UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO … DA COSTA FERREIRA.pdf · Por: . Iracema da Costa...
88
UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO “LATO SENSU” PROJETO A VEZ DO MESTRE Quais as melhores práticas de segurança da informação no desenvolvimento de sistemas Por: Iracema da Costa Ferreira Orientador Prof. Ms. Marco A. Larosa Rio de Janeiro 2004
Transcript of UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO … DA COSTA FERREIRA.pdf · Por: . Iracema da Costa...
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
PROJETO A VEZ DO MESTRE
Quais as melhores práticas de segurança da
informação no desenvolvimento de sistemas
Por: Iracema da Costa Ferreira
Orientador
Prof. Ms. Marco A. Larosa
Rio de Janeiro
2004
2
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
PROJETO A VEZ DO MESTRE
Quais as melhores práticas de segurança da
informação no desenvolvimento de sistemas
Apresentação de monografia à Universidade
Candido Mendes como condição prévia para a
conclusão do Curso de Pós-Graduação “Lato Sensu”
em Docência do Ensino Superior.
Por: . Iracema da Costa Ferreira.
3
AGRADECIMENTOS
....aos meus amigos e parentes que me
incentivaram e auxiliaram em todos os
momentos de dificuldade, e
especialmente as minhas amigas Didi e
Regina as quais são as verdadeiras
responsáveis por esse desafio e com
as quais compartilhei todos os
momentos de desespero e de alegrias
durante o período do curso, o qual
sentirei muita saudade.
4
DEDICATÓRIA
.....dedico à minha mãe que tanto se
esforçou para me proporcionar uma boa
educação com muito amor e carinho.
5
RESUMO
As informações armazenadas em uma base de dados de uma empresa
estão vulneráveis a vários tipos de ameaças. Serão apresentados alguns
controles necessários para minimizar os riscos de perda de informação. Será
ressaltada a necessidade de uma conscientização da força de trabalho na
utilização de medidas necessárias para maximizar o grau de segurança da
informação e também os riscos sofridos em caso de falha no sistema.
Relacionaremos alguns tipos de ameaças existentes no processo de
armazenamento da informação.
.
6
METODOLOGIA
A principal ferramenta utilizada para a confecção dessa monografia foi a
internet.
Alguns sites como www.modulo.com.br e www.google.com.br foram
bastante utilizados como fonte de pesquisa, tendo encontrado um material
muito rico no assunto abordado.
Para a orientação na formatação foi utilizado o livro “Como fazer uma
monografia”, cedido pela coordenação do Curso de Pós Graduação “A Vez do
Mestre” , que funcionou como um facilitador para a conclusão e término do
trabalho, junto com o site www.vezdomestre.com.br também da própria
instituição.
7
SUMÁRIO
INTRODUÇÃO 08 CAPÍTULO I - HISTÓRICO DAS NORMAS DE SEGURANÇA 11 CAPÍTULO II - GESTÃO DA SEGURANÇA DA INFORMAÇÃO 18 CAPÍTULO III - SEGURANÇA DA INFORMAÇÃO EM AMBIENTES CORPORATIVOS 38 CAPÍTULO IV - PADRÕES PARA SEGURANÇA DE COMPUTADORES 52 CONCLUSÃO 64 BIBLIOGRAFIA CONSULTADA 66 ANEXOS 69 ÍNDICE 86 FOLHA DE AVALIAÇÃO 87
8
INTRODUÇÃO
Em um mundo cada vez mais competitivo, faz-se necessário um
controle cada vez maior de um patrimônio de valor intangível para a empresa:
a informação. São informações agregadas durante anos de vivência no
mercado e que de um momento para outro não conseguimos sobreviver mais
sem elas.
Falhas, como perda de informação, são certas vezes irreparáveis para
a sobrevivência da empresa.
A instituição ou empresa tem necessidade de conscientizar a sua força
de trabalho da importância da segurança da informação através de uma
divulgação dos riscos e os procedimentos que deverão ser seguidos para
minimizá-los.
A implementação de uma Política de Segurança da Informação é o
marco fundamental para garantir a proteção das informações e dos recursos
que a suportam. É o primeiro passo para a garantia das premissas básicas de
confidencialidade , integridade e disponibilidade.
Os altos índices de informatização, conectividade, negócios pela Internet
e compartilhamento de dados tornaram a informação um dos bens mais
valiosos e mais vulneráveis das empresas. Com isso, incidentes nas redes de
computadores passaram a afetar diretamente os resultados do negócio e o
valor das empresas.
9A rapidez com que surgem novas facilidades e avanços tecnológicos é
assustadora, uma empresa termina de atualizar seus softwares para uma nova
versão e em seguida são lançados softwares ainda mais avançados,
estes avanços tecnológicos proporcionam grandes facilidades como, por
exemplo, agilidade, confiabilidade, rapidez, controle de informações, entre
outras.
Mas tudo isso também traz problemas, pois a dependência desta
tecnologia faz com que um defeito num computador ou um problema em um
software, coloque em risco anos de trabalhos e estudos.
Além disso, no momento em que os sistemas passaram a compartilhar
os dados e conectar as redes, aumentaram os problemas por falta de
segurança, pois quando muitos acessam as informações são necessários
cuidados para que não haja acessos indevidos e mau uso do sistema.
Muitos acessos e o controle de servidores, que antigamente eram
mantidos por uma pessoa, com um conhecimento básico ou nenhum de
segurança, agora é compartilhado entre várias pessoas, que podem estar no
mesmo prédio ou em continentes diferentes, tornando mais difícil o controle de
quem acessa as informações da empresa.
Claro que antigamente também existiam problemas de segurança, mas
eram em proporções muito menores que hoje e mais simples de serem
resolvidos. Hoje em dia existem pessoas comuns controlando sistemas
importantes da empresa, muitas delas não acompanharam a evolução dos
problemas de segurança e não possuem o conhecimento necessário para se
prevenir contra novos problemas que aparecem a cada dia.
10Devido ao constante crescimento de problemas por falta de segurança,
as empresas que possuem sistemas de informação devem ter como prioridade
nas suas estratégias a preocupação com a prevenção destes problemas, mas
precisam estar preparadas, pois existem muitos
fornecedores oferecendo seus produtos e serviços de segurança como
capazes de resolver todos os problemas de segurança da empresa,
convencendo pessoas inexperientes que, contratando os serviços destas
empresas ou instalando seus produtos, estarão totalmente seguras.
Mas a realidade é que nenhum sistema ou serviço é 100% seguro, o que
existe são várias medidas de segurança que, implantadas em conjunto com
algum produto, vão diminuir os riscos de problemas de segurança. Não
adianta gastar um valor exorbitante para colocar porta com senha de acesso
nas salas onde estão os servidores da empresa, se não existe um
procedimento de controle de acessos e a senha é conhecida por todos e não é
trocada regularmente. Não adianta ter um perfeito software de backup e um
cofre em outra planta da empresa, para onde as fitas levadas, se diariamente
este backup não for conferido se foi realizado corretamente. É importante
salientar que cada empresa tem uma realidade e, devido a isso, uma solução
de segurança, proposta para uma empresa, pode não ser a solução ideal para
outra empresa, que trate de negócios diferentes.
Este trabalho citará problemas gerais que qualquer tipo de empresa está
exposta, as medidas de segurança para prevenção destes problemas,
propostas neste trabalho, podem ser usadas por qualquer empresa, mas serão
soluções básicas que deverão ser trabalhadas em conjunto para se tornarem
efetivas. Mas, para que a empresa fique tranqüila, no que diz respeito a
segurança, a implantação destas medidas é apenas o começo, sempre será
necessário o comprometimento dos funcionários, o apoio da alta direção da
empresa e o acompanhamento de novas tecnologias e novos riscos, ou seja, é
um trabalho que exige continuidade.
11
CAPÍTULO I
Histórico do surgimento das normas de segurança ...Deus é maior que todos os obstáculos.
12Desde o início da civilização humana há uma preocupação com as
informações e com os conhecimentos atrelados a elas. Inicialmente, esta
atenção especial pode ser observada no processo de escrita de alguns povos,
como é o caso da antiga civilização egípcia, na qual somente as castas
"superiores" da sociedade tinham acesso aos manuscritos da época, e menos
pessoas ainda ao processo de escrita dos mesmos. Assim a escrita, por meio
de hierogrifos do Egito antigo, representa uma das várias formas utilizadas
pelos antigos de protegerem e, ao mesmo tempo, perpetuarem o seu
conhecimento.
Contudo, somente na sociedade moderna, com o advento do surgimento dos
primeiros computadores, houve uma maior atenção para a questão da
segurança das informações. De início, esta preocupação era ainda muito
rudimentar, porém com o passar do tempo este processo mudou.
A questão da segurança no âmbito dos computadores ganhou força com o
surgimento das máquinas de tempo compartilhado, também conhecidas como
computadores "time-sharing", ou seja, que permitiam que mais de uma pessoa,
ou usuário, fizesse uso do computador ao mesmo tempo, processo comum na
atualidade, mas que até então não era possível.
O "time-sharing" permitiu que vários usuários pudessem acessar as mesmas
informações, contudo este acesso não gerenciado poderia gerar efeitos
indesejáveis, tal como: um estagiário pode ter acesso aos dados do presidente
da firma. Logo, nasce a necessidade da implementação de ferramentas que
implementem o fornecimento de mecanismos para minimizar o problema do
compartilhamento de recursos e informações de forma insegura.
13Neste período foi então caracterizado o que ficara conhecido como o
"problema clássico de computadores", o qual pode ser resumido na seguinte
questão: "Como fazer com que usuários autorizados possam ter acesso a
determinadas informações, ao mesmo tempo em que os usuários não
autorizados não possam acessá-las?".
Todavia, a resposta para a pergunta acima não era, e ainda não é, trivial. A
primeira resposta, sugerida na época para solucionar o problema foi a
construção de um Sistema Operacional (S.O.) melhor, mais aprimorado.
Contudo, a sociedade ainda não possuía o conhecimento de como construí-lo.
Assim, em outubro de 1967, nasceu nos Estados Unidos o primeiro esforço
para solucionar tal situação. Isto se deu com a criação de uma "força tarefa",
que resultou em um documento entitulado "Security Control for Computer
System: Report of Defense Science Boad Task Force on computer Security"
[este documento foi editado por W. H. Ware], e representou o início do
processo oficial de criação de um conjunto de regras para segurança de
computadores, que mais tarde chegaria ao seu cume com a publicação da uma
norma internacional de segurança da informação no ano de 2000, que como o
nome afirma é de âmbito mundial.
Porém, este esforço não se deu somente por parte do Departamento de
Defesa dos Estados Unidos (United States Department of Defese - DoD); a
Agência Central de Inteligência (Central Inteligency Agency) também comprou
esta briga, e iniciou o desenvolvimento do primeiro Sistema Operacional que
implementava as políticas de segurança do DoD, que foi o ADEPT-50.
Em outubro de 1972, J. P. Anderson escreve um relatório técnico
denominado: "Computer Security Technologs Planning Study", no qual ele
descreve "todos" os problemas envolvidos no processo de se fornecer os
mecanismos necessários para salvaguardar a segurança de computadores.
14Este documento, combinado com os materiais produzidos por D.E. Bell e por
L. J. La Padula, e denominados "Secure Computer Systens: Mathematical
Fundations", "Mathemathical Model" e "Refinament of Mathematical Model",
deram origem ao que ficou conhecido como "Doctrine", esta por sua vez seria a
base de vários trabalhos posteriores na área de segurança.
Paralelamente o Coronel Roger R. Schell, da Força Aérea americana, que
na época trabalhava na Divisão de Sistemas Eletrônicos - EDS (Eletronic
System Division - Air Force Systems Command) iniciou o desenvolvimento de
várias técnicas e experimentações que levariam ao surgimento do que ficou
conhecido como "Security Kernels", que nada mais é do que os componentes
principais para o desenvolvimento de um Sistema Operacional "Seguro".
Em 1977, o Departamento de Defesa dos Estados Unidos formulou um
plano sistemático para tratar do Problema Clássico de Segurança, o qual daria
origem ao "DoD Computer Security Initiative", que, por sua vez, desenvolveria
a um "centro" para avaliar o quão seguro eram as soluções disponibilizadas.
A construção do "Centro" gerou a necessidade da criação de um conjunto de
regras a serem utilizadas no processo de avaliação. Este conjunto de regras
ficaria conhecido informalmente como "The Orange Book", devido a cor da
capa deste manual de segurança, e o Coronel Roger Shell foi o primeiro diretor
deste centro.
O processo de escrita do "Orange Book", conhecido oficialmente como
"Trusted Computer Evaluation Criteria - DoD 5200.28-STD", teve o seu início
ainda no ano de 1978. No mesmo ano, a publicação da primeira versão "Draft",
ou rascunho, deste manual, entretanto somente no dia 26 de dezembro de
1985 foi publicada a versão final e atual deste documento.
15Graças às operações e ao processo de criação do Centro de Avaliação e do
"Orange Book" foi possível a produção de uma larga quantidade de documento
"técnicos", que representaram o primeiro passo na formação de uma norma
coesa e completa sobre a segurança de computadores. A série de documentos
originados pelo esforço conjunto dos membros do centro é reconhecida pelo
nome de "The Rainbow Serie", cujos documentos continuam sendo atualizados
largamente, tais documentos são distribuídos gratuitamente pela internet.
Mesmo que o "Orange Book" seja considerado, atualmente, um documento
"ultrapassado", podemos considerá-lo como o marco inicial de um processo
mundial e contínuo de busca de um conjunto de medidas que permitam a um
ambiente computacional ser qualificado como seguro.
Esta norma de segurança permitiu e continua permitindo a classificação, por
exemplo, do nível de segurança fornecido pelos sistemas operacionais
atualmente utilizados, como são os casos do OpenBSD, do FreeBSD, do
NetBSD, do Solaris, do AIX, do QNX, dos vários "sabores" de Linux e até
mesmo das várias versões do Windows. Com a classificação realizada pelo
"Centro" ficou mais fácil comparar as soluções fornecidas pela indústria, pelo
mercado e pelo meio acadêmico de uma forma geral, o que não era possível
até então.
Outro fator a ser lembrado é que o "Orange Book", dentro de sua
"formalidade", permite, de uma maneira simples e coesa, especificar o que
deve ser implementado e fornecido por um software, para que ele seja
classificado em um dos níveis de "segurança" pré-estipulados, permitindo
assim que este também seja utilizado como fonte de referência para o
desenvolvimento de novas aplicações e para o processo de atualização ou
refinamento de aplicações já existentes e em uso.
16
Logicamente podemos concluir que o processo de busca de soluções para
os problemas de segurança em ambientes computacionais envolve a
necessidade do desenvolvimento de padrões, os quais serão tanto utilizados
no apoio à construção de sistemas computacionais "seguros" como para a
avaliação dos mesmos. A existência de uma "Norma" permite o usuário tomar
conhecimento do quão protegidas e seguras estarão as suas informações,
possibilitando ao mesmo uma ferramenta que irá auxiliar a escolha de uma
solução. Do ponto de vista dos profissionais técnicos, eles passarão a possuir
uma ferramenta comum de trabalho, evitando assim que cada equipe tenha
para si um padrão desconexo das demais equipes, dificultando aos clientes a
melhor escolha.
O "The Orange Book" representou o marco "zero", do qual nasceram vários
padrões de segurança, cada qual com a sua filosofia e métodos proprietários,
contudo visando uma padronização mundial. Houve um esforço para a
construção de uma nova norma, mais atual e que não se detivesse somente na
questão da segurança de computadores, mas sim na segurança de toda e
qualquer forma de informação.
Este esforço foi liderado pela "International Organization for Standardization
(ISO). No final do ano de 2000, o primeiro resultado desse esforço foi
apresentado, que é a norma internacional de Segurança da Informação
"ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países de
língua portuguesa, denominada "NBR ISO/IEC-17799".
17
CAPÍTULO II
Gestão da segurança da informação
18Na maioria das organizações, a unidade responsável pela segurança da
informação apresenta uma postura reativa, em que as conseqüências das
decisões a respeito de mudanças no ambiente de SI/TI (sistemas de
informação e tecnologia da informação) são analisadas a “posteriori" e muitas
vezes ignoradas até que algum impacto negativo causado por essas alterações
passe a exigir uma intervenção no sentido de minimizar os riscos de novos
incidentes.
Em qualquer tipo de organização, o ambiente de SI/TI está em constante
mutação, o que significa que as ameaças e vulnerabilidades a que se sujeita
também se modificam o tempo todo. Qualquer alteração na estrutura
organizacional, nos processos de trabalho ou nas soluções tecnológicas
adotadas, por mais irrelevante que possa parecer para o processo de gestão
da segurança da informação, pode vir a causar uma alteração importante nas
ameaças e vulnerabilidades a que estão expostos os ativos informacionais.
Considere o caso real de uma organização que decidiu terceirizar seus
serviços de desenvolvimento de sistemas. A troca de informações sobre os
projetos, antes realizada pela equipe interna, usando o serviço de correio
eletrônico corporativo, sujeito a rígidos controles para a proteção do sigilo da
comunicação - passou a envolver a troca de mensagens com o ambiente
externo, incluindo serviços de e-mail gratuitos usados por técnicos que não
dispunham de acesso via web às caixas postais da empresa a que pertenciam.
19Os controles internos existentes perderam a capacidade de manter em
segurança as informações sensíveis de cada projeto, e depois de alertada por
um gerente de projeto para os riscos envolvidos, a área de segurança precisou
adotar novas medidas de proteção (as quais abrangeram a alteração da norma
que impedia a criação de contas de e-mail para não integrantes do quadro de
pessoal, a definição de uma nova classe de endereços de correio eletrônico
que pudesse identificar o remetente como prestador de serviços, e o
estabelecimento de regras diferenciadas para os usuários dessas novas contas
de e-mail).
Para poder atuar proativamente na gestão dos riscos e na adaptação da
estrutura de segurança às mudanças que ocorrem na organização, o gestor da
segurança deve preocupar-se em adquirir uma visão abrangente das
estratégias de negócio e de TI da sua organização. Dessa forma ele tem como
antecipar-se às alterações previstas para o ambiente de SI/TI, reavaliar
oportunamente os riscos e adaptar a estrutura de segurança existente à nova
realidade, antes que os efeitos negativos da mudança se manifestem na forma
de incidentes que levem à perda de integridade, disponibilidade ou sigilo da
informação.
Entender a análise de risco não como um projeto com começo, meio e
fim, mas sim como uma etapa integrante do processo de gestão da segurança
da informação, que precisa ser periodicamente revista em função das
mudanças no ambiente interno, é o primeiro passo para garantir que não
ocorra uma defasagem cada vez maior entre os controles implementados e as
reais situações de risco enfrentadas pela organização.
À medida que a unidade responsável pela segurança adquire
maturidade na sua gestão, e que as atividades informais de proteção dos ativos
informacionais vão sendo substituídas por processos planejados, controlados e
mensurados, torna-se mais fácil atuar preventivamente.
20Nesse contexto, o gestor da segurança da informação poderá assumir
um papel bem mais significativo nos processos de planejamento estratégico
corporativo e de SI/TI, colaborando na construção de cenários e na
identificação das melhores soluções para a organização não só do ponto de
vista do atendimento às suas demandas por informação, mas também para a
proteção desse que já é o principal ativo das organizações.
212.1 – Causa de vulnerabilidades em sistemas
Segundo a segunda pesquisa anual realizada pela Computing
Technology Industry Association (CompTIA), com 900 organizações, os erros
humanos continuam sendo a causa principal das vulnerabilidades de
segurança em sistemas de tecnologia da informação, mas uma melhor
capacitação e treinamento podem ajudar as organizações a combater e limitar
o impacto deste cenário. Deste total, 84% das empresas participantes da
pesquisa apontaram os erros humanos como os principais - ou em parte -
culpados pelas falhas de segurança encontradas em seus sistemas.
O aumento é considerável, se compararmos com o índice (63%) obtido
no ano passado. A pesquisa revela ainda que seis em cada dez organizações
(58%) admitiram ter passado por experiências envolvendo uma grande
vulnerabilidade de segurança - definida como àquela que resulta em perda de
informação confidencial ou interrupção de operações comerciais - nos últimos
seis meses.
Recorrendo mais uma vez a comparação com os dados obtidos no ano
passado, constata-se um crescimento significativo nesse índice (38%). "Estes
resultados apontam o fato de que a segurança e o capital humano, mais que a
segurança e a tecnologia, devem estar entre as mais altas prioridades das
organizações", diz John Venator, CEO da CompTIA.
"O conhecimento e a ação humana são pontos críticos para se fazer
redes e infra-estruturas seguras. Muitas organizações estão sendo lentas em
fazer os investimentos apropriados a tempo e direcionar o orçamento correto
contra as ameaças", completou.
222.2 – Desenvolvimento e manutenção de sistemas
O objetivo desta seção é abordar os requisitos de segurança dos
sistemas, de seu desenvolvimento, de seus dados e de seu suporte, garantindo
a confidencialidade, autenticidade e integridade da informação, assegurando
que projetos de tecnologia da informação e suporte de atividades sejam
conduzidos de maneira segura.
2.2.1 – Requisitos de segurança para o desenvolvimento de sistemas
Estes requisitos têm a função de garantir que a segurança está
efetivamente implantada nos sistemas de informação. Isto inclui infra-estrutura,
aplicações específicas ao negócio e aplicações desenvolvidos pelo usuário. O
projeto e a implementação dos processos do negócio que dão suporte às
aplicações podem ser cruciais para a segurança. Os requisitos de segurança
devem ser identificados e acordados antes do desenvolvimento dos sistemas
de informação.
2.2.1.1 - Análise e especificação dos requisitos de segurança.
Na especificação dos requisitos de novos sistemas, ou melhoria dos já
existentes, é necessário especificar também os requisitos de controle. Ao
serem definidos, os requisitos e controles de segurança devem refletir o valor
dos ativos da informação envolvidos, bem como se os potenciais danos ao
negócio que resultarão da falha ou ausência de segurança. A estrutura para
analisar os requisitos de segurança e identificar os controles necessários
consiste na avaliação e gerenciamento de riscos. À gerência, é facultado o uso
de produtos independentemente avaliados e certificados.
23
2.2.1.2 – Segurança nos sistemas aplicativos
O objetivo da segurança nos sistemas aplicativos é prevenir a perda,
modificação ou uso impróprio de dados. Para tanto, é necessário que os
controles apropriados e os registros, tanto os de auditoria quanto os de
atividades, devam ser previstos para os sistemas aplicativos, incluindo também
os aplicativos escritos pelo usuário. Estes devem incluir a validação dos dados
de entrada.
- Validação de dados de entrada
Os dados de entrada dos sistemas aplicativos devem ser validados para
garantir que estão corretos e que são apropriados.
- Controle interno do processamento
Dados que foram introduzidos corretamente podem ser corrompidos por erros
de processamento, ou por meio de ações intencionais. Verificações de
validação devem ser incorporadas aos sistemas para detectar as possíveis
corrupções de dados. Os controles necessários para evitar a corrupção dos
dados dependerão tanto da natureza das aplicações, quanto do impacto nos
negócios, devido à qualquer corrupção.
- Autenticação de mensagem
A autenticação de mensagem é utilizada para detectar modificações não
autorizadas ou a corrupção do conteúdo das mensagens transmitidas
eletronicamente. No entanto, ela não protege as mensagens contra
divulgações não autorizadas. Ela pode ser implementada via hardware ou
software.
- Validação dos dados de saída
Os dados de saída de um sistema aplicativo devem ser validados para garantir
que a armazenagem da informação esteja correta e apropriada para as
circunstâncias.
242.2.1.3 – Controles de criptografia
Os controles de criptografia têm como objetivo proteger a
confidencialidade, autenticidade e integridade das informações. Os sistemas
criptográficos são usados para a proteção das informações sensíveis, no casos
em que outros controles não fornecem proteções apropriadas.
- Criptografia
Criptografia é uma técnica de codificação que utiliza algoritmos e chaves
criptográficas de tamanhos variáveis para proteção da confidencialidade das
informações sensíveis. Os tipos de chaves e algoritmos implementados é que
determinam a qualidade da criptografia utilizada. Ao se implantar a criptografia,
pode ser que seja necessário um aconselhamento jurídico para verificação dos
aspectos legais que podem ser aplicados à organização que pretende usar a
criptografia.
- Política para uso de controles de criptografia
Uma análise de risco deve ser sempre executada para se determinar o nível de
proteção apropriado para informações sensíveis a ser implementado. Esta
análise pode, então, determinar se um controle criptográfico é necessário e,
neste caso, que tipo de controle deve ser aplicado, com que propósito e em
quais processos.
Uma organização, ao optar por implantar mecanismos de criptografia, deve
desenvolver uma política de uso de criptografia no intuito de maximizar os
benefícios do uso das técnicas criptográficas, e, por outro lado, evitar o uso não
apropriado e incorreto das mesmas.
25- Assinatura digital
As assinaturas digitais fornecem os meios para proteção da integridade e
autenticidade de qualquer documento eletrônico. Elas possibilitam verificar se o
remetente é quem ele realmente afirma ser. Essa técnica também utiliza
algoritmos e chaves. Também, neste caso, deve-se levar em consideração os
aspectos legais da assinatura digital na jurisdição onde a organização está
situada.
- Serviço de não-repudiação
Os serviços de não-repudiação devem ser usados para resolver disputas sobre
a ocorrência, ou não, de um evento ou ação. Isto é feito através do
estabelecimento de evidências concretas de que um evento ocorreu.
- Gerenciamento de chaves
O gerenciamento de chaves criptográficas é essencial para o uso eficaz das
técnicas de criptografia. Qualquer comprometimento ou perda das chaves
criptográficas pode levar ao comprometimento da confidencialidade,
autenticidade e integridade da informação. Assim, todas as chaves devem ser
protegidas contra modificação e destruição.
Um sistema de gerenciamento de chaves criptográficas deve ser baseado em
um acordo sobre um conjunto de padrões, procedimentos e métodos seguros.
Para se reduzir a probabilidade de comprometimento, as chaves devem ter
datas de ativação e desativação definidas, de forma que só possam ser usadas
por um período predefinido de tempo.
Certificados digitais são usados para evitar a falsificação de uma assinatura
digital. O certificado digital é emitido por uma organização certificadora
reconhecida, com controle adequado e procedimentos implementados para
fornecer o grau de confiança necessário.
262.2.1.4 – Segurança do sistema de arquivos
O acesso aos sistemas de arquivos deve ser controlado para garantir
que os projetos de tecnologia de informação e as atividades de suporte sejam
conduzidas de maneira segura. A responsabilidade pela integridade do sistema
deve ser do usuário, do sistema, ou do grupo de desenvolvimento a quem a
aplicação pertence.
- Controle de software em produção
Com o intuito de minimizar o risco de corrupção dos sistemas operacionais,
devem ser estabelecidos controles para a instalação de software. Qualquer
atualização de software deve levar em conta a segurança da versão. Por isso,
correções (patches) de software só devem ser aplicadas quando puderem
ajudar na remoção ou redução da fragilidade de segurança.
- Proteção de dados de testes do sistema
Testes de sistemas e de aceitação requerem volumes substanciais de dados, e
devem refletir, tanto quanto possível, os dados em produção. Assim,
precauções devem ser tomadas para que, de um lado, os dados a serem
usados em testes de sistemas sejam idênticos aos do mundo real, e, por outro
lado, os dados nunca contenham informações sigilosas.
- Controle de acesso a bibliotecas de programa fonte
Com o intuito de reduzir a potencialidade de corrupção nos programas de
computadores, um controle rígido e completo deve ser mantido sobre o acesso
às bibliotecas de programa fonte.
272.2.1.5 – Segurança nos processos de desenvolvimento e suporte
Os ambientes de desenvolvimento e suporte devem ser rigidamente
controlados para evitar que as modificações nos sistemas não comprometam a
segurança desses sistemas ou do ambiente de produção.
- Procedimento de controle de mudança.
Para minimizar a corrupção dos sistemas de informação, faz-se necessária a
existência de procedimentos formais de controle sobre a implantação de
mudanças. Estes procedimentos formais devem garantir que os programadores
só tenham acesso às áreas do sistema necessárias ao seu trabalho, e que
qualquer mudança somente será implantada após ter sido aprovada. É sempre
recomendável que os procedimentos de controle de mudança no ambiente de
produção estejam integrados aos do ambiente de desenvolvimento.
- Revisão técnica das mudanças no sistema operacional de produção
Sistemas operacionais sempre exigem a aplicação de corretivos (patches).
Após a aplicação dos mesmos, os sistemas operacionais devem ser revistos e
testados para garantir que nenhum erro ocorrerá no ambiente de produção.
- Restrições nas mudanças dos pacotes de software
Modificações dos pacotes de software devem ser desencorajadas. Entretanto,
se elas se mostrarem essenciais, o software original deve ser retido e as
modificações efetuadas em uma cópia claramente identificada. As
modificações devem ser testadas e documentadas, de forma que elas possam
ser replicadas em futuras atualizações, se assim se fizer necessário.
28- Canal secreto (Covert channel) e cavalo de tróia
Um canal secreto (covert channel) pode expor a informação através de meios
indiretos e obscuros. Ele pode ser ativado a partir da troca de parâmetros
acessíveis tanto por elementos seguros quanto por elementos inseguros de um
ACC ou, ainda, por informações embutidas em um determinado fluxo de dados.
Um cavalo de tróia é projetado para afetar um sistema de uma forma não
autorizada ou prontamente informada, e de maneira não solicitada pelo
receptor ou usuário. Os canais secretos e o cavalo de tróia raramente ocorrem
por acidente.
- Desenvolvimento terceirizado de software
No desenvolvimento de software terceirizado, os seguintes pontos devem ser
considerados:
• tratamento das licenças, propriedade do código fonte e direitos à propriedade
intelectual;
• certificação de qualidade e da exatidão do trabalho implementado;
• inclusão de itens nos contratos prevendo o tratamento nos casos de falhas;
• direitos de acesso para fins de auditoria da qualidade e da exatidão do
trabalho executado;
• requisitos contratuais de qualidade do código;
• realização de testes antes da instalação para detecção de falhas.
2.3 – Gerenciamento da continuidade do negócio
Os objetivos desta seção são: prevenir que ocorram interrupções nas
atividades e processos críticos do negócio devido às falhas e desastres;
reforçar a necessidade de se ter um plano de continuidade e contingência
desenvolvido, implementado, testado e atualizado.
292.3.1 – Aspectos da gestão da continuidade do negócio
O processo de gestão da continuidade deve ser implantado para reduzir a
interrupção causada por um desastre ou falha de segurança, até um nível
aceitável, através da combinação de ações preventivas e de recuperação.
Planos de contingência devem ser mantidos e testados de forma a se tornarem
parte integrante de todos os processos gerenciais.
A gestão da continuidade do negócio deve incluir controles para a identificação
e redução dos riscos, limitação dos danos e garantia da recuperação
tempestiva das operações vitais.
- Processo de gestão da continuidade do negócio
Um processo de gestão que englobe toda a organização deve estar implantado
para o desenvolvimento e manutenção da continuidade do negócio. Para isso,
faz-se necessário o levantamento dos riscos a que a organização está exposta,
do impacto no negócio que estas interrupções causarão, do tempo máximo
esperado de inatividade do sistema, para assim desenvolver um plano de
continuidade.
-Continuidade do negócio e análise de impacto
A continuidade do negócio deve ter como ponto de partida a identificação dos
eventos que podem causar interrupções nos processos da organização,
seguida por uma análise de risco para determinar o impacto dessas
interrupções.
Em função da análise de risco é que um plano estratégico deve ser
desenvolvido para se determinar a abordagem mais abrangente para a
continuidade do negócio.
Uma vez criado o plano, ele deverá ser validado pelo corpo gerencial.
30
- Documentação e implantação do plano de continuidade do negócio
Planos de continuidade do negócio devem ser desenvolvidos para a
manutenção ou recuperação das operações do negócio, nos prazos
necessários, após a ocorrência de interrupções ou falhas nos processos
críticos.
O processo de planejamento deve focar os objetivos do negócio – por exemplo,
recuperação de determinados tipos de serviços específicos para os clientes –
em um tempo aceitável e, ainda, os recursos e serviços que possibilitarão essa
recuperação.
- Estrutura do plano de continuidade do negócio
Uma estrutura básica do plano de continuidade do negócio deve ser mantida
para se garantir que todos os planos sejam consistentes entre si e que estejam
testados e funcionando. O plano, individualmente, deve especificar claramente
as condições de sua ativação, assim como as responsabilidades individuais
para a execução de cada uma de suas atividades. Quando novos requisitos de
segurança se fizerem necessários, os procedimentos a eles relacionados
devem ser ajustados de forma apropriada. E, por último, cada plano deve
possuir um responsável específico.
- Testes, manutenção e reavaliação dos planos de continuidade do
negócio
Os planos de continuidade do negócio devem ser testados regularmente de
forma a garantir sua efetividade e atualização. Os testes também devem
verificar se todos os envolvidos na recuperação pós-desastre possuem
conhecimento do plano. O planejamento e programação dos testes devem
indicar como, e quando, cada elemento deve ser testado. É recomendável que
os componentes isolados do plano sejam freqüentemente simulados.
Os planos devem passar por atualizações regulares de forma a garantir sua
efetividade.
31Para isso, procedimentos com essa finalidade devem ser incluídos no processo
de gerência de mudanças. As revisões e atualizações de cada plano devem ser
definidas e estabelecidas.
Um controle formal de mudanças assegurará que o processo de atualização
seja distribuído e garantido por revisões periódicas do plano como um todo.do
plano como um todo.
2.3.2 – Conformidade Os objetivos desta sessão são evitar, por parte da organização, as
seguintes violações: às leis civis ou criminais; às obrigações legais ou
contratuais de propriedade intelectual; de segurança a sistemas e informações
de terceiros. Também visa a maximizar a efetividade e minimizar a interferência
em sistema de auditagem.
2.3.2.1 – Conformidade com requisitos legais
O projeto, a operação, o uso e a gestão de sistemas de informação
podem estar sujeitos a requisitos de segurança contratuais, regulamentares ou
estatutários. Por isso, é necessário identificar os aspectos legais, para evitar a
violação de qualquer lei criminal ou civil, estatutos, regulamentações ou
obrigações contratuais e de quaisquer requisitos de segurança. Consultoria em
requisitos legais pode ser procurada em organizações de consultoria jurídica,
ou com profissionais liberais, adequadamente qualificados. É importante
lembrar que os requisitos legais variam de país para país e se aplicam,
também, para a informação criada em um país e transmitida para outro.
- Identificação da legislação vigente
Estatutos, regulamentações ou obrigações contratuais relevantes devem ser
explicitamente definidos e documentados para cada sistema de informação,
bem como os controles e as responsabilidades específicas para atender a
esses requisitos.
32- Direitos de propriedade intelectual
Procedimentos apropriados devem ser implantados para garantir a
conformidade com as restrições legais quanto à propriedade intelectual.
Legislação, regulamentação e cláusulas contratuais podem estabelecer
restrições para a cópia de material, evitando a transgressão aos direitos
autorais. Produtos de software proprietários são, normalmente, fornecidos de
acordo com um contrato de licenciamento que restringe o seu uso, cópia e
instalação. Para se evitar a transgressão dos contratos de licenciamento, uma
política de conformidade de direito autoral deve ser implementada para definir o
uso legal de produtos de software ou de informação.
- Proteção de registros organizacionais
A proteção de registros importantes de uma organização é muito importante
para se evitar perdas, destruição e falsificação dos mesmos. Além disso,
alguns registros precisam ser retidos de forma segura para atender a requisitos
estatutários ou regulamentações, assim como para apoiar as atividades
essenciais da organização. Para isso, sistemas de armazenagem confiáveis de
registros organizacionais devem ser previstos.
Esses sistemas de armazenagem devem ser escolhidos de modo que o dado
solicitado possa ser recuperado de forma legal e aceitável. E, por último, o
sistema de armazenamento e manuseio deve assegurar a clara identificação
dos registros e seus respectivos períodos de retenção estatutários e
regulamentares. Deve permitir, ainda, a destruição apropriada dos registros
após esses períodos, caso não sejam mais necessários à organização.
33- Proteção de dados e privacidade da informação pessoal
Alguns países possuem algumas leis que estabelecem controles no
processamento e na transmissão de dados pessoais. Alguns desses controles
dizem respeito à responsabilidade na armazenagem e divulgação desses
dados. Estar em conformidade legal com essas leis requer estrutura e
controles apropriados. Normalmente, isso é alcançado através da indicação de
um responsável pela proteção de dados, o qual deverá oferecer orientações
para gerentes, usuários e prestadores de serviço a respeito de como tratar
legalmente este tipo de informação. Porém, é de responsabilidade do
proprietário do dado notificar ao responsável sobre qualquer proposta de
armazenamento de informações pessoais em arquivo estruturado e garantir a
capacitação nos princípios de proteção de dados definidos na legislação
vigente.
- Prevenção contra uso impróprio das instalações de processamento da
informação
Qualquer uso das instalações de processamento de dados para propósitos
outros que não os do negócio, sem a devida autorização, será considerado
como impróprio. E sua ocorrência deverá ser passível de punição. Atualmente,
o uso impróprio de computadores está se tornando crime previsto em lei. Por
isso, funcionários e terceiros que utilizam as instalações da organização devem
ser alertados sobre tal procedimento e, ainda, devem ter conhecimento do
escopo exato de suas permissões e do fato de que nenhum acesso é permitido
sem a devida autorização.
No momento da conexão inicial, deve ser informado ao usuário, na tela do
computador, que o sistema ao qual ele está acessando é privado e que não
são permitidos acessos não autorizados. Assim, ao se conectar ele estará de
acordo com isto.
34- Regulamentação de controles criptográficos
Alguns países têm estabelecido acordos, leis, regulamentações e outros
instrumentos para controlar o acesso ou uso de controles criptográficos.
Consultoria jurídica deve ser obtida para garantir a conformidade desse
processo com a legislação nacional vigente e, também, para opinar sobre a
transferência de informações cifradas ou controles criptográficos para outros
países.
- Coleta de evidências
Um processo jurídico contra pessoa ou organização deve estar embasado em
evidências adequadas. Quando ele for de ordem interna, as evidências
necessárias deverão estar definidas nos procedimentos internos. Quando for
de ordem externa, as evidências necessárias devem estar de acordo com as
regras estabelecidas pela lei ou tribunal de justiça específicos da localidade
onde o caso será julgado.
Para se obter a admissibilidade da evidência, as organizações devem garantir
que seus sistemas de informação estejam em conformidade com qualquer
norma ou código de prática publicados. Por outro lado, para o proprietário obter
qualidade e inteireza da evidência, um bom registro (log) de evidência é
necessário. Quando o incidente é detectado, pode não ser óbvio que resultará
num possível processo jurídico. Pode ser, também, que a evidência necessária
seja destruída acidentalmente antes que seja percebida a seriedade do
incidente. É conveniente acionar um advogado, ou a polícia, tão logo seja
constatada a necessidade de processos jurídicos, bem como obter consultoria
especializada sobre as evidências necessárias.
2.3.2.2 – Análise crítica da política de segurança e da
conformidade técnica
A segurança dos sistemas de informação deve estar em constante revisão para
garantir a conformidade dos sistemas com as políticas e normas de segurança
da organização.
35- Conformidade com a política de segurança
Os gerentes devem garantir que todos os procedimentos de segurança estejam
sendo executados dentro de sua área de responsabilidade. Os proprietários
dos sistemas de informação devem apoiar as análises críticas periódicas de
conformidade dos seus sistemas com as normas, políticas e requisitos de
segurança apropriados.
- Verificação da conformidade técnica
Sistemas de informação devem ter periodicamente verificados na sua
conformidade com as normas de segurança implantadas. A verificação de
conformidade técnica envolve a análise dos sistemas operacionais, para
garantir que controles de equipamentos e software foram corretamente
implementados. A verificação de conformidade deve ser sempre executada ou
acompanhada por pessoas competentes e especializadas.
- Considerações quanto à auditoria de sistemas
Devem existir controles para proteção dos sistemas operacionais e das
ferramentas de auditoria quando da realização de auditorias de sistema, no
intuito de maximizar a eficácia e minimizar a interferência do processo de
auditoria no sistema. É necessário, também, proteger a integridade e prevenir o
uso impróprio das ferramentas de auditoria.
Requisitos e atividades de auditoria que exijam a verificação nos sistemas
operacionais devem ser cuidadosamente planejados e acordados para
minimizar os riscos de interrupção dos ACC.
Acessos às ferramentas de auditoria de sistema devem ser protegidos contra
uso impróprio ou comprometimento. Estas ferramentas devem estar isoladas
dos ambientes de desenvolvimento e de produção, e não devem ser
manipuladas em áreas de acesso de usuários, a menos que forneçam um nível
apropriado de proteção.
36
CAPÍTULO III
Segurança da informação em ambientes corporativos
37Com a disseminação da utilização dos computadores pessoais e do
surgimento da Internet, o mundo dos negócios passou a convergir para um
modelo diferente do convencional, onde cada vez mais a computação torna-se
peça fundamental.
O mundo moderno e globalizado passou a impor às empresas um alto
grau de competitividade fazendo com que as mesmas buscassem modelos de
negócios com maior rapidez, eficiência e qualidade nos serviços prestados e
nos produtos, melhorando o relacionamento com clientes e fornecedores. A
infra-estrutura das organizações passou a ser um diferencial entre as
concorrentes, mostrando aos clientes a preocupação com seus produtos. O
alto índice de fusões de empresas de grande porte e o rápido avanço
tecnológico implicou no aumento de investimentos em infra-estrutura
computacional demonstrando ao mercado a sua preocupação com a segurança
dos negócios.
A rede de computadores com o propósito de trocar informações e
economizar recursos dá lugar a um novo ambiente muito mais complexo. A
importância da Internet nos negócios e a globalização resultam em trocas de
informações técnicas, comerciais e financeiras por meio de redes integradas
entre empresas matrizes, filiais, fornecedores e parceiros comerciais
(NAKAMURA, 2002). As informações agora são primordiais para o sucesso das
negociações.
Com isso o grau de proteção e preocupação com estas informações
cresceu consideravelmente dentro deste ambiente integrado. Medidas e
cuidados de segurança devem ser tomados e sempre verificados. A informática
deixa de ser uma ferramenta para se tornar um dos elementos principais na
organização e metodologia dos negócios, definindo modelos e características
de organizações, fluxo e segurança de informações e tecnologias aplicáveis na
gestão dos negócios.
38Como qualquer cidade que começa a crescer e passa a ter problemas
com o aumento da violência, uma rede de computadores também sofre com
esses inconvenientes. Em ambientes corporativos que tratam de diferentes
culturas humanas, tecnológicas e sociais, a preocupação com a segurança se
torna fato primordial para que a organização tenha uma imagem firme e
segura. A segurança da informação em ambientes complexos deve seguir
padrões pré-estabelecidos, incluindo todos os envolvidos no assunto, tanto
pessoas como processos.
3.1. Segurança da Informação
O compartilhamento de recursos e informações através das redes de
computadores não é uma tarefa simples. Em uma rede podem existir muitos
computadores cada qual com sua função determinada. As informações
trocadas entre eles nem sempre podem ser vistas e compartilhadas por todos,
muitas delas são confidenciais e devem ser compartilhadas por apenas
algumas pessoas. Para o controle da rede devem existir funções específicas a
cada usuário da rede, definindo quem, onde e o que pode-se acessar,
delimitando o espaço de cada um dentro do sistema inteiro.
Como pode ser visto uma rede de computadores não é apenas conectar
um ou mais computadores para trocar informações. Estas informações devem
ser gerenciadas com todo o cuidado, se preocupando com os três principais
tópicos de redes: integridade, confidencialidade e disponibilidade.
Com o surgimento da Internet novas preocupações passaram a ocupar
os responsáveis pela área. Como a Internet é a ligação de muitas redes de
computadores, necessita-se existir mecanismos de proteção de redes que
demarcam o território onde as informações podem trafegar livremente e com
acesso restrito.
39Porém existem pessoas que utilizam a Internet para descobrir falhas na
segurança das redes, roubar e danificar informações de redes privadas.
O responsável pela segurança de redes deve se preocupar com os acessos,
dando direitos e permissões aos usuários conforme a sua necessidade.
3.1.1. Segurança da Informação em Ambientes Corporativos
A complexidade dos ambientes corporativos se dá devido aos diferentes
tipos de comunicação existentes entre as redes integradas, cada qual com sua
tecnologia, seus usuários, sua cultura e sua política interna. A integralização de
todos estes fatores é tarefa importantíssima na segurança. Por se tratar de
diversas redes, o acesso que uma poderá ter na outra deve ser restrito apenas
àquela. A ligação entre matrizes, filiais, fornecedores e clientes proporcionam
uma abertura de comunicação entre elas, onde se não fiscalizada uma poderá
estar acessando informações confidenciais da outra. A segurança neste
ambiente se torna muito complexa e deve ser planejada detalhadamente a fim
de disponibilizar apenas recursos necessários para cada uma das empresas
envolvidas, evitando que uma empresa acesse a rede de outra por intermédio
de uma terceira empresa, fato chamado de “triangulação” (NAKAMURA, 2002).
3.2. Tópicos Interessantes sobre Segurança
Abaixo são descritos alguns conceitos básicos sobre itens de segurança
que serão discutidos posteriormente.
3.2.1 - Certificação Digital
A certificação digital está se proliferando devido à necessidade da
implantação de serviços on-line que possibilitem opções ágeis e confiáveis
quando de uma transação efetuada pela Internet, envolvendo questões de
extrema importância e sigilo.
Ela nos garantirá que as operações possam ser efetuadas de modo que
a integridade e a autenticidade das informações permaneçam intactas.
40A Certificação Digital pode ser definida como um processo eletrônico
que visa garantir a integridade e a autenticidade de um determinado processo
ou documento.
Tecnicamente, o Certificado Digital é um arquivo de computador que faz
a identificação de uma pessoa. Ele é um documento emitido por uma
Autoridade Certificadora e serve para garantir a autenticidade e a
inviolabilidade de mensagens trafegadas pela Internet. Ainda permite enviar e-
mails assinados digitalmente e/ou criptografados.
O certificado consiste de um par de senhas, uma de conhecimento
público (chave pública), outra de conhecimento exclusivo da pessoa a ser
certificada (chave privada).
O Certificado Digital realiza 4 itens básicos: a identificação das partes
envolvidas em uma transação, garante a integridade, o sigilo e a
impossibilidade de repúdio.
3.2.2 - Criptografia
A criptografia é o ato da transformação de informação numa forma
aparentemente ilegível, com o propósito de garantir a privacidade, ocultando
informação de pessoas não autorizadas. Através da criptografia os dados são
codificados e decodificados, para que os mesmos sejam transmitidos e
armazenados sem que haja alterações realizadas por terceiros não
autorizados.
Como a Certificação Digital o principal objetivo da criptografia é prover uma
comunicação segura, garantindo confidencialidade, autenticidade, integridade e
a não-repudiação (NAKAMURA, 2002).
Existem duas possibilidades de encriptação de mensagens: por códigos
ou cifras.
41Por códigos, o conteúdo das mensagens é escondido através de códigos
predefinidos entre duas partes. Este tipo de solução tem dois grandes
problemas: a facilidade de deciframento devido ao intenso uso dos códigos e o
envio de apenas mensagens predefinidas.
Existe um outro método, a cifra, onde o conteúdo da mensagem é
cifrado através da mistura e/ou substituição das letras da mensagem original. A
mensagem é decifrada fazendo-se o processo inverso ao ciframento. As cifras
consistem na implementação de longas seqüências de números e/ou letras que
determinarão o formato do texto cifrado através de algoritmos associados a
chaves.
Este tipo de criptografia se baseia na classificação quanto ao número de
chaves utilizadas, simétrica e assimétrica. Na criptografia simétrica, o poder da
cifra é medido pelo tamanho da chave, geralmente as chaves de 40 bits são
consideradas fracas e as de 128 bits ou mais, as mais fortes.
Exemplos de algoritmos: DES, Triple DES, RC4 e IDEA. Neste caso, é
utilizada uma única chave secreta que é compartilhada pelo emissor e pelo
receptor.
Na criptografia assimétrica são utilizados dois tipos de chaves, chave
pública e chave privada, onde a criptografia da mensagem é feita utilizando a
chave pública e a decriptografia é realizada com a chave privada, ou vice-
versa. Os algoritmos utilizam métodos baseados na fatoração de números
primos, como por exemplo, o RSA.
423.2.3 - Engenharia Social
Engenharia Social ( Marco Aurélio Maia,2004 ) é o termo utilizado para a
obtenção de informações importantes de uma empresa, através de seus
usuários e colaboradores. Essas informações podem ser obtidas pela
ingenuidade ou confiança. Os ataques desta natureza podem ser realizados
através de telefonemas, envio de mensagens por correio eletrônico, salas de
bate-papo e pasmem, até mesmo pessoalmente.
Os ataques de engenharia social são realizados tipicamente fazendo-se
passar por um usuário autorizado para tentar ganhar o acesso ilícito aos
sistemas. Também são feitos iludindo os responsáveis por liberação de acesso
baseados na confiança.
Pessoas de má fé se aproximam de pessoas e começam a vasculhar
assuntos a fim de que, através das próprias palavras desta pessoa, o invasor
recolha requisitos necessários para a prática de algo não legal sem a
permissão da pessoa.
Muitas invasões de sistemas de grande porte já foram vítimas desta
técnica, que consiste em apenas uma ligação a um usuário comum se
passando por suporte técnico relatando que estão com problemas de senhas e
que o usuário terá que testar a sua senha em algum lugar já pré-configurado
para recolher o login e a senha do usuário. A partir daí, o invasor irá se
desfrutar do sistema como um usuário autenticado.
Este tipo de ataque se apega a fatores emocionais e amorosos, confundindo
assuntos profissionais e pessoais e se aproveitando da atração afetiva. Outra
técnica bastante difundida é a realizada pelo vasculhamento e análise de lixos
convencionais e digitais.
43Como se trata de ataques que utilizam técnicas psicológicas, a solução
acaba sendo um pouco desgastante e de difícil manipulação, de forma
psicológica oferecendo palestras aos funcionários alertando e conscientizando-
os do assunto.
O hacker Kevin Mitnick relatou que já utilizou técnicas de manipulação
aliadas com seu conhecimento técnico para a invasão de grandes sistemas.
Ele aconselha as empresas a treinarem seus funcionários em relação a esses
novos procedimentos, afinal os funcionários não imaginam o quão é perigoso
passar informações a qualquer pessoa. “Treinem mais rigorosamente seus
funcionários para que eles estejam alerta sobre o perigo da manipulação”
(MESQUITA, 2002).
3.2.4 - Hackers Um dos termos mais usados ultimamente quando se fala em invasão de
sistemas, mas a definfição não tem conotaçao negativa. Na verdade, “hacker”
(OTILIO, 2000) é aquele que se especializa em estudar sistemas e testar seus
limites, explorando suas fraquezas. Tem grande facilidade de assimilação e
estuda exaustivamente algo até dominar o assunto
O termo “cracker“ é o que deveria ser usado quando se fala sobre
ataques na Internet. Conhece várias linguagens de programação e sabe tanto
quanto um hacker sobre invasão de sistemas. Porém, usa seus conhecimentos
para roubar dados e arquivos, números de cartão de crédito, pichar sites e
pode ser contratado para fazer espionagem industrial. Gosta de notoriedade.
Desenvolve software que facilitam os ataques.
Com a evolução das tecnologias, ocorreu uma mudança no perfil dos
“crackers” e dos “hackers”. Antes, eles eram pessoas com alto grau de
conhecimento em informática (sistemas operacionais, redes e tecnologia em
geral).
44Devido a grande facilidade de troca de informações pela Internet,
qualquer pessoa passou a ter acesso a informações sobre segurança. Outro
fator muito importante foi as ferramentas (de console ou gráficas) criadas por
“hackers” mais experientes que trouxeram aos usuários comuns a possibilidade
de invasão a sistemas particulares.
Os motivos de pessoas infringirem leis invadindo sistemas e
computadores são os mais variados possíveis. Abaixo segue alguns deles:
ҏҏLazer;
ҏҏSupremacia de grupos rivais;
ҏҏRoubo de informações;
ҏҏProtestos;
ҏҏDesafios propostos por sites e empresas de informática. Nesta monografia, o
termo hacker será utilizado como sendo aquela pessoa que infiltra em sistemas
sem a permissão dos responsáveis para qualquer fim, seja ele positivo ou
negativo.
3.2.5 - Firewall Firewalls são mecanismos de proteção de redes de computadores, que
forma uma barreira interposta entre uma rede privada de qualquer organização
e uma rede externa (por exemplo: Internet). Existem na forma de hardware, ou
software, ou uma combinação de ambos (NAKAMURA, 2002). Sua principal
função é analisar o tráfego entre a rede interna e a rede externa em tempo real,
permitindo ou bloqueando o tráfego de acordo com regras pré-definidas.
Atualmente, é o principal instrumento de defesa de redes corporativas,
controlando e monitorando o acesso aos sistemas e aos hosts da organização
e a filtragem de tráfego entre duas redes.
Com ele pode-se dispensar a instalação de softwares adicionais nos hosts,
centralizando a administração e a configuração de toda a rede.
45Algumas funções dos Firewalls:
ҏҏFiltragem de serviços – consiste em filtrar serviços que não são considerados
seguros, aumentado a segurança da rede e dos hosts, podendo rejeitar
pacotes de uma determinada origem.
ҏҏControle de acesso a serviços e hosts – consiste na definição de regras de
acesso externo para hosts da rede interna e para serviços específicos, fixando
permissões de acessos a serviços e hosts, evitando assim invasões externas.
ҏҏBloqueio de serviços – permite bloquear serviços considerados inseguros e
serviços que forneçam informações utilizadas em intrusões.
ҏҏRegistro e estatísticas de utilização da rede – permite monitorar todo o sistema
registrando os acessos e permite também fornecer estatísticas do sistema
através de logs de utilização, sendo possível fornecer detalhes que
identifiquem possíveis tentativas de ataque à rede.
ҏҏImposição da Política de acesso à Internet – a filtragem e a permissão a
qualquer tipo de acesso à Internet é monitorada através do firewall.
Com isso, é possível forçar o cumprimento de uma política de acessos,
sem ter que depender da cooperação dos usuários. O firewall não é a única
solução de segurança disponível em ambientes corporativos. É uma das
principais, porém ele não resolve todos os problemas. É necessário
complementar a segurança com alguns dos sistemas descritos nos próximos
tópicos.
Abaixo são listadas algumas das limitações que o firewall nos fornece:
ҏҏAtaques internos e usuários mal intencionados;
ҏҏProteção antivírus;
ҏҏPortas abertas ou Backdoors;
ҏҏBugs e falhas no equipamento;
ҏҏColisões da rede interna e externa.
463.2.6 - Sistema de Detecção de Intrusos – IDS
Os sistemas de detecção de intrusos (IDS) são sistemas de monitoramento de tráfego de redes de computadores a procura de situações ilegais. Eles funcionam analisando tráfego ou eventos suspeitos, caso encontre algo estranho dos padrões estabelecidos, é enviado um aviso ou é gerada uma rotina de correção(NAKAMURA, 2002).
A detecção de intrusos pode ser realizada de dois modos:
• Sensores procuram por “assinaturas” de ataques, que são os métodos utilizados por invasores e catalogados no IDS; • Sensores detectam alguma atividade suspeita, seja por eventos não esperados ou diferentes do perfil normal de um usuário ou aplicação.
Os IDS de rede têm a vantagem de proteger todo um segmento de rede,
embora sejam limitados por não poder “ver” o que acontece “dentro” dos servidores. Os IDS de rede examinam os tipos e o conteúdo dos pacotes trafegados. IDS baseados em servidores examinam as trilhas de auditoria e log de atividades. Uma implementação completa de IDS deverá utilizar ambos os tipos de IDS.
Para a perfeita monitoração do sistema, um IDS deve seguir alguns
aspectos básicos(PELISSARI, 2002): •Funcionamento constante em segundo plano sem interação; •Base de dados não pode ser perdida em caso de falhas do sistema operacional; •Monitoração de si próprio; •Funcionamento imperceptível no sistema; •Detecção de alterações no funcionamento normal; •Difícil de ser enganado; •Detecção de poucos falsos positivos; •Não-detecção de falsos negativos; • Não permissão de subversão.
As principais funções do IDS são: • Alarmar o administrador de rede ou do sistema, em tempo real, sobre uma possível invasão; • Disparar automaticamente mecanismos de segurança contra essa suspeita. 3.2.7 - VPN – Virtual Private Network
Atualmente, a troca eletrônica de informações é um bem comum entre os indivíduos. A comunicação e a troca de dados entre os ambientes corporativos ocorre constantemente sendo necessário um meio de comunicação seguro e confiável. Os meios de comunicações dedicados são bastante utilizados, porém com alto valor de aquisição e manutenção. A solução encontrada para diminuir o custo da comunicação foi utilizar uma rede pública (Internet) como meio de comunicação.
47 Mas a segurança, a confiabilidade e a integridade neste tipo de
comunicação são pontos que comprometem o serviço devido ao conteúdo trafegado por ela ser acessível a todos, podendo ser interceptado e capturado (PELISSARI, 2002).
A VPN utiliza exatamente este conceito de comunicação, todavia com os
quesitos mínimos de segurança, integridade e confiabilidade nos seus serviços (NAKAMURA, 2002).
Além disso, a Internet sendo de alcance mundial facilita a comunicação
em lugares onde a situação é irregular, possibilitando assim uma total abrangência de comunicação.Para que a abordagem de VPN se torne efetiva, ela deve prover um conjunto de funções que garanta Confidencialidade, Integridade e Autenticidade.
Existem muitas técnicas que podem ser usadas na implementação de
VPN, abaixo são listadas algumas: Modo Transmissão – somente os dados são criptografados, não
havendo mudança no tamanho dos pacotes; Modo Transporte – somente os dados são criptografados, podendo
haver mudança no tamanho dos pacotes; Modo Túnel Criptografado – os dados e o cabeçalho dos pacotes
são criptografados, sendo empacotados e transmitidos segundo um novo endereçamento IP, em um túnel estabelecido entre o ponto de origem e de destino.
Modo Túnel Não Criptografado – tanto os dados quanto o cabeçalho são empacotados e transmitidos segundo um novo endereçamento IP, em um túnel estabelecido entre o ponto de origem e destino.
483.3. Política de Segurança
Política de segurança é a normalização dos procedimentos e regras
relacionados a segurança em um determinado ambiente. Os procedimentos de
instalação, administração, monitoramento, controle, manutenção dos recursos
tecnológicos da organização devem ser descritos detalhadamente de forma
sucinta e objetiva.
A principal finalidade da política de segurança é informar as obrigações
para a proteção da tecnologia e do acesso à informação. Nela devem estar
especificados os mecanismos através dos quais estes requisitos podem ser
alcançados. Ela serve como ponto de referência para que se possa adquirir,
configurar e auditar sistemas computacionais e redes, para que sejam
adequados aos requisitos propostos.
Alguns princípios básicos são:
ҏҏIntegridade;
ҏҏConfidencialidade;
ҏҏDisponibilidade;
ҏҏLegalidade.
As informações da empresa devem ser classificadas de acordo com o
grau de importância, em:
ҏҏInformações confidenciais;
ҏҏInformações corporativas;
ҏҏInformações públicas.
A política de segurança dita as regras, expressando o que os usuários
devem e não devem fazer em relação aos diversos componentes do sistema,
incluindo o tipo de tráfego permitido nas redes. Ela deve ser tão explícita
quanto possível para evitar ambigüidades ou más interpretações (NAKAMURA,
2002).
49Para que uma política de segurança se torne apropriada e efetiva, ela deve ter
a aceitação e o suporte de todos os níveis de empregados dentro da
organização.
É especialmente importante que a gerência corporativa suporte de forma
completa o processo da política de segurança, caso contrário haverá pouca
chance que ela tenha o impacto .
A elaboração de uma política de segurança deve seguir as seguintes
etapas:
ҏҏDefinição da equipe responsável pela implantação e manutenção da
segurança;
ҏҏAnálise das necessidades e procedimentos utilizados pela empresa;
ҏҏIdentificação dos processos críticos;
ҏҏClassificação da Informação;
ҏҏUso Confidencial;
ҏҏUso Interno;
ҏҏUso Público;
ҏҏElaboração de normas e procedimentos para técnicos e usuários;
ҏҏDefinição de um plano de recuperação a desastres ou plano de contingência;
ҏҏDefinição de sanções ou penalidades pelo não cumprimento da política;
ҏҏElaboração de um termo de compromisso;
ҏҏComunicado da diretoria / presidência aos funcionários;
ҏҏDivulgação da política;
ҏҏImplantação;
ҏҏRevisão da política.
50
CAPÍTULO IV
Padrões para segurança de computadores
... Segurança de rede não basta se as aplicações tiverem vulnerabilidades.
51Este capítulo apresentará uma breve noção sobre os padrões para
segurança de computadores (TCSEC, ITSEC e CC).
Os padrões de segurança são uma série de critérios para determinar a
funcionalidade da segurança e o grau de segurança de um sistema de
computação.
Segue abaixo alguns padrões utilizados:
• ITSEC Durante os ano 80, a Inglaterra, Germânia, França e Nova Zelândia
produziram uma versão de padrões de segurança. Estes critérios foram publicados com o nome de Information Techonology Security Evaluation Criteria (ITESEC).
• Common Criteria (CC) – ISO 15408
O projeto Common Criteria (CC) é uma iniciativa para padronizar os critérios de segurança do ITSEC, CTCPEC (Canadian criteria) e US Federal Criteria (FC) em um Common Criteria for Information Techonology Security Evaluation (CC) para ser usado na validação de produtos e sistemas e para iniciar a padronização dos critérios de segurança dentro da ISO. A primeira versão foi produzida em janeiro de 1996 a segunda edição em dezembro de 1997 e submetida a aprovação da ISO em 1998.
• TCSEC - Truster Computer Security Evaluation Criteria (TCSEC)
É um documento desenvolvido pela Agência Nacional de Segurança do Governo dos Estados Unidos (DoD 5200.28-STD) também conhecido como Livro Laranja (Orange Book) devido a capa do documento ser da cor laranja, como já explicado anteriormente no capítulo da história do surgimento das normas de segurança. Embora originalmente tenha sido escrito para sistemas militares, atualmente é utilizado pelas industrias de computadores.
O TCSEC leva em consideração cinco aspectos de segurança:
1. A política de segurança do sistema 2. Os mecanismos de contabilidade/auditoria do sistema 3. A operacionalidade do sistema de segurança 4. O ciclo de vida do sistema de segurança 5. A documentação desenvolvida e atualizada sobre os aspectos de
segurança do sistema
52Um nível de segurança TCSEC indica se um computador possui um conjunto pré-definido de características de segurança, os níveis de segurança do TCSEC são classificados por letras que variam de D (mínimo de proteção) a A (máximo de proteção), vejamos as características destes níveis:
D - Mínimo de Proteção
Qualquer sistema que não se enquadre em outra categoria ou que não tenha recebido um nível maior de classificação. PCs baseados no sistema DOS enquadram-se nesta categoria.
C - Proteção Discreta
Neste nível estão os Trusted Computer Bases (TCBs) com proteção de objetos. (Ex.: arquivos, diretórios, devices, etc).
C1 - Proteção de Segurança Discreta
• Proteção de arquivo opcional, por exemplo, lista de controle de acesso (ACL), proteção para usuário/grupo/outros.
• Usualmente para usuários que estejam no mesmo nível de segurança. • Proteção por senha e banco de dados de autorização seguro (ADB). • Sistemas que operam em modo de segurança. • Checagem de integridade do TCB. • Documentação de segurança para usuários. • Documentação de segurança para administradores do sistema. • Documentação para teste de segurança. • Documentação da estrutura do TCB. • Tipicamente para usuários que estão no mesmo nível de segurança. • Exemplo: versões iniciais do UNIX.
C2 - Proteção de Acesso Controlado As características do nível C1 “mais”:
• Proteção de objetos pode ser realizada por usuários simples. • Somente usuários autorizados podem ter acesso. • Proteção do re-uso de objetos. (Ex.: para permitir re-alocação de objetos
seguros que foram excluídos). • Procedimentos de identificação e autorização obrigatória para usuários
(Ex.: senhas). • Auditoria dos eventos de segurança. • Operação do sistema em modo protegido. • Inclusão de proteção para autorizações e auditoria de dados. • Documentação do nível C1 mais informações sobre análise de auditória.
B - Proteção obrigatória O nível B da proteção de sistemas TCB é obrigatória.
53B1 - Proteção de Segurança Rotulada
As características do nível C2 “mais”:
• Segurança obrigatória para acesso a objetos. (arquivos, processos, etc). • Checagem da integridade de rótulo. • Auditoria dos rótulos dos objetos. • Controle de acesso obrigatório. • Recursos para especificar níveis de segurança para documentos que
estão na fila de impressão.
B2 - Proteção Estruturada As caracteristicas do nível B1 “mais”:
• Notificação de alterações nos níveis de segurança que afetam os usuários.
• Rótulo de device hierárquico. • Acesso obrigatório a todos objetos e devices. • Comunicação segura entre usuários e sistema. • Cobrir armazenamento de canais. • Pemitir que o sistema opere em múltiplos níveis independente das
unidades. • Cobrir análise de canais. • Aperfeiçoamento dos testes de segurança. • Modelo formal de TCB. • Análise e auditoria de versão, atualização e correções. • Exemplo: Honeywell Multics.
B3 - Domínios Seguro As características do nível B2 “mais”:
• ACLs adicionais para grupos e identificadores. • Caminho de acesso e autenticação confiáveis. • Análise de segurança automática. • Modelo de TCB mais formal. • Auditoria da análise de eventos seguros. • Recuperação segura após o sistema cair e documentação relevante. • Zero erros na TCB e o mínimo de implementações com falhas.
A – Proteção verificada O nível A é o nível mais alto de segurança.
A1 - Proteção verificada
As características do nível B3 “mais”:
• Métodos formais e aprovados da integridade da TCB.
54A2 e outros
• Existem previsões para níveis superiores ao A2 embora este ainda não esteja formalmente definido.
ISO 15408 – Common Criteria
As organizações utilizam-se de sistemas desenvolvidos internamente ou
por terceiros para uma variedade de objetivos.
Estes sistemas podem ser críticos, ou estar intimamente ligados
a sistemas críticos, à operação da organização e muitas vezes estão expostos
externamente para parceiros e clientes, como extranets ou serviços Internet.
O padrão 15408 é um conjunto de 3 volumes (aproximadamente 400
páginas), onde o primeiro discute definições e metodologia, o segundo lista um
conjunto grande de requisitos de segurança, e o terceiro fala sobre
metodologias de avaliação.
Diferentemente do padrão 17799, o CC é uma norma para definir e
avaliar requisitos de segurança de sistemas, e não de organizações.
Não é usual a incorporação de requisitos de segurança na
funcionalidade e no processo de desenvolvimento, por um dos seguintes
motivos:
- Falta de cultura de Segurança da Informação.
- Falta de preparo da equipe de desenvolvimento.
- Escassez de recursos que leva a uma priorização dos requisitos
funcionais.
55Escopo
Segue abaixo a proposta do padrão do Common Criteria:
• Define critérios para a avaliação de segurança de produtos e sistemas
de TI.
• Permite a comparação de avaliações independentes de diferentes
produtos ou sistemas (EAL1-EAL7).
• Auxilia análise de risco e tomada de decisão de consumidores.
• Guia o desenvolvimento de produtos e sistemas seguros.
• É aplicável a medidas de segurança em hardware, firmware ou software.
• Abrange, entre outros:
- Sistemas operacionais
- Redes
- Sistemas distribuídos
- Aplicações
• Analisa a preservação de confidencialidade, integridade e disponibilidade da
informação.
• Foco em ameaças originadas por seres humanos, maliciosas ou não.
• Analisa o design e processo de desenvolvimento, além de informações
coletadas no processo de avaliação.
Áreas Não Abordadas
• Medidas administrativas de segurança do ambiente e usuários do
produto ou solução.
• Controle de emissões eletromagnéticas.
• Metodologia de avaliação de produtos e sistemas (abordado no CEM –
Common Evaluation Methodology).
• Critérios de avaliação de algoritmos criptográficos.
56Contexto de Segurança
O objetivo da segurança é proteger os ativos (assets) das ameaças
(threats), que são usos indevidos em potencial dos mesmos.
Os proprietários (owners) dos ativos associam às ameaças presentes em seu
ambiente os riscos (risks) correspondentes.
As contramedidas (countermeasures) são instaladas para anular
vulnerabilidades (vulnerabilities) e mitigar riscos.
Diagrama retirado do site www.ciphersec.com.br Contexto de Segurança
• Os proprietários de ativos devem ter confiança (confidence) na
eficácia das contramedidas, mas podem não possuir a habilidade de
avaliá-la.
• Assim, os proprietários utilizam-se de uma avaliação (evaluation),
que gera uma declaração do nível de validação (assurance) de sua
capacidade de mitigar riscos.
57
Requerimentos de Segurança
• São agrupados em famílias, que por sua vez são agrupadas em classes.
• Se dividem em dois tipos:
- Requerimentos Funcionais de Segurança
- Requerimentos de Validação de Segurança
• Classes de Requerimentos Funcionais de Segurança:
- Auditoria de segurança (FAU) – validação da funcionalidade de
geração de trilha de auditoria de eventos relevantes do ponto de
vista de segurança;
- Comunicação (FCO) – validação dos controles aplicados à
comunicação entre o sistema e outras entidades através de não
repúdio de recebimento e envio;
- Suporte criptográfico (FCS) – validação dos controles aplicados ao
suporte criptográfico, como gerenciamento de chaves e escolha dos
algoritmos;
- Proteção a dados do usuário (FDP) – validação dos controles de
proteção aos dados do usuário na importação, exportação,
armazenamento ou comunicação interna entre componentes do
sistema;
58- Identificação e autenticação (FIA) – validação dos controles
aplicados à correta identificação dos usuários do sistema, bem
como sua associação a perfis de permissões;
- Gerenciamento de segurança (FMT) – validação dos controles
aplicados ao gerenciamento de dados de segurança como perfis de
permissões, atributos de segurança e outros dados internos;
- Privacidade (FPR) – validação dos controles utilizados para
impedir que usuários do sistema comprometam a segurança dos
dados uns dos outros;
- Proteção do sistema (FPT) – validação dos controles utilizados
para garantir a integridade dos dados e processamento do sistema
diretamente associados à sua segurança;
- Utilização de recursos (FRU) – validação dos controles utilizados
para garantir o uso devido de recursos como memória,
armazenamento e banda, com a devida compartimentalização e
priorização de sua alocação;
- Acesso ao sistema (FTA) – validação dos controles aplicados ao
estabelecimento, gerenciamento e encerramento de sessões entre
o usuário e o sistema;
- Trusted Paths (FTP) – validação dos controles aplicados à criação
de canais de comunicação confiáveis (não-repúdio) entre usuários e
o sistema, e entre este e outras entidades com as quais exista um
relacionamento de confiança.
• Classes de Requerimentos de Validação de Segurança:
- Gerenciamento de Configuração (ACM) – manutenção da
integridade do sistema do controle e dos processos de modificação
do mesmo;
- Entrega e Operação (ADO) – manutenção da segurança do
sistema durante entrega, instalação, inicialização e operação;
- Desenvolvimento (ADV) – provisões de segurança na
especificação, design e implementação do sistema.
59- Documentação (AGD) – cobre a facilidade de compreensão,
abrangência e completude da documentação operacional do
sistema para usuários e administradores;
- Suporte ao Ciclo de Vida (ALC) – que inclui a segurança do
ambiente, processos e ferramentas utilizadas para o
desenvolvimento e manutenção do sistema;
- Testes (ATE) – analisa os testes sistemáticos utilizados para
validar a aderência do sistema aos seus requisitos funcionais de
segurança;
- Análise de Vulnerabilidades (AVA) – que cobre a identificação de
vulnerabilidades exploráveis no sistema, como covert channels;
- Manutenção da Validação (AMA) – que cobre a validação
continuada de segurança após a avaliação inicial, quando da
alteração do sistema.
Um ponto importante sobre sistemas web é que são equivalentes a daemons, e
devem ser desenvolvidos com critérios estritos de Segurança da Informação.
A ISO 15408 – Common Criteria é a referência internacional para
desenvolvedores, administradores e auditores de segurança de sistemas
de informação;
Avaliação de Segurança de Aplicações
O serviço de Avaliação de Segurança de Aplicações tem como objetivo
garantir o uso seguro das informações e da infra-estrutura de sistemas de
informação. A identificação das vulnerabilidades existentes nos sistemas, e a
recomendação de ações corretivas e/ou preventivas visam assegurar a
confidencialidade, integridade e disponibilidade das informações corporativas.
Identificar as vulnerabilidades, ameaças e riscos é o primeiro passo no
sentido de priorizar as ações de segurança e subsidiar a implementação de
controles eficazes.
60Para isso, é recomendável que seja utilizada uma metodologia de
trabalho baseada no Common Criteria (ISO 15408), por ser um padrão
internacional voltado para a avaliação da segurança de produtos de TI.
Seguindo a filosofia do Common Criteria, um dos objetivos do projeto é a
criação do Security Target (ST), um documento que identifica os objetivos e
requisitos de segurança do Target of Evaluation (TOE), o objeto da avaliação
de segurança que, neste caso, é uma aplicação.
A Avaliação de Segurança de Aplicações pode ser realizada em
sistemas que estejam em fase de concepção, construção, ou mesmo em
produção. Se a análise for feita no início do ciclo de vida da aplicação, o projeto
pode ser feito em conjunto com o levantamento de requisitos do sistema,
incluindo na sua documentação os objetivos de segurança pretendidos e como
implementá-los.
Em sistemas que já tenham sido desenvolvidos, a análise pode incluir
uma inspeção de código para buscar vulnerabilidades existentes, de acordo
com o tipo de sistema.
As vulnerabilidades variam conforme o ambiente e a natureza das
aplicações em análise. Embora elas apareçam em grande variedade, é
possível classificá-las de acordo com as suas características principais,
visando a redução da complexidade do problema. Por exemplo, no caso de
aplicações Web, que têm presença cada vez mais forte no ambiente
corporativo, podemos classificar as vulnerabilidades em algumas categorias, de
acordo com o seu funcionamento:
• Informativas: em geral, relacionadas a respostas por parte do servidor que
contêm mais informações que o necessário, que podem ser úteis a usuários
maliciosos
• Validação de Dados: decorrentes de verificação incorreta dos dados inseridos
pelos usuários/aplicações no sistema
61• Gerência de Sessão: problemas ligados à manipulação do contexto de
sessão dos usuários no servidor web
• Manipulação de Parâmetros: alteração maliciosa de parâmetros das
aplicações buscando explorar algum ponto fraco
• Erros de Configuração: permitem a exploração de alguma falha na
configuração da aplicação ou do servidor
Principais Benefícios:
•Identificação/especificação dos objetivos e requisitos de segurança das
aplicações;
•Avaliação da implementação das funções de segurança das aplicações, de
acordo com os objetivos e requisitos traçados;
•Identificação das possíveis ameaças existentes no contexto das informações
tratadas pelas aplicações analisadas;
•Identificação das possíveis vulnerabilidades das aplicações, e suas
implicações;
•Recomendações para prevenir/corrigir as vulnerabilidades apontadas;
•Redução dos riscos oferecidos pelas ameaças identificadas e maior garantia
das informações corporativas relacionadas às aplicações em questão;
Premissas
A Avaliação de Segurança de Aplicações assume que a análise da
segurança do ambiente relacionado (Sistema Operacional, Web Server,
Servidor de Banco de Dados, etc.) foi executada previamente, voltando-se
exclusivamente para a avaliação das funções de segurança e de
vulnerabilidades existentes nos sistemas em questão. Sendo assim, a
execução deste serviço pressupõe que as configurações de segurança do
ambiente externo à aplicação foram previamente realizadas.
62
CONCLUSÃO
Através do trabalho pode-se afirmar que a conscientização das pessoas
é o principal fator da falta de segurança tanto física como eletrônica. Se
houvessem palestras a todos os funcionários (próprios, terceiros e chefias)
abordando assuntos relacionados com a informática, de como utilizar as
ferramentas adequadamente, não abusando da liberdade, se protegendo de
possíveis problemas, os usuários do sistema iriam ajudar a conservá-lo e a
preservá-lo.
Não é uma tarefa fácil, pelo contrário, modificar a educação de pessoas
é uma tarefa muito complexa, mas quando aplicada com sucesso é eficiente e
muito produtiva. São investimentos ao longo prazo que bem implantados são
recompensadores.
As responsabilidades oriundas da segurança da informação estão sendo
muito exigidas, com isso o setor de segurança, antes inexpressivo, está cada
vez mais se desvinculando do setor de TI adquirindo sua autonomia. Isso fica
claramente perceptível na pesquisa nacional, onde as empresas são maiores e
mais estruturadas tendo um número maior de funcionários exclusivamente a
cargo da segurança. Na concepção das empresas é mais seguro ter sua
própria equipe de segurança recebendo suporte de empresas especializadas.
Segurança de rede não basta se as aplicações tiverem vulnerabilidades,
por isso é aconselhável utilizar um padrão de segurança de informação no
desenvolvimento de sistemas.
63Quando consultada a bibliografia utilizada para a seleção das melhores
práticas, constata-se a presença da norma NBR ISO/IEC 17799. Essa norma é
um guia de boas práticas em Segurança da Informação que, embora de forma
genérica, abrange praticamente todos aspectos de controle necessários à
proteção da informação dentro dos conceitos de integridade, disponibilidade e
confidencialidade.
Por ser uma norma adotada integralmente no Brasil, por intermédio da
ABNT, toda organização que queira implementar uma política de Segurança da
Informação poderá fazê-lo seguindo tal norma. Uma organização, seja pública
ou privada, que implemente uma Política de Segurança da Informação baseada
na ISO/IEC 17799 conseguirá criar as condições necessárias para proteger
esse ativo tão importante que é a informação. Além dessa, outras normas e
metodologias aplicáveis na área, devem ser utilizadas na confecção de uma
cartilha com normas de segurança da informação. Ao meu ver, se uma
entidade adota o COBIT como instrumento de gestão da área de TI,
certamente estará estabelecendo bons controles para a Segurança da
Informação. Outras normas internacionais, como o Common Criteria (ISO/IEC
15.408) e o CMM, são importantes e devem ser consideradas.
A ISO 15408 – Common Criteria é a referência internacional para
desenvolvedores, administradores e auditores de segurança de sistemas de
informação. É válido ressaltar ainda que o fundamental é que a organização
desenvolva uma cultura de Segurança da Informação e ponha em prática os
mecanismos necessários à execução de uma Política de Segurança.
Os principais desafios dos profissionais de TI nessa área, como em toda
organização, esses profissionais enfrentam os desafios da falta de cultura na
área e a pouca disposição em investir recursos em sistemas de segurança.
Acredito que a falta de cultura em segurança ainda é grande dentro dos
próprios órgãos de TI e esse talvez seja o maior desafio a ser vencido.
64A construção de sistemas seguros e que contenham bons controles de
acesso lógico, por exemplo, dependem fundamentalmente dessa
conscientização.
Esta tendência de uso de normas e regulamentos é fortalecida com o
Novo Código Civil, que traz maior responsabilização para os administradores
das empresas e autoridades do Governo.
Tudo isso tem se destacado como uma grande oportunidade para os
profissionais de Segurança da Informação nos próximos anos, uma vez que o
assunto se aproxima a cada dia da sua atividade-fim e dos executivos da
organização.
Um obstáculo encontrado pelo setor de segurança em atualizar suas
ferramentas e dispositivos de segurança ainda é o orçamento. O orçamento
está completamente ligado à consciência da diretoria, afinal, o entendimento do
motivo de grandes gastos para a prevenção de futuros ataques é fator
primordial na implementação e atualização de sistemas.
Investimentos em políticas de segurança estão sendo muito aplicados.
Aos poucos os responsáveis pela segurança conseguem impor os métodos e
procedimentos corretos na utilização de sistemas computacionais. Planos de
contingências também estão sendo desenvolvidos na maioria das empresas.
Ameaças de ataque têm preocupado bastante. E caso aconteçam desastres,
quem tiver um plano formalizado, conseguirá amenizar os prejuízos
rapidamente.
Políticas de segurança, firewall e antivírus são dispositivos de segurança
essenciais em empresas, porém sozinhos eles não são nada. São necessários
outros dispositivos como criptografia, IDS, VPN, que gradativamente estão
sendo implementados nas empresas.
65Um fator muito importante que apenas as empresas de grande porte
realizam é a capacitação dos seus profissionais. A necessidade dos
funcionários responsáveis pela segurança serem devidamente treinados por
empresas especialistas nos diversos dispositivos de segurança é essencial
para que depois da ocorrência de problemas não se queixem da falta de
experiência ou de “know-how”.
Como a intenção das empresas é sempre lucrar com o seu produto, aos
poucos elas estão percebendo que a aplicação de tecnologias atuais de
segurança facilitarão e poderão aumentar a sua lucratividade.
O retorno do investimento aplicado na área de TI, por conseguinte na
área de segurança, não é explícito. O que é explícito é a sua falta, que aparece
em forma de danos digitais.
As medidas de segurança devem ser preventivas com políticas de
segurança, palestras, planos de contingências, configuração adequada e
ferramentas suficientes.
A plena segurança nunca existirá, todavia para se implementá-la
suficientemente deve-se levar em conta recursos físicos e lógicos, cultura,
conscientização, capacitação e pessoas.
66
BIBLIOGRAFIA
ABNT. NBR ISO/IEC 17799 - Tecnologia da informação: código de prática
para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2001.
MÓDULO SECURITY SOLUTIONS. 9ª Pesquisa Nacional sobre Segurança
da Informação 2003. Disponível em:
< http://www.modulo.com.br/index.jsp>. Acesso em: 20 abril. 2004.
3ELOS, Avaliação de segurança Disponível em:
<http://www.3elos.com.br/produtos/avaliacaodesegurancadeaplicacoes.php
Acesso em: 15 junho 2004
CUNHA, Leonardo. A porta da segurança (ou da insegurança).
Disponível em: <www.modulo.com.br.> Acesso em 05 maio 2004.
LINUXSECURITY, Boletim Diário - <http://www.linuxsecurity.com.br> Acesso em: 15 junho 2004 TIMASTER – Tutorial curso online, <http://www.timaster.com.br> Acesso em: 20 junho 2004
FONTES, Edison, Vivendo segurança da informação. São Paulo,
Ed. Sicurezza, 2000.
OTILIO, Cristiane. Hackers - conceitos básicos
Disponível em: <www.modulo.com.br.> Acesso em 05 maio 2004.
FONTES, Edison, Segurança da informação não é uma atitude,
são muitas. Artigo, Jornal da Segurança, Ano 6, Número 64, dez/1999.
PESQUISA MÓDULO. 9ª Pesquisa Nacional sobre Segurança da
Informação. Disponível em: http://www.modulo.com.br
67Acesso em: Junho/2004
68MAIA, MARCO AURELIO. Confira as técnicas e saiba como se defender
Disponível em:<http://www.modulo.com.br/index.jsp>. Acesso em 14 mai. 2004.
ROCHA, LUIS FERNANDO. Como os hábitos no ambiente de trabalho afetam
a Segurança Corporativa Disponível em:<http://www.modulo.com.br/index.jsp>.
Acesso em 05 junho. 2004.
PELISSARI, FERNANDO ANTONIO BROSSI . Segurança de redes e análise
sobre a conscientização de empresas
Disponível em:<http://www.modulo.com.br/index.jsp>.
Acesso em 20 junho. 2004.
Módulo Security Magazine., Erros humanos: causa principal de
vulnerabilidades em sistemas, diz estudo 27 maio 2004. Disponível em:
<http://www.modulo.com.br/index.jsp>.
Nery, Fernando, Por que proteger as informações? 21 Jun 2004
Disponível em: < http://www.modulo.com.br/index.jsp>.
LAROSA, Marco Antonio, AYRES, Fernando Arduini. Como produzir uma
monografia passo a passo: siga o mapa da mina. 2ª ed. Rio de Janeiro:
Wak, 2003. 84 p.
NAKAMURA, E. T.; GEUS, P. L. Segurança de Redes em Ambientes
Cooperativos. São Paulo: Berkeley, 2002. 316p.
TANENBAUM, A. S. Redes de computadores. Rio de Janeiro: Campus,
1997.923p.
69SYMANTEC. O Mutante Cenário das Ameaças Atuais. 2 junho 2004.
Disponível em:
<http://www.symantec.com.br/region/br/enterprisesecurity/content/BR_3902.ht
ml >. Acesso em 5 junho 2004.
UNICAMP.BR, Disponível em:
http://www.dcc.unicamp.br/~rdahab/cursos/inf712/material_didatico/aula4-1.pdf
TECHNETBRASIL., Orientações Fundamentais sobre Segurança
Corporativa
Disponível em: <http://www.technetbrasil.com.br/Seguranca/orientacoes>
Acesso em 10 Jul. 2004
70
ANEXOS
Índice de anexos
Anexo 1 >> Impacto das novas leis e regulamentações no mercado de TI Anexo 2 >> Incidentes de segurança: uma análise sobre o cenário brasileiro Anexo 3 >> Perspectivas 2004 – Parte 2 Anexo 4 >> Ameaças de Segurança para Internet referente ao ano de 2003 Anexo 5 >> FAQ sobre as normas BS e ISO17799 Anexo 6 >> 9a. Pesquisa Nacional de Segurança da Informação
71
ANEXO 1
O impacto das novas leis e regulamentações no mercado de TI Por Luis Fernando Rocha
DATA – 12 Abr 2004 FONTE – Módulo Security Magazine
72 O ano de 2004 promete trazer transformações significativas na postura adotada pelos executivos de organizações governamentais e privadas em relação à Tecnologia da Informação (TI). A explicação para essas mudanças está no surgimento de normas, legislações e regulamentos que afetam todos os segmentos do mercado. Os primeiros sinais dessas transformações foram apontados na 9ª Pesquisa Nacional de Segurança da Informação, realizada entre os
meses de março e agosto de 2003 e que engloba cerca de 50% das 1.000 maiores empresas brasileiras. Nela, Fernando Nery, sócio-fundador da Módulo Security, destacou que “a segurança está deixando de ser técnica para ser normativa”. Isso porque a pesquisa relacionou o aumento do uso de normas, legislações e regulamentos. Dentre elas, destaque para a ISO 17799, as publicações do Governo Federal (decreto 4553 e outros), as do Banco Central (resolução 2554 e outras), a Regulamentação da ICP-Brasil, o COBIT (Control Objectives for Information and related Technology) e as Publicações da CVM (Resolução 358 e outras). Já um estudo inédito, produzido recentemente pela Módulo e divulgado em março desse ano durante o evento Executive Meeting, apontou como cerca de 350 executivos (divididos entre Gestores – 64%, CIOs – 12% e Diretores de TI – 24%) das 500 maiores empresas brasileiras estão reagindo diante dessas mudanças legais. Maior proteção com as novas legislações Dentre os principais resultados da 1ª Pesquisa Nacional Impacto das Novas Leis e Regulamentações, 22% dos entrevistados afirmam que suas empresas estão em conformidade com o Novo Código Civil do país. Porém, 19% acreditam que a nova lei poderá ocasionar obstáculos para geração de novos negócios. Sobre o impacto de regulamentações internacionais em suas organizações, 50% dos executivos entrevistados revelam conformidade com a americana Sarbanes-Oxley e 62,5% afirmam que o Novo Acordo de Capital da Basiléia não se aplica aos seus negócios. Quando perguntados sobre as principais mudanças que essas regulamentações trarão internamente, 49% acreditam na necessidade de aumento de conscientização dos funcionários, 28% no aumento da responsabilidade dos administradores, 17% na inclusão do tema nos relatórios trimestrais e anuais e 6% na necessidade de instrumentos para negociar alocação de capital para tratamento do Risco Operacional. O estudo traz ainda outros indicadores interessantes. Para os executivos brasileiros, as novas leis, normas e regulamentos aumentarão a proteção dos ativos de suas empresas. Apesar disso, 50% não acreditam que as ameaças e os riscos de incidentes (fraudes, crimes e ataques) diminuam. Para se ter uma idéia, apenas 12% dos participantes acreditam que a aprovação do Projeto de Lei 84/99 (atual 89/03), que tipifica os crimes de informática, trará mudanças significativas nos departamentos de TI e Segurança da Informação (Security Office). O novo cenário e suas implicações estão traçados. Porém, uma dúvida paira no ar: como os executivos de organizações privadas e governamentais devem se preparar? Algumas respostas você confere a seguir. As transformações no país Para Fernando Nery, ao longo dos dois últimos anos, o mercado apresenta uma tendência de maior responsabilização e transparência nas relações corporativas. “Internacionalmente, as regulamentações das companhias de capital aberto, dos governos e dos bancos já têm aumentado a carga de responsabilidade civil dos administradores das companhias”, revela. A implantação do Novo Código Civil é um exemplo de como este novo tipo de conceito já passou a ser adotado no país “Muitos departamentos jurídicos e de Segurança da
73
ANEXO 2
Incidentes de segurança: uma análise sobre o cenário brasileiro Por Luis Fernando Rocha
DATA – 01 Mar 2004 FONTE – Módulo Security Magazine
74 Milhares de computadores conectados em mais de 800 instituições distribuídas pelos 27 estados brasileiros. Essa é a realidade da Rede Nacional de Ensino e Pesquisa (RNP), responsável por “promover o desenvolvimento de tecnologias na área de redes e aplicações inovadoras no Brasil”. Dentro da instituição, a responsabilidade de disseminar a cultura de segurança entre os usuários de sua rede e registrar e acompanhar os incidentes que envolvam redes conectadas ao backbone da RNP fica a cargo do Centro de Atendimento a Incidentes de Segurança (CAIS). No final de fevereiro, o grupo divulgou o Relatório Anual de 2003, documento que traz um resumo do mapeamento dos principais incidentes registrados, além das ações que o CAIS realizou no ano passado. Diante da importância deste trabalho, a Módulo Security Magazine decidiu reunir os especialistas do CAIS, sob o comando de Liliana Velásquez Solha, Gerente do grupo e a primeira latino-americana membro do Comitê Gestor do FIRST (�nter of Incident Response and Security Teams), para um bate-papo virtual. Nessa conversa, eles analisaram o aumento dos incidentes registrados em 2003, o cenário de Segurança da Informação no Brasil e as perspectivas para 2004. Confira. Módulo Security Magazine: O total de incidentes reportados ao CAIS em 2003 apresenta um aumento de 60% em relação a 2002. Quais fatores o CAIS apontaria como responsáveis por esse cenário? Liliana Velásquez Solha (Gerente do CAIS): É importante ressaltar que o aumento no número de incidentes reportados ao CAIS não necessariamente indica que a Internet está mais vulnerável. Ele é o resultado combinado de vários fatores, a começar por uma maior conscientização dos profissionais em relação à segurança e a maior importância dada ao processo de tratamento de incidentes que envolvem a notificação de incidentes a grupos de segurança estabelecidos. Por outro lado, o próprio crescimento do número de hosts e usuários da Internet, bem como o surgimento de novas aplicações e sistemas certamente contribuíram para este aumento. A cada dia novas vulnerabilidades são descobertas, surgindo também novas ferramentas hackers capazes de explorá-las. A este respeito, vale a pena lembrar que se no passado a atividade hacker caraterizava-se pela necessidade de se ter um elevado conhecimento técnico, hoje em dia as ferramentas hackers podem ser facilmente encontradas e exploradas por “script kiddies”. O cenário se completa quando se considera o crescente surgimento de worms, vírus e códigos maliciosos, além das fraudes e golpes, dentre outros. Por último, vale a pena ressaltar que a proporção de crescimento do número de incidentes reportados ao CAIS neste último ano mostrou-se bastante similar à observada nas estatísticas divulgadas por outros reconhecidos centros, como o CERT/CC, por exemplo. Módulo Security Magazine: Diante do aumento das fraudes e golpes por e-mail, o grupo caracterizou 2003 como o “Ano da Fraude”. Por que essa prática se tornou tão comum pela �nternet? Renata Cicilini Teixeira (Analista de Segurança Sênior): Antes de tudo, vale lembrar que muitos dos golpes aplicados recentemente na Internet já existiam fora do meio digital, apenas migraram para outro ambiente. É o caso do golpe da Nigéria, por exemplo. Na verdade, tudo leva a crer que não houve um único responsável pela proliferação das fraudes e golpes na Internet. Uma conjunção de fatores contribuiu para este cenário: - o crescente surgimento de ferramentas hackers e a facilidade de obtê-las e usá-las; - os usuários inocentes, desinformados e desatentos; - a união das atividades de hacking spamming e engenharia social;
75
Perspectivas 2004 - Parte 2 Por Luis Fernando Rocha
DATA - 26 Jan 2004 FONTE - Módulo Security Magazine
76 Além das mudanças no campo tecnológico, apontadas na primeira parte deste especial, o ano de 2004 promete trazer transformações significativas tanto na carreira do profissional dessa área, como na postura adotada pelos executivos das grandes organizações. Algumas dessas mudanças já transparecem em alguns estudos na área. No texto de apresentação da 9ª Pesquisa Nacional de Segurança da Informação, Fernando Nery, sócio-fundador da Módulo Security, destacou que "a pesquisa mostra que o
profissional está interagindo cada vez mais com os departamentos de sua organização e que, a cada dia, deixa de se relacionar apenas com TI e Auditoria, e passa a ser interlocutor de departamentos como Jurídico, RH e Comunicação". Outro ponto importante citado pelo executivo foi que "a segurança está deixando de ser técnica para ser normativa e os profissionais precisam estar alertas para este desafio". Hoje são diversas as normas, legislações e regulamentações utilizadas por diferentes segmentos do mercado. Podemos citar a ISO 17799, as publicações do Governo Federal (decreto 4553 e outros), as do Banco Central (resolução 2554 e outras), a Regulamentação da ICP-Brasil, o COBIT e as Publicações da Comissão de Valores Mobiliários - CVM (Resolução 358 e outras). Diante dessas mudanças, como o executivo de uma grande organização e o profissional de Segurança da Informação serão afetados? Ainda: quais serão os novos desafios diante das transformações tecnológicas e das novas ameaças? Algumas dessas respostas você confere a seguir. Normas e legislações: as transformações no Brasil As novas normas e legislações que surgiram ao longo dos dois últimos anos são apontadas como as principais responsáveis pelas perspectivas de mudanças no mercado de segurança nesse ano. Fernando Nery destaca a tendência de maior responsabilização e transparência nas relações corporativas. "Internacionalmente, as regulamentações das companhias de capital aberto, dos governos e dos bancos já têm aumentado a carga de responsabilidade civil dos administradores das companhias", revela. Lembrando que o mercado brasileiro também passou a adotar este tipo de filosofia. "Ao mesmo tempo foi publicado o Novo Código Civil e vem aí o PL/84. Com isso, o administrador brasileiro sofrerá ainda mais as mudanças. Muitos departamentos jurídicos e de Segurança da Informação têm se movimentado para orientar os gestores e pessoal de negócios", explica Nery. Dentre as mudanças citadas pelo executivo, o advogado Gilberto Martins de Almeida explica que os administradores terão maior respaldo cível e criminal para proteger as empresas contra crimes e fraudes, pois as novas leis permitirão que se busque de forma mais efetiva as indenizações e punições desejadas. Porém, ele alerta que a disponibilidade dessas ferramentas legais criará uma forte pressão sobre os administradores. "Caso eles não as usem, poderão ser responsabilizados por negligência, tendo que arcar com seu patrimônio pessoal para ressarcir as conseqüências de tal negligência", ressalta. Outra questão que trará mudanças será a aprovação do PL 84/99. "As condutas ilícitas ficarão mais claras e precisas. De certa forma, acredito que teremos uma grande movimentação nos tribunais nacionais. As discussões sobre segurança e culpa (negligência, imprudência e imperícia) serão intensas", diz o advogado e professor de Direito Eletrônico da Fundação Getúlio Vargas, Renato Opice Blum. As mudanças no mercado financeiro O avanço da tecnologia permitiu o crescimento da circulação de novos negócios por meios eletrônicos. Pensando nisso, as diversas agências reguladoras pelo mundo (Comissão de Valores Mobiliários e o Securities and Exchange Comission, por exemplo) lançaram nos últimos anos novas regulamentações que aumentam a responsabilidade da governança da Tecnologia da Informação e a gerência operacional sobre os riscos dos negócios.
77
ANEXO 4
Ameaças de Segurança para Internet referente ao ano de 2003
Tendências de ataques Nos primeiros seis meses de 2003, apenas um sexto das companhias analisadas reportou brechas sérias de segurança. Já no segundo semestre, este porcentual subiu para 50%. Este avanço é, em grande parte, resultado do sucesso dos últimos worms, que continuam sendo a atividade maliciosa mais comum.
Entre as vítimas de ataques severos, estão as empresas do segmento financeiro, de saúde e de energia. Contudo, tanto em 2002 quanto em 2003, foi observada uma queda na taxa de agressões de alto risco na medida em que o uso dos serviços prestados pelo Symantec Managed Security Services aumentou. Mais de 70% dos clientes usuários deste serviço, por um período superior a seis meses, conseguiram prevení-las.
Outra tendência apontada pelo relatório é o foco crescente dos ataques nas backdoors deixadas por outros agressores e vírus, para que instalem suas próprias backdoors ou usem o sistema comprometido para participar em ataques do tipo Distributed Denial of Services (DDoS). Em janeiro de 2004, o Mydoom se espalhou em velocidade similar ao Sobig.F, expondo ambientes por meio de uma backdoor e disseminando um ataque dirigido. Posteriormente, duas outras pragas - Doomjuice e Deadhat - propagaram-se pela entrada deixada pelo Mydoom.
Tendências de vulnerabilidades A média de vulnerabilidades descobertas em 2003 foi de sete por dia, com um total de 2.636 – pouco superior às 2.587 marcadas no ano
78anterior. A quantidade de falhas consideradas graves cresceu da média de 98 para 115 por mês e 70% delas foram classificadas como de fácil exploração, em comparação a 60% em 2002.
Em 2002, 175 vulnerabilidades receberam ataques de alta periculosidade, chegando a 231 no ano passado. O número de falhas que sofreram agressão subiu 5% em 2003, enquanto as que não demandaram ferramentas especiais para serem exploradas aumentaram em 6%. Cresceram também as vulnerabilidades do Microsoft Internet Explorer encontradas nas estações de trabalho, passando de 20 na primeira metade do ano para 34 na segunda – alta de 70%.
Muitas destes problemas permitem aos hackers comprometer sistemas de clientes que visitam Web sites com conteúdo malicioso, intencional ou não. A razão primordial da preocupação causada por esta propensão é a grande dominância do mercado pelo Internet Explorer.
Tendências de códigos maliciosos Os ataques combinados foram responsáveis pelos eventos de segurança mais significativos do ano, ocorridos em agosto, com o surgimento de três novos vírus de nível quatro (em uma escala de um a cinco) em apenas 12 dias. Blaster, Welchia e Sobig.F infectaram milhares de computadores pelo mundo e, de acordo com estimativas do instituto Computer Economics, podem ter causado mais de US$ 2 bilhões de prejuízo.
O segundo semestre de 2003 apresentou duas vezes e meia mais submissões dos vírus Win32, em comparação ao mesmo período de 2002, passando de 687 a 1.702 ataques (estão inclusos nestes registros o Blaster, Welchia, Sobig.F e Dumaru). Além disso, o tempo entre o descobrimento e a disseminação das pragas está diminuindo e os hackers têm usado cada vez mais pacotes comprimidos e arquivos atachados para espalhá-las.
79Entre os dez maiores códigos maliciosos, a quantidade de worms com a própria ferramenta de envio de email subiu 61% nos últimos seis meses de 2003. Uma vez que mensagens geradas por ferramentas de auto-envio não interagem com o sistema de correio eletrônico do usuário, existem poucas evidências da ação do vírus na máquina, sendo necessária a utilização de programas antivírus com ferramentas de detecção baseadas em inteligência artificial.
Outro ponto indicado pelo Symantec Internet Security Threat Report foi a velocidade de crescimento das ameaças à privacidade e confidencialidade no segundo semestre do ano passado. Houve um aumento de 519% no volume deste tipo de submissão com os dez maiores vírus, em comparação à primeira metade de 2003. Enquanto worms mais antigos comprometiam a confidencialidade ao exportar documentos raros, os vírus mais recentes e os ataques combinados também roubam senhas, códigos de encriptação e registros de digitação.
80
ANEXO 5
FAQ sobre as normas BS e ISO17799 César de Souza Machado
DATA - 24 Abr 2002 FONTE - Portal ISO17799
1. O que é informação? 2. O que é segurança da informação? Segundo a norma ISO/IEC 17799:2000, segurança da informação pode ser definida como a proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos. Ainda segundo a ISO/IEC 17799:2000 a segurança da informação é caracterizada pela preservação dos três atributos básicos da informação: confidencialidade, integridade e disponibilidade. 3. O que é BS7799? O Brithish Standart 7799 é uma norma de segurança da informação. Criada na Inglaterra, teve seu desenvolvimento iniciado em 1995. Divide-se em duas partes, estando a primeira parte homologada desde 2000 e, a segunda parte, com homologação prevista para 2002. 4. Qual é a diferença entre A BS7799-1 e a BS7799-2? A BS7799-1 é a primeira parte da norma, já homologada. Contém uma introdução, definição de extensão e condições principais de uso da norma. Disponibiliza 148 controles divididos em dez partes distintas. É planejado como um documento de referência para implementar "boas práticas" de segurança na empresa. A BS7799-2 é a segunda parte da norma, ainda não homologada, cujo objetivo é proporcionar uma base para gerenciar a segurança da informação dos sistemas das empresas. 5. O que é ISO/IEC 17799? A ISO/IEC 17799 é a versão internacional da BS7799, homologada pela International Standartization Organization em dezembro de 2000. 6. O que é NBR ISO/IEC 17799? A NBR ISO/IEC 17799 é a versão brasileira da norma ISO, homologada pela ABNT em setembro de 2001. 7. O que significa exatamente ISO/IEC? ISO significa International Standartization Organization. Trata-se de uma organização internacional formada por um conselho e comitês com membros oriundos da maioria dos países. Seu objetivo é criar normas e padrões universalmente aceitos sobre como realizar as mais diversas atividades comerciais, industriais, científicas e tecnológicas. IEC significa International Engineering Consortium. É uma organização voltada para o aprimoramento da indústria da informação. Uma associação entre as duas instituições produz normas e padronizações internacionais.
818. Qual é a diferença entre as normas BS, ISO e NBR ISO17799? A norma ISO é rigorosamente idêntica a norma BS7799. A norma brasileira é a tradução literal da norma ISO. 9. Qual norma eu devo usar? Se você está no Brasil, deve optar pela NBR ISO/IEC 17799. Em outros países, caso não exista uma versão nacional, pode-se empregar a ISO/IEC 17799. Na Inglaterra, por exemplo, a norma nacional é a BS7799. 10. Qual é o conhecimento que existe hoje sobre essas normas? A maioria das empresas e grande parte dos profissionais de segurança da informação ainda desconhecem a existência da norma, ou, quando muito, sabem de sua existência mas não a conhecem em maiores detalhes. 11. Essas normas se aplicam a qualquer tipo de organização? As normas foram criadas e se adaptam bem a organizações comerciais. Instituições de ensino, instituições públicas e outras assemelhadas podem ter dificuldades em implantar certos controles da norma devido a seus ambientes serem diferentes dos de uma empresa comercial. Apesar disso, qualquer organização pode aproveitar grande parte dos controles da norma para implementar segurança da informação em suas instalações. 12. Além do Brasil, que outros países criaram suas adaptações da ISO17799? Os países da Comunidade Britânica, tais como Austrália e Nova Zelândia foram os primeiros a criarem suas próprias versões da BS7799. 13. Qual é a importância da ISO 17799? Ela permite que uma empresa construa de forma muita rápida uma política de segurança baseada em controles de segurança eficientes. Os outros caminhos para se fazer o mesmo, sem a norma, são constituir uma equipe para pesquisar o assunto ou contratar uma consultoria para realizar essa tarefas. Ambas opções são caras e demoradas. 14. O que é ISMS? Information Security Management System, ou Sistema de Gerenciamento da Segurança da Informação é o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como são reduzidos os riscos para segurança da informação. Uma empresa que implante a norma BS/ISO acaba por constituir um ISMS. 15. Eu posso usar essa norma para garantir a segurança de um programa ou equipamento? Essa norma foi criada para possibilitar a implantação de segurança da informação em empresas. Para processos, hardware e software, existem normas especificamente criadas com esse fim tal como a Tsec, ITSec e Commum Critéria.
82 16. O que é certificação? A certificação é um documento emitido por uma entidade certificadora independente que garante que uma dada empresa implantou corretamente todos os controles da norma aplicáveis. A certificação é emitida após um procedimento de verificação de conformidade da empresa pela entidade certificadora. 17. Para que serve a certificação? Ela comprova, para a empresa certificada, que a segurança da informação está assegurada de forma efetiva, o que não significa, contudo, que a empresa esteja imune a violações de segurança. Além disse, a certificação comprova, para os clientes e fornecedores da empresa o zelo que esta tem com a segurança da informação, reforçando a imagem da empresa junto ao mercado. Dependendo da atividade da empresa, essa certificação pode ser essencial para realização de cerots negócios. 18. Teremos segurança total se implantarmos a norma em nossa empresa? Segurança total não existe. A implantação dos controles da norma asseguram um bom nível de segurança sobre os aspectos do hardware, do software e do peopleware. 19. O que são os controles da norma? São pontos específicos sobre hardware, software ou peopleware que definem o que deve ser feito para assegurar aquele item. Na prática consiste em um parágrafo de texto como no exemplo abaixo. A relação de pessoas com acesso autorizado à documentação de sistemas deve ser a menor possível e autorizada pelo responsável pelo sistema. 20. Para implantar a norma em uma empresa é obrigatório empregar todos os seus controles? Não. Aplicam-se somente os controles para os serviços, facilidades, espaços e condições existentes na empresa. Por exemplo, se a empresa não tem acesso remoto de usuários, todos os controles referentes a esse tipo de acesso podem ser ignorados. 21. Afinal qual é o jeito da norma NBR ISO? A norma NBR ISO/IEC 17799 tem 50 páginas. 22. Quanto custa a norma? Os seguintes preços, praticados pela ABNT, são sujeitos a alterações: Norma ISO 17799: R$ 290,00 NBR ISO/IEC 17799: R$30,00 No site da BSI a norma BS7799 pode ser adquirida por 41 libras.
8323. Qual é o custo de uma certificação? O custo depende de vários fatores, tal como quanto tempo o responsável pela certificação levará para se convencer sobre a conformidade das instalações da empresa com relação a norma, o tamanho e a complexidade da empresa e de seus sistemas. Como referência, a c:cure (certificadora britânica) indica um custo médio de 900 libras por dia por cada auditor qualificado como certificador. TOP 24. Muitas empresas já obtiveram a certificação? Até o início de 2002, poucas empresas o fizeram, a maioria na Inglaterra onde inicialmente surgiu a BS7799.
84
ANEXO 6
INTRODUÇÃO E METODOLOGIA No ano em que completa 18 anos, a Módulo Security apresenta a 9ª edição da Pesquisa Nacional de Segurança da Informação. Neste estudo, considerado um dos importantes norteadores do segmento no Brasil, é apresentado um panorama atualizado das principais tendências do mercado nacional, indicadores, melhores práticas, além de uma análise comparativa entre as pesquisas de 2002 e 2003. Os resultados obtidos reforçam a importância dos fatores de capacitação e conscientização como pontos fundamentais para proteção das informações corporativas. Mas como tornar essa constatação realidade? A resposta pode estar na contínua adoção de controles para minimizar ameaças, riscos e vulnerabilidades que rondam os sistemas em redes. METODOLOGIA A coleta de dados deste ano contou com respostas presenciais e via online. No total, a pesquisa quantitativa teve uma amostra de 682 questionários, coletados entre março e agosto de 2003, junto a profissionais ligados às áreas de Tecnologia e Segurança da Informação. Os profissionais que participaram deste estudo estão distribuídos em diversos segmentos, como: Financeiro (21%), Governo (17%), Indústria e Comércio (14%), Tecnologia/Informática (14%), Prestação de Serviços (9%), Outros (8%), Telecomunicações (7%), Comércio/Varejo (4%), Energia Elétrica (2%), Educação (2%) e Saúde (2%), correspondendo a cerca de 50% das 1000 maiores empresas brasileiras. Os questionários foram compostos por 40 questões objetivas, sendo algumas de respostas múltiplas. Foram computadas somente as perguntas efetivamente respondidas.
85
86
87
ÍNDICE
AGRADECIMENTOS ......................................................................................... 3 DEDICATÓRIA................................................................................................... 4 RESUMO ........................................................................................................... 5 METODOLOGIA ................................................................................................ 6 SUMÁRIO .......................................................................................................... 7 INTRODUÇÃO................................................................................................... 8 CAPÍTULO I ..................................................................................................... 11 Histórico do surgimento das normas de segurança ......................................... 11 CAPÍTULO II .................................................................................................... 17 Gestão da segurança da informação ............................................................... 17 2.1 – Causa de vulnerabilidades em sistemas................................................. 21 2.2 – Desenvolvimento e manutenção de sistemas ......................................... 22
2.2.1 – Requisitos de segurança para o desenvolvimento de sistemas ....... 22 2.2.1.1 - Análise e especificação dos requisitos de segurança................. 22 2.2.1.2 – Segurança nos sistemas aplicativos .......................................... 23 2.2.1.3 – Controles de criptografia ............................................................ 24 2.2.1.4 – Segurança do sistema de arquivos ............................................ 26 2.2.1.5 – Segurança nos processos de desenvolvimento e suporte ......... 27
2.3 – Gerenciamento da continuidade do negócio ........................................... 28 2.3.1 – Aspectos da gestão da continuidade do negócio ............................. 29 2.3.2 – Conformidade ................................................................................... 31
2.3.2.1 – Conformidade com requisitos legais .......................................... 31 2.3.2.2 – Análise crítica da política de segurança e da conformidade técnica....................................................................................................... 34
CAPÍTULO III ................................................................................................... 36 Segurança da informação em ambientes corporativos .................................... 36 3.1. Segurança da Informação......................................................................... 38
3.1.1. Segurança da Informação em Ambientes Corporativos ..................... 39 3.2. Tópicos Interessantes sobre Segurança................................................... 39
3.2.1 - Certificação Digital............................................................................. 39 3.2.2 - Criptografia........................................................................................ 40 3.2.3 - Engenharia Social ............................................................................. 42 3.2.4 - Hackers ............................................................................................. 43 3.2.5 - Firewall .............................................................................................. 44 3.2.6 - Sistema de Detecção de Intrusos – IDS............................................ 46 3.2.7 - VPN – Virtual Private Network........................................................... 46
3.3. Política de Segurança ............................................................................... 48 CAPÍTULO IV................................................................................................... 50 Padrões para segurança de computadores ..................................................... 50 Índice de anexos .............................................................................................. 70
88
FOLHA DE AVALIAÇÃO
Nome da Instituição: Universidade Candido Mendes
Título da Monografia: Melhores práticas de segurança da informação no
desenvolvimento de sistemas
Autor: Iracema da Costa Ferreira
Data da entrega:
Avaliado por: Conceito:
Avaliado por: Conceito:
Avaliado por: Conceito:
Conceito Final:
