segurana da informao segundo a norma citada.O formulrio aplicado composto de 75 questes, divididas em 11 sees conforme a normaNBR ISO/IEC 27002, e suas respostas so expostas na forma dicotmica, podendo serrespondidas em SIM, caso o questionamento se aplica na empresa, ou NO caso contrrio.Para obteno dos resultados sero analisadas as respostas geradas em cada seo em um todocom o objetivo de verificar a conformidade do ambiente analisado com a norma NBRISO/IEC 27002.2.4 Anlise dos elementos essenciais de segurana da informaoNo DTGA, foi observado, que para garantir a integridade das informaes, utilizado omtodo de controle de segurana que, segundo Moraes (2012), conhecido como Need toKnow, em que concede aos usurios permisso de acesso somente aos recursos que sonecessrios para utilizao dos trabalhos, visando garantir a integridade das informaes.Somente algumas mquinas possuem acesso liberado internet, sendo que alguns sites queno tem finalidade compatvel com as atividades da empresa so bloqueados pelo servidorproxy.Para garantir a confidencialidade, so utilizados para acessar a rede, a identificao do usurioque, conforme citado anteriormente, composta de login e senha. O login corresponde amatrcula de registro do funcionrio composta de cinco nmeros. A senha deve possuir pelomenos oito caracteres e ser composta de nmeros, letras e caracteres especiais (pelo menosum caractere de cada tipo), sendo expirada automaticamente aps 3 meses, devendo serredefinida aps essa prazo. Tambm so utilizados softwares antivrus em cada mquina, comatualizaes constantes, para evitar o furto de informaes confidenciais para entidadesexternas ao sistema. A arquitetura da rede tambm foi projetada visando dar mais seguranacontra invaso, sendo a comunicao com o ambiente externo filtrada por firewalls e h afiltragem de pacotes de rede pelo servidor proxy nas comunicaes com a internet.A principal causa de falta de disponibilidades da rede identificada a falta de energia eltrica,que ocorre muito raramente e por tempo considerado curto, e que no sobrecarrega asatividades da empresa, sendo, portanto, no necessrio o investimento em equipamentos queminimizem a situao, como geradores de energia. So utilizados equipamentos NoBreaks

38. 38para garantir que os servidores sero encerrados corretamente ou aguardar o restabelecimentoda energia eltrica. A rotina de backups realizada no servidor de arquivos tambm contribuipara a disponibilidade das informaes, sendo restaurados os dados imediatamente sempreque h alguma falha no servidor de arquivos. A equipe de Help Desk tambm umaimportante estratgia utilizada para restabelecer os recursos em caso de falhas.Na Copasa, os logs de todas as unidades so armazenados na Matriz da empresa pelo servidorde proxy, mas somente so analisados sob demanda ou denncia de uso inadequado pelosusurios, so sendo gerados alertas de tentativas de burlar as restries.

39. 39CAPTULO 3 RESULTADOSPara ilustrar os resultados obtidos, foram gerados grficos com a porcentagem de questes emque foram respondidas afirmativamente e negativamente, em relao ao total de questesaplicadas relativas a cada seo do formulrio aplicado. P 120 o 100 100 100 100 100 r 100 92 c 86 83 e 80 80 75 n 67 t a 60 g e 40 33 m 25 20 20 14 17 Sim 8 0 0 0 0 0 No 0GRFICO 3 - Resultados obtidos por seo da normaFonte: Autoria prpriaNo Graf. 3 foram mostrados os resultados obtidos individualmente em todas as seesabordadas no formulrio aplicado. O objetivo de se mostrar resultados divididos em sees facilitar a identificao das deficincias encontradas nessa anlise. Os resultados foramobtidos de acordo com as respostas do responsvel pela segurana da informao na empresa,na Diviso de Telecomunicaes (DVTL), foi aplicado somente a este por entender todos osprocessos que envolvem segurana da informao, e pelo formulrio conter alguns contedostcnicos que o usurio comum no teria condies de responder com clareza e objetividade.

40. 40Para ilustrar o resultado de uma forma geral, foi gerado o Graf. 4 mostrado logo abaixo, naqual so utilizados como parmetros os resultados obtidos em todas as sees no Graf. 3 eretirada uma mdia aritmtica. Resultado Geral 18% Sim No 82% GRFICO 4 - Resultado geral da anlise do formulrio Fonte: Autoria prpriaO Graf. 4 ilustra a obteno de 82% de conformidade com a norma NBR ISO/IEC 27002 e18% de no conformidade.

41. 41CAPTULO 4 ANLISE E DISCURSO DOS RESULTADOSCom a anlise dos grficos, verifica-se na Seo 1 - Poltica de segurana da informao, aobteno de 100% de adequao do ambiente analisado em relao norma. Comojustificativa para o resultado obtido, verificou-se que a empresa possui um documentoaprovado pela direo, em que so descritas as polticas de segurana da informao. Essedocumento serve de guia para definir os responsveis pela implantao da segurana dainformao nos diversos setores da empresa, bem como as instrues que devero serseguidas pelos usurios para obterem acesso rede de computadores e como utiliza-la daforma segura. Existe uma comisso interna, denominada Comisso de Segurana daInformao, responsvel por analisar e aprovar as propostas de reviso das polticas desegurana, com o objetivo de adequ-la aos interesses da empresa com as boas prticas domercado. Essa comisso composta pelos gerentes de todas as reas responsveis pelasegurana da informao, juntamente com o gerente do setor de auditoria e se renemsemestralmente ou extraordinariamente quando necessrio.Na Seo 2 - Organizando a segurana da informao, obteve-se cerca de 86% de adequao norma, sendo justificado, tambm, pela existncia da Comisso de Segurana da Informaoque coordena as implementaes de controles de segurana da informao e analisacriticamente as polticas de segurana da informao. Os riscos de segurana com prestadoresde servio so identificados e controlados e so definidos no contrato os requisitos desegurana da informao, sendo definido pelo controle de acesso, apenas, as funcionalidadesnecessrias para a realizao de servios terceiros. Um fato negativo encontrado nessa seo o fato de a empresa nunca obter uma consultoria especializada em segurana da informao,talvez pelo fato de no se ter registros de ataque ou incidentes de segurana informao noambiente de rede da empresa.Na Seo 3 Gesto de ativos foi obtida 100% de conformidade com a norma, sendojustificado pelo fato de a empresa manter um rgido controle patrimonial, inclusive com osativos importantes de segurana da informao, no qual feito um inventrio com os bens sobresponsabilidade de cada funcionrio. Esse controle garante que nenhum bem patrimonial daempresa seja transferido de local ou responsvel sem que seja preenchido um formulrioespecfico de transferncia de bens, definindo a origem e o destino desse bem.Semestralmente so feitas pela unidade responsvel pelo controle de bens patrimoniais asconferncias dos inventrios de cada funcionrio, garantindo a integridade de cada bempatrimonial da empresa.

42. 42Na Seo 4 Segurana em pessoas foi encontrado um baixo nvel de conformidade, sendoobtido somente 25% de adequao. Esse resultado se justifica pela falta de investimento daempresa no treinamento e conscientizao dos funcionrios em como seguir as diretrizes desegurana e formalizar meios para que os mesmos possam notificar as ocorrncias deincidentes de segurana. Em contrapartida, existe um canal de comunicao denominado HelpDesk, no qual os funcionrios podem reportar incidentes de segurana direo da empresa.Existem tambm normas disciplinares com o objetivo de dissuadir os funcionrios quedesrespeitem as normas impostas nas polticas de segurana.Na Seo 5 Segurana fsica e do ambiente, o resultado obtido foi de 80% de conformidadecom a norma, sendo os fatores importantes para a obteno desse resultado a implementaode medidas de segurana para acesso as instalaes da empresa, como entrada registrada porcarto magntico, funcionrios recepcionistas. So utilizados equipamentos Nobreaks paraevitar que possveis quedas de energia eltrica danifiquem os equipamentos ou corrompamarquivos em processamento. Destaca-se que as manutenes dos equipamentos de informticaso feitos somente por pessoal autorizado, a solicitao de manuteno dos equipamentos soregistrados por meio do canal Help Desk e em caso de impossibilidade de a manuteno dosequipamentos serem feitas na prpria unidade, os equipamentos danificados so enviados paraa matriz para as devidas providncias, transportada somente por funcionrios da empresa, semcontato com terceiros, sendo vetada a remoo de equipamentos sem adequada autorizao.Existem mtodos de bloqueio automtico de tela assim que os computadores ficam ociosospor mais de 10 minutos, visando evitar que pessoas no autorizadas tenham acesso rede decomputadores. Conforme comentado na discusso dos resultados da Seo 3, so feitasinspees regulares para controle patrimonial e os funcionrios ento cientes que o controleest sendo acompanhado. Os fatores que impactaram negativamente no resultado na Seo 5foi a falta de instalao adequada dos equipamentos de processamento da rede, comoservidores e roteadores, a ausncia de trancas para acesso a esses equipamentos e a exposiodos cabeamentos de rede.Na Seo 6 Gerenciamento das operaes e comunicao, os questionamentos foramrespondidos na sua totalidade de forma afirmativa, sendo destacado o empenho da empresaem garantir a disponibilidade dos dados, como rotinas de backup bem definidas edocumentadas, controle dos softwares instalados nas mquinas, uso de softwares licenciados eantivrus nas mquinas, verificao do trfego de dados com a rede externa por meio deantivrus de gateway, utilizao de VPN na comunio entre a rede do DTGA e o backboneda empresa. As rotinas de backup so realizadas remotamente e so armazenadas em local

43. 43seguro na matriz. Os funcionrios so orientados a utilizarem o correio eletrnico somentepara atividades relacionadas com o negcio da empresa.Na Seo 7 Controle de acesso, obteve-se o resultado de quase 92%, destacando-se aeficincia nos procedimentos adotados para o controle de acesso a rede. As regras para ocontrole de acesso esto documentadas na poltica de segurana e a concesso de privilgiosde acesso somente so concedidos aps anlise das necessidades dos usurios. Recentemente,foi disponibilizado um guia para orientar os usurios na escolha de senhas e foram definidosnovos procedimentos para composio de senha como tamanho mnimo de oito caracteres,obrigatoriamente composta de pelo menos um numeral, letra e caractere especial e dever seralterada aps um perodo de trs meses, sendo vetada a reutilizao das ltimas trs senhas. Ologin de identificao individual e representa a matrcula de cada funcionrio. O horrio dasmquinas sincronizado pela rede e os usurios comuns no possuem autorizao de acesso aalterao dessa propriedade.Na Seo 8 Desenvolvimento e manuteno de sistemas foram aplicados somente duasquestes, devido a no identificao desta seo com as atividades desenvolvidas pelaempresa. Apesar disso, obteve-se 100% de adequao devido a utilizao de softwaresantivrus nas mquinas, antivrus de gateway na interface de comunicao com a rede externae atualizao constantes dos softwares e sistemas visando garantir a no ocorrncia de falhas eintroduo de Cavalos de Troia.Na Seo 9 Gesto de incidentes de segurana da informao o resultado obtido foi de 33%,sendo novamente os fatores determinantes desse resultado a falta de comunicao da empresacom os usurios da rede quando o assunto segurana da informao. Apesar da preocupaode se notificar a direo da empresa em caso de ocorrncia de incidentes de segurana dainformao, no existe o alerta para que os funcionrios notifiquem eventos de segurana dainformao nem algum formulrio que apoie estes em caso de incidentes.Na Seo 10 Gesto da continuidade do negcio obteve-se o resultado de 100% pelo fato dea empresa identificar as possveis causas de interrupes nos sistemas que influemdiretamente no negcio e tomar medidas que garantem a continuidade do negcio como usode instalao de extintores de incndio, utilizao de equipamentos no-breaks e rotinas debackup.Na Seo 11 Conformidade obteve-se 83% de conformidade com a norma. Foi identificadaque a empresa possui polticas que asseguram a aquisio e instalao de software comlicena de utilizao, sendo sempre respeitada as leis de direitos autorais e patentes, e vetada acpia por pessoal no autorizado. So sempre armazenadas em arquivo fsico os registros

44. 44importantes da empresa, vetado o uso de recursos de processamento para finalidade que noseja compatvel com a natureza das atividades da empresa, bem como usos particulares e asmquinas possuem mensagens na tela de logon, informando que um sistema restritosomente aos usurios com acesso a rede. O fator negativo identificado nessa seo foi a faltade procedimentos de auditoria visando minimizar o risco de interrupo dos processos donegcio.No geral, foi obtido o resultado de 82% de adequao com as prticas abordadas na normaNBR ISO/IEC 27002/2005, sendo considerado um timo resultado, onde observou-se que aempresa mantm boas implementaes fsicas e lgicas no mbito da segurana dainformao, mas peca em treinar, instruir e conscientizar os funcionrios para o uso correto dainfraestrutura da empresa, bem como no possui meios facilitados para que os funcionriospossam notificar incidentes de segurana nem facilita o acesso a poltica de segurana dainformao.

45. 45 CONSIDERAES FINAISA segurana da informao um dos principais fatores para o bom funcionamento desistemas informatizados e a sua boa gesto traz excelentes resultados para a continuidade dosnegcios de qualquer organizao, trazendo confiana nos servios oferecidos e reduzindoperdas com a indisponibilidade de recursos e roubos de informaes, sendo esses os itensprincipais que garantam a importncia dessa pesquisa e o que a torna totalmente aplicvel emqualquer organizao que utilize sistemas informatizados na execuo das suas atividades.Analisando os resultados obtidos, avalia-se a estrutura de redes do ambiente analisado comoum ambiente seguro, com pouca visada de ataques, poucos incidentes de contaminao porvrus, sem registros de ataques externos e rarssimos registros de indisponibilidade dosrecursos.So identificados poucos incidentes de indisponibilidade da rede, sendo os meios utilizadospara controlar e restabelecer a comunicao considerada eficiente para este tipo de ambiente eatividades desenvolvidas.O resultado obtido de 82% de conformidade com a norma verifica as boas implementaes daempresa com as prticas sugeridas, contribuindo assim para um ambiente informatizado maisseguro, tendo se em vista que o ambiente analisado tem poucos registros de tentativas deataques, poucos incidentes de contaminao por vrus, sem registros de ataques externos,rarssimos registros de indisponibilidade dos recursos, apesar de no existir no mundo umambiente informatizado 100% seguro e imune a ataques.Sero sugeridas melhorias nos itens identificados, principalmente em segurana em pessoas egesto de incidentes de segurana da informao por apresentarem baixos ndices deconformidade e com resultados abaixo da mdia em relao aos demais, mesmo assimconsiderado de igual importncia pela norma ISO/IEC 27002. A segurana em pessoas fundamental para toda a gesto de segurana da informao, pois so pessoas que utilizam ossistemas informatizados e os principais incidentes so ocasionados pela falta de orientao oumau uso por parte dos usurios.Os objetivos da pesquisa foram atingidos j que se conseguiu identificar os principaismtodos sugeridos pela norma, com resultados satisfatrios, e foram apontados itens paramelhoria das prticas visando o aumento e controle da segurana da informao.Como pesquisas futuras, podem ser feitos estudos para propor melhorias no desempenho dacomunicao da rede de computadores do DTGA e outras unidades semelhantes, bem comoaplicar uma pesquisa investigativa, como forense computacional, visando identificar possveis

46. 46incidentes de segurana da informao que venham a acontecer, e estudar meios de comotrata-los e, se possvel, evitar futuros incidentes.

47. 47 REFERNCIASALBUQUERQUE, Fernando. TCP/IP Internet: Protocolos & Tecnologia. Rio de Janeiro:Alta Books, 2001. 3. ed.ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 27002:Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto dasegurana da informao. Rio de Janeiro: ABNT, 2005. 120 p.COMPANHIA DE SANEAMENTO DE MINAS GERAIS. NP 2011-005/0: Utilizao derecursos computacionais, segurana e tratamento de informaes. Belo Horizonte, 2011. 16p.MELO, Sandro. Computao Forense com software livre: conceitos, tcnicas, ferramentase estudos de casos. Rio de Janeiro: Alta Books, 2009.MORAES, Alexandre Fernandes de. Segurana em redes: Fundamentos. So Paulo: Editorarica, 2010.NAKAMURA, Emilio Tissato; GEUS, Paulo Lcio de. Segurana de redes em ambientescooperativos. So Paulo: Novatec, 2007.PFAFFENBBERGER, Bryan. Estratgias de extranet. So Paulo: Berkeley Brasil, 1998.PINHEIRO, Jos Maurcio Santos. Programas de Segurana para Redes Corporativas.Disponvel em:http://www.projetoderedes.com.br/artigos/artigo_programas_de_seguranca_para_redes_corporativas.php. Acesso em: 19 abr. 2012.ROSEMANN, Douglas. SOFTWARE PARA AVALIAO DA SEGURANA DAINFORMAO DE UMA EMPRESA CONFORME A NORMA NBR ISO/IEC 17799.2002. 102 f. Monografia (Graduao em Cincias da Computao) Centro de CinciasExata e Naturais, Universidade Regional de Blumenau, Blumenau, 2002.STALLINGS, Willian. Redes e sistemas de comunicao de dados. 5 ed. Rio de Janeiro:Elsevier, 2005.TANENBAUM, Andrew S. Redes de Computadores. 4 ed. Rio de Janeiro: Editora Campus,2003.

48. 48TORRES, Gabriel. Redes de Computadores: Curso Completo. Rio de Janeiro: Editora AxcelBooks do Brasil, 2001.VALLE, James Della, ULBRICH, Henrique Csar. Universidade Hacker: Desvende todosos segredos do submundo dos hackers. 6 ed. So Paulo: Digerati Books, 2009.

49. 49APNDICE A FORMULRIO DE VERIFICAO DE ADEQUAO A NBR ISO/IEC 27002:2005 Questo de auditoria S N 1 Poltica de segurana da informao 1.1 Se existe alguma poltica de segurana da informao, que seja aprovado pela direo, publicado e comunicado, de forma adequada, para todos os funcionrios. 1.2 Se esta expressa as preocupaes da direo e estabelece as linhas-mestras para a gesto da segurana da informao. 1.3 Se a poltica de segurana tem um gestor que seja responsvel por sua manuteno e anlise crtica, de acordo com um processo de anlise crtica definido. 1.4 Se o processo garante que a anlise crtica ocorra como decorrncia de qualquer mudana que venha afetar a avaliao de risco original. Exemplo: Incidentes de segurana significativos, novas vulnerabilidades ou mudanas organizacionais ou na infra-estrutura tcnica. 2 Organizando a segurana da informao 2.1 Se existe um frum multifuncional com representantes da direo de reas relevantes da organizao para coordenar a implementao de controles de segurana da informao. 2.2 Se as responsabilidades pela proteo de cada ativo e pelo cumprimento de processos de segurana especficos sejam claramente definidos. 2.3 Se foi implantado um processo de gesto de autorizao para novos recursos de processamento da informao. Isto deve incluir todos os novos recursos, como hardware e software. 2.4 Se uma consultoria especializada em segurana da informao obtida quando apropriado. Um indivduo especfico deve ser identificado para coordenar conhecimentos e experincias dentro da organizao para assegurar consistncia, e prover ajuda na deciso de segurana. 2.5 Se a implementao da poltica de segurana analisada criticamente, de forma independente. Isto para fornecer garantia de que as prticas da organizao refletem apropriadamente a poltica, e que esta adequada e eficiente. 2.6 Se os riscos de segurana com prestadores de servio trabalhando no ambiente da empresa foram identificados e controles apropriados so identificados. 2.7 Se os requisitos de segurana so definidos no contrato com prestadores de servios, quando a organizao tiver terceirizado o gerenciamento e controle de todos ou alguns dos sistemas de informao, redes e/ ou estaes de trabalho. 3 Gesto de ativos 3.1 Se um inventrio ou registro mantido com os ativos importantes relacionados com cada sistema de informao. 3.2 Se cada ativo identificado possui um gestor, se foi definido e acordado na classificao de segurana, e se sua localizao foi definida.

50. 504 Segurana em pessoas4.1 Se regras e responsabilidades de segurana so documentadas onde for apropriado, de acordo com a poltica de segurana da informao da organizao.4.2 Se os funcionrios so questionados a assinarem acordos de confidencialidade ou no divulgao como parte dos termos e condies iniciais de contratao.4.3 Se os termos e condies de trabalho determinam as responsabilidades dos funcionrios pela segurana da informao. Quando apropriado, estas responsabilidades devem continuar por um perodo de tempo definido, aps o trmino do contrato de trabalho.4.4 Se todos os funcionrios da organizao e, onde for relevante, prestadores de servios recebem treinamento apropriado e atualizaes regulares sobre as polticas e procedimentos organizacionais.4.5 Se existe um procedimento ou diretriz formal para reportar incidentes de segurana atravs dos canais apropriados da direo, o mais rapidamente possvel.4.6 Se existe um procedimento ou diretriz formal para que os usurios sejam instrudos a registrar e notificar quaisquer fragilidades ou ameaas, ocorridas ou suspeitas, na segurana de sistemas ou servios.4.7 Se foram estabelecidos procedimentos para notificar qualquer mau funcionamento de software.4.8 Se existe um processo disciplinar formal para os funcionrios que tenham violado as polticas e procedimentos de segurana organizacional. Tal processo pode dissuadir funcionrios que, de outra forma, seriam inclinados a desrespeitar os procedimentos de segurana.5 Segurana fsica e do ambiente5.1 Se barreiras fsicas, como recursos de segurana, foram implementadas para proteger o servio de processamento da informao. Alguns exemplos de tais recursos de segurana so o controle por carto do porto de entrada, muros, presena de um funcionrio na recepo, etc.5.2 Se existem controles de entrada para permitir somente a entrada do pessoal autorizado dentro de vrias reas da organizao.5.3 Se as salas, que possuem o servio de processamento de informao ou contm armrios fechados ou cofres, so trancadas.5.4 Se o equipamento foi instalado em local apropriado para minimizar acesso no autorizado rea de trabalho.5.5 Se o equipamento protegido contra falhas de energia e outras anomalias na alimentao eltrica., utilizando fornecimento de energia permanente como alimentao mltipla, no-break, gerador de reserva, etc.5.6 Se o cabeamento eltrico e de telecomunicaes que transmite dados ou suporta os servios de informao protegido contra interceptao ou dano.5.7 Se a manuteno realizada apenas pelo pessoal autorizado.5.8 Se so mantidos registros com todas as falhas suspeitas ou ocorridas e de toda a manuteno corretiva e preventiva.

51. 515.9 Se os controles apropriados so utilizados quando do envio de equipamentos para manuteno fora da instalao fsica.5.10 Se um equipamento autorizado pela direo quando necessitar ser utilizado fora das instalaes da organizao.5.11 Se um servio de bloqueio automtico de tela de computador est ativo. Isso ir travar o computador sempre que for5.12 deixado ocioso por um determinadodeixar qualquer material Se os empregados so avisados para tempo. confidencial de forma segura e trancada.5.13 Se vetada a remoo de equipamentos, informaes ou software sem adequada autorizao.5.14 Se inspees regulares so realizadas para detectar remoo de propriedade no autorizada.5.15 Se as pessoas esto cientes que estas inspees regulares esto realizadas.6 Gerenciamento das operaes e comunicaes6.1 Se uma poltica de segurana identifica qualquer procedimento operacional como backup, manuteno de equipamentos, etc.6.2 Se estes procedimentos esto documentados e so utilizados.6.3 Se todos os programas executados no sistema de produo so submetidos ao controle estrito de mudanas. Qualquer mudana nesses programas de produo deve ser autorizada pelo controle de mudanas.6.4 Se existe algum controle contra o uso de software malicioso.6.5 Se a poltica de segurana define caractersticas de licenciamento de software como proibio do uso de software no autorizado.6.6 Se um software antivrus est instalado nos computadores para verificar e isolar ou remover qualquer vrus do computador ou mdia.6.7 Se a assinatura deste software est atualizada em uma base regular para verificar por ltimas verses de vrus.6.8 Se todo o trfego originado de uma rede insegura para a organizao verificado por vrus. Exemplo: Verificar vrus no e-mail, anexos de e-mail , web, trfego FTP.6.9 Se cpias de segurana de informaes essenciais aos negcios como servidor de produo, componentes crticos de rede, configurao, etc, so realizadas regularmente. Exemplo: Segunda-Quinta: Cpia incremental. Sexta: Cpia completa.6.10 Se a mdia que contm a cpia de segurana e o procedimento para restaurar tal cpia so armazenados seguramente e bem longe do local onde foram realizadas.6.11 Se existe algum controle especial para assegurar confidencialidade e integridade do processamento de dados em uma rede pblica e para proteger sistemas conectados. Exemplo: Redes privadas virtuais (VPN), outros mecanismos de encriptao e hashing, etc.6.12 Se a documentao do sistema protegida contra acesso no autorizado.6.13 Se a lista de acesso para a documentao do sistema mantida mnima e autorizada pelo dono da aplicao. Exemplo: Documentao do sistema necessita ser mantida em um drive compartilhado para fins especficos. A documentao necessita ter listas de controle de acessos ativa (para ser acessada somente por usurios limitados).

52. 526.14 Se existe uma poltica ativa para o uso de correio eletrnico ou poltica de segurana que define caractersticas em relao ao uso do correio eletrnico.6.15 Se controles como verificao de antivrus, isolao de anexos potencialmente inseguros, controle de spam, anti relaying, etc, esto ativos para reduzir os riscos criados pelo correio eletrnico.7 Controle de acesso7.1 Se os requisitos do negcio para controle de acesso foram definidos e documentados.7.2 Se a poltica de controle de acesso define as regras e direitos para cada usurio ou um grupo de usurios.7.3 Se a concesso e o uso de quaisquer privilgios de um sistema de informao multiusurio restrito e controlado, por exemplo, se privilgios so concedidos pela necessidade do usurio, e somente depois de um processo de autorizao formal.7.4 Se os usurios so solicitados a assinar uma declarao a fim de manter a confidencialidade de sua senha pessoal. A concesso e alterao de senhas devem ser controladas por um processo de gerenciamento formal.7.5 Se existe alguma diretriz para guiar usurios na escolha e manuteno segura de senhas.7.6 Se o acesso ao sistema de informao realizado atravs de um processo seguro de entrada (login) no sistema.7.7 Convm os usurios (incluindode pessoal de suporte tcnico, Se todos que o procedimento o entrada no sistema de computador seja projetado para minimizar a oportunidade de como operadores, administradores de redes, programadores acessos no autorizados. de sistema e administradores de rede) tenham um identificador nico.7.8 As o mtodo de autenticao utilizado somente seridentidade Se contas genricas de usurio devem confirma a fornecidas sobre circunstncias excepcionais no qual h um benefcio de alegada pelo usurio. Mtodo comumente utilizado: Senhas negcio claro. Controles adicionais devem ser necessrios somente conhecidas pelos usurios. para gerenciar as contas.7.9 Se existe um sistema de gerenciamento de senhas que refora vrios controles de senhas, como: Senha individual, refora alteraes de senha, gravar senha de forma criptografada, no mo