- Prodemge - Governo de Minas Gerais
Contents
1. a compress o sem perda T cnicas com base em LSB po dem ser aplicadas a cada pixel de uma imagem codificada em 32bits por pixel Estas imagens possuem seus pixels codificados em quatro bytes Um para o canal alfa outro para o vermelho outro para o verde e outro para o azul Seguramente gens de cobertura devem ser em tons de cinza porque estas t cnicas n o s o eficazes em imagens coloridas 12 Isto deve se ao fato de que modifica es em bits mais significativos de imagens em cores geram muitos artefatos tor nando as informa es mais propensas detec o Estas t cnicas s o semelhantes marca d gua vis vel em que valo res de pixel em reas mascaradas s o de mascaramento de informa es conhecidas 12 embora sofistica o nem sempre implique em maior ro bustez aos ataques de estegan lise A inclus o de dados apresentados no do m nio de transforma o amplamente usada para marca d gua robusta De forma geral estas t cnicas com base em algoritmos e transfor ma es aplicam uma determinada transforma o em blocos de 8x8 pi xels na imagem Em cada bloco de vem ser selecionados os coeficientes redundantes ou de menor import n cia Posteriormente estes coeficientes s o utilizados para atribuir a mensa espalhados ao longo da imagem de cobertura Uma estego chave usa da para selecionar randomicamen pode se selecionar o LSB de cada byte do pixel para repr2. E quem n o conhece algu m cuja senha do banco est anotada no pr prio cart o magn tico Al m das senhas outras inven es para identifica o podem ser vistas em filmes Em 2001 Uma odiss ia no espa o Dr Heywood Floyd Willian Sylvester tem que falar seu destino nacionalidade e nome para ser identifi cado na esta o espacial James Bond Sean Connery erradamente identificado pelas digitais por uma complica da m quina escondida dentro de um guarda roupa em 007 Os diamantes s o eternos s vezes h um n tido avan o na imagina o dos roteiristas Em Blade Runner O ca ador de andr ides o reconhecimento feito por meio de um teste chamado Voight Kampff que mistura an lise da ris com perguntas idiotas J em Minority Report a mesma an lise feita por aranhas rob s sem as perguntas A identifica o em Gattaca mais complicada os personagens s o subme tidos toda hora a testes de DNA o que n o impede que sejam burlados John Badham 1983 Stanley Kubrick 1968 Guy Hamilton 1971 Ridley Scott 1982 Steven Spielberg 2002 Andrew Niccol 1997 OCAYADMNHPWNK ult124u21492 shtml Divulga o Os filmes d o apenas uma id ia Na pr tica j pode mos ser identificados por meios biom tricos impress es digitais formato da m o e do rosto altura cor dos olhos e dos cabelos ris voz etc pelo registro e an lise au tom t
3. Essa caracter stica de intera o se por um lado torna as coisas mais f ceis para o usu rio por outro as torna mais acess veis para os hackers ou mais f ceis do que eram antes Para que essas novidades sejam viabili zadas segundo o gerente da IBM tem que haver segu ran a sen o voc est abrindo novas portas problemas que estavam resolvidos podem voltar As empresas est o em suas rotinas utilizando novos softwares protocolos camadas de programas ou seja novas vulnerabilidades tamb m surgem podem ser novas janelas de ataque 26 ENA Marcelo Bezerra da IBM Investindo maci amente em produtos para segu ran a h cerca de dois anos a IBM tem feito avan os e aquisi es no setor e formou um portf lio abrangente de produtos para seus clientes S o alternativas de seguran a em quase todas as disciplinas A IBM n o uma empresa de seguran a da informa o mas tendo esse conhecimento dentro de casa tem uma possibilidade muito boa de trazer essas solu es para seus clientes informa Bezerra Ele explica que no aspecto tecnol gico a busca dos pro fissionais do setor por sistemas mais autom ticos que detec tem fraudes com base no mapeamento de comportamentos Existem no mercado investimentos para fazer isso de forma cada vez mais eficiente programas que analisam comporta mentos de sistemas de pessoas e de tr fego na rede Como funciona isso Se um determinado programa no comp
4. A repercuss o do aludido aceite t cito modifica a pr pria natureza do correio eletr nico Admitida sua utiliza o para fins alheios ativida de laboral tem se criada a leg tima expectativa do empregado quanto ao respeito de informa es pertinen tes sua esfera ntima suscitando a 1 A t tulo de exemplo menciona se a seguinte situa o um indiv duo que procede a um di logo com seu amigo abordando aspectos de sua intimidade em um elevador lotado de passageiros n o tem sua privacidade violada Apesar destas informa es alcan arem terceiros este fato ocorreu sem m cula sua faculdade de autodetermina o Julho Dezembro de 2007 13 necessidade de um ambiente de pri vacidade Como n o h modo de se aferir aprioristicamente a natureza do conte do da mensagem sen o pela sua averigua o o monitoramento eletr nico material como j enfati zado neste contexto deve ser repu tado il cito Em s ntese o usu rio de e mail privado det m expectativa de privaci dade quanto a este meio de comuni ca o ensejando assim a prote o do conte do das mensagens transmitidas J o e mail corporativo a princ pio poderia ser objeto de controle ma terial desde que n o caracterizada a aceita o t cita pelo empregador para fins distintos da atividade laboral Torna se assim aconselh vel que o empregador pro ba o uso do cor reio eletr nico corporativo para fins diversos Caso a pol tic
5. H dois subtipos de spywares bem conhecidos os keyloggers e os screenloggers Os keyloggers armaze nam as teclas digitadas pelo usu rio Normalmente o in cio de sua atividade Tratando o problema A exposi o de crian as e ado lescentes s amea as da internet uma realidade N o h como priv las de uma ferramenta de educa o t o din mica e til como esta Por tanto urge a necessidade de reali zarmos algumas a es que minimi zem os riscos aos quais elas ficam expostas Consideramos que o principal aspecto a ser tratado pelos pais e respons veis a educa o e a cons cientiza o dos nossos filhos quanto ao cuidado no relacionamento e inte ra o com pessoas desconhecidas e no envio de informa es pessoais ou sigilosas por meio da rede Mas necess rio tamb m tratar algumas vulnerabilidades da pr pria maquina Para isso recomenda mos o uso de softwares de prote o Deve se come ar pela instala o ou ativa o de um firewall pessoal de um anti v rus e de um anti spyware Al m disso necess rio manter os programas em uso sempre atualiza dos al m de instalar todos os pacotes de corre es de seguran a Deve se dar especial aten o atualiza o dos programas de prote o e atua liza o das assinaturas de v rus do seu anti v rus de captura est condicionada a uma a o do usu rio como entrar no site de um banco ou entrar em um site
6. mesa dos auditores dos administradores e security officers a confus o j estava formada O que nasceu com o prop sito leg timo e uni dimensional de proteger a confidencialidade das co munica es foi se transformando acompanhando os requerimentos do novo mundo dos neg cios e assim assumindo m ltiplas aplica es e dimens es A velocidade com que isso vem acontecendo asso ciada ao entusiasmo dos que querem realizar sem despender muito tempo na prancheta revisando e revalidando conceitos ou simplesmente contra riando os a fim de buscar inova es metodol gi cas aumenta a confus o 34 GE A seguran a da informa o freia ou acelera os neg cios Infelizmente muitos dos que hoje volunt ria ou involuntariamente envolvem se com a ta refa de fazer seguran a da informa o n o t m uma vis o hol stica de seu leg timo papel prov vel que tenham uma vis o correta por m isolada e focada no problema que est ao alcance de seus olhos e n o necessariamente uma vis o integrada dos riscos inerentes presentes residuais e assim a real percep o das implica es e das raz es para se desenvolver um programa corporativo de segu ran a da informa o Tudo deveria funcionar como em uma orquestra onde cada m sico domina e sabe exatamente o que fazer com o seu instrumento mas conta com o maestro que det m a vis o do todo e capaz de coordenar a es isoladas em busca de um re
7. atuou em diversas empresas e possui experi ncia internacional com Direito e Tecnologia nos Estados Unidos Portugal e Cor ia Atualmente TO ET assessora 127 clientes no Brasil e no exterior j tendo treinado mais de 10 500 profissionais de di versas empresas nos temas de Gest o de Risco Eletr nico e Seguran a da Informa o A exist ncia de um mundo virtual criado imagem e semelhan a do mundo real tem exigido adequa es dos diversos setores da sociedade a fim de manter nessa nova di mens o par metros comportamentais que garantam uma conviv ncia social no m nimo tica Nesta edi o de Fonte o Di logo com a advogada especialista em direito digital Patr cia Peck Pinheiro que apresenta um panorama do Direito e das rela es sociais nesse contexto Nesta entrevista ela fala da evolu o do Direito em fun o das transforma es sociais e da forma como as lacunas abertas por novos comportamentos s o preenchidas por leis e Divulga o regulamenta es A advogada revela o grande desafio do Direito diante da evolu o das tec nologias enfatizando a educa o e as mudan as culturais como as grandes perspectivas para a harmonia nos ambientes virtuais Patr cia Peck aborda ainda aspectos do exerc cio da cidadania na rede da privacidade e anonimato na sociedade digital da pr tica de monitoramento nas comunica es em ambientes corporativos e comenta as propostas de ins
8. es Parceiros tamb m podem utilizar a rede wire less como visitantes de forma segura e controlada e consultar intranets e extranets para obter por exem plo novos descontos consultar posi es de entrega resgatar documentos requisitar a es imediatas em vez de acumular pend ncias para quando voltarem para suas sedes Telefones OS SOFTWARES DE wireless podem gerenciamento permitem tamb m a representa o ser ramais que acompanham o e ie eat grafica das areas de usu rio at o am biente de f brica problemas de al em mapas com cance ou degrada precis o de metros o da qualidade da voz Enfim as solu es de wireless LAN t m muito a oferecer mas devem ser disponibilizadas no ambiente cor porativo de forma segura gerenciada centralizada e com escalabilidade N o devemos perder tempo e recursos nos prendendo a redes wireless voltadas para uso dom s tico Elas podem ser muito atrativas em um primeiro momento devido ao baixo custo de aquisi o mas em ambientes maiores geram um alto custo de ope ra o e restri o ao crescimento Planejando de for ma correta estaremos criando um ambiente prop cio ao desenvolvimento das pessoas e dos neg cios Vit rio Urashima Engenheiro eletr nico pelo Instituto Tecnol gico de Aeron utica Especialista em Networking e Seguran a Digital da Tecnoset IT Solutions ua 49 cobertura e localiza o ou dep sito sem dos dispositivos
9. o sob pena de voltarmos para o estado da natureza com a lei do mais forte e n o o estado democr tico do Direito que permite a liberdade de express o mas com responsabilidade A at hoje temos contratos ver bais ou seja o papel tamb m n o eliminou as rela es entre as pessoas de modo menos formal Assim como todo fax uma c pia e n o deixa mos de nos relacionar com este Ocorre que quando bem trabalhado o meio eletr nico gera maior prova Se n o es tiver bem arrumado ao contr rio gera maior potencial de adultera o de conte do ou identidades Mas a melhoria do processo em termos de seguran a jur dica e da informa o aumenta os custos naturalmente Logo o que teremos escolha onde a pessoa pode decidir que grau de certeza Jur dica quer ter sobre determinado fato e ou obriga o e assim aplicar os meios necess rios para garantir isso FONTE Na sua opini o como a certifica o di gital se posiciona atualmente e quais as perspectivas para os pr ximos anos A certifica o digital uma via de solu o adequada mas precisa de cria o de cultura Acredito que talvez a bio m trica ande mais r pido pela maior facilidade de entrar na rotina das pessoas e empresas como j vem entrando E Julho Dezembro de 2007 TRATADA AT POUCO TEMPO ATR S COMO um problema afeto exclusivamente aos departamentos de tecnologia das organi za es a seguran a da informa o vem ganhando
10. o ad hoc conex es diretas entre esta es sem au toriza o e provavelmente sem prote o 4 a instala o de access points de uso dom s tico sem autoriza o da empresa tamb m comum Este tipo de instala o geralmente realizado com as configura es padr o de f brica que t m pouca ou nenhuma 48 GEE Wireless LAN para ambiente corporativo muito al m de extinguir o cabo azul seguran a de autentica o de usu rios ou criptografia de dados 5 a seguran a WEP wired equivalent pri vacy utilizada inicialmente para proteger as redes wireless LAN n o mais conside rada segura J poss vel utilizando ferra mentas dispon veis na internet descobrir a chave de criptografia WEP ap s a coleta de cerca de 1 milh o de pacotes Isto equivale em uma rede com alto tr fego a aproxima damente 17 minutos de atividade 6 o uso de wireless em ambientes din micos altera es na quantidade de usu rios ao longo do dia altera es em posi es de obst culos como m quinas estoques de pe as e at pessoas transitando muda o ambiente de RF e cria reas de sombra ou de interfer ncia n o previstas inicialmente Unified Wireless Network Para solucionar estes problemas empresas t m adotado a unified wireless network cuja tradu o rede sem fio unificada Controladores wire less concentram as informa es dos access points Os controladores por sua vez s o agreg
11. rea com grande potencial para pesquisa e desenvolvimento Sistemas de detec o de intrus o anti v rus proxies e firewalls ultimamente aparecem muito na m dia em geral e est o se tornando ferramentas de uso dom s tico cada vez maior o n mero de pessoas que tentam ludibriar as de fesas para ter acesso a um dos bens mais preciosos da sociedade moder na a informa o Por outro lado existem outras pessoas que buscam o desenvolvimento e o estudo de t cni cas para prote o das comunica es As ferramentas e t cnicas que prov em a seguran a da informa o s o in meras A criptografia est entre elas h milhares de anos Um dos ramos da criptografia a esteganografia De origem grega a palavra significa a arte da escrita es condida estegano esconder e grafia escrita A estegan lise por sua vez a arte de detectar mensagens escondidas nos mais diversos meios de comunica o A esteganografia in clui um amplo conjunto de m todos e de t cnicas desenvolvido ao longo da hist ria para prover comunica es secretas Dentre as t cnicas desta cam se tintas invis veis micropon tos arranjo de caracteres assinaturas digitais e canais escondidos 1 2 3 As aplica es de esteganografia incluem identifica o de compo nentes dentro de um subconjunto de dados legendagem rastreamen to de documentos e certifica o digital e demonstra o de que um conte do original n o foi
12. tas de observa o de diversos com portamentos de usu rios clientes e parceiros Al m disso a seguran a da informa o adequadamente nor teada por pol ticas busca os mesmos objetivos do alinhamento estrat gico j citado a saber atender a priori dades e objetivos organizacionais basear se firmemente na ader ncia a padr es e determina es legais e in serir se no ambiente organizacional de modo a apoiar os ativos com os quais se relaciona n o s no tocan te ao valor monet rio de tais ativos mas principalmente na preserva o do conhecimento organizacional 2 O contexto da seguran a da informa o diante da governan a de TICs Os mecanismos de an lise e de formaliza o de pol ticas de seguran a atualmente em voga tais como a norma ISO IEC 27001 ISO 2006 ou a descri o de recomenda es de institutos de tecnologia e de padr es Bass 1998 partem de pressupostos representados por melhores pr ti cas Wood 2002b ou seja adota se um conjunto de procedimentos ad hoc definidos de forma emp rica e geralmente voltados a aspectos t c nicos por vezes deslocados do con texto humano e profissional no qual se inserem Cumpre observar que os sis temas de informa o mormente aqueles digitais em ampla voga no contexto da Sociedade da Informa o encontram se natu ralmente envoltos por completo em ambientes do mundo real es tando sujeitos a v rias formas de a
13. 2003 Dispon vel em lt http www commoncriteriaportal org public les ccpartlv2 2 pdf gt Acesso em 9 jul 2004 NATIONAL INFORMATION ASSURANCE PARTNERSHIP Common Criteria for Information Technology Security Evaluation ISO 15408 v 2 2 Part 2 security functional requirements Washington 2003 Dispon vel em lt http www commoncriteriaportal org public les ccpart2v2 2 pdf gt Acesso em 11 jul 2004 NATIONAL INFORMATION ASSURANCE PARTNERSHIP Common Criteria for Information Technology Security Evaluation ISO 15408 v 2 2 Part 3 security assurance requirements Washington 2003 Dispon vel em lt http www commoncriteriaportal org public les ccpart3v2 2 pdf gt Acesso em 11 jul 2004 NBSO Site oficial do Network Information Center Security Office Rio de Janeiro 2005 Dispon vel em lt http www nbso nic br gt Acesso em 13 fev 2005 NORTH D C Institutions The Journal of Economic Perspectives v 5 n 1 p 97 112 Winter 1991 OSTROM E Institutional rational choice an assessment of the institutional analysis and development frameworks In SABATIER P Ed Theories of the policy process Boulder Colorado Westview Press 1999 p 35 71 PETERSON R R Integration strategies and tactics for information technology governance In VAN GREMBERGEN W Org Strategies for information technology governance Hershey PA Idea Group Inc Publishing 2004 p 37_80 RAGGAD B G
14. Dessa for ma o modelo dever ainda ser capaz de apontar as melhores pr ticas a se rem seguidas em cada um dos n veis da organiza o contemplando tr s pontos principais em cada um desses n veis e O que se espera de cada indi v duo o que deve e o que n o deve ser feito e Como cada indiv duo poder verificar se est cumprindo o que esperado indicadores de produtividade e Quais m tricas devem ser uti lizadas para medir a efici ncia dos processos executados e para apontar ajustes que ne cessitem ser aplicados Uma revis o de literatura sobre pr ticas de gerenciamento de segu ran a computacional aponta pelo menos quatro pontos chaves a serem considerados na defini o de um mo delo para a governan a da seguran a da informa o a saber e Necessidade de uma avalia o de risco Os riscos precisam ser conhecidos e as medidas de seguran a correspondentes devem ser identificadas e Necessidade de uma estrutura organizacional de seguran a computacional tratada em to dos os n veis da organiza o e Necessidade de criar endos sar implementar comunicar e monitorar uma pol tica de seguran a por toda a organiza o com comprometimento e apoio vis vel dos gestores e Necessidade de fazer com que cada indiv duo da organiza o conhe a a import ncia da se guran a computacional e trei n los para que possam utili zar as melhores pr ticas neste sentido Embora es
15. Ferramentas e links interessantes Al m das ferramentas j conhe cidas para a prote o de um sistema firewall anti v rus anti spyware anti spam e outras existe um vo lume consider vel de solu es de senvolvidas especialmente para a prote o das crian as e adolescen tes Geralmente o desenvolvimento de tais solu es busca monitorar e ou bloquear as atividades de risco na web Alguns fornecedores est o disponibilizando estas ferramentas junto com seus produtos Podemos citar a Microsoft que disponibili zou junto ao sistema operacional VISTA o Windows Vista Parental Controls que permite o ajuste de restri es como limites de tempo limites de quais programas poder o ser executados quais jogos pode r o ser utilizados e quais sites po dem ser visitados por componente da familia A solu o da Microsoft inte ressante mas existem diversas ou tras Estes programas de computador com fun es semelhantes ao Parental Control s o comuns e f ceis de en contrar Quatro conjuntos destacam se para os ambientes dom sticos O primeiro deles s o os filtros de con x te do para acesso web instalado nas esta es de trabalho o segundo envolve as solu es que substituem os navegadores web o terceiro um conjunto que possui solu es h bri das s o os navegadores com filtros o ltimo voltado para o monitora mento das atividades que est o sendo realizadas no computador
16. como a conta banc ria do usu rio pela internet possibilitando checar se o site apresentado realmente Julho Dezembro de 2007 de ajustamento do ambiente s regulamenta es exigidas por entidades no Brasil e no mundo O funcionamento de muitos setores est condicionado ao cumprimento des sas exig ncias Na configura o o sistema de seguran a deve estar aderente a determinadas normas que s o exigidas para aquela organiza o de acordo com a sua natureza O objetivo facilitar a vida do administrador de seguran a explica Bezerra Nesse grupo enquadram se as ferramentas de adequa o Outro recurso de apoio gest o da seguran a a chamada correla o de eventos que gera informa es importantes a partir do cruzamento de eventos Por exem plo o registro de um evento que houve no firewall e um outro de tentativa de ataque a um servidor podem ter vin do de um mesmo endere o IP mostrando ao administra dor uma informa o que pode ser muito importante Ou a tentativa repetida de logon o chamado ataque de for a bruta tamb m detectado A associa o de muitas in forma es pode mostrar fatos suspeitos que n o seriam vis veis Quanto mais fontes de dados dispon veis mais forte o mecanismo se torna da institui o que diz ser por meio da verifica o de seu certificado digital Na opini o do coordenador adjunto de TI da Recei ta Federal Donizette Victor Rodrigues j existem mui
17. de com rcio eletr nico Os keyloggers capturam todas as informa es im portantes digitadas pelo usu rio como senhas n meros de conta identi Podemos ainda ressaltar algu mas dicas para serem aplicadas no uso cotidiano da internet e N o clique em links recebidos por e mail ou via servi os de mensagens instant neas e Sempre examine os arquivos recebidos por e mail ou via servi os de mensagens instan t neas com anti v rus antes de abr los Na d vida melhor apagar o arquivo sem abri lo e Esteja sempre atento ao nave gar na internet e Evite entrar em sites com con te do suspeito e Evite clicar em links das ja nelas que se abrem automa ticamente enquanto navega pop ups e Se o computador est se com portando de forma estranha atualize o seu anti v rus e acione a op o de varredura completa do equipamento Se o problema persistir reco mendamos a reinstala o do sistema operacional e dos apli cativos e N o forne a informa es pes soais na rede especialmente aquelas referentes a dados ficadores e nomes de usu rio Os screenloggers podem ser caracteri zados como uma forma avan ada de keylogger eles capturam as regi es da tela onde o usu rio clica com o mouse e armazenam essas imagens para posterior envio a um terceiro cadastrais cart es de cr ditos dados banc rios e senhas a n o ser que seja um site de sua inteira confian a e Utilize e mails
18. de incidentes www cais rnp br o Cais tem ampliado sua atua o para a sociedade por meio da promo o e participa o em eventos como o Dia Internacional de Seguran a da Informa o Disi realizado anualmente H uma boa resposta da comunidade n o s a comuni dade acad mica mas o Brasil como um todo As pessoas se interessam pelo tema explica Ronaldo Vasconcelos Para ele um dos grandes m ritos do Disi realizado em 2007 no m s de novembro foi o de sair um pouco do meio acad mico Anteriormente o evento focava priori tariamente os administradores de seguran a divulgando conte dos mais t cnicos No entanto foram ganhando notoriedade abordagens mais pr ticas para os usu rios em geral como medidas para desinfectar um ambiente configura o segura de redes sem fio por exemplo H maior participa o dos usu rios A id ia compartilhar essas informa es muito do que a equipe sabe pode ser til para outras pessoas Nosso objetivo aumentar essa participa o enfatiza Vasconcelos Mantido pelo Comit Gestor da Internet no Brasil o Centro de Estudos Resposta e Tratamento de Incidentes de Seguran a no Brasil CERT br o grupo respons vel por re ceber analisar e responder a incidentes de seguran a em com putadores envolvendo redes conectadas internet brasileira Projeto Honeypots A entidade mant m na internet a Cartilha de Seguran a para Internet um documento com recome
19. em todo o mundo a seguran a da informa o A preocupa o tamb m atinge os usu rios dom sticos que a cada dia se deparam com novos golpes que amea am suas informa es e privacidade e em casos extre mos sua integridade f sica O desenvolvimento das TICs trouxe em sua trajet ria benef cios inquestion veis para o desen volvimento de toda a sociedade democratizando servi os e informa es facilitando a vida dos cida d os provendo os administradores de recursos para executar de forma mais eficaz seus projetos e con cretizar estrat gias No entanto e infelizmente essa evolu o com seu car ter essencialmente democr tico tam b m acess vel a pessoas ou organiza es que agem de forma inescrupulosa e reproduzem no mun do virtual um ambiente de risco e contraven o Na maioria das vezes motivados por objetivos finan ceiros e pelo desafio de burlar sistemas de seguran a os chamados hackers inovam de forma permanente utilizando recursos tecnol gicos e eventualmente prescindindo deles amparados pela engenharia so cial para executar seus projetos criminosos Os reflexos do risco que representam para a sociedade s o percebidos na crescente necessidade de investimentos das organiza es em ferramentas de seguran a na reengenharia de processos e na capacita o de colaboradores no impacto sobre os neg cios e transa es realizadas pela internet em preju zos s empresas especialmente dos s
20. escondido em imagens digitais Estas Julho Dezembro de 2007 s o escondidas em cada frame do arquivo de v deo Esconder imagens em sinais de udio algo desafiante pois o sis tema auditivo humano SAH pode trabalhar em uma faixa muito gran de de frequ ncias A sensitividade a ru do muito apurada Apesar de ser t o poderoso para captar sinais e fregii ncias o SAH n o consegue fa zer diferencia o de tudo que recebe Sendo assim sons mais altos tendem a mascarar sons mais baixos Al m disso o SAH n o consegue perceber um sinal em fase absoluta somente abordagens podem ser divididas em tr s tipos 16 ataques aurais estes ataques consistem em retirar as partes significativas da imagem como um meio de facilitar aos olhos humanos a busca por anoma lias nessa imagem Um teste comum mostrar os bits me nos significativos da imagem C meras scanners e outros dispositivos sempre deixam alguns padr es nos bits menos significativos e ataques estruturais a estru tura do arquivo de dados al gumas vezes muda assim que outra mensagem inserida Nesses casos um sistema ca paz de analisar padr es estru turais seria capaz de descobrir a mensagem escondida Por exemplo se mensagens s o escondidas em imagens inde xadas paletas de cores pode ser necess rio usar diferentes vers es de paletas Este tipo de atitude muda as caracter s ticas estruturais da imagem de cobertura
21. mesmo gerar obs t culos consider veis realiza o da atividade empresarial Basta salientar o transtorno que o impedimento do empregado poderia causar Seu afas tamento por qualquer motivo poderia ensejar no m nimo a interrup o do curso normal do trabalho e a aus ncia de acesso a dados imprescind veis S o tamb m fundamentos para a determina o da licitude do mo nitoramento eletr nico as in meras hip teses legais de responsabiliza o do empregador pela conduta de seus prepostos Nesta seara menciona se o art 932 II do C digo Civil que atribui a responsabilidade objetiva do empregador por fato de tercei ro O tipo penal previsto no art 241 818 HI do Estatuto da Crian a e do 72 GE Adolescente quanto transmiss o de material envolvendo pedofilia por meio eletr nico O crime de viola o de di reitos autorais disposto no art 12 da Lei 9 609 98 tamb m pode ser mencionado A atribui o de crime conduta do empregado que viola segredo pro fissional art 154 do C digo Penal assim como o delito de concorr ncia desleal art 195 da Lei 9 279 96 da mesma forma incluem se no rol de le g timos fundamentos para o monitora mento eletr nico No entanto o moni toramento eletr nico pode esbarrar em garantias fundamentais do cidad o acarretando conflitos que passam a ser observados no Judici rio brasileiro Os argumentos formulados con trariamente ao monitoramento resi dem b
22. mico quanto legal uma vez que as ferramentas de interatividade na internet e no ambiente de trabalho se aperfei oam a cada dia n o sig nificando que inexista suficiente pro te o jur dica para tornar a captura destas informa es pelo empregador como meio de prova il cita a ser pro duzida em processos judiciais Imp e se que o poder diretivo do empregado no ambiente de tra balho permita que este se traduza no maior numero poss vel de logs que possam evidenciar todas os atos pra ticados pelos empregados a partir do momento que se conecta a infra es trutura tecnol gica da empresa O monitoramento ampara se em diversos fundamentos legais Primeiramente menciona se o poder de dire o atribu do ao em pregador art 2 da CLT visando o controle e direcionamento da ativida de desenvolvida pela empresa Esta diretriz adv m do pr prio direito de propriedade vinculando a determina o do uso e da frui o ao seu titular A influ ncia da propriedade n o se restringe quela supra menciona da Para a determina o de sua real abrang ncia insta distinguir as duas modalidades de correio eletr nico disponibilizadas em um ambiente de empresa O chamado e mail corporativo consiste no correio eletr nico forne cido pela empresa ao seu preposto H uma identifica o direta com a empresa devido ado o de nomen clatura do empregador o chamado dom nio na internet por exemplo fulano O empresab
23. nivel em http www serpro gov br noticiasSERPRO 200521406 Acesso 25 08 2006 SILVA J A da Curso de direito constitucional positivo 11 ed S o Paulo Malheiros 1996 SOUZA M c m de E mail net na rela o de emprego poder diretivo do empregador seguran a amp privacidade do empregado Kplus Dispon vel em http kplus cosmo com br materia asp co 46 amp rv Direito Acesso em 29 11 2006 2 Justa causa Email n o caracteriza se como correspond ncia pessoal O fato de ter sido enviado por computador da empresa n o lhe retira essa qualidade Mesmo que o objetivo da empresa seja a fiscaliza o dos servi os o poder diretivo cede ao um nico email enviado para fins particulares em hor rio de caf n o tipifica justa causa TRT SP n 2000034734 rel Fernando Ant nio Sampaio da Silva 74 GE Julho Dezembro de 2007 Aplica o de ontologias RESUMO em seguran a da informa o Mauricio B Almeida Doutor em Ci ncia da Informa o UFMG atualmente professor adjunto do departamento de Teoria e Gest o da Informa o da UFMG onde est integrado linha de pesquisa Gest o da Informa o e do Conhecimento Mant m pesquisas nas reas de Representa o do Conhecimento e Ontologias Sistemas de Informa o Mem ria Organizacional e Preserva o Digital Seguran a da informa o um assunto relevante em praticamente todas as organi za es Ao mesmo tempo em que sentem n
24. o P blica Federal enfatizando como crit rios al m da valida o cient fica a cla reza simplicidade objetividade e organicidade da informa o Em 2006 foi apresentado projeto no Congresso Nacional sobre as responsabilidades as sociadas produ o e comunica o de informa es sobre sa de em s tios e portais da internet Parece muito mas quando se trata de garantir a seguran a da informa o sobre sa de ainda mui to pouco A parte mais dif cil en tretanto ser feita a Nacional sobre as res mo quando buscar das fontes como portais da intemel proposto pelas ins Em 2006 foi apresenta do projeto no Congresso ponsabilidades associa informa es na in das pr odu o e comu ternet adotarcomo N Ca o de informa es norma a avalia o sobre sa de em s tios e titui es nacionais e internacionais n o confiar apenas nos discursos e n o esquecer os crit rios de seguran a De modo que a informa o na web represen te realmente a diminui o da incerteza para um dado usu rio e no caso da sa de propicie um cami nho para o conhecimento e a cura Isa Maria Freire Doutora em Ci ncia da Informa o L der do Grupo de Pesquisa Informa o e Inclus o Social do IBICT Instituto Brasileiro de Informa o em Ci ncia e Tecnologia www isafreire pro br LEVY P A intelig ncia coletiva por uma antropologia do ciberespa o 3ed S o Paulo Ed Loyola 2
25. o a este aspecto foge do n cleo do problema A privacidade consiste em ess ncia n o ao seu conte do em si Refere se ao poder atribu do ao seu titular de autodeterminar a exterioriza o do conte do que abrange o pr prio con ceito de privacidade O conceito co lacionado por Jos Afonso da Silva 1996 202 de precis o irrepar vel caracterizando a privacidade como o conjunto de informa o acerca do indiv duo que ele pode decidir man ter sob seu exclusivo controle ou co municar decidindo a quem quando onde e em que condi es sem a isso poder ser legalmente sujeito Nestes termos n o se cogita de viola o privacidade pelo simples fato de ocorrer o conhecimento de terceiro quanto a elemento intr nseco esfera ntima do indiv duo A ofen sa privacidade exige o cerceamento na faculdade do titular em determinar os destinat rios de tais informa es Esta no o aplicada proble m tica do monitoramento eletr ni co produz efeitos imediatos em sua resolu o Fixa se a premissa que o e mail corporativo como ferramen ta de trabalho que restringe se transmiss o de mensagens pertinen tes atividade laboral desenvolvida Admitido este pressuposto tem se que o monitoramento eletr nico le g timo pois seu objeto de incid ncia n o alcan a conte do da esfera pri vativa do empregado Assim o ambiente proporcio nado pelo e mail corporativo des provido
26. o e ao gerenciamento da infra estrutura de TIC Outro princ pio fundamental do Julho Dezembro de 2007 mais das pessoas do que de um m todo estabelecido 3 Definido O processo imple mentado realizado docu mentado e comunicado na organiza o 4 Gerenciado Existem m tricas de desempenho das atividades de modo que o processo implementado monitorado e constantemen te avaliado 5 Otimizado As pr ticas de mercado e auto melhores ma o s o utilizadas para a melhoria cont nua dos pro cessos envolvidos O resultado da auditoria da me todologia COBTT para a avalia o do n vel de maturidade ajuda a rea de TIC a identificar o n vel atual e como evoluir para melhorar os ITIL o fornecimento de qualidade de servi o aos clientes de TIC a custos justificaveis isto relacionar os cus tos dos servi os de tecnologia de for ma que se possa perceber como estes trazem valor estrat gico ao neg cio Por meio de processos padronizados de gerenciamento do ambiente de TIC poss vel obter uma rela o adequa da entre custos e n veis de servi os prestados pela rea de TIC O ITIL consiste em um con junto de melhores pr ticas que s o inter relacionadas para minimizar o custo ao mesmo tempo em que au menta a qualidade dos servi os de TIC entregues aos usu rios Como destacado na Figura 3 o ITIL or ganizado em cinco m dulos princi pais a saber A Perspectiva d
27. o fazem nada acontecer Depen de das pessoas de um trabalho de divulga o de conscientiza o A entidade mant m ainda iniciativas relacio nadas com a pesquisa em tecnologias existentes no mercado por meio de uma divis o de prospec o que procura novidades na rea de software esta mos sempre pesquisando procurando novas id ias que possamos adotar para melhorar cada vez mais um trabalho constante ia 49 Claudia Guerra Isa Maria Freire Devemos aprender a aplicar crit rios de qualidade nas informa es sobre sa de dispon veis na web uando a web se instalou em meados da d cada de 90 milh es de usu rios levaram suas inova es sociais para a rede e deram contribui o decisi va para a configura o e evolu o da internet espe cialmente na forma o de comunidades virtuais e no estabelecimento dos valores de uma cibercultura O cen rio do ciberespa o foi constru do a partir das tecnologias digitais de informa o e co munica o criadas no in cio dos anos 80 que com a web se tornaram um fen meno econ mico e cultu ral Com base na coopera o anarquista de milha res de centros informatizados no mundo a internet tornou se o s mbolo de uma ferramenta social indis pens vel no cotidiano profissional e pessoal nesse sentido que Manoel Castells fala da sociedade em rede e Pierre L vy anuncia que es tamos vivendo um momento hist rico raro em q
28. o ou conver s es digital anal gicas Em marcas d gua por outro lado o foco est na robustez N o existe comunica o ponto a ponto mas deseja se que a marca inserida em um dado seja recuperada de al gum modo depois da imagem circular por quaisquer canais t picos da apli ca o Por exemplo pode se marcar uma imagem que se deseja proteger contra c pias sem autoriza o Caso 108 KEA algu m a copie e utilize t cnicas de processamento de imagem para ten tar apagar a marca ainda assim deve ser poss vel decodificar a marca da imagem alterada Isso provaria quem o verdadeiro autor ou propriet rio da imagem A quest o da detec o n o t o importante apesar de que se o observador n o perceber a mar ca talvez nem tente remov la Um exemplo de aplica o opos ta seria marcar uma imagem para verificar se esta sofrer altera es Caso a imagem seja modificada de alguma forma a marca ser des tru da mostrando que o ato realmen te aconteceu A robustez ou a sua aus ncia define a aplica o da marca utilizada As marcas d gua robustas devem resistir a ataques e altera es na imagem As marcas fr geis devem ser destru das caso a imagem sofra altera es Atualmente existem estudos para proteger a esteganografia das imagem e n o pode ser visto a olho nu Al m disso imposs vel remo ver o n mero de inscri o embutido sem alterar a imagem em um modo vis vel Pa
29. os empregados come aram a solicitar informa es e capacita es Quando divul gamos o calend rio do ano empregados de cidades que n o est o contempladas reclamam N s priori zamos aquelas com maior n mero de empregados e em centros de f cil acesso para cidades pr ximas mas tentamos ir tamb m nas demais 4 GEE Os conte dos de palestras e treinamentos s o desenvolvidos pela pr pria equipe privile giando as imagens Percebemos que demonstrar a import ncia da seguran a da informa o para o empregado seja na Empresa ou na sua pr pria resid ncia era mais eficaz do que mostrar apenas a vis o da Empresa foi por onde come ou a mudar o comportamento A pol tica Para o lan amento da pol tica de seguran a da Empresa em 2005 a equipe manteve se fiel preocupa o em oferecer algo diferente n o po dia ser algo convencional tinha que ser diferente e agrad vel lembra Brasil O lan amento foi considerado pelos orga nizadores motivo de festa A pol tica estruturada em Diretrizes conte dos macro e Instru es de procedimentos corporativas e restritas rea de TI Seu objetivo regulamentar o processo e servir de orienta o e refer ncia para todos os usu rios da Empresa O lan amento foi realizado no audit rio da Cemig com exibi o de filme institucional A sur presa foi a palestra do ator e produtor art stico Harol do Costa que mostrou como uma escola de samba p
30. rios para as empresas aderirem ao certificado surpreendentemente de empregos de n vel gerencial Essa nova realidade est modificando profundamente econo mias mercados e estruturas setoriais os produtos e servi os e seu fluxo a segmenta o os valores e o comportamento dos consumidores o mercado de trabalho O impacto po r m pode ser ainda maior nas sociedades e nas pol ticas empresariais e acima de tudo na maneira como encara mos o mundo e a n s mesmos dentro dele As palavras do pai da administra o moderna Peter Drucker de Guydo Rossi 29 Dossi Dossi Dossi Dossi Dossi Dossi certa forma d o uma dimens o da realidade e das pers pectivas do com rcio eletr nico e de outras tantas opera es feitas pela internet No entanto os riscos n o podem ser desconsidera dos e os especialistas alertam para procedimentos simples que podem evitar conseqii ncias desastrosas Cristina Hoepers do CERT br adverte para o fato de que o perigo n o est associado utiliza o desses servi os em si mas sim falta de cuidados de seguran a com o pr prio com putador do usu rio Ou seja independente de qual servi o usado pela internet a seguran a da transa o vai depender da seguran a do computador do usu rio Ela afirma que os bancos e sites de com rcio ele tr nico atualmente j t m implementados diversos me canismos tecnol gicos para dificultar a fraude Mas
31. www nbso nic br docs cartilha gt Acesso em 06 dez 2007 S MOLA Marcos Gest o da seguran a da informa o uma vis o executiva Rio de Janeiro Elsevier 2003 156 p TE FILO lvaro Treinamento e conscientiza o fatores essenciais para o sucesso de uma pol tica de seguran a M dulo Security Magazine S o Paulo 15 out 2002 Dispon vel em lt http www modulo com br pt page_1 jsp page 3 amp catid 2 amp objid 304 amp pa gecounter 0 amp idiom 0 gt Acesso em 8 out 2007 prodemge A Chave da Tecnologia de Minas Gerais Comunic g ao Segura Relacionamento agil e seguro OP ES CONTATOS com governos clientes e Pessoas F sicas e Jur dicas 31 3339 1505 fornecedores pela internet Assinatura Digital cdigital prodemge gov br Menos burocracia mais efici ncia Sigilo criptografia Rua Gon alves Dias 201 nos processos e redu o de Pessoas Jur dicas Funcion rios CEP 30140 090 custos operacionais Servidores Web site seguro Belo Horizonte MG AUTORIDADE CERTIFICADORA GOVERNO pS prodemge Awe Julho Dezembro de 2007 Fonte 69 Divulga o i Alexandre Atheniense O monitoramento eletr nico e as rela es trabalhistas Advogado graduado pela UFMG com especializa o em Internet Law e Propriedade Intelectual Berkman Center Harvard Law School S cio do escrit rio Aristoteles Atheniense Advogados Presidente da Comiss o de Tecnologia da Informa o do Conselh
32. 4 n mero 6 da qual extra mos muita informa o e que nos agradou bastante pelo con te do claro e abrangente Gostari amos de ser inclu dos na sua lista de assinantes Francisco V Severino Sobrinho Departamento de Processamento de Dados Prefeitura Municipal de Par de Minas MG Sou formando do curso de Ci ncia da Computa o da Uni versidade Federal de Vi osa Estou fundando uma empresa para consultoria em automa o comercial e gest o de informa es Gostaria muito de assinar a revista pois os conte dos sempre atualizados e bem formulados seriam de grande ajuda para apli ca o na minha empresa al m de poder disponibiliz la para meus clientes e parceiros Fabr cio Passos Vi osa MG Sou jornalista e trabalho na Secretaria Municipal de Meio Ambiente da Prefeitura de Mon tes Claros Fazemos parte da Rede Brasileira de Fundos So cioambientais P blicos do Bra sil criada em junho de 2006 6 GEES Gostaria de receber exemplares da revista Fonte Esse material poder contribuir para o fortale cimento do Fundo nico de Meio Ambiente que faz parte da Rede citada acima www montesclaros mg gov br semma Andr a Fr es Projetos e Capta o de Recursos Fundo nico de Meio Ambiente FAMA Secretaria Municipal de Meio Ambiente Montes Claros MG Estou lendo a revista Fonte pela primeira vez e adorando o conte do dela bem atual e falan do de tecnologias que ainda n o s o
33. As organiza es precisam conduzir testes peri dicos e avaliar a efici ncia das po l ticas e procedimentos re lacionados com a seguran a da informa o 10 As organiza es precisam criar e executar um plano para remediar vulnerabili dades ou defici ncias que comprometam a seguran a da informa o 11 As organiza es precisam desenvolver e colocar em pr tica procedimentos de resposta a incidentes 12 As organiza es precisam estabelecer planos procedi mentos e testes para prover a continuidade das opera es 13 As organiza es precisam usar as melhores pr ticas re lacionadas com a seguran a computacional como a ISO 20000 antiga ISO 17799 para medir a performance da seguran a da informa o Tendo como base a estrutura de tomada de decis o em sistemas de informa o gerenciais os princ pios citados podem ser organizados em tr s n veis operacional t tico e estrat gico A organiza o nesses n veis ir permitir a evolu o de dados do n vel operacional em informa o do n vel t tico e posteriormente em conhecimento do n vel estrat gico que possa ser til aos gestores no planejamento estrat gico das organi za es Estruturado dessa forma o mo delo poder ser utilizado para prover conhecimento necess rio para moti var os administradores a patrocinar a utiliza o das melhores pr ticas de seguran a computacional em todos os n veis da organiza o
34. Corporate vital defense strategy a framework for information assurance In Proccedings of the 23rd National Information Systems Security Conference NIST National Institute of Standards and Technology 2000 Dispon vel em lt http csrc nist gov nissc 2000 proceedings papers 029 pdf gt Acesso em 9 jul 2003 SANS The Twenty Most Critical Internet Security Vulnerabilities Bethesda Maryland 2004 Disponivel em lt http _les sans org top20 pdf gt Acesso em 10 dez 2004 SCHNEIER B Secrets and Lies digital security in a networked world New York John Wiley amp Sons 2000 THIAGARAJAN V Information Security Management BS 7799 2 2002 Audit Check List Bethesda Maryland 2003 Dispon vel em lt http www sans org score checklists ISO_17799_checklist pdf gt Acesso em 3 ago 2004 VAN GREMBERGEN W DE HAES S GULDENTOPS E Structures processes and relational mechanisms for IT governance In VAN GREMBERGEN W Org Strategies for information technology governance Hershey PA Idea Group Inc Publishing 2004 p 1_36 WOOD C C Don t let the role of information security policies in the Arthur Andersen Enron case go without mention to your Chief Executive Officer Computer Fraud amp Security v 2002 n 5 p 11_13 May 2002 WOOD C C Information Security Policies Made Easy Version 9 Boston Baseline Software Press 2002 100 ERES Julho Dezembro de 2007 o 9 Fi 2 5 oo E
35. Dispon vel em http kidrocket org download php Acesso em 21 11 2007 Julho Dezembro de 2007 GETS 89 Browser e Kids Playground Web Browser Uma solu o com design voltado para o p blico infantil o navegador BuddyBrowser Trata se de uma solu o interessante e bas tante completa j direcionada para crian as um pouquinho mais velhas que inclui v rias outras ferramentas e funcionalidades mas este n o freeware Possui lista de sites con venientes s crian as o que viabiliza um controle efetivo das atividades da crian a e do pr adolescente na web direcionando os a realizarem conex es mais seguras Ressaltamos tamb m que alguns provedores de acesso internet no Brasil disponibilizam aos pais so lu es que permitem o controle das atividades on line dos filhos Estas solu es geralmente possuem custos mas s o bem pr ximos dos valores das solu es dispon veis na modali dade shareware V rias solu es licenciadas dispon veis na web agregam grande seguran a ao seu computador Estas ferramentas podem ser adquiridas atrav s da pr pria internet e alguns dos grandes fornecedores tais como Symantec Computer Associates Mcafee Panda Trend Micro entre outros disponibilizam vers es para avalia o de seus produtos Reco mendamos que voc experimente tais ferramentas antes de adqui ri las Assim ter certeza quanto satisfa o em rela o ferramenta adquirida sej
36. Gest o da Informa o e do Conhecimento 84 Protegendo os inocentes M rio Augusto Lafet Velloso analista de Sistemas na Prodemge consultor em seguran a da informa o e Paulo C sar Lopes analista de Suporte T cnico na Prodemge especialista em sistemas operacionais e redes 93 Governan a de TICs e Seguran a da Informa o Jo o Luiz Pereira Marciano doutor em Ci ncia da Informa o consultor de programas da TecSoft e Softex do Departamento de Pol cia Federal e da Organiza o das Na es Unidas 101 Esteganografia a arte das mensagens ocultas C lio Albuquerque professor do DCC UFMG Eduardo Pagani Julio professor da Universidade Salgado de Oliveira e da Faculdade Metodista Granbery Wagner Gaspar Brazil atua na rea de seguran a da informa o da Petrobras Fim de Papo Lu s Carlos Eiras Voc sabe com o qu est falando Uma publica o da q prodemge gt P g Companhia de Tecnologia da Informa o do Estado de Minas Gerais Ano 4 n 07 Julho Dezembro de 2007 dx Filiada Aberje Governador do Estado de Minas Gerais A cio Neves da Cunha Vice Governador do Estado de Minas Gerais Antonio Augusto Junho Anastasia Secret ria de Estado de Planejamento e Gest o Renata Maria Paes de Vilhena Diretora Presidente Isabel Pereira de Souza Vice Presidente C ssio Drummond de Paula Lemos Diretora de Gest o Empresarial Maria Celeste Cardoso Pires Diretor de Neg cios S rgio Aug
37. IEEE Transactions on Circuits and Systems I Fundamental Theory and Applications v 52 n 12 p 2739 2753 2005 20 JULIO E P BRAZIL W Albuquerque C Esteganografia e suas Aplica es Em Livro de Minicursos do SBSEG Rio de Janeiro Sociedade Brasileira de Computa o 2007 v VII p 54 102 21 WANG H WANG S Cyber warfare steganography vs steganalysis Commun ACM ACM Press New York NY USA v 47 n 10 p 76 82 2004 ISSN 0001 0782 Julho Dezembro de 2007 109 O lt A O TE Voc sabe com o qu est falando Lu s Carlos Silva Eiras luiscarloseiras gmail com m Jogos de guerra David Mathew Broderick um garoto que vai mal na escola Numa das muitas vezes em que chamado na diretoria depois de uma tima piada sobre reprodu o assexuada em sala de aula descobre a senha do sistema de notas Pencil est escrito num papel colado na mesa retr til da secret ria suficiente para que ele em casa entre no sistema e aumente sua nota e a de sua namorada Essas cenas resumem um dos problemas da segu ran a de qualquer sistema senhas bvias guardadas em lugares bvios Enfim n o adianta sofisticar o acesso nas m quinas e nos sistemas se a engenharia social eufe mismo para roubo de senhas tem sempre xito Quem num centro de um centro de processamento de dados n o ouviu algu m gritando fulano qual que mesmo a senha
38. Quais os riscos reais em compras eletr nicas e no uso de servi os banc rios pela internet Em e commerce s o ladr es roubando os da dos do seu cart o de cr dito e usando esses dados para comprar outros produtos e mercadorias Feliz mente nos Estados Unidos se algu m rouba o n me ro do seu cart o de cr dito voc n o respons vel pelo pagamento mas sim o comerciante Mas em al guns outros pa ses o dono do cart o assume o risco Felizmente na Am rica o banco assume o risco O internet banking pode ser arriscado se um fraudador conseguir seu nome de usu rio e senha da sua conta banc ria o que pode possibilitar que ele transfira di nheiro A responsabilidade da d vida depende da lei do pa s onde o cliente do banco reside Mas em al guns casos o consumidor pode ser o respons vel pelo preju zo isso realmente depende da lei do pa s o que pode ser bastante desastroso para um consumidor Planos de aposentadoria podem ser roubados Se um fraudador tem acesso carteira de investimento das pessoas e os propriet rios dessas contas ficarem com prometidos e o dinheiro desaparecer o consumidor que assumir o risco Isto bastante assustador Quais os erros mais comuns cometidos por em presas na implanta o de programas de seguran a Elas investem todo o dinheiro em tecnologia elas podem comprar produtos elas podem n o con figur los corretamente A maioria dos produtos de seguran a cria logs de
39. TI com uma divis o de seguran a da informa o Essa rea respons vel pela normatiza o e dissemina o das informa es Nas regionais em todo o Pa s tamb m existem divis es de TI Cada unidade conta com estrutu ra pr pria para supervis o geral da legisla o e implanta o Com quase dez anos de experi ncia com o tratamento e tr fego de informa es sigilosas Do nizette aponta o elemento humano como um dos fa tores mais importantes do processo ele considera a cultura organizacional para seguran a na Receita bastante s lida hoje Houve um trabalho intenso ao longo dos anos com foco na conscientiza o dos colaboradores com rela o aos cuidados com segu ran a explica Os funcion rios foram exaustivamente infor mados sobre o conceito e os riscos da engenharia social por meio de campanhas de conscientiza o e dissemina o e a publica o do Manual Institucio nal de Seguran a que contempla todos os aspectos relacionados ao tema como software engenharia social controles de acesso A Receita mant m ainda campanha permanente da intranet Hoje o n vel de consci ncia para TI bastante alto todos t m uma preocupa o muito grande com a seguran a um trabalho que n o acaba nunca n o se pode dar tr gua s o cartazes alertas palestras filmes um trabalho permanente Donizette ressalta que o mais importante o trabalho com as pessoas as normas por si s n
40. a determinar se tais siste mas ou produtos possuem os n veis desejados de seguran a e se os riscos advindos de seu uso s o toler veis Seu p blico alvo s o os desenvolve dores avaliadores e usu rios de sis temas e produtos de TI que requerem seguran a O padr o est dividido em tr s partes NIAP 20034 um padr o proposto para aquisi o e desenvolvimento de sistemas gover namentais e comerciais Ford 1994 Nos ltimos tempos tem sido substi tu do por outros padr es como CO BIT e Common Criteria quanto gest o de riscos TT Governance Institute 2000a e pr ticas de controle que indi ca quais controles e pr ticas s o necess rios para atingir os objetivos estabelecidos e linhas mestras de gest o com ferramentas para dar su porte aos gestores de TI IT Governance Institute 2000e e linhas mestras de auditoria que delineiam 34 objetivos da auditoria de TI com ativida des e um guia para a sua rea liza o Al m desses componentes pro v se ainda um guia r pido COBIT QuickStart para a ado o gradual e orientada dos elementos do COBIT IT Governance Institute 2000d e introdu o e modelo geral onde s o definidos os conceitos e princ pios seguidos pelo modelo al m de uma nomen clatura e uma diagrama o que se baseiam na orienta o a objetos espec ficas para a formula o de objetivos de seguran a selecionar e definir seus requisitos e o
41. a partir de princ pios da arquiv stica organizam se os documentos conforme sua origem registram se a tipo logia de documentos e seu ciclo de vida e elegem se os documentos vitais para as atividades corporativas Padroniza o dos documen tos a partir de princ pios da Organiza o Sistemas e M todos OSM os documentos s o padronizados formal mente e acrescentada uma folha de rosto a cada um na qual s o registrados dados como autor data de emiss o data de revis o autoriza o dentre outros Classifica o dos documen tos os membros dos setores s o orientados e treinados para classificar documentos conforme as classes defini das na ontologia assim que estes s o produzidos a clas sifica o feita na folha de rosto e pode ocorrer a partir de um sistema de informa o automatizado que a consulta ontologia seja um docu mento em formato digital ou em papel Com esses procedimentos apresentados de forma simplifi cada os documentos que corres pondem a uma grande parte da informa o registrada na organi za o s o classificados e relacio nados entre si A ontologia permite a inser o de atributos os quais podem apresentar caracter sticas especiais de um documento como por exemplo sua confidencialida de temporalidade dentre outros Al m de permitir a classifica o a ontologia pode armazenar ain da as inst ncias de tipos de do cumentos ou seja r
42. al Stego intrusion detection system AFRL ASU Assured Information Security Rome NY USA 2004 11 HIROHISA H Crocus a steganographic filesystem manager In ASIACCS 07 Proceedings of the 2nd ACM symposium on Information computer and communications security New York NY USA ACM Press 2007 p 344 346 ISBN 1 59593 574 6 12 POPA R An analysis of steganography techniques Disserta o Mestrado The Polytechnic University of Timisoara Timisoara Rom nia 1998 13 GONZALEZ R C WOODS R E Digital Image Processing 2nd ed Boston MA USA Prentice Hall 2002 14 SALOMON D Data Compression The Complete Reference Segunda edi o Nova Iorque Springer 2000 15 MARVEL L BONCELET C RETTER J Spread spectrum image steganography 1999 16 ROCHA A de R Randomiza o Progressiva para Estegan lise Disserta o Mestrado Universidade Estadual de Campinas Campinas Brasil 2006 17 WESTFELD A PFITZMANN A Attacks on steganographic systems In IH 99 Proceedings of the Third International Workshop on Information Hiding London UK Springer Verlag 2000 p 61 76 ISBN 3 540 67182 X 18 PROVOS N HONEYMAN P Hide and seek An introduction to steganography IEEE Security and Privacy IEEE Educational Activities Department Piscataway NJ USA v 1 n 3 p 32 44 2003 ISSN 1540 7993 19 FILHO de L et al Electrocardiographic signal compression using multiscale recurrent patterns
43. amp Ross 2004 Atvidade fim Externo lt Interno lt Presente A governan a envolve direcio namento de TIC e controle da gest o verifica o do retorno do investimen to e do controle dos riscos an lise do desempenho e das mudan as na TIC e alinhamento com as demandas fu turas da atividade fim foco interno e com a atividade fim de seus clien tes foco externo Essa abrang ncia ilustrada na Figura 1 A gest o preocupa se com o planejamento a organiza o a implementa o a implanta o e a manuten o da in fra estrutura de TIC e com o geren ciamento dos processos com foco no suporte e no fornecimento dos servi os Van Grembergen 2003 Para alcan ar a governan a da tec nologia da informa o e comunica o as organiza es utilizam modelos que definem as melhores pr ticas para a gest o de TIC Entre esses modelos os de maior aceita o s o o COBIT ITGI 2000 e ITIL OGC 2000 Tempo Futuro Figura 1 Abrang ncia da governan a e da gest o de TI Van Grembergen 2003 2 Necessidade de Governan a da Seguran a da Informa o Seja de forma sist mica e pr tica ou de forma cient fica o gestor deve sempre buscar a melhor das alternativas para suas decis es De forma sist mica o gestor usa a expe ri ncia acumulada e as observa es do ambiente para fazer seu cen rio decis rio ou modelo decis rio poss vel considerar q
44. auditoria A n o ser que algo suspeito ocorra ningu m analisa logs para identi ficar incidentes de seguran a Em outras palavras as empresas apenas compram tecnologia e esperam que esta gerencie a seguran a por si s Mas o de partamento de TI precisa realmente gerenciar a tec nologia E eles n o fazem isso corretamente Que recomenda es o senhor daria a esses empres rios Para levar seguran a a s rio e n o apenas fo car em tecnologia unicamente atente ao seu quadro de funcion rios Treine seu pessoal sobre a amea a seguran a que pode afet los como a engenharia social Desenvolva processos de seguran a com um ciclo de vida ent o voc estar constantemente re vendo os requisitos de sua seguran a mudando os sempre que preciso e adquirindo tecnologia eficaz para reduzir o risco espec fico ao seu ambiente Mais informa es sobre Kevin Mitnick em www mitnicksecurity com Julho Dezembro de 2007 GEE 25 Mercado e tend ncias O desenvolvimento da ind stria de seguran a em todo o mundo tem acompanhado as necessidades dessa nova realidade N o que a internet tenha trazido novi dades de risco explica Marcelo Bezerra da IBM Na verdade o crime vai onde h oportunidades de ganhos H alguns anos as pessoas ficavam vontade para andar com quantias enormes de dinheiro nos bolsos Muitas foram v timas de assalto ou do velho golpe do bilhete premiado Com a imposi o de mudan a n
45. cio da organiza o ENTRUST 2004 A forma proposta para se con seguir isso utilizar um modelo de governan a da seguran a da informa o como parte do controle interno e pol ticas que fa am parte da gover nan a corporativa Considerando se esse modelo seguran a computa cional deixaria de ser tratada apenas como uma quest o t cnica passando a ser um desafio administrativo e es trat gico Um modelo de governan a da seguran a da informa o dever considerar as observa es apresen tadas anteriormente e apresentar se fortemente acoplado ao modelo de governan a de TIC detalhando e ampliando seu escopo de atua o na rea de interse o com a seguran a computacional 5 Requisitos para um Modelo de Governan a da Seguran a da Informa o Uma vez que as organiza es pos suem necessidades distintas elas ir o apresentar abordagens diversas para tratar as quest es relacionadas com a seguran a da informa o Dessa for ma um conjunto principal de requi sitos deve ser definido para guiar os mais diversos esfor os Identificados esses requisitos deve se correlacio n los em um modelo de governan a da seguran a da informa o Um modelo de governan a da seguran a da informa o poder ser desenvolvido tendo em mente os se guintes requisitos 1 Os Chief Executive Officers CEOs precisam ter um mecanismo para conduzir uma avalia o peri dica sobre seguran a da infor ma o
46. com o objetivo de es tabelecer as a es para garantir a continuidade dos processos vitais de neg cio identificados no PDS das tr s organiza es em caso de desastre nos ativos de TI que su portam esses processos A primeira etapa do trabalho foi a realiza o de uma an lise de Impacto ao Neg cio tamb m conhecida por Business Impact Analysis BIA que procurou or denar os processos de neg cio de acordo com a sua criticidade e re quisitos de continuidade A partir do BIA foi elaborada a estrat gia de recupera o e os planos Gest o da Continuidade Administra o de Crises Recupera o do Desastre Valida o e Testes para serem im plementados 3 2 fase Implanta o do Plano Corporativo de Seguran a da Informa o na Seplag 2006 2007 A 2 fase do Plano Corporativo de Seguran a da Informa o con templou as atividades de Implemen ta o e Opera o do SGSI Do e Monitoramento e an lise cr tica do SGSI Check que representam res pectivamente a segunda e a tercei ra etapas na implementa o de um Modelo PDCA aplicado aos proces sos do SGSI conforme explicitado pela norma ABNT NBR ISO IEC 27001 2006 A segunda etapa possui o objetivo de implementar e ope rar a pol tica controles processos e procedimentos do SGSP ASSO CIA O BRASILEIRA DE NOR MAS T CNICAS 2006 p vi J a terceira etapa do ciclo PDCA tem o intuito de Avaliar e quando aplic ve
47. com o plano estrat gico da organiza o Ao descrever o cen rio atual para o gerenciamento de seguran a computacional muitas fontes na li teratura apontam a necessidade e a 4 GE import ncia de alcan ar um mode lo de governan a da seguran a da informa o que possa ser utilizado pelas organiza es de modo que a seguran a computacional n o seja tratada apenas no mbito tecnol gico mas reconhecida como parte integrante do planejamento estrat gico das organiza es no processo de tomada de decis o O The Institute of Internal Auditors IIA publicou um trabalho onde destaca que uma vez que os diretores s o responsaveis pelos bons resultados e pela continuidade da organiza o que governam eles precisam aprender a identificar atualmente as quest es corretas sobre seguran a computacional e ainda conside r las como parte de sua responsa bilidade ITA 2001 Atualmente as responsabilida des acerca da seguran a computacio nal s o freqiientemente delegadas ao gerente de seguran a Chief Security Officer das organiza es gerando Julho Dezembro de 2007 conflitos em rela o ao or amento destinado a essa rea e necessidade de impor medidas que v o al m de seu escopo de atua o Dessa forma muito comum observar um cen rio em que as quest es de seguran a computacional n o s o tratadas em um n vel de gest o da organi za o tendo como conseq
48. comunica o de cobertura No mundo digital atual h grande quantidade de udio e v deo circulando principalmente pela internet Quando informa es s o escondidas dentro de um v deo normalmente usado o m todo da DCT Sendo assim esteganografia em v deo muito similar esteganografia em imagens exce to pelo fato de que as informa es 4 T cnicas de estegan lise Grande parte das t cnicas de esteganografia possui falhas ou inse re padr es que podem ser detectados Algumas vezes basta um agressor fa zer um exame mais detalhado desses padr es gerados para descobrir que h mensagens escondidas Outras ve zes o processo de mascaramento de informa es mais robusto e as ten tativas de detectar ou mesmo recupe rar ilicitamente as mensagens podem ser frustradas A pesquisa de m todos para descobrir se h alguma mensa gem escondida por esteganografia chamada estegan lise Recuperar os dados escondidos est al m da capacidade da maioria dos testes atuais uma vez que muitos algoritmos de mascaramento utilizam geradores aleat rios muito seguros para esconder a informa o durante o processo de mascaramento Muitas vezes os bits s o espalhados pelo objeto de cobertura Dessa forma os melhores algoritmos de estegan lise podem n o ser capazes de dizer onde est a informa o mas devem dizer se h dados escondidos Existem diversas abordagens para detectar a presen a de conte do
49. da informa o e comunica o e seus refle xos nos h bitos e formas de relacionamento entre as pessoas com foco nas crian as e adolescentes Identifica os principais riscos a que est o expostos na internet e prop e recursos auxiliares e pr ticas usuais que visam a colaborar no processo de monitoramento e acompanhamento desses usu rios da rede mundial de computadores O aspecto da educa o de crian as e adolescentes enfatizado como o mais eficaz instrumento para preserva o da seguran a e privacidade Este artigo n o tem a pretens o de esgotar a quest o mas de contribuir para que os jovens se tornem usu rios conscientes das vantagens e dos riscos da internet 84 GERE Julho Dezembro de 2007 Introdu o J foi o tempo em que os pais apenas limitavam se a orientar seus filhos sobre os perigos de aceitarem presentes de pessoas estranhas de conversarem com quem n o se co nhece de esquecer o port o ou a porta aberta ou de entrar em lojas ou bares no caminho de casa Mui tas destas recomenda es est o entrando em desuso e algumas j podem ser consideradas at mesmo desnecess rias Grande parte das crian as e muitos adolescentes n o podem mais brincar nas ruas cami nhar para ir padaria do bairro ou retornar da escola sozinhos Hoje para a maioria das fam lias com al gumas posses a inf ncia deve ser protegida por quatro paredes por Contextualizando A internet essa rede que interli ga
50. daquele pa s sendo criados por rg os governamentais como o dos s o publicados e disponibilizados ao p blico Como exemplo cite se o texto de Bass 1998 o qual apresen ta um modelo de pol tica de seguran a que abrange aspectos gerenciais de opera o e de implementa o Por sua vez King 2000 discorre sobre algumas das chamadas melhores constituem uma refer ncia global para o acompanhamento de vulne rabilidades amea as e incidentes no mbito da internet Al m disso o CERT realiza estudos e desenvolve instrumentos e metodologias como informa o o SANS Institute pu blicou e tornou dispon veis na in ternet diversos modelos templates de pequenas normas de seguran a voltadas para correio eletr nico uso de computadores controle de aces so e muitas outras Al m disso sua lista das 20 principais vulnerabilida des dos sistemas Windows e Unix General Accounting Office GAO GAO 1998 com o objetivo de embasar ou atender sua legisla o Em outras situa es organis mos de alcance global prop em e discutem modelos de normas e procedimentos a serem aplicados a todo o contexto da internet Neste mbito destacam se dentre v rias organiza es o NIST o CERT e o SANS Institute pr ticas da SI ou seja estrat gias heur sticas que se baseiam em casos reais n o necessariamente corrobo radas pela teoria Por fim Raggad 2000 prop e uma estrat gia de d
51. de m quinas Com quem ou com o qu voc estar falando Mas ele j n o teria sido identificado na Terra quando embarcou Ah a burocracia espacial Uma lista de 50 filmes que utilizam biometria para identifica o pode ser encontrada em http www1 folha uol com br folha informatica 9 Nesta hist ria de captcha poss vel deparar com humor involunt rio O texto na Wikip dia em portugu s sobre o assunto est escrito numa l ngua muito estranha http pt wikipedia org wiki CAPTCHA 110 GE Julho Dezembro de 2007 H 40 anos a Prodemge desenvolve solu es tecnol gicas que auxiliam o Estado a prestar servi os popula o com mais transpar ncia agilidade e modernidade AOANOS conectando Min Planejamento Finan as Seguran a Tr nsito Justi a Sa de Agricultura Educa o Cultura Turismo Meio Ambiente A o Social Desenvolvimento Econ mico pS prodemge www prodemge gov br o m z a 2 COM O SHERLOCK TI E NEG CIO SE CONECTAM EM TEMPO REAL O Sherlock uma su te de produtos e servi os que apresenta uma vis o multidimen sional do ambiente de Tecnologia da Informa o e sua interfer ncia nos neg cios da empresa Al m disso gerencia o desempenho da infra estrutura de TI e das aplica es que suportam as reas produtivas contribuindo para a sa de do processo empresarial SHERLOCK A MAIS COMPLETA VIS O DO AMBIENTE DA REDE E APLICA E
52. de normas organizadas pelo ISO como ISO 27000 ISO 2000 O conjunto de normas ISO 27000 que substituiu a norma 17799 2005 define 127 objetivos de controle que poder o ser utilizados para indicar o que deve ser abordado no modelo de governan a da seguran a da infor ma o a ser adotado na organiza o enfocando o processo sob o ponto de vista do neg cio da empresa A norma trata dentre outros dos seguintes as pectos Pol tica de Seguran a Plano de Continuidade do Neg cio Organi za o da Seguran a Seguran a F sica e Ambiental Controle de Acesso e Legisla o Essa norma considera a informa o como um patrim nio que como qualquer importante patrim nio da organiza o tem um valor e conse quentemente precisa ser adequada mente protegido A conformidade dos processos corporativos com a norma ISO 27001 pode ser utilizada pelas empresas para demonstrar aos seus Desenvolvido e difundido pelo Information System Audit and Control ISACA e pelo IT Governance Institute a partir da terceira edi o do modelo o COBIT um modelo considerado por muitos a base da governan a tecnol gica O COBIT funciona como uma entidade de padroniza o e estabelece m to dos formalizados para guiar a rea de parceiros de neg cio e clientes o seu comprometimento com as informa es por ela manipuladas em rela o aos seguintes conceitos b sicos da se guran a da informa o e Confidencialid
53. de seguran a como por exemplo a biometria Se gundo ele nos relacionamentos externos com os contribuintes a certifica o digital tem atendido de forma satisfat ria Para suportar o volume de informa es de forma segura a rea de TI adota um conjunto de ferramentas bastante avan adas de seguran a de transmiss o e de recep o algo sempre em evolu o O Receitanet por exemplo tem sempre novas vers es Donizette afirma que essas prote es garantem de fato a integridade das informa es a prote o e as garantias s o muito grandes N o temos ocorr ncias dignas de nota Outro investimento importante para a disponibilidade dos servi os especialmente em infra estrutura nos per odos de pico nossa es trutura bastante escal vel nossos servidores priorizam aplica es para n o haver impacto H esquema de dedica o quase exclusiva na poca de pico Nunca houve problema de congestiona mento pode haver problemas fora da Receita garante O coordenador adverte para a necessidade de obter equil brio entre os custos e os benef cios des sas inova es seguran a da informa o algo em que se tem que pesar tamb m o custo buscando naturalmente o n vel m ximo de seguran a dispo nibilidade e facilidade de uso Julho Dezembro de 2007 Estrutura O gerenciamento das a es de seguran a da Receita est centralizado em Bras lia onde atua a coordena o de
54. descritos no modelo ITIL neste trabalho identificou se que os m dulos de Suporte a Servi os e Entrega de Servi os do mode lo ITIL n o est o estruturados para implementar todos os objetivos de controle apresentados para o n vel operacional e t tico Para que o modelo ITIL seja ca paz de implementar todos os obje tivos de controle apresentados pela norma ISO 27002 e pelo modelo COBTT para os n veis operacional e t tico este trabalho prop s no Cap tu lo 6 uma expans o de seus processos A combina o do modelo COBIT com a norma ISO 27002 e o mode lo ITIL permitir a utiliza o das potencialidades de cada uma dessas Julho Dezembro de 2007 a propostas para o desenvolvimen identificar o qu quem como e que alcance da governan a da seguran a to de um modelo nico que facilite recursos tecnol gicos utilizar para o da informa o Refer ncias ABNT 2001 ABNT Tecnologia da informa o C digo de pr tica para a gest o da seguran a da Informa o NBR ISO IEC 17799 30 09 2001 Atualmente substitu da pela ISO 27002 BSA 2003 BUSINESS SOFTWARE ALLIANCE Information Security Governance Toward a Framework for Action Dispon vel on line em http www bsa org Visitado em 12 12 2004 CARUSO 2003 CARUSO J B Information Technology Security Governance Strategy and Practice in Higher Education EDUCASE Center for Applied Research September 2003 Dispon vel on line em ht
55. desempe nhada pela alta ger ncia para ga rantir que tais tecnologias suportem adequadamente o neg cio em toda a sua extens o interna corpore e no relacionamento com os parceiros aqui entendidos como aqueles que se relacionam com a organiza o ao longo da sua cadeia produtiva Torna se ent o essencial a cons tru o de um mapeamento adequado entre os objetivos organizacionais e os objetivos das TICs Este alinhamento estrat gico entre a governan a orga nizacional e a governan a das TICs o qual se mostra em diferentes est gios de maturidade apresenta via de regra profundo impacto sobre as ati vidades da organiza o Desse modo a governan a das TICs assume papel essencial agora n o mais restrito ao subconjunto tecnol gico mas expan dido ao pr prio locus da organiza o em sua rede de relacionamentos Diversas abordagens podem ser aplicadas modelagem do mapea mento entre os dois tipos de gover nan a Peterson 2004 baseiam se no estabelecimento de prioridades e objetivos na obedi ncia a determi na es legais e governamentais nos pontos de vista dos principais agen tes da cadeia de valor etc Por m a t tulo de marco inicial deve se observar que existe um aspecto da governan a das TICs que tamb m se insere firmemente no ambiente organizacional a seguran a da in forma o que percorre idealmente todos os meandros da vida da orga niza o e que se utiliza de ferramen
56. distri bu da de conhecimento consensual da teoria das ontologias nenhum sis tema tecnol gico de seguran a pode r ser considerado eficiente a partir de uma abordagem sist mica ARA JO L A D A correspond ncia eletr nica do empregado e o poder diretivo do empregador In Revista de direito constitucional ALMEIDA M B BAX M P Uma vis o geral sobre ontologias pesquisa sobre defini es tipos aplica es m todos de avalia o e de constru o Ci ncia da Informa o v 26 n 1 p 39 45 set dez 2003 BAKER W Information security volume I 2004 Available from Internet lt http csrc nist gov publications nistpubs 800 60 SP800 60V 1 final pdf gt Access 02 May 2006 CIAO Critical Infrastructure Assurance Office Practices for Securing Critical Information Assets 2000 Available from Internet lt http www infragard net library pdfs securing_critical_assets pdf gt Access 02 Dec 2007 ECCLES R G NOHRIA N Assumindo a responsabilidade redescobrindo a ess ncia da administra o Rio de Janeiro Campus 1994 287p EKELHART A et al Ontological Mapping of common criteria s security assurance requirements INTERNATIONAL INFORMATION SECURITY INFORMATION 2007 Sandton Proccedings Springer s n 2007 EKELHART A et al Security ontology simulating threats to corporate assets 2006 Available from Internet lt http www springerlink com index w530v5081301j833 pdf gt Access 30 J
57. e sob a ti ca dos neg cios possuir mecanis o mos eficazes de Ma o justamente e5 gest o de riscos da tar apto a ousar a inovar informa o jus dentro do n vel de risco tamente estar apto considerado aceit vel Na pr tica e sob a tica mecanismos eficazes de gest o de riscos da infor a ousar a inovar dentro do n vel de risco considerado aceit vel E estar mais confiante ao impor velocidades maiores ao neg cio ao diver sificar e oferecer ferramentas e m todos novos de trabalho que finalmente suportem o prop sito es sencial de gerar valor Marcos S mola Diretor de Opera es de Information Risk da Atos Origin em Londres CISM BS7799 Lead Auditor PCI Qualified Security Assessor Membro fundador do Institute of Information Security Professionals of London MBA em Tecnologia Aplicada professor da FGV com especializa o em Negocia o e Estrat gia pela London School bacharel em Ci ncias da Computa o autor de livros sobre gest o da seguran a da informa o e intelig ncia competitiva Visite www semola com br ou contate marcos semola com br Julho Dezembro de 2007 GE 35 Divulga o Luis Gustavo Gasparini Kiatake rea de sa de est vivendo um momento hist rico O Conselho Federal de Medicina CFM acaba de publicar uma resolu o que aprova o uso de documentos eletr nicos permitindo a elimina o do papel Essa a o deve ser um gra
58. es afeitas sua seguran a tais como nega es de servi o frau des roubos tentativas de invas o corrup o e outras atividades hos tis Schneier 2000 Wood 2002a Bosworth Kabay 2002 Em resposta a estas hostilida des a seguran a da informa o em seu sentido mais abrangente envol ve requisitos voltados garantia de origem uso e tr nsito da informa o buscando certificar todas as etapas do seu ciclo de vida Estes requisitos po dem ser resumidos na forma dos tr s primeiros itens a seguir ISO 2006 aos quais algumas abordagens agre gam ainda os dois ltimos Krutz Vines 2002 Krause Tipton 1999 Confidencialidade garantia de que a informa o acess vel somen te por pessoas autorizadas a realiza rem tal acesso Jonsson 1998 Integridade garantia de n o viola o da informa o e dos m to dos de seu processamento Disponibilidade garantia de que os usu rios devidamente auto rizados obtenham acesso informa o e aos recursos computacionais correspondentes sempre que neces s rio Autenticidade garantia de que a informa o de fato origin ria da proced ncia alegada 1 comum confundir se integridade com corretude mas um exemplo banal ilustra a distin o entre ambas imagine se uma mensagem cujo conte do original seja 2 2 5 caso ao ser transmitida tal mensagem chegue ao seu destino com esta mesma disposi o ela se mostra ntegra por m
59. informa es ou participarem de atividades na internet ensin las a contornar adequadamente qualquer situa o desconfort vel que ocor ra enquanto elas estiverem on line orient las sobre como proteger sua privacidade diante dessa inovadora ferramenta de comunica o Ou seja o primeiro passo a ser dado deve ser a defini o clara e objetiva das regras b sicas para o uso adequado e segu ro de todo o potencial oferecido pela internet sempre tendo o bom senso como pano de fundo no estabele cimento de tais regras Os passos se guintes seriam o monitoramento do hist rico dos endere os de sites visi tados bem como a lista de favoritos ou bookmarks o uso de softwares de monitora o autom tica de navega o bem como softwares de bloqueio de conte do o uso de softwares que impedem a instala o de v rus de computador de programas que es pionam e roubam dados sigilosos e pessoais ou que representem outros tipos de amea as cibern ticas timo agora demos alguns pas sos na dire o da navega o segura das nossas crian as mas e quanto aos computadores das escolas das biblio tecas das lan houses ou de qualquer outro lugar que estas crian as podem usar para acessar a internet o que fa zer Como implementar as sugest es pessoas t m como pr requisito a intera o de um usu rio nossos fi lhos por exemplo com um terceiro com m s inten es J as amea as que propusem
60. intelectual so bre algum tipo de m dia eletr nica ou n o Estes sistemas de marca o s o conhecidos tamb m como wa termarking marca d gua Apesar de aparecer quase sempre em con junto com a esteganografia os sis temas de marca o n o pertencem a esse ramo Ambos fazem parte de uma rea de pesquisa conhecida como ocultamento da informa o ou information hiding O sistema de marca o tipo marca d gua refere se a m todos que escondem informa es em ob jetos que s o robustos e resistentes a modifica es Nesse sentido se ria imposs vel remover uma marca d gua de um objeto sem alterar a sua qualidade visual Por outro lado a esteganografia prop e se a esconder uma informa o em uma imagem de cobertura Se a imagem for destru da ou afetada a mensa gem perdida Uma outra dife ren a clara entre esteganografia e t cnicas de marca d gua que enquanto o dado embutido da esteganografia nunca deve ficar aparente a marca d gua pode ou n o aparecer no objeto marcado dependendo da aplica o que se queira atender Nesse sentido podem se classi ficar os sistemas de marca o segundo sua robustez e sua apar ncia Quanto robustez podem ser classificados como robustos ou fr geis J quanto apar ncia os sistemas de marca o podem ser classificados como de marca o impercept vel ou de mar ca o vis vel Julho Dezembro de 2007 2 Aspectos hist ricos A
61. leis FONTE No mundo real onde h leis consoli dadas estamos assistindo a preval ncia da impunidade em in meros casos O que os cidad os podem esperar da A educa o no uso tico legal e seguro da tecnologia o maior desafio do Direito mais que criar outras leis ciedade que tais funcionalidades sejam disponibilizadas para os cidad os A quest o da privacidade na sociedade digital en volve sim a participa o conjunta de usu rios e empre sas para uso de bancos de dados Em termos de leis j temos a prote o da Constitui o Federal e do C digo de Defesa do Consumidor onde fica claro que cabe s partes regular a quest o em contrato O que n o pode haver o usu rio querer usufruir de servi os gratuitos em que a empresa deixa claro no termo de uso que os dados desse usu rio s o objeto da contrata o gratuita e depois este n o querer que seus dados sejam usados Na era da infor ma o os dados tornaram se a moeda e muitos servi os que se dizem gratuitos na verdade cobram pelos dados do usu rio esta a troca importante estar transparen te esta quest o e haver fun cionalidades que permitam atender lei j existente para retifica o de uma informa o para saber que informa o a empresa possui do usu rio para pedir a retirada de um conte do que fira direito resposta jur dica em ambien tes digitais fundamental denunciar por ser um
62. lt http www sse cmm org gt Access 02 Dec 2007 ISO IEC 15408 1 Internacional Standard Information Technology Security Techniques Evaluation Criteria for IT Security part 1 2005 Available from Internet lt http www iso org iso iso_catalogue catalogue_tc catalogue_detail htm csnumber 40612 gt Access 21 April 2006 ISOMEC 27001 International Standard Information Technology Security Techniques information security management systems requirements 2005 Available from Internet lt http www iso org iso iso catalogue catalogue tc catalogue detail htm csnumber 42103 gt Access 21 April 2006 ISOO The Information Security Oversight Office Marking classified national security information 2003 Avalaible from Internet lt http www archives gov isoo training marking booklet pdf gt Access 12 Jan 2006 KRAUSE M TIPTON H F Handbook of Information Security Management 3 ed 1997 Boca Raton Auerbach 729 p KRAUSS L I SAFE security audit and field evaluation for computer facilities and information systems New York Amacom 1980 336 p LEVINE D E Auditing Computer Security In HUTT A E et al Ed Computer Security Handbook 3 ed New York Wiley 1995 LII Legal Information Institute of Cornell University U S Code collection 3452 Definitions 2005 Available from Internet lt http www law cornell edu uscode html uscode44 usc sec 44 00003542 000 html gt Access 8
63. m quina atualizada e ter um cuidado es pecial com as ferramentas de comunica o e mail MSN e navegador e atender notifica es de atualiza o Ter um firewall pessoal para evitar conex es in desejadas sua m quina Se a pessoa n o tem firewall pessoal fica muito vulner vel Para usu rios de laptops e acessos sem fio cuidado especial at mesmo dentro de casa se tiver um access point ele j tem um firewall pessoal ativado mas o usu rio tem que estar atento Pessoas que usam softwares para e mail im portante usar um bloqueador de spam Tanto phishing quanto outros problemas s o distribu dos por spam O Julho Dezembro de 2007 Dossi Dossi Dossi Dossi Dossi Dossi especialista recomenda o uso de webmail como Hotmail ou Yahoo que j t m um bom filtro para spam Nesse caso o usu rio se beneficia do conhecimento de outras pessoas pode aproveitar desse conhecimento coletivo Pode tamb m instalar pacotes spyware alguns v m com essas ferramentas para spam firewall antiv rus Ronaldo enfatiza o cuidado nas comunica es com os relacionamentos feitos no Orkut e outras co munidades de redes sociais cuidado com o que re cebe Quem ataca sabe o que popular o que agrada Para ataques em massa essas pessoas mal intenciona das v o usar algo popular e hoje o Orkut importante na vida de muita gente Aten o portanto usu rios de redes sociais mais populares ban
64. monitoramento eletr nico dessa forma uma abrang ncia dila tada de usu rios devido sua maior acessibilidade Nesse diapas o o implemento da tecnologia adentrou se n o somente nas linhas de produ o mas tam b m em todos os setores da empresa Esta incorpora o deu se de forma irrevers vel ao ponto de se constatar a depend ncia de atividades estrita mente secund rias da empresa aos meios de inform tica e tecnologia da informa o em geral O correio eletr nico especifica mente exerce papel imprescind vel nesse cen rio delineado A comuni ca o veloz e eficaz que ele propicia permitindo inclusive a incorpora o de diversos documentos digitaliza dos enseja benef cios imediatos e um prisma de possibilidades que n o podem ser desprezados Salienta se ainda o baixo custo e o alcance que tal meio de comunica o se reveste acarretando a ades o em massa em todo o ambiente empresarial Julho Dezembro de 2007 A tecnologia como um todo apta a fornecer in meras comodidades mas n o se pode ignorar que seu uso inadequado pode gerar danos de am plitudes consider veis No que tange s tecnologias da informa o desvios de finalidade podem ser facilmente constatados no mbito das rela es de trabalho tanto no p lo do emprega dor quanto no do empregado Sob a tica do trabalhador o meio de comunica o eletr nico pode ensejar a transmiss o de dados sigilosos a compe
65. natureza ou combina o de entradas e sa das marcas d agua privadas tam b m chamadas n o cegas esse sistema requer a marca d gua original Dentro desse esquema existem dois tipos No primeiro necess rio o arquivo original para achar pistas de Outra aplica o o Revelation que esconde arquivos em imagens de co bertura no formato bitmap de 24bits Por ser escritas em Java estas ferra mentas s o altamente port veis As ferramentas Hide and Seek e Jphide and Seek s o capazes de in serir uma lista de arquivos em uma imagem no formato JPEG O Jphide and Seek utiliza criptografia de cha ve sim trica e o usu rio obrigado a fornecer uma pass phrase interes sante notar que o aplicativo analisa a imagem de cobertura e diz qual o tamanho m ximo que o arquivo de entrada deve ter para que o processo seja seguro O Outguess prop e se a me lhorar o passo da codifica o da onde se localiza a marca dentro do arquivo marcado O sistema do segundo tipo necessita das mesmas informa es do ante rior mas somente tenta respon der se o arquivo cont m a marca d gua Espera se que este sis tema seja mais robusto j que transporta pouca informa o e requer acesso a dados secretos e marcas d gua semiprivadas ou semicegas diferente do anterior n o utiliza o arquivo original na extra o Algumas aplica es onde poderia ser utilizado esse esquema seriam para provar a prop
66. nectividade de 205 d Evolu o do ndice de se guran a m dio em pessoas de 17 Minas Gerais principalmente a pu blica o de uma Pol tica Corporativa de Seguran a da Informa o e a con solida o de um Modelo de Gest o de Seguran a da Informa o para o futuro Centro Administrativo do Go verno do Estado previsto para o in cio de 2010 que concentrar todas as Secretarias de Estado e outros rg os da Administra o Direta e Indireta Embora os desafios sejam gran des a breve descri o neste artigo mostra 0 compromisso e a responsa bilidade do Governo de Minas Ge rais com a gest o p blica fato que o referencia como modelo de gerencia mento de pol ticas p blicas em todo o Brasil 6 Informa es adicionais sobre a implanta o do Centro Administrativo do Governo do Estado de Minas Gerais podem ser obtidas por meio do site www codemig com br 68 Fonte Julho Dezembro de 2007 a Refer ncias ARA JO L A D A correspond ncia eletr nica do empregado e o poder diretivo do empregador In Revista de direito constitucional ASSOCIA O BRASILEIRA DE NORMAS T CNICAS ABNT NBR ISO IEC 27 002 2005 Tecnologia da informa o T c nicas de seguran a C digo de pr tica para a gest o da seguran a da informa o Rio de Janeiro 2005 120 p ABNT NBR ISO IEC 27001 2006 Tecnologia da informa o T cnicas de seguran a Sistemas de gest o de seguran a da i
67. neste in cio de s culo um sta tus que em muitos casos se equipara ao tradicionalmente atribu do s suas reas mais estrat gicas O uso crescente das redes principalmente da internet agre Guydo Rossi gou se gest o das empresas e trouxe aos usu rios de forma geral uma nova preocupa o que se relaciona com a pri vacidade seguran a e continuidade dos neg cios Ao analisar a Sociedade em Rede Manuel Castells conclui que a nova eco nomia esta organizada em torno de re des globais de capital gerenciamento e informa o cujo acesso ao know how important ssimo para a produtividade e competitividade Empresas comerciais e cada vez mais organiza es e institui es s o estabelecidas em redes de geometria vari vel cujo entrela amento suplanta a distin o tradicional entre empresas e pequenos neg cios atra vessando setores e espalhando se por diferentes agrupamentos geogr ficos de unidades econ micas Se por um lado a tecnologia vem apoiando o desenvolvimento de novos neg cios promovendo a es sociais e direcionando o mundo para uma nova realidade de democra tiza o de informa es servi os e conhecimento por outro como qualquer ferramenta passou a ter uma ampla aplica o por indiv duos que identificam nesse contexto oportuni dades de ganhos de forma il cita Na sociedade do conhecimento a informa o o principal ativo e o valor atribu do a ela objeto de desej
68. nico ainda podem ser consideradas incipientes Soma do a este fato tem se o envolvimento de um complexo de valores de gran de apre o no bojo constitucional o que acaba por acirrar a controv rsia In meras decis es judici rias con flitantes foram prolatadas cen rio este que felizmente tende a ser sa nado com a j mencionada decis o do Tribunal Superior do Trabalho quanto ao tema Espera se a obser v ncia deste precedente para que se estabele a maior seguran a jur dica nas rela es de trabalho ARA JO L A D A correspond ncia eletr nica do empregado e o poder diretivo do empregador In Revista de direito constitucional e internacional v 40 S o Paulo 2002 BARROS A M Curso de direito do trabalho S o Paulo LTr 2005 BELMONTE A A O controle da correspond ncia eletr nica nas rela es de trabalho In Revista LTr v 68 n 9 S o Paulo LTr 2004 CARVALHO K G Direito constitucional 10 ed Belo Horizonte Del Rey 2004 FERRAZ JR T S Sigilo de dados o direito a privacidade e os limites fun o fiscalizadora do Estado In Cadernos de direito consti tucional e ci ncia pol tica n 19 S o Paulo 2002 LEITE C H B Curso de direito processual do trabalho 3 ed S o Paulo LTr 2005 MORAES A Direito constitucional 7 ed S o Paulo Atlas 2000 PECK P O mau uso da tecnologia e a falta de observ ncia da arquitetura legal geram riscos desnecess rios para as empresas Dispo
69. no pagamento de licen as de uso ou royalties http pt wikipedia org wiki Freeware IDP Intrusion Detection and Prevention IDS Intrusion Detection System detec o de invas es em rede IPS Intrusion Prevention System ISS Internet Security Systems Malware g ria para software malicioso um programa de computador tal como um v rus um worm ou um Cavalo de Tr ia que executa tarefas prejudiciais A arte de enganar Kevin Mitnick e William L Simon Mail drop termo da engenharia social para uma caixa postal alugada em geral com um nome fict cio usada para o recebimento de documentos ou pacotes que a v tima foi convencida a enviar A arte de enganar Ke vin Mitnick e William L Simon Mulas de dinheiro do ingl s Money Mules por tr s de uma oportunidade de dinheiro f cil que chega por e mail muitas pessoas tentam receber porcentagens por transa es Na maioria dos casos a v tima fica com a conta do primeiro fraudador para pagar Phishing mensagem falsa que induz a v tima a acessar um site falso onde se poder contaminar com um Ca valo de Tr ia ou enviar dados pessoais S o aquelas mensagens de recadastramento de bancos de CPF etc Shareware uma modalidade de distribui o de software em que voc pode copi lo distribu lo sem restri es e us lo experimentalmente por um determinado per odo No entanto voc se coloca no compromisso moral de pagar uma taxa geralmen
70. nos compete cuidar e preservar aqui que a no o de seguran a da informa o se introduz As informa es sobre sa de t m como p blico alvo profissionais e pesquisadores da rea estudantes e pacientes al m da popula o em geral Quando disponibilizadas em sites de institui es de ensino e pesquisa organiza es da sociedade civil ou bases de dados de teses e disserta es acad mi cas e revistas cient ficas as informa es podem ser consideradas confi veis embora no ltimo caso muitas vezes seja exigido o pagamento de uma as sinatura A quest o da seguran a imp e se quando se trata da informa o dirigida popula o em ge ral comunidade de usu rios leigos que t m di reito informa o que diminua a incerteza sobre problemas de sa de Julho Dezembro de 2007 Sales e Toutain pesquisaram crit rios de ava lia o da informa o em sa de na web identifican do credibilidade apresenta o formal do site links design interatividade e an ncios como categorias recomendadas pela Agency for Health Care Policy and Research do Health Information Technology Institute Hiti Para a Health On the Net HON Foundation as categorias s o autoridade comple mentaridade confidencialidade atribui es justi ficativas transpar ncia na propriedade transpar n cia do patroc nio e honestidade da publica o e da pol tica editorial No Brasil o Conselho Regional de Me
71. o H lojas fict cias esperando que algu m caia em seus golpes Cuidado tamb m com algumas lojas menores que s vezes t m seus websites invadidos e passam a disseminar outras invas es Marcelo Bezerra ensina para fazer a compra com trangiilidade al m de manter o computador atualizado pesquisar em sites de busca de pre os que mostram pon tua o das lojas em rela o qualidade de produtos e atendimento O risco reduz bastante escolhendo bem em que loja comprar Uma busca na pr pria internet vai tomar alguns minutos mas vale a pena Se ao fazer com pras numa loja f sica as pessoas procuram aquelas mais conhecidas observam apar ncia da loja forma de aten dimento do vendedor e mercadoria em exposi o devem fazer o mesmo na compra virtual Parcerias internacionais no combate a incidentes Criado em 1997 para cuidar da seguran a na Rede Nacional de Pesquisa o Centro de Atendimento a Incidentes de Seguran a Cais completa uma d cada com propostas de abertura em sua atua o buscando contemplar o usu rio dom stico e consolidando uma postura voltada prioritariamente preven o de incidentes O que tem mudado na nossa atua o expli ca o analista Ronaldo Vasconcelos que deixamos de aguardar as notifica es e adotamos uma postu ra de buscar os incidentes Efetivamos parcerias com 30 ERES comunidades internacionais na rea de incidentes de seguran a e com o tempo passamo
72. o e s regulamenta es vigentes sobre o contexto organiza cional Leis e normas nacionais ou mesmo internacionais al m de pa dr es reconhecidos contribuem para esta pr tica Os Estados Unidos da Am ri ca como grande p lo gerador de 3 1 NIST O National Institute of Standards and Technology NIST uma orga niza o voltada normatiza o e pa droniza o de instrumentos e pr ticas no mbito do governo e das organi za es p blicas nos Estados Unidos O rg o realiza periodicamente con fer ncias voltadas SI cujos resulta 3 2 CERT O Computer Emergency Res ponse Team CERT CERT 2004 uma organiza o sem fins lu crativos sediada na Universidade Carnegie Mellon na Pennsylvania cujos relat rios estat sticos anuais 3 3 SANS Institute O SysAdmin Audit Network Security Institute SANS Institu te uma organiza o de pesquisa e educa o estabelecida em 1989 que conta atualmente com mais de 165 mil profissionais de segu ran a entre seus afiliados Al m de uma grande gama de cursos e tex tos t cnicos sobre a seguran a da 96 GRI inova es tecnol gicas e como um dos pa ses de mais alta taxa percen tual de uso computacional por ha bitante conforme ilustra a Tabela 1 ditam muitas normas utilizadas pela comunidade internacional no tocante SI Muitas dessas normas e procedimentos s o gerados tendo em vista o contexto cultural e eco n mico
73. para que possa ser utilizado para implemen tar todos os requisitos de um mo delo de governan a da seguran a da 59 informa o Essas adapta es est o relacionadas principalmente com a forma de tratar incidentes de segu ran a computacional Considerando a estrutura de tomada de decis o em siste mas de informa o este trabalho prop e ainda um mapeamento dos m dulos Suporte a Servi os e Entre ga de Servi os do modelo ITIL no n vel operacional e no n vel t tico conforme descrito a seguir Planejamento para Implementar o Gerenciamento de Servi os Gerenciamento dos Servi os Suporte ao Servico Figura 3 Modelo para Gerenciamento de Servi os ITIL OGC 2000 7 Considera es Finais Neste artigo apresentaram se a necessidade de um modelo para go vernan a da seguran a da informa o e os requisitos para isto Para atender todos os requisitos neces s rios a um modelo de governan a da seguran a da informa o pro p e se a utiliza o integrada dos modelos COBIT e ITIL e da norma ISO 27002 O modelo COBIT e a norma ISO 27002 ir o fornecer os objetivos de controle necess rios para atender aos 60 Fonte requisitos apresentados Os proces sos descritos no modelo ITIL ser o utilizados para guiar a implementa o desses objetivos de controle Por meio de uma correla o des ses objetivos presentes no modelo COBTT e na norma ISO 27002 com os processos
74. pela rede mundial de com putadores mantendo suas identidades ntegras e secretas Refer ncias 1 PETITCOLAS F A P ANDERSON R J KUHN M G Information hiding A survey Proceedings of the IEEE v 87 n 7 p 1062 1078 1999 2 PETITCOLAS F A P KATZENBEISSER S Information hiding techniques for steganography and digital watermarking 1st ed S 1 Artech House Books 1999 3 JOHNSON N F JAJODIA S Exploring steganography Seeing the unseen IEEE Computer v 31 n 2 p 26 34 1998 4 MORRIS S The future of netcrime now 1 threats and challenges Home Office Crime and Policing Group USA 2004 Technical Report 62 5 HART S V ASHCROFT J DANIELS D J Forensic examination of digital evidence a guide for law enforcement Department of Justice Office of Justice Programs USA April 2004 Technical Report NCJ 199408 6 KAHN D The history of steganography In Proceedings of the First International Workshop Cambridge UK s n 1996 7 JOHNSON N Steganography George Mason University 1998 8 MEERWALD P Digital Image Watermarking in the Wavelet Transform Domain Disserta o Mestrado Department of Scientific Computing University of Salzburg Austria January 2001 9 WAYNER P Disappearing Cryptography Information Hiding Steganography and Watermarking 2nd Edition San Francisco CA USA Morgan Kaufmann Publishers Inc 2002 ISBN 1558607692 10 SIEFFERT M et
75. pensar em uma situa o na qual sem a expressa au toriza o de um paciente uma informa o de sa de seja divulgada seja uma doen a uma consulta seja um diagn stico Esse um direito dos cidad os que se violado pode acarretar danos morais e at risco de vida o que faz o assunto da seguran a da infor ma o e da privacidade ser discutido t o seriamente pelo setor Luis Gustavo Gasparini Kiatake Diretor Executivo da E VAL Tecnologia e pesquisador do Laborat rio de Sistemas Integr veis da EPUSP Colaborador nos comit s ISO IEC JTC1 SC27 Information Technology IT Security Techniques e ABNT CB 21 SC 02 Comit Brasileiro Computadores e Processamento de Dados Seguran a Professor nos cursos de p s gradua o em Seguran a da Informa o do SENAC IPT e EDUCC Desenvolve seu doutorado na EPUSP com foco em Comunica o Digital e Seguran a de Informa o Julho Dezembro de 2007 ia 37 Cemig Humor na constru o de uma cultura de seguran a Investindo maci amente em seguran a da in forma o h cerca de oito anos a Cemig comemora os resultados provenientes de uma nova cultura na or ganiza o Os incidentes est o controlados e o n vel de consci ncia dos empregados sobre sua responsa bilidade individual pode ser considerado satisfat rio Segundo o coordenador da rea respons vel pela seguran a da informa o na Empresa a Ad ministra o da Seguran a da Informa o A
76. pesquisadores e especialistas apresentam estudos tend ncias e experi ncias pr ticas como os programas de seguran a da Cemig em Minas Gerais e da Re ceita Federal A Prodemge espera contribuir para a amplia o do debate sobre as quest es relativas ao valor da informa o nas organiza es e entre os usu rios dom sticos sinalizando riscos e vulnerabili dades e indicando solu es Com a experi ncia de 40 anos gerenciando as informa es do Estado de Minas Gerais a Prodemge valoriza conceitos como integridade disponibilidade e sigilo Essa mesma experi ncia numa trajet ria paralela hist ria da inform tica d Companhia o conhecimento dos riscos e das tecnologias dispon veis para preven o e combate ao problema que se pretende comparti lhar com os leitores da revista Fonte Diretoria da Prodemge zia 3 5 7 13 34 36 38 44 S 5 110 Sum rio ENS PJ prodemge Ano 04 Julho Dezembro de 2007 Tecnologia de Minas Gerais Interagao Coment rios e sugest es dos leitores Di logo Entrevista com a advogada especialista em direito digital Patr cia Peck que analisa os desafios do Direito diante da evolu o das tecnologias e fala das mudan as culturais da privacidade e anonimato na sociedade digital e da pr tica de monitoramento nas comunica es em ambientes corporativos Dossi O crescimento do uso de redes e o aumento de riscos nas transa es feitas na internet As pesqui
77. quest o usando a rede interna e enviar uma solu o por e mail ou fax Parece piada mas funciona assim No mundo de hoje empresas com essa men talidade est o fadadas a fechar suas portas engo lidas pela concorr ncia A solu o est nas a es coordenadas com treinamento dos usu rios para que tenham procedimentos seguros dentro da rede Ferramentas s o fundamentais como as portas de nossas casas T m que ter fechaduras e precisam es tar trancadas mas se cada um que entrar n o tornar a tranc las em algum momento a casa estar vul ner vel O treinamento n o simples N o se padro niza o usu rio Enquanto uns t m acesso limitado outros em pontos superiores na escala de poder t m acesso quase irrestrito Enquanto uns est o bem acostumados aos recursos dispon veis outros n o t m o m nimo conhecimento e muitas vezes est o no topo da hierarquia Julho Dezembro de 2007 As regras para a presid ncia s o permissivas e na maioria das vezes onde est o os usu rios menos preparados Via de regra desprezam treina mentos N o que os achem desnecess rios ou menos importantes mas por n o terem tempo a perder com esses treinamentos O correio eletr nico hoje fonte da maioria das falhas de seguran a exige filtros cada vez mais complexos capazes de distinguir as mensagens teis das in teis e s vezes perigosas Barrar so mente os famigerados spams n o basta Os filtros modern
78. revisar os resultados com sua equipe e comunicar Julho Dezembro de 2007 o resultado para a mesa dire tora 2 Os CEOs precisam adotar e patrocinar boas pr ticas corporativas para seguran a computacional sendo mu niciados com objetivos que os fa am con siderar a rea de seguran a computacional importante centro de inves timentos na organiza o e n o apenas um centro de indicadores como um despesas 3 As organiza es devem conduzir periodicamente uma avalia o de risco rela cionada com a informa o como parte do programa de gerenciamento de riscos 4 As organiza es precisam desenvolver e adotar pol ti cas e procedimentos de se guran a com base na an lise de risco para garantir a segu ran a da informa o 5 As organiza es precisam estabelecer uma estrutura de gerenciamento da seguran a para definir explicitamente o que se espera de cada indiv duo em termos de pap is e responsabilidades 6 As organiza es precisam desenvolver planejamento estrat gico e iniciar a es para prover a seguran a ade quada para a rede de comu nica o para os sistemas e para a informa o 7 As organiza es precisam tratar seguran a da informa o como parte integral do ciclo de vida dos sistemas J9 8 As organiza es precisam divulgar as informa es so bre seguran a computacio nal treinando conscienti zando e educando todos os envolvidos 9
79. rotinas operacionais n o permitia uma vis o mais ampla da quest o dif cil ver o todo estando envolvido com detalhes e precis vamos de uma vis o corporativa que pudesse inclusive estabelecer uma rela o da seguran a com os processos de neg cios da Empre sa Foi criada ent o a ASI uma assessoria vincula da Superintend ncia de TI A primeira iniciativa da nova equipe formada por tr s profissionais da pr pria Cemig foi elaborar um plano de seguran a da informa o considerando cinco pilares an lise de risco e vulnerabilidades pol ticas continuidade dos neg cios classifica o das informa es e conscientiza o dos usu rios Julho Dezembro de 2007 Isabela Abreu Lucas Lanna Ricardo Moleda Jean Marcelo Oliveira Arlindo Porto Marcus Vin cius Belfort e Jos Lu s Brasil As primeiras etapas segundo Lu s Brasil fo ram demoradas compreendiam levantamentos de necessidades de continuidade e impactos nos neg cios A equipe deparou se tamb m com a dificulda de de disponibilidade or ament ria Enquanto isso medidas com foco nas pessoas ti veram in cio j em 2001 Foram adotadas medidas mais imediatas de conscientiza o dos usu rios A partir de 2002 tiveram in cio ainda timidamente os treinamentos Lu s Brasil ressalta que em todo o processo o foco principal do trabalho da ASI foi na adapta o da cultura da Empresa na conscientiza o dos usu rios V ri
80. ser usada em um ataque de en genharia social tal como n meros de telefones internos ou cargos A arte de enganar Kevin Mitnick e William L Simon V rus um programa de computador que se replica utilizando outro programa de computador No jarg o da computa o o v rus semelhante ao v rus biol gico infecta outro programa para que se possa propagar pela internet PC Worm um programa de computador mais complexo e mais completo que o v rus Ele por si s capaz de se auto replicar sem ajuda de qualquer outro programa de computador j programado para infectar outros computadores al m daquele invadido inicialmente Julho Dezembro de 2007 Fonte 33 Divulga o Marcos S mola quase dez anos publico opini es relaciona das com a gest o de riscos continuidade de neg cios governan a conformidade e intelig ncia competitiva e desde ent o vejo me s voltas com novas normas padr es controles e conseqtiente mente com o esfor o do mercado em identificar os benef cios e os impactos diretos e indiretos dos programas de seguran a da informa o em seus ne g cios bem como em tangibilizar os valores que adicionam e convert los em resultado Pois quando finalmente a seguran a da informa o deixou de ser um assunto restrito aos por es dos quart is generais s oficinas de desen volvimento de intelig ncia e contra intelig ncia e chegou s salas de reuni o da diretoria
81. site do Minist rio da Fazenda foi um importante passo para uma a o mais consisten te de oferta de informa es e servi os A primeira homepage trazia informa es para o preenchimento da declara o do imposto de renda e pela primeira vez o download do programa gerador da declara o que at o ano anterior s estava dispon vel em disquete Ainda em 1996 no segundo semestre foi criado o site da receita www receita fazenda gov br que veio acompanhado de medidas mais dirigi das seguran a da informa o s o dessa poca as primeiras normas e regulamentos relativos a acesso a sistemas redes correio eletr nico e internet Se gundo Donizette Rodrigues a primeira pol tica de seguran a foi escrita nessa poca e vem evoluindo e sendo aprimorada at hoje 42 EA Donizette Victor Rodrigues Certificados digitais A grande aceita o dos servi os via inter net e o crescimento dos acessos impuseram novas necessidades de tratamento dos riscos O coorde nador lembra que na Receita Federal uma impor tante evolu o foi a ado o de certificados digitais tanto para seguran a interna no acesso a sistemas quanto no relacionamento com os contribuintes Ele explica que sites com servi os mais sens veis que envolvem sigilo fiscal existem desde 2001 e a certifica o digital a garantia de proporcionar a mesma seguran a que os contribuintes t m nas a es feitas de forma presencial Ele en
82. stats cert stats html gt Acesso em 9 jan 2006 E COMMERCE ORG Dados estat sticos sobre a internet e com rcio eletr nico S o Paulo 2006 Dispon vel em lt http www ecommerce org br STATS htm gt Acesso em 9 maio 2006 FORD W Standardizing information technology security StandardView ACM v 2 n 2 p 64 71 1994 Dispon vel em lt http doi acm org 10 1145 202949 202951 gt Acesso em 2 ago 2004 GENERAL ACCOUNTING OFFICE Information Security Management learning from leading organizations Washington General Accounting Office 1998 Dispon vel em lt http www gao gov special pubs ai9868 pdf gt Acesso em 05 abr 2004 GUEL M D A short primer for developing security policies Bethesda Maryland 2001 Dispon vel em lt http www sans org resources policies Policy_Primer pdf gt Acesso em 25 abr 2002 INFORM IT Foundations of IT Service Management Based on ITIL V3 Zaltbommel Netherlands Van Haren Publishing 2007 IT GOVERNANCE INSTITUTE COBIT Control Objectives 3rd ed Chicago 2000 Disponivel em lt www isaca org gt Acesso em 3 ago 2004 IT GOVERNANCE INSTITUTE COBIT Executive Summary 3rd ed Chicago 2000 Disponivel em lt www isaca org gt Acesso em 3 ago 2004 IT GOVERNANCE INSTITUTE COBIT Framework 3rd ed Chicago 2000 Dispon vel em lt www isaca org gt Acesso em 3 ago 2004 IT GOVERNANCE INSTITUTE COBIT Implementation Tool Set 3rd ed Chicago 2000 Dispon
83. t m uma marca dita imagem mar cada ou hospedeira Apesar de muitas t cnicas de marca d gua poderem ser aplicadas diretamente para diferentes tipos de dados digitais as m dias mais utilizadas s o as imagens est ticas 106 KEA em arquivos comuns de maneira que o sistema lhe permita ultrapassar n veis de seguran a diferentes Existem situa es em que se deseja enviar uma mensagem sem que seja poss vel descobrir quem a enviou Geralmente esse tipo de si tua o mais uma caracter stica de atividades ilegais Entretanto essa situa o tamb m tem aplica es em atividades legais em que se deseja que a privacidade do remetente seja mantida Alguns exemplos dessas situa es s o registros m dicos ou vota es on line Existem tamb m grandes aplica es na rea da ind stria m dica no que diz respeito a imagens m dicas Normalmente usada uma forma de comunica o padr o chamada DICOM que separa a imagem das informa es relativas ao paciente e ao exame como o nome a data e o m dico Em alguns casos a liga o entre os dados e a imagem perdi da Ent o se as informa es fossem Existe uma certa confus o entre as marcas d gua impercept veis e as vis veis utilizadas em c dulas de dinheiro por exemplo As vis veis s o usadas em imagens e aparecem sobrepostas sem prejudicar muito a sua percep o S o usadas geral mente para expor imagens em locais p blicos com
84. vel 98 Genie e requisitos da garantia de se guran a que estabelecem um conjunto de elementos para a padroniza o da garantia da seguran a tamb m divididos em fam lias classes e compo nentes ao longo do ciclo de de senvolvimento dos produtos ou sistemas Um exemplo de classe e gest o de configura o desti nada a identificar e controlar os ativos de TI na organiza o es tabelecendo suas rela es com os servi os por eles prestados e gest o de mudan as desti nada a minimizar o impacto das mudan as eventualmente requeridas por incidentes ou problemas garantindo o n vel de qualidade dos servi os e gest o de instala es desti nada a garantir que instala es de vers es de hardware e software estejam consoantes com testes e requisitos de se guran a O segundo segmento o Service Delivery dividido em e gest o do n vel de servi os destinada a garantir o acordo Nos ltimos anos leis t m sido propostas para tratar especi ficamente de temas relacionados com a seguran a da informa o em formato digital como o co m rcio eletr nico mas tais pro jetos ainda encontram se em tra mita o no Congresso Nacional A legisla o brasileira como se sabe bastante abrangente po r m em diversos casos carece a gest o de documenta o do produto ou sistema com as fa m lias guia do administrador e guia do usu rio contendo c
85. vel em lt www isaca org gt Acesso em 3 ago 2004 IT GOVERNANCE INSTITUTE COBIT Management Guidelines 3rd ed Chicago 2000 Dispon vel em lt www isaca org gt Acesso em 3 ago 2004 IT GOVERNANCE INSTITUTE COBIT security baselines Chicago 2004 Dispon vel em lt http www isaca org gt Acesso em 17 jan 2005 IT GOVERNANCE INSTITUTE COBIT Chicago 2005 Disponivel em lt http www isaca org gt Acesso em 17 jan 2005 JONSSON E An integrated framework for security and dependability In Proceedings of the 1998 workshop on New security paradigms Charlottesville Virginia United States ACM 1998 p 22_29 Disponivel em lt http doi acm org 10 1145 310889 310903 gt Acesso em 2 ago 2004 KING G Best security practices an overview In Proccedings of the 23rd National Information Systems Security Conference NIST National Institute of Standards and Technology 2000 Dispon vel em lt http csrc nist gov nissc 2000 proceedings papers 022 pdf gt Acesso em 18 jul 2003 KRAUSE M TIPTON H F Information Security Management Handbook New York CRC Press Auerbach 1999 Julho Dezembro de 2007 Fonte 99 KRUTZ R L VINES R D The CISSP Prep Guide Gold edition New York John Wiley amp Sons 2002 NATIONAL INFORMATION ASSURANCE PARTNERSHIP Common Criteria for Information Technology Security Evaluation ISO 15408 v 2 2 Part 1 introduction and general model Washington
86. 000 3 SALES A L C TOUTAIN L B Aspectos que norteiam a avalia o da qualidade da informa o em sa de na era da sociedade digital Anais Salva dor Cinform 2005 Dispon vel em http www cinform ufba br vi anais docs AnaLidiaSales pdf Acesso em 6 dez 2007 4 LOPES Ilza Leite Estudos sobre qualidade da informa o sobre sa de na Web e a vis o de entidades de classe brasileiras Tempus Actas de Sa de Coletiva v 1 n 1 2007 Dispon vel em http 164 41 105 3 portalnesp ojs 2 1 1 index php tempus article view 398 381 Acesso em 6 dez 2007 Julho Dezembro de 2007 GEE 45 Divulga o Erasmo Borja Sobrinho Z internet no mundo globalizado como uma rvore plantada junto a um ribeiro N o lhe faltam nutrientes e seu crescimento vertiginoso Proporcionalmente crescem os meios de us la de forma escusa A seguran a tornou se fundamental Seguran a de rede n o mais algo est tico dina mico N o existe hoje solu o que preveja o futu ro No passado a solu o estava em procedimentos ou em simples preven es contra v rus Hoje n o h solu o vencedora Tudo requer evolu o e acompanhamento constantes Os agentes do mal n o param de evoluir O que antes era brincadeira hoje virou neg cio A espionagem e os neg cios escusos com base em TI s o hoje rent veis Tem gente faturando com isto N o s com transfer ncia de valores de con tas banc rias invadidas q
87. 4 Os componentes 3 6 Common Criteria O projeto Common Criteria CC originalmente patrocinado por sete organiza es de seis paises dis tintos foi padronizado sob o c digo ISO IEC 15408 Seu objetivo ser usado como base para avalia o de propriedades de seguran a de pro dutos e sistemas de TI permitindo a compara o entre os resultados de avalia es independentes de se guran a por meio de um conjun to de requisitos padronizados a ser atingido O processo de avalia o Julho Dezembro de 2007 criptografia de chaves sim tricas Seu desenvolvimento ocorreu como resultado de um esfor o conjunto dos governos da Fran a Alemanha Rei no Unido e Holanda Em meados da d cada de 80 foi apresentado como sum rio executivo que detalha os conceitos fundamentais do guia IT Governance Institute 2000b e framework que a base e o suporte para os demais compo nentes organizando o modelo de processos em quatro gran des dom nios IT Governance Institute 2000c planejamento e organiza o aquisi o e implementa o entrega e suporte monitora o e avalia o objetivos de controle proven do mais de 300 enunciados que definem o que precisa ser gerenciado em cada processo de TI a fim de atingir os obje tivos da organiza o inclusive estabelece n veis de confiabilidade de que as fun es avaliadas atingem os requisitos estabelecidos ajudando os usu rios
88. 5 a principal refer ncia para avalia o de atributos de seguran a em produ tos e em sistemas de TI os quais s o denominados objetos de avalia o Usu rios de TI sejam consumido res desenvolvedores ou avaliadores nem sempre possuem conhecimento ou recursos para julgar quest es de seguran a Para atender a esses usu rios a ISO IEC 15408 1 2005 es tabelece um crit rio comum para a avalia o o que possibilita que o re sultado seja significativo para audi n cias variadas O resultado das ava lia es da ISO IEC 15408 1 2005 auxilia os consumidores de TI a de cidirem se um produto ou sistema atende aos requisitos de seguran a Do ponto de vista do desenvolvedor a norma descreve as fun es de se guran a que devem ser inclu das no projeto do objeto de avalia o Do ponto de vista dos avaliadores e de outros membros da organiza o a norma determina as responsabilida des e as a es necess rias para a ava lia o do objeto No mbito da internet cabe des tacar o papel do Computer Emergency Response Team Coordination Center CERT CC criado pelo Defense Advanced Research Projects Agency ARPA ap s o incidente worm em 1988 O objetivo centralizar a coordena o de respostas a inci dentes de seguran a Al m disso o CERT ainda respons vel por publicar informes pesquisar sobre seguran a e manter um banco de dados sobre seguran a em redes e na internet Al m da
89. A maioria destas solu es gratuita para uso n o corporativo mas poucas pos suem vers o em portugu s Um bom exemplo de filtro de conte do IProtectYou vers o freeware Este programa um filtro que pode ser manipulado por leigos sem muitas dificuldades Permite bloquear e mails chats servi os de mensagens instant neas palavras es pec ficas e bloquear web sites um filtro simples e funcional que permite a instala o de senha para a desinsta la o ou mudan as de configura o O mesmo produto apresenta uma vers o Shareware IProtectYou Pro que disponibiliza outras funcionali dades como n veis de restri o para cada membro da fam lia obter infor ma es on line das atividades dos usu rios restringir o tempo de utili za o liberando e proibindo o acesso web de acordo com hor rios pr agendados Outro bom representante e Mantenha se atualizado quan to s novas amea as virtuais que surgem na rede deste grupo de solu es Blue Coat K Web Protection Este produto bastante semelhante ao IProtectYou e permite um controle efetivo aos acessos web Existem outros re presentantes deste grupo na vers o freeware s o eles Parental Filter e Naomi Todos permitem controlar alguns tipos de acessos web e at os acessos s redes ponto a ponto P2P Peer to Peer Existem outros programas semelhantes em vers es shareware Dois exemplos Advan ced Parental Con
90. Backdoors ponto de entrada oculto que fornece um caminho secreto para o computador de um usu rio o qual desconhecido do usu rio Usado tamb m pelos programadores que desenvolvem um programa de software Julho Dezembro de 2007 ia 31 eA Dossi Dossi Dossi Dossi Dossi Dossi para que possam entrar no programa para corrigir problemas A arte de enganar Kevin Mitnick e William L Simon Cavalo de tr ia programa que cont m um c digo malicioso ou prejudicial criado para gerenciar os arquivos do computador da v tima ou para obter informa es do computador ou da rede da v tima Alguns deles foram criados para se ocultar dentro do sistema operacional do computador e espiar cada tecla digitada ou a o ou para aceitar instru es por uma conex o de rede para executar alguma fun o tudo isso sem que a v tima tenha consci ncia da sua presen a A arte de enganar Kevin Mitnick e William L Simon Dead drop lugar para deixar as informa es no qual pouco prov vel que sejam encontradas por outras pes soas No mundo dos espi es tradicionais isso poderia estar atr s de um tijolo falso na parede no mundo dos hackers de computadores comum haver um site da internet em um pa s remoto A arte de enganar Kevin Mitnick e William L Simon Defacement roubo de dados sigilosos ou de contas Freeware ou software gratuito qualquer programa de computador cuja utiliza o n o implica
91. Dec 2007 MARTINIANO L A F MOREIRA E S An OWL based security incident ontology 2007 Available from Internet lt http protege stanford edu conference 2005 submissions posters poster martimiano pdf gt Access 20 Nov 2007 MARTINIANO L A F MOREIRA E S The evaluation process of a computer security incident ontology 2006 Available from Internet lt http ftp informatik rwth aachen de Publications CEUR W S Vol 199 wonto 06 pdf gt Access 20 Nov 2007 MEADOWS C An outline of a taxonomy of computer security research and development 1992 Available from Internet lt http portal acm org citation cfm id 283770 gt Access 2 Jan 2005 MENNINGER M R The birth of incident response the story of the first Internet worm 2005 Available from Internet lt http www selfseo com story 9757 php gt Access 20 Nov 2006 NCSC National Computer Security Center Glossary of computer security itens 1988 Available from Internet lt http packetstormsecurity org docs rainbow books NCSC TG 004 txt gt Access 15 Nov 2007 NEUMANN P PARKER D A summary of computer misuse techniques 1989 Available from Internet lt http www emeraldinsight com Insight ViewContentServlet Filename Published EmeraldFullText Article Pdf 0460110503 ref html gt Access 8 July 2007 NIST CSD Nacional Institute of Standards and Technology Common Criteria Computer Security Division Common Criteria for Information Technology Securit
92. Dispon vel on line em http www itsmf com publications ITIL Overview pdf Visitado em 13 03 2005 van GREMBERGEN 2003 VAN GREMBERGEN Wim Strategies for Information Technology Governance Idea Group Publishing 2003 ISBN 1 591140 140 2 WEILL amp ROSS 2004 WEILL Peter Ross Jeanne W IT Governance how top performers manage IT decision rights for superior results Harvard Business School Publishing 2004 ISBN 1 59139 253 5 Julho Dezembro de 2007 61 Wagner Ant nio Sucesu A es de seguran a da informa o no governo mineiro 2005 2007 Marconi Martins de Laia Graduado em Administra o pela Universidade Federal de Minas Gerais 1999 e em Administra o P blica pela Funda o Jo o Pinheiro 1997 Possui mestrado em Ci ncias da Informa o pela Universidade Federal de Minas Gerais 2002 e atualmente doutorando do Programa de P s gradua o em Ci ncia da Informa o da UFMG Diretor da Superintend ncia Central de Governan a Eletr nica do Governo de Minas Gerais marconi laia planejamento mg gov br 62 GETS Rodrigo Diniz Lara Diretor Central de Gest o da Informa o da Secretaria de Estado de Planejamento e Gest o graduado em Administra o P blica pela Funda o Jo o Pinheiro especialista em Gest o Estrat gica da Informa o pela UFMG rodrigo diniz planejamento mg gov br RESUMO A seguran a da informa o hoje uma atividade essencial em qualquer tipo de orga
93. Fazendo uma analogia com a rede f sica seria como colocar um plug de rede na cal ada para que qualquer pessoa possa se conectar As redes sem fio est o sendo muito usadas em ae roportos laborat rios restaurantes hot is Tudo isso tem que ser muito bem configurado sen o a pessoa pode ter problemas como invas o de seu computador ter seus dados capturados Trata se basicamente de configurar o ponto de acesso de forma que fique invis vel para outras pessoas e usar criptografia limitando o acesso ao usu rio que conhece a chave criptogr fica H recurso para que voc determine autoriza es para quem voc permite que entre Colocando algumas dificuldades a pessoa re duz sua exposi o e a probabilidade de algu m invadir o seu computador GEES 19 20 EI O cuidado que usu rios dom sticos devem adotar com suas informa es ganham dimens es superlativas quando se trata de uma organiza o Para o presidente da M dulo Security empresa especializada em tecno logia para Gest o de Riscos Fernando Nery a segu ran a da informa o deve ser tratada n o s do ponto de vista tecnol gico mas prioritariamente pela sua rela o com o neg cio da empresa Trata se de um desafio do dia a dia da inform tica gestores de segu ran a de TI compartilham ang stias e dificuldades ao mn tratar a quest o afirma Nery explica que atualmente o problema da seguran a abrangente come a den tr
94. IC pode contribuir da melhor forma poss vel para alcan ar os objetivos da organiza o b Aquisi o e Implementa o possui seis objetivos de con trole que definem as quest es de identifica o desenvolvi mento e aquisi o da infra estrutura de TIC conforme as diretivas estrat gicas e de projeto predefinidos no Plano Estrat gico de Inform tica da empresa tamb m conhe cido como Plano Diretor de Inform tica PDD c Entrega e Suporte esse do m nio com treze objetivos de controle define as quest es ligadas ao uso da TIC para atendimento dos servi os oferecidos para os clientes a manuten o e as garantias ligadas a estes servi os d Monitora o com quatro ob jetivos de controle esse do m nio define as quest es de auditoria e acompanhamento Objetivos do Neg cio Governan a de TIC dos servi os de TIC sob o ponto de vista de valida o da efici ncia dos processos e evolu o destes em ter mos de desempenho e auto ma o O modelo COBIT define obje tivos de controle como sendo de clara es de resultado desejado ou prop sito a ser atingido pela im plementa o de procedimentos de controle numa atividade de TI em particular A Figura 2 ilustra os quatro do m nios do COBIT os objetivos de controle para cada dom nio e seus inter relacionamentos PO1 Definir um Plano Estrat gico de TI PO2 Definir a Arquitetura da Informa o POS Determinar a Dir
95. ISSN 1808 0715 ciento 0 0 6 No 0 Informa o na Gest o P blica F te Ano 4 N mero 07 Julho Dezembro de 2007 Seguran a da Informa o Tecnologia e comportamento A na preven o e combate prodemge Bfn corroranva aos crimes virtuais Certifica o Digital Certisign Autenticidade e confiabilidade das informa es nas suas m os Certisign ima das 5 empresas de Sh iai digital mais confi veis do pi Unica Autoridade Certificadora credenciada a operar segundo Pesama ical em m ltiplas hierarquias a CERTISIGN uma empresa 100 especializada em Certifica o Digital Nosso portfolio de produtos e servi os utiliza a tecnologia de Certifica o Digital e proporciona aos nossos clientes um AMBIENTE DIGITAL MAIS SEGURO Proteja informa es desmaterialize e simplifique seus processos REDUZA O RISCO DE FRAUDES em sua empresa Consulte nos para DESENVOLVER IMPLANTAR E GERENCIAR projetos de Certifica o Digital GARANTA AUTENTICIDADE E CONFIABILIDADE para suas informa es onde quer que voc esteja Cart o Criptogr fico Certisign para gera o e armazenamento de certilicados digitais CERTISIGN certisign com br A sua identidade na rede Editorial Nesta edi o a revista Fonte traz aos seus leitores um tema que de forma crescente vem ocu pando a pauta de executivos e usu rios das tecnolo gias da informa o e comunica o TICs
96. OBIT ITGI 2000 5 Fonte Julho Dezembro de 2007 Al m dos quatro dom nios prin cipais que guiam o bom uso da tecno logia da informa o na organiza o existe tamb m a quest o de audito ria que permite verificar por meio de relat rios de avalia o o n vel de maturidade dos processos da organi za o O m todo de auditoria segue o modelo do Capability Maturity Model for Software CMMS Paulk et al 1993 e estabelece os seguintes n veis 0 Inexistente Significa que ne nhum processo de gerencia mento foi implementado 1 Inicial O processo imple 4 mentado realizado sem organiza o de modo n o planejado 2 Repetit vel O processo imple mentado repetido de modo isto intuitivo depende 6 3 Modelo ITIL O modelo Information Technology Infraestructure Library ITIL foi desenvolvido pelo governo brit nico no final da d cada de 80 e tem como foco principal a opera o e a gest o da infra estrutura de TIC na orga niza o incluindo todos os pontos importantes no fornecimento e ma nuten o dos servi os de TIC OGC 2000 O ITIL composto por um conjunto das melhores pr ticas para auxiliar a governan a de TIC vem sendo um modelo amplamente utili zado atualmente RUDD 2004 O princ pio b sico do ITIL o objeto de seu gerenciamento ou seja a infra estrutura de TIC O ITIL des creve os processos que s o necess rios para dar suporte utiliza
97. S DISPON VEL NO MERCADO AS VANTAGENS DO SHERLOCK TI amp BUSINESS Gerenciamento centralizado dos servi os INTEGRA O TOTAL COM OS M DULOS INTELLIGENCE E PERFORMANCE Completo entendimento dos problemas Sherlock Intelligence utiliza o conceito de ger ncia de Tl e Neg cios por Unidade de Neg cio UN permitindo avaliar Planejamento de capacidade o impacto de TI no desempenho dessas unidades Maior disponibilidade das atividades cr ticas de TI Sherlock Performance permite capturar e monitorar Constru o de cen rios em fun o das metas dados em tempo real al m de identificar informa es Redu o de custos importantes para o neg cio da empresa Ti BUSINESS INTELLIGENCE PERFORMANCE MAIS BENEF CIOS PARA A REA DE TI DA EMPRESA Melhoria da produtividade Registro de Base de Dados Maior coopera o entre a rea de rede aplica o e neg cios Ger ncia proativa Vis o integrada de TI com Neg cio O oco MI C R O Cl y www sherlockmicrocity com br Outsourcing de Infra Estrutura de T 1
98. SI Jos Lu s Brasil essa nova postura dos empregados foi obtida com muito investimento em capacita o e um trabalho criativo de divulga o desenvolvido em parceria com a rea de comunica o empresarial Outro ingrediente dessa receita de sucesso o humor Utilizando recursos alternativos como o teatro interativo e shows de m sica empregados e at mesmo seus familiares s o envolvidos num ambiente de descontra o que valoriza atitudes 38 ERIC corretas em toda e qualquer a o que envolva tran sa es via rede seja ela no trabalho seja em casa Hoje o programa encontra se consolidado com atividades de rotina e inova es que garantem o envolvimento dos empregados O programa Em dia com a seguran a da informa o o elemento de sustenta o da pol tica de seguran a veiculando in forma es sobre diversos assuntos ligados ao tema Enquetes sinalizam novas a es e temas a serem abordados e com isso o conte do torna se a cada dia mais consistente Atualmente empregados de munic pios do in terior demandam visitas que na medida do poss vel s o atendidas Houve ano em que visitamos 34 mu nic pios percorrendo mais de 5 mil km lembra Jos Lu s Brasil A usina mais distante S o Sim o a 900 km de Belo Horizonte recebe tamb m treinamentos presenciais Brasil acrescenta que as visitas t m um Julho Dezembro de 2007 atributo adicional a assimila o das informa es facilit
99. a es NIC BR Security Office 2007 81 Julho Dezembro de 2007 63 para dissemina o de informa es e canal de comunica o junto a outros rg os do Governo fornecedores e cidad o preservando os princ pios b sicos de seguran a da informa o confidencialidade integridade e dis ponibilidade O Plano Corporativo de Segu ran a da Informa o foi estrutura do em etapas conforme o modelo Plan Estabelecimento SGSI Act PDCA aplicado aos processos do Sistema de Gest o de Seguran a da Informa o SGSI definido pela ABNT NBR ISO IEC 27001 2006 Primeiramente foi realizada uma ampla fase de diagn stico que con tou com a parceria da Consultoria M dulo Nessa etapa foi identifi cado um conjunto de reas priori t rias para aplica o das a es de seguran a Ap s o diagn stico foi estruturado o Plano Diretor de Se guran a No segundo momento cada um dos rg os participantes Seplag SEF e Prodemge pas sou implementa o das diretrizes expostas no Plano Atualmente o Plano Corporativo de Seguran a da Informa o encontra se na terceira etapa Fig 1 Do Implementa o e opera o do SGSI Check Manuten o e melhoria do SGSI Monitoramento g an lise cr tica do SGSI Figura 1 Situa o da aplica o do Modelo PDCA aplicado aos processos do SGSI do Plano Corporativo de Seguran a da Informa o do Governo do Estado de Min
100. a o das informa es que deveriam ser classificadas Mais de 200 pessoas foram capacita das nessa metodologia Cada rea fez a classifica o e tratamento das suas informa es num prazo de 30 dias A capacita o para multiplicar informa es Julho Dezembro de 2007 sobre como classificar as informa es contemplou 430 pessoas O trabalho foi feito em Belo Horizonte e tamb m no interior Nessa etapa do programa foi utilizado o re curso do teatro apresentado em todos os andares do pr dio no hall dos elevadores em Belo Hori zonte A informa o sobre a classifica o de cada informa o da Cemig est dispon vel para todos os empregados em um portal espec fico Brevemen te ser lan ado um game com 100 perguntas ca dastradas que randomicamente ser o sorteadas um jogo on line explica Brasil Esse jogo tamb m ser refer ncia para o planejamento de medidas da ASI com base nos resultados Outra medida em andamento pela equipe a defini o da an lise de vulnerabilidades que permi tir a interliga o da gest o de processos pessoas e ferramentas J podemos determinar ndices de risco temos indicadores definidos para isso Estamos tratan do e minimizando os riscos afirma Luis Brasil Alinhamento com os neg cios Para 2008 a equipe da ASI vai priorizar a im plementa o de medidas de seguran a que estejam ali nhadas com as necessidades dos neg cios da Empresa levantando e a
101. a o desse recurso e n o h uma perda individual para o preso que justifique sua n o aplica o FONTE Quando se pensa em internet pensa se em rela es internacionais especialmente nos aspectos legais e jur dicos j que cada pa s possui sua constitui o e suas leis Na internet realizam se transa es de compra e venda trabalha se num determinado pa s para uma empresa que s tem sede em outro Como tratar o Direito do Consumidor e o Direito Tribut rio Como fi cam os aspectos e quest es que envolvem o Direito do Trabalho E os Direitos Individuais A melhor dica de pro te o n o acreditar em tudo que v na internet ou em e mail Na verdade vale o mesmo princ pio de prote o que usamos para o mundo real ou seja n o deixar a porta de casa aberta nem o computador aberto n o falar com estranhos nem responder e mails de estranhos n o passar informa es pessoais ou de cart o de cr dito ou banco por telefone sem ter certeza de quem est do outro lado da linha e o mesmo na internet do outro lado do site do blog do chat da comunidade Se a pessoa tiver um problema deve entrar em contato com o provedor do servi o e se necess rio com as autoridades por meio da Delegacia se houve crime do Juizado Especial C vel ou do Procon em caso de problema de consumidor FONTE Qual a responsabilidade legal das em presas no tr fego de informa es consideradas crimino sas em suas redes corpo
102. a contra esses invasores por meio de entidades criadas com a finalidade de antepor a esses criminosos identificando golpes softwares uma infinidade de formas de ataque que s o disseminadas pela internet numa luta constante Essas entidades mant m na internet uma rede de in forma es atualizadas de forma permanente e promovem encontros semin rios e congressos onde os incidentes Grupo do Cais RNP 16 GE usu rios Com rela o aos riscos para as crian as que ja est o na internet oriento meus filhos para n o passa rem informa es alerto para o perigo de conversar com pessoas desconhecidas Mas com rela o cultura importante tamb m n o pensar que isso basta H pes soas inventando novos golpes mais sofisticados tecno logias novas sistemas e vulnerabilidades Daqui a pouco tempo muitos cuidados podem n o estar valendo mais e outros ser o mais importantes Isso porque os hackers tamb m evoluem h quadrilhas muito bem estruturadas h o crime organizado sofisticando os ataques ferramentas de preven o e detec o s o apresentados buscando equipar os especialistas para garantir da me lhor forma a integridade de informa es corporativas e n o raro resguardar as pessoas de golpes que se tornam a cada dia mais comuns e mais sofisticados No Brasil o Centro de Atendimento a Incidentes de Seguran a da Rede Nacional de Pesquisa Cais RNP com pletou dez anos de cria o e ampl
103. a do cada vez mais empreendedores e pequenos empres rios Segundo dados da C mara Brasileira de Com rcio Eletr nico C mara e net j existem 14 9 mil pequenas e m dias companhias que vendem na internet E esse n mero com certeza deve aumentar cada vez mais Julho Dezembro de 2007 O que tem surgido de novo nas tecnologias da cer tifica o digital A din mica a mesma da poca da sua cria o Cada vez mais as institui es est o aderindo aos certificados digitais na troca de informa es Como exemplo posso citar o Troca de Informa es em Sa de Suplementar TISS criado pela Ag ncia Nacional de Sa de Suplementar ANS para padronizar os do cumentos de registro e de interc mbio de dados entre operadoras de planos privados de assist ncia sa de e prestadores de servi os de sa de A nota fiscal eletr nica outra aplica o que est em funcionamento j com 84 empresas emitindo notas fiscais por meio eletr nico Quanto din mica com certeza a situa o outra atualmente As aplica es surgem mais rapidamente em rela o poca da cria o dos certificados e cada vez mais est o se adaptando s necessidades de cada rg o cliente H registros de quebra de chaves ou tentativas de quebra da seguran a em transa es com certificados di gitais H estat sticas COM RCIO ELETR NICO O impacto da revolu o da informa o est ape nas come ando Mas a
104. a cria o de uma norma que estabeleceu tr s n veis de classi fica o sem restri o restrito e con fidencial treinamento dos gestores respons veis por esse processo com cont nua e permanente Esse modelo permite a evolu o por fases atin gindo cada vez maior escopo e maior n vel de seguran a sem que haja concentra o antecipada de investi mentos que concorreriam com as ati vidades di rias das organiza es Al m dos resultados da Seplag descritos no artigo SEF e Prodemge tamb m empreenderam um conjunto de a es para elevar a seguran a das informa es governamentais N o obstante os avan os o pr ximo de safio do Governo do Estado de Mi nas Gerais a expans o dos projetos de seguran a da informa o para o restante dos rg os e entidades da Administra o P blica do Estado de o intuito de garantir a continuidade da classifica o informa es do pro cesso classificadas a partir da data da implanta o da norma Ap s a execu o das atividades previstas na fase 2 do Plano Corpora tivo de Seguran a da Informa o da Seplag foi realizada uma nova An lise de Riscos no mesmo escopo de ativos e constatados resultados posi tivos descritos a seguir a Evolu o do ndice de segu ran a m dio em esta es de trabalho de 82 7 b Evolu o do ndice de segu ran a m dio em servidores de 41 c Evolu o do ndice de segu ran a m dio em ativos de co
105. a da empresa deseje permitir o uso privado o ca minho mais sensato seria a exig ncia de que as mensagens privadas sejam transmitidas por e mail privado Este Refer ncias posicionamento facilmente rea lizado tendo em vista os in meros provedores que oferecem tal servi o gratuitamente na internet De todo modo optando o em pregador a permitir seus prepostos a utilizarem o e mail corporativo para fins privados o monitoramento ele tr nico somente torna se sustent vel caso se estabele a um hor rio r gido para a veicula o de tais mensagens Neste lapso temporal facultado ao empregado por consect rio l gico o monitoramento eletr nico veemen te proibido Quanto a qualifica o das provas obtidas com o monitoramento a lici tude daquelas determinada pela va lidade deste Ou seja o resultado de um monitoramento validamente rea lizado nas hip teses j devidamen te arroladas pode ser perfeitamente utilizado para a instru o probat ria em eventual lide A despeito de se viabilizar as provas obtidas pelo monitoramen to nas hip teses acima delineadas o uso de e mail corporativo para fins privados n o acarreta por si s a possibilidade de rescis o do contrato por justa causa juris prud ncia tem exigido a demons tra o de preju zo ao desenvol vimento normal do trabalho ou idoneidade dos atos para causarem danos empresa As quest es envolvendo o mo nitoramento eletr
106. a ela um firewall um antiv rus um anti spyware anti trojan ou uma ferramenta qualquer que reduza sua exposi o aos riscos existentes Outras solu es s o disponibili zadas sem nus e algumas delas s o eficientes Citamos alguns softwa res gratuitos importantes para uma melhor prote o do computador que voc usa 90 GERE e Firewalls Sygate Personal Firewall gratuito dispo nivel em http microlink tucows com files3 spf exe ZoneAlarm Firewall Ba sic gratuito dispon vel em http download zonealarm com bin free 1025 update za Setup en exe Comodo ou tro firewall sem nus Windo ws XP e 2000 Dispon vel em http www personalfirewall comodo com Outra op o o Outpostfree Firewall Dispo n vel em http www agnitum com products outpostfree Software anti v rus AVG Free Edition gratuito dispon vel em _http free grisoft com avast Home gratuito dis ponivel em http www avast com index por html Outra op o de antiv rus o Bitde fender Free Edition Dispon velem http www bitdefender com PRODUCT 14 world BitDefender 10 Free Edition html O ClamWin um pro grama GPL Disponivel em http www clamwin com Software anti spyware Spy bot Search and Destroy gra tuito dispon vel em http www spybot info pt down load index html Microsoft Windows Defender gratuito dispon vel em http ww w mi crosoft com athome securi ty spyware s
107. a no compu tador da v tima ou mensagens de phishing direcionadas a usu rios de uma organiza o espec fica spear phishing H ainda outro golpe muito comum que a tentati va de lavagem de dinheiro proveniente de golpes on line pelo uso de mulas de dinheiro do ingl s money mu les Por tr s de uma oportunidade de dinheiro f cil que chega por e mail muitas pessoas tentam receber porcen tagens por transa es Na maioria dos casos a v tima fica Cuidado com as atualiza es Os cuidados para evitar danos come am pela cons ci ncia do usu rio de que ele pode com algumas atitu des criar um ambiente seguro para trabalhar e se divertir Ronaldo Vasconcelos do Cais RNP admite que gostaria que todos conhecessem bem as ferramentas dispon veis e os riscos As pessoas devem estar bem atentas o bom senso muito importante pensar por exemplo que o que voc n o faria no mundo real n o deve fazer no mundo virtual Fornecer quaisquer tipos de informa es um grande risco h tipos de ataque que enganam Ele d outras dicas manter antiv rus atualizado mas aten o a vida til dessas ferramentas est se tor nando muito curta Os softwares maliciosos mudam rapi damente e h grande variedade de malware nem sem pre o perigo s o v rus h muita variedade de ataques 18 GE eA com a conta do primeiro fraudador para pagar Cristine Hoepers do CERT br destaca que a ma
108. a verdade mais f cil hoje em dia porque muitas das fa anhas identificadas por pesquisado res de seguran a s o publicadas Muitas empresas e clientes t m empacotado seus sistemas e corrigido essas vulnerabilidades h tamb m a divulga o das vulnerabilidades zero day para as quais n o h solu o De fato h anos quando eu era um hacker informa es como essas n o eram publicadas voc tinha que encontrar as vulnerabilidades de seguran a por conta pr pria ou se associar a um pequeno grupo de pessoas que compartilhasse esses mesmos interesses e tamb m as informa es sobre vulne rabilidades Atualmente h muita informa o dis pon vel sobre como invadir um sistema por isso mais f cil Temos que considerar no entanto que ao mesmo tempo esse fato pode tornar a invas o mais dif cil porque muitas empresas setores governa mentais e universidades est o mais prevenidos de senvolvendo tecnologias de seguran a para garantir sua prote o Ent o nesse caso a quest o se torna mais desafiadora ia 23 Quais os principais pilares de um programa de gest o de risco A habilidade para identificar uma amea a e determinar como e em que medida ela poderia afe tar seu neg cio Voc precisa identificar a amea a e a probabilidade do seu sistema ser comprometido E voc quer desenvolver um programa de gerencia mento de riscos para avaliar que rea do neg cio voc precisa proteger e como prio
109. acm org citation cfm id 85089 85091 gt Access 22 Sept 2007 WOOD C C et al Computer Security a comprehensive controls checklist New York Wiley 1987 214 p Julho Dezembro de 2007 83 o 1g O o 2 F a Protegendo os inocentes Mario Augusto Lafet Velloso Consultor em Seguran a da Informa o especialista em Gest o de Tecnologia da Informa o analista de Sistemas e professor do curso de Sistemas de Informa o do Departamento de Ci ncias Exatas e Tecnol gicas da Universidade Estadual de Montes Claros MG Unimontes Certificado em Seguran a da Informa o MCSO pela M dulo Security Solutions S A P s graduado em Gest o de Tecnologia da Informa o pela Universidade Federal de Minas Gerais UFMG P s graduado em Tecnologias na Educa o e bacharel em Sistemas de Informa o pela Unimontes o 0 O o 2 2 a Paulo C sar Lopes Bacharel em Computa o Administra o e Direito pela UFMG P s graduado em Ci ncia da Computa o UFMG com nfase em Redes de Computadores Analista de Suporte T cnico da Companhia de Tecnologia da Informa o do Estado de Minas Gerais Prodemge especialista em sistemas operacionais e redes Coordenador do projeto de reestrutura o tecnol gica e migra o dos sistemas legados para a plataforma aberta na Prodemge RESUMO Este artigo prop e uma reflex o sobre as mudan as sociais provocadas pelo desenvolvimento das tecnologias
110. acter sticas inerentes tecnologia a certifica o digital tem como um dos seus principais benef cios a agilidade na tomada de decis es justamente neste sentido que temos direciona do o desenvolvimento de novas solu es e o que tem nos permitido crescer e atingir novos nichos de mercado Como popularizar a certifica o digital Na condi o de uma das tr s primeiras Autoridades Certificadoras do mundo e a primeira da Am rica Latina a CertiSign v uma agressiva curva de crescimento na ado o da tecnologia de certifica o digital no Brasil e a expectativa para 2008 que surjam cada vez mais aplica es principalmente no setor financeiro judici rio e em rg os p blicos desencadeando a dissemina o definiti va desta tecnologia em nosso pa s Fale sobre o mercado de solu es para seguran a da in forma o Como a certifica o digital figura nesse contexto A necessidade de implementa o de medidas de se guran a da informa o tem crescido de maneira expres siva nos ltimos anos O valor da informa o tornou se mais expressivo para as empresas que muitas vezes t m seu neg cio e seu diferencial competitivo com base unicamente em informa es Neste contexto a certifica o digital seria o equiva lente a um Mercedes blindado trafegando nas vias inse guras das empresas e at mesmo dos cidad os apresen tando em cada barreira um chip de identifica o RFID 28 Eua O presidente
111. ada pela disposi o do empregado que se sente valorizado com a nossa presen a N s de fato acredi tamos que o que faz a diferen a s o as pessoas Hist ria Desde 1993 a Cemig preocupa se com a segu ran a de suas informa es Segundo o coordenador Jos Lu s Brasil com o mainframe j se adotava a utiliza o de software de gest o da seguran a ainda de forma centralizada Em 1996 houve a primeira iniciativa de implanta o de uma pol tica de seguran a na Empresa que no entanto figurou somente no Manual de Organiza o da Cemig entendida como mais uma norma da Empresa Essa pol tica foi escrita para toda a corpora o n o s para a rea de TI Naquela poca lembra Lu s Brasil nem todo o ambiente de TI operava em rede e a conex o com a internet estava longe de ser como hoje Os riscos eram portanto menores Um problema com o site da Empresa em 2000 foi o alerta para uma mudan a mais orientada Foi criado um grupo de trabalho formado por um representante de cada ger ncia de TI com a mis s o de planejar a seguran a da informa o na Em presa Jos Lu s ressalta que um fator importante identificado naquele momento foi a necessidade de uma equipe espec fica que tivesse foco na quest o da seguran a de forma corporativa sem se ocupar das quest es operacionais Ele explica que essa preocupa o deveu se constata o de que o en volvimento natural dos profissionais com as
112. ade garantia de que o acesso informa o seja obtido somente por pessoas au torizadas e Integridade salvaguarda da exatid o e completeza da infor ma o e dos m todos de pro cessamento e Disponibilidade garantia de que os usu rios autorizados obtenham acesso informa o e aos ativos correspondentes sempre que necess rio Nesse contexto a seguran a da informa o est relacionada com a prote o da informa o contra uma grande variedade de amea as para permitir a continuidade do neg cio minimizar perdas maximizar o re torno de investimentos e capitalizar oportunidades Para a sele o dos objetivos de controle apropriados para a organi za o a norma recomenda que seja realizada uma An lise de Risco que ir determinar a necessidade a viabilida de e a melhor rela o custo benef cio para a implanta o desses controles tecnologia das empresas incluindo qualidade n veis de maturidade e se guran a da informa o O COBIT est estruturado em quatro dom nios para que possa refletir um modelo para os proces sos de TIC Esses dom nios podem ser caracterizados pelos seus pro cessos e pelas atividades executadas em cada fase de implementa o da 57 governan a tecnol gica Os dom nios do COBIT s o os seguintes a Planejamento e Organiza o esse dom nio possui onze ob jetivos de controle que dizem respeito s quest es estrat gi cas associadas a como a T
113. ados por meio de software de gerenciamento em servidores ou appliances dedicados Dessa forma ha geren ciamento nico valendo se de interfaces gr ficas e intelig ncia que indica a melhor configura o para cada caso Em suma a solu o une o alcance e a fle xibilidade que as redes sem fio oferecem sem abrir Julho Dezembro de 2007 m o do gerenciamento e da seguran a necess rios ao ambiente corporativo Com a unified wireless network h possibili dade de criar templates de configura o e atualiza o de firmware centralizados e enviados automa ticamente para os concentradores desfrutando das ltimas inova es disponibilizadas pelo fabricante O gerenciamento da rede RF ativado com o uso dos controladores wireless permite a reconfigura o de canais utilizados n veis de pot ncia taxas de trans miss o e tipo de modula o do sinal maior alcance ou melhor confiabilidade para oferecer o melhor throu ghput Com isso pode se melhorar a cobertura de acordo com as mudan as do ambiente como falha em um dos APs ou mudan as no layout Tudo isto de for ma consistente e autom tica Os c lculos das diversas configura es poss veis e escolha das melhores pr ti cas s o feitos pelo software de gerenciamento Outra vantagem que a centraliza o das informa es da rede RF permite a implementa o de solu es de localiza o de dispositivos wireless que podem ser APs n o autorizados notebooks col
114. agement Printed in the USA 2001 ISBN 1 893209 28 8 Dispon vel on line em http www itgi org template_ITGI cfm template ContentManagement ContentDisplay cfm amp ContentID 6672 Visitado em 02 02 2005 NCSP 2004 NATIONAL CYBER SECURITY PARTNERSHIP Information Security Governance Assessment Tool for Higher Education 2004 Disponivel on line em http www cyberpartnership org Visitado em 15 03 2005 OGC 2000 Office of Government Comerce OGC ITIL The Key to Managing IT Services Best Practice for Service Support Printed in the United Kingdom for the Stationery Office 2001 ISBNO 11 330015 8 OGC 2001a Office of Government Comerce OGC ITIL The Key to Managing IT Services Best Practice for Service Delivery Printed in the United Kingdom for the Stationery Office 2001 ISBNO 11 330017 4 OGC 2001b Office of Government Comerce OGC ITIL The Key to Managing IT Services Best Practice for Security Management Printed in the United Kingdom for the Stationery Office 2001 ISBNO 11 330014 X PAULK et al 1993 PAULK M C CURTIS B CHRISSIS M B WEBER C V Capability Maturity Model for Software version 1 1 Technical Report Carnegie Mellon Software Engeneering Institute CMU SEI 93 TR 024 February 1993 Disponivel on line em http www sei cmu edu cmm Visitado em 12 01 2005 RUDD 2004 RUDD Colin An Introductory Overview of ITIL Publicado por iTSMF ltd Webbs Court United Kingdom 2004 Version 1 0a
115. alterado Entretanto como qualquer t cni ca a esteganografia pode ser usada 102 Eua correta ou incorretamente H ind cios recentes de que a esteganografia tem sido utilizada para divulgar ima gens de pornografia infantil na in ternet 4 5 al m das mensagens de redes terroristas H um interesse cada vez maior por diferentes comunidades de pes quisa no campo da esteganografia marcas d gua e seria o digitais Com certeza isso leva a uma certa confus o na terminologia A seguir encontram se alguns dos principais termos utilizados nestas reas e dado embutido ou embedded data o dado que ser en viado de maneira secreta nor malmente em uma mensagem texto ou figura mensagem de cobertura ou co ver message a mensagem que servir para mascarar o dado embutido Esta mensa gem de cobertura pode ser de udio de texto ou uma ima gem e estego objeto ou stego object ap s a inser o do dado em butido na mensagem de cober tura obt m se o estego objeto estego chave ou stego key adicionalmente pode ser usada uma chave para inserir os dados do dado embutido na mensagem de cobertura A esta chave d se o nome de estego chave e n mero de s rie digital ou marca fingerprinting consis te em uma s rie de n meros embutidos no material que ser protegido a fim de provar a autoria do documento Os sistemas de marca o visam proteger a propriedade
116. alto n vel de produtos e sistemas e requisitos funcionais de segu ran a que estabelecem um 97 conjunto de elementos funcio nais para a padroniza o dos requisitos divididos em classes como gest o de seguran a privacidade e comunica o em fam lias como fun es e mensagens e em componen tes como as bibliotecas de de fini es NIAP 2003b 3 7 ITIL A Information Technology Infrastructure Library ITIL com preende um conjunto de melhores pr ticas destinadas ao provimento da qualidade de servi os em TI origi nalmente patrocinadas pelo Office for Government Commerce da Inglaterra Posteriormente originou a norma BS 15000 que por sua vez tornou se um anexo da norma ISO 20000 A biblioteca ITIL divide se em dois grandes segmentos sendo o primeiro o Service Support dividido em Inform IT 2007 e gest o de incidentes destina da a reduzir a indisponibilida de dos servi os e gest o de problemas destina da a minimizar o impacto de incidentes e problemas causa dos por falhas de TI 3 8 Brasil No Brasil principalmente a par tir do final da d cada de 90 tem se dado import ncia espec fica a even tos da seguran a da informa o no tocante aos aspectos legais e jur di cos que os envolvem At ent o os incidentes eram enquadrados sob a ptica do contexto em que se inse riam por exemplo fraude ou falsifi ca o conforme o caso e a vis o do jurista respons
117. am h bitos inerentes a esfera privada dos candidatos Ressalte se que estas informa es tendem a possuir maior credi bilidade pois s o fornecidas gracio samente pelo usu rio al m de fotos e v deos que comp e este banco de dados interativo muito mais atraente do que um breve resumo das ativida des curriculares Nas empresas que se preocu pam com a seguran a da informa o constitui se regra a ado o de pol tica de seguran a interna onde se imp e a cria o de regras sist micas somadas s normas legais vigentes de modo a delimitar com efici ncia o limite da conduta no meio digital a ser concedido a cada empregado A publicidade desta pol tica re duzida a um termo de ades o obri gat rio ser fundamental para con vers o em prova inconteste do poder diretivo dos empregados em discus s es trabalhistas futuras Nesta pol tica n o se encontram apenas definidos o conte do ou site e servi os que ser o vedados aos empregados mas tamb m o alcance do acesso permitido a rede interna e externa e os recursos que ser o utili zados para este fim As ferramentas que permitem re gular o uso seguro das informa es est o se aperfei oando com o uso das identidades biom tricas e certifi ca o digital de modo a deixar in d cios inequ vocos sobre o acesso e compartilhamento de materiais con siderados como il citos Essa pol tica demanda vig lia e revis o permanente seja no aspecto sist
118. ando suas crian as para sites bons e ensinan do os como fazer pesquisas com seguran a e efic cia Voc j ensinou seus filhos a n o acreditarem em tudo o que l em na internet e a verificar a veraci dade das informa es que ali se encontram junto a um adulto ou com uma outra fonte confi vel Se sua crian a acessa a internet a partir da escola da biblioteca de uma lan house ou de um outro local p blico voc j avaliou se s o adequadas as regras pol ticas e restri es de uso da internet impostas por esses locais Voc verifica as pol ticas de privacidade dos sites que suas crian as acessam para se certificar de quais informa es pessoais que s o coletadas e se estas informa es podem ou n o ser vendidas ou repassadas a terceiros Para tornar seu trabalho de monitoramento mais f cil voc j colocou o computador usado pelos seus filhos para o acesso internet em um local de uso comum da casa tais como a sala de estar a sala de TV a sala de jantar ou a cozinha Se seu filho ou filha possui uma p gina web pessoal ou um blog voc j verificou se ela n o publicou nenhuma informa o pessoal que possa exp la a riscos desnecess rios Voc j conversou com seus filhos sobre comportamento on line respons vel Eles entendem que furtar informa es de web sites fazer download de software pirata criar ou fazer amea as on line e hackear e crackear s o atividades ilegais Legisla o corre
119. ar to das as vulnerabilidades e garantir que suas respecti vas defesas sejam institu das porque se voc deixar uma abertura com certeza algu m ir explor la muito dif cil trabalhar para proteger sistemas mais dif cil do que ser um invasor Ser um hacker mais f cil porque voc s vai precisar encontrar um pro blema de seguran a vai ter que encontrar apenas um furo mas proteger o sistema mais dif cil por que voc vai ter que encontrar todos eles muito mais desafiador na verdade mais desafiador do que ser um hacker mais dif cil proteger um sistema do que hackear um sistema Pesquisar e garantir prote o ao seu cliente melhor do que s encontrar uma nica vulnerabilidade e invadir Julho Dezembro de 2007 Atualmente qual o grau de seguran a ou in seguran a na internet Bem seguran a na internet realmente depen de da empresa ou do setor do governo que est co nectado internet No geral a internet como uma imensa rede global cria um ambiente rico em alvos porque h muitos sistemas inseguros que podem ser hackeados um ambiente hostil e uma vez que voc conecte seu sistema nessa rede tem que adotar o devido cuidado para proteger seu sistema de ser comprometido sem d vida uma rede hostil E o que voc tem que fazer como empres rio ou indiv duo adotar como padr o a devida precau o para se proteger O senhor acha que hoje mais dif cil inva dir N
120. artefatos A simples participa o no projeto faz com que elas se aproximem e outras possibilidades de coopera o sejam exploradas Na p gina do projeto s o mantidas estat sticas di rias dos ataques coletados pelos sensores al m de outras informa es relacionadas com o funcionamento do cons rcio http www honeypots alliance org br ia 17 Julho Dezembro de 2007 Dossi Dossi Dossi Dossi Dossi Dossi Crimes mais comuns O analista do Cais Ronaldo Vasconcelos enume ra alguns dos incidentes considerados mais comuns um deles a tentativa de explora o de vulnerabilidades em aplica es web que podem levar picha o da p gina defacement ou roubo de dados sigilosos ou de contas Outro incidente comum a tentativa de controle remoto da m quina Hoje isso acontece principalmente pela tentativa de login por for a bruta tentativas exausti vas de combina es de usu rio e senha em servi o SSH e de explora o de uma vulnerabilidade no software de controle remoto VNC controle total de uma m quina re mota que permite login sem usu rio e senha Com rela o a golpes o especialista afirma que phishing mensagem falsa que induz a v tima a acessar um site falso onde poder contaminar se com um cavalo de tr ia ou enviar dados pessoais ainda popular A evolu o mais comum desse golpe o uso de software ma licioso bot ou cavalo de tr ia que se instal
121. as Gerais 2007 Fonte Adaptado de ASSOCIA O BRASILEIRA DE NORMAS T CNICAS ABNT NBR ISO IEC 27001 2006 Tecnologia da informa o T cnicas de seguran a Sistemas de gest o de se guran a da informa o Requisitos Rio de Janeiro 2006 vi p O objetivo desse artigo apresentar o Plano Corporati vo de Seguran a da Informa o do Governo do Estado e os seus principais resultados Al m des ta se o introdut ria o artigo composto de mais tr s se es A Se o 2 apresenta a primeira fase que contemplou a elabora o do Plano Corporativo de Seguran a da Informa o da SEF Seplag e Prodemge A Se o 3 apresenta os produtos que foram gerados ap s a implementa o do Plano Corpo rativo de Seguran a da Informa o na Seplag que corresponde fase de implanta o das diretrizes do Plano A Se o 4 tece consi dera es finais sobre os desafios do Governo do Estado na rea de seguran a da informa o 5 Anorma ABNT NBR ISO IEC 27001 2006 foi preparada para prover um modelo para estabelecer implementar operar monitorar analisar critica mente manter e melhorar um Sistema de Gest o de Seguran a da Informa o 64 GERE Julho Dezembro de 2007 2 1 Fase Elabora o do Plano Corporativo de Seguran a da Informa o SEF Seplag e Prodemge 2005 2006 A primeira fase do Plano Corpo rativo de Seguran a da Informa o da SEF Seplag e Prodemge contem
122. as enquetes foram feitas pela nossa intranet e revelaram que a maioria dos emprega dos 97 5 ignorava a exist ncia da pol tica de seguran a dos 2 5 que sabiam de sua exist ncia apenas 1 5 a tinha lido V rias quest es foram le vantadas nessas enquetes a fim de sinalizar para a equipe os pontos que deveriam ser tratados priori tariamente no trabalho de conscientiza o A partir da em parceria com a equipe de comunica o empresarial da Cemig tiveram in cio campanhas que visavam divulga o de conceitos b sicos de seguran a da informa o engenharia so cial e pol tica de seguran a Os empregados foram conhecendo e entendendo a exist ncia e a miss o da rea criada Para isso todos os recursos e m dias dis pon veis foram e continuam sendo utilizados qua dros de aviso intranet eventos banners cartilhas e manuais Todo empregado ou estagi rio ao ingres sar na empresa recebe informa es sobre seguran a no treinamento introdut rio H treinamento espec fico tamb m para a equipe de teleatendimento ca pacitando a para as demandas das reas GENS 39 Lu s Brasil explica que o planejamento das capacita es considerou um fato importante a gran de dispers o da Empresa em todo o Estado Como pod amos estar juntos a todos os empregados A Cemig tem sete regionais Centro em Belo Hori zonte Tri ngulo Sul Mantiqueira Norte Oeste e Leste Pens vamos que esse trabalho dever
123. asicamente na prote o dada pela Constitui o ao sigilo das co munica es art 5 XII Esta prote o constitucional decorr ncia l gica de outra garantia fundamental a privacidade art 5 X A fixa o da poss vel antinomia deve ser realizada com cautela Os su postos bices constitucionais ao mo nitoramento eletr nico cingem se veda o ao controle material das men sagens A vigil ncia desenvolvida por meios de controle meramente formais n o atinge a inviolabilidade tutelada pela Magna Carta e portanto nesta modalidade n o h que se falar em conflito de valores constitucionais Quanto ao controle material di versas vari veis devem ser levadas em considera o Inicia se perquirin do a natureza jur dica do correio ele tr nico A controv rsia quanto a este ponto presente na doutrina Sua ca racteriza o como correspond ncia torna se pressuposto essencial para a corrente que pugna pela inviolabili dade de seu conte do Relevante a considera o de Kildare Gon alves Carvalho 2004 390 que assevera Quanto inviolabilidade de correspond ncia embora n o haja quanto a ela previs o ex pressa no texto constitucional permitindo seja interceptada deve se entender possa ser que brada naqueles casos em que venha a ser utilizada como ins trumento de pr ticas il citas A perspectiva do citado consti tucionalista encontra fulcro no prin c pio da proporci
124. asmo Borja Sobrinho diretor da Assespro MG Wireless LAN para ambiente corporativo muito al m de extinguir o cabo azul O especialista em networking e seguran a digital Vit rio Urashima discute a quest o da seguran a em redes sem fio Universidade Corporativa Prodemge A seguran a da informa o em artigos acad micos in ditos com abordagem dos aspectos tecnol gicos legais e sociais do tratamento da informa o As experi ncias na rea p blica as rela es trabalhistas os riscos para indiv duos e organiza es 52 Algumas recomenda es para um modelo de governan a da seguran a da informa o Mauro C sar Bernardes diretor de divis o tecnol gica no Centro de Computa o Eletr nica da USP e professor no Centro Universit rio Radial 62 A es de seguran a da informa o no governo mineiro 2005 2007 Marconi Martins de Laia diretor da Superintend ncia Central de Governan a Eletr nica do Governo de Minas Gerais e Rodrigo Diniz Lara titular da Diretoria Central de Gest o da Informa o da Secretaria de Planejamento e Gest o do Estado de Minas Gerais 70 O monitoramento eletr nico e as rela es trabalhistas Alexandre Atheniense advogado com especializa o em Internet Law e Propriedade Intelectual Presidente da Comiss o de Tecnologia da Informa o do Conselho Federal da OAB 75 Aplica o de ontologias em seguran a da informa o Maur cio B Almeida professor da UFMG pesquisador nas reas de
125. at rio de crimes de Julho Dezembro de 2007 a tecnologia lista alguns tipos de crime comuns utilizando alta tecnologia comunica es criminosas e fraudes e hacking e pagamentos eletr nicos pornografia e pedofilia e ofensas propriedade intelec tual propaga o de v rus e cavalos de tr ia Um exame preliminar desta lis ta mostra v rios casos de mau uso da esteganografia principalmen x te no que se refere comunica o criminosa Em termos de seguran a da informa o h tamb m outras re as de interesse Uma rea com uso potencial em v rias aplica es o desenvolvimento de protocolos que usam esteganografia para burlar cen sura H tamb m a possibilidade de ataques de v rus utilizarem t cnicas de esteganografia As t cnicas e fer ramentas esteganogr ficas podem ser utilizadas em conjunto com outras aplica es para automaticamente extrair informa es escondidas sem a interven o do usu rio Um cen rio poss vel para um ataque de v rus poderia ser o envio de uma mensa gem escondida em uma imagem en viada por e mail Um cavalo de tr ia instalado na m quina poderia ent o extrair o v rus da imagem e infectar v rias m quinas Finalizando a esteganografia quando bem utilizada fornece meios eficientes e eficazes na busca por pro te o digital Associando criptografia e esteganografia as pessoas t m em m os o poder de comunicar se em segredo
126. ation Security Management ela foi oficialmente apresentada em primeiro de dezembro de 2000 ap s um trabalho intenso de consulta p blica e internacionaliza o A BS 7799 foi aceita como padr o inter nacional pelos pa ses membros da International Standards Organization ISO sendo ent o denominada ISO TEC 17799 2000 ISO 2000 No ano 2001 a norma foi traduzida e adotada pela Associa o Brasileira de Normas T cnicas ABNT como NBR 17799 C digo de Pr tica para a Gest o da Se guran a da Informa o ABNT 2001 A norma ISO IEC 17799 com base na parte 1 da BS 7799 fornece recomenda es para gest o da segu ran a da informa o a serem usadas pelos respons veis pela introdu o implementa o ou manuten o da seguran a em suas organiza es 6 2 Modelo COBIT A miss o maior relacionada com desenvolvimento do modelo Con trol Objectives for Information and Related Technology COBIT pes quisar desenvolver publicar e pro mover um conjunto atualizado de padr es internacionais e de melhores pr ticas referentes ao uso corporati vo de TIC para os gerentes e audito res de tecnologia ITGI 2000 Julho Dezembro de 2007 Tem como prop sito prover uma base comum para o desenvolvimento de normas de seguran a organizacional e das pr ticas efetivas de gest o da seguran a e prover confian a nos relacionamentos entre organiza es Atualmente essa norma evoluiu para um conjunto
127. bem conhecidas no mercado de inform tica Por isso gostaria de receber as pr ximas edi es da revista Renato Carvalho Salvador BA Consegui por um amigo al gumas edi es da revisa Fon te e achei bastante interessante Meu nome Jo o Pedro e sou acad mico do curso Sistemas de Informa o na Universidade dos Vales do Jequitinhonha e Mucuri Diamantina UFVJM e tenho certeza de que a revista Fonte vai auxiliar muito na minha forma o profissional Gostaria de saber o que fa o para adquirir a revista Jo o Pedro Campos Ferreira Diamantina MG Bom dia meu nome Fa biano sou estudante na rea de inform tica e trabalho em uma empresa que presta servi os de implanta o de tecnologias e ser vi os na rea de inform tica Tive conhecimento da revista Fonte atrav s de um amigo e achei a muito interessante pois fornece informa es inovadoras e novas fontes de pesquisas Em m os tenho apenas a edi o n mero 6 Gostaria de ter as anteriores e a sequ ncia dela em diante Fabiano G S P Santos SP Tive acesso ao exemplar n mero 4 gostei do n vel dos arti gos e gostaria de ser assinante da revista para poder ter acesso a ela e a seus artigos que muito me interessam Gostaria de saber o custo da assinatura Sou aluno do 4 per odo de Sistema de In forma o Leonardo Leite Torres Porto Velho RO A nossa institui o tem inte resse em receber a revista Fonte tecnologia
128. benef cios podem ser contabilizados com o uso de onto logias em projetos de seguran a 1 criar modelos conceituais que tornam poss vel a organiza o saber mais sobre o dom nio de incidentes de Refer ncias seguran a ii facilitar a interopera bilidade entre diferentes ferramentas de seguran a iii criar um padr o para estruturar dados sobre seguran a e possibilitar que termos diversos sejam mapeados para a ontologia iv possibilitar a reutiliza o de da dos sobre seguran a por meio da importa o e exporta o de ontolo gias v auxiliar os administradores de sistemas nas decis es sobre gest o de seguran a com possibilidades de con sultas e de infer ncias autom ticas Apesar das vantagens com o uso de ontologias cabe destacar a influ n cia do fator humano Tal influ ncia marcante pelo fato de que grande parte dos problemas de seguran a gerada por a es intencionais ou n o de pessoas em suas atividades rotineiras A classifica o da infor ma o registrada em uma ontologia pelos pr prios usu rios a partir de suas necessidades uma primeira resposta ao problema do fator huma no Ao tornar as pessoas parte do pro cesso orient las trein las e deixar que decidam sobre a classifica o das informa es que manipulam rotinei ramente pode se esperar por colabo ra o nas iniciativas de seguran a da informa o Sem essa participa o fomentada pela abordagem
129. ceit veis e que n vel de seguran a a organiza o est disposta a aceitar A an lise de riscos consiste da pr ti ca de confrontar o valor da informa o e as amea as com perdas bem como identificar meios de prote o que possam reduzir riscos Os pro cedimentos de classifica o da in forma o agrupam objetos similares em categorias o que possibilita im plementar medidas de prote o que v o garantir a confidencialidade da informa o Existem diversos tipos de ini ciativas para lidar com problemas de seguran a da informa o dentre os quais se destacam iniciativas gover namentais iniciativas normativas iniciativas tecnol gicas contribui es principais ao leitor 1 informar sobre as abordagens dispo n veis na literatura proporcionando uma vis o geral da rea ii apresen tar a ontologia como um importante instrumento pass vel de utiliza o em iniciativas de seguran a O restante do presente artigo est dividido em quatro se es a se o dois apresenta considera es sobre seguran a da informa o nas organiza es com destaque para ini ciativas governamentais e iniciativas normativas a se o tr s destaca as iniciativas que envolvem a TI a se o quatro enfatiza as iniciativas que envolvem a TI e ao mesmo tempo utilizam ontologias como ferramenta de classifica o al m de apresentar um roteiro sobre como construir on tologias para fins de seguran a da
130. ci a utiliza o da internet a grande diversidade e com partilhamento de t cnicas de ataque e invas o a car ncia de mecanismos legais de responsabiliza o em am biente virtual e a diversifica o dos tipos de amea as como funcion rios insatisfeitos hacker virus spams engenharia social tem influenciado para que a seguran a da informa o seja considerada uma real necessi dade e um requisito estrat gico que interfere na capacidade das organi za es de realizarem suas atividades com efici ncia e efic cia No mbito p blico Brasil 2006 p 4 afirma que As informa es sob cust dia do Estado sempre exigiram um tra to especial para sua prote o No entanto com o aumento da com plexidade das organiza es que realizam as tarefas de suporte gest o de Estado aliada cres cente demanda de informa es das quais dependem tornou se vital prover a prote o a essa massa informacional com uma abordagem moderna e suficien temente abrangente Diante desse cen rio o Governo do Estado de Minas Gerais em con son ncia com o Programa de Gover nan a Eletr nica sob a coordena o da Secretaria de Estado de Planeja mento e Gest o Seplag e em par ceria com a Secretaria de Estado de Fazenda SEF e da Companhia de Tecnologia da Informa o de Minas Gerais Prodemge iniciou em 2005 a elabora o e a implanta o do Pla no Corporativo de Seguran a da In forma o co
131. cional sem limites Mas tam b m apresenta grandes riscos para os filhos fazem da internet Essa tend n cia teria como pressuposto o fato de essa rede ser considerada o caminho do futuro pois estariam cientes de que essa nova tecnologia encontra se em est gio de forma o e aperfei o amento e por este motivo poderiam influenciar a maneira como as crian as ir o us la A partir dessa tend n cia otimista poder amos inferir que esses pais e respons veis gostariam que seus filhos usassem a internet de modo seguro e respons vel Da a necessidade de estrat gias para admi nistrar esse uso al m da necessidade de estabelecer controles e restri es de conte do caso julguem necess rio Em outras palavras poder amos afirmar que necess rio ir al m da responsabilidade de supervisionar e administrar as atividades on line das crian as preciso torn las s bias respons veis e conhecedoras de alguns dos riscos aos quais ficam inocentes Tudo na web ampliado Tanto o lado construtivo e produtivo quanto o destrutivo e improdutivo O mundo virtual advindo da conex o dos computadores a internet n o possui limites e limites fazem parte de uma boa educa o Duas pergun tas constantes de pais preocupados com o intenso acesso dos seus filhos web s o quais s o os riscos que meus filhos correm ao usarem a in ternet O que posso fazer para pro teg los Este artigo
132. com a dificuldade em acumular conhecimento para a to mada de decis o e para a solu o de incidentes de seguran a Apesar dos esfor os em clas sificar dados sobre seguran a as em diversas reas as ontologias tamb m servem a prop sitos de se guran a da informa o conforme comprovam exemplos apresentados na se o 4 1 A se o 4 2 apresenta um breve roteiro sobre como cons truir uma ontologia organizacional para classifica o da informa o em projetos de seguran a da infor ma o iniciativas em geral n o contemplam a sem ntica dos dados armazenados Sem o significado dos dados um ad ministrador ou um agente de softwa re n o capaz de fazer correla es sobre os incidentes de seguran a Nesse contexto Martiniano e Morei ra 2006 prop em uma ontologia de incidentes de seguran a a qual define um vocabul rio nico A maioria dos conceitos da ontologia sobre inciden tes de seguran a foi obtida de glos s rios e taxonomias sobre seguran a da informa o Howarde Longstaff 1998 NSCS 1988 Shirley 2000 em recursos sobre vulnerabilidade NVD National Vulnerability Data base CVE Common Vulnerabilities and Exposures Project Para avaliar se representativa a ontologia foi confrontada com o SNORT Fenz et al 2007 tamb m pro p em a constru o de uma ontologia 4 Para um estudo comparativo das diversas defini es de ontologias e suas aplica es ver Alme
133. cos mais populares Ao inv s de uma pistola o ataque como uma metra lhadora Atentos a essas dicas os usu rios podem tamb m consultar orienta es no site do Cais onde h lista de incidentes e orienta es on line Mais do que isso seria pedir que o paciente saiba mais que o m dico O especia lista tem que trabalhar para prover seguran a Redes sem fio Se para os usu rios em geral as quest es de segu ran a s o t o importantes aquelas que se conectam em redes sem fio devem ter aten o redobrada O alerta do gerente de Solu es da IBM para a Am rica Latina Marcelo Bezerra que reconhece e aplaude os benef cios da tecnologia mas recomenda cuidado Trata se de um benef cio enorme que traz uma s rie de facilidades ao usu rio Os equipamentos em sua maioria j saem de f brica com o recurso da conex o sem fio j temos o iPod sem fio acesso rede via celular Mas o problema da seguran a existe Embora os manuais descrevam em detalhes os procedimentos para configura o segura de uma rede wireless a tecnologia apresenta riscos adicionais a rede n o tem um limite definido suscept vel outras pessoas podem usar uma determinada conex o at sem querer Ele exemplifica com o fato ocorrido com a fi lha que reclamou de quedas sucessivas em sua cone x o Na rede que tenho em casa as configura es est o adequadas o que estava acontecendo que minha filha estava usan
134. da CertiSign S rgio Kulikovisk mostra um panorama da certifica o digital no Brasil provendo ao mesmo tempo base jur dica identifica o autentica o e confidencialidade As institui es financeiras s o as grandes deman dantes de ferramentas de seguran a A tend ncia do crescimento das transa es via internet levar exig n cia de uso de certificados por todos os clientes Tudo depende de como as institui es financeiras ir o posicionar se As que j adotaram a certifica o di gital deram se muito bem n o apenas na redu o dos riscos mas tamb m dos custos inerentes s suas pol ticas de seguran a A tend ncia que haja cada vez mais o uso dos certificados digitais mas ainda n o poss vel afirmar que haver uma exig ncia desse mercado quanto ao uso dessa tecnologia Com rela o ao com rcio eletr nico qual o com portamento atual e quais as tend ncias A internet j vem se mostrando como uma exce lente oportunidade para alavancar neg cios no Pa s De certo h ainda uma significativa parcela da popula o que n o tem acesso rede ou n o disp e de banda larga para melhor usufruir dela no entanto os n meros j impressionam N o se trata aqui apenas de um espa o reservado a grandes varejistas muito pelo contr rio o investimento inicial reduzido e a possibilidade de atingir um p bli co maior mais heterog neo e disposto a comprar pela internet t m atr
135. da TecSoft e SofTex do Departamento de Pol cia Federal e da Organiza o das Na es Unidas Ex professor do programa de p s graduac o da Universidade Cat lica de Bras lia e ex professor substituto da Universidade de Bras lia atualmente Analista Legislativo da C mara dos Deputados reas de interesse seguran a da informa o pol ticas de informa o epistemologia e hermen utica an lise estat stica marciano unb br RESUMO Os padr es e modelos direcionados correta ger ncia dos temas relacionados com as tecnologias de informa o e de comunica o TICs no meio organizacional t m se proliferado continuamente tanto no tipo quanto no n mero de utiliza es Em consegii ncia ao grande volume de informa es de diversas fontes e categorias que permeiam as redes e os demais recursos digitais somam se as informa es acerca da gest o desses mesmos recursos as quais t m seus pr prios requisitos de sensibilidade e ciclos de vida As metodologias de seguran a da informa o muito t m a contribuir neste contexto ao se aliarem s pr ticas de gest o em busca de solu es que devem se adequar ao mesmo tempo ao neg cio e s estrat gias de governan a da informa o Palavras chave Governan a da informa o Seguran a da informa o ITIL COBIT TICs 1 Introdu o Muito tem se falado acerca da necessidade de implementa o de modelos e metodologias destinados governan a das tecnologias de i
136. da informa o na gest o p blica que foi solicitada para esta biblioteca pelo coordena dor adjunto do curso de Sistemas de Informa o professor lisson Rabelo Arantes por entend la de grande relev ncia para os acad micos do referido curso Maria Irene de Oliveira Faria Sociedade Mineira de Cultura Arcos MG O interessado em assinar a revista Fonte deve enviar seu nome e endere o completo para o e mail revistafonte O prodemge gov br informando quando for o caso a empresa ou institui o a que vinculado As revistas seguir o via Correios de acordo com a disponibilidade de exemplares Julho Dezembro de 2007 Dr logo Sociedade digital cen rio virtual imp e mudan as culturais e ordenamento jur dico globalizado Patricia Peck Pinheiro advogada especialista em Direito Digital s cia do escrit rio PPP Advogados formada pela Uni versidade de S o Paulo com especializa o em Neg cios pela Harvard Business School e MBA em Marketing pela Madia Marketing School escritora tendo publicado o livro Direito Digital pela Editora Saraiva al m de participa o nos livros e Dicas e Internet Legal professora da p s gradua o da FAAP Impacta Fatec IBTA e colunista do IDG Now e articulista da Gazeta Mercantil Va lor Econ mico Revista Executivos Financeiros Info Exame Info Corporate About Revista do Anunciante entre outros Iniciou sua carreira como programadora de games aos 13 anos J
137. dados de um disco propagavam se r gido o anonimato ou o disfarce criado explorando a inoc ncia das crian as Pode ainda seduzi las com propostas atraentes com a finalidade de encon tr las para cometer qualquer tipo de abuso inclusive os sexuais planejar sequestros ou apenas extrair infor ma es pessoais e sigilosas Mas h tamb m aquelas amea as oriundas n o s dos di logos on line que acontecem via internet S o aquelas que recebemos por Os worms s o programas que enviam c pias de si mesmos para outros computadores Diferentes dos v rus os worms n o embutem c pias em outros programas e n o necessi tam ser executados para se propagar Eles exploram vulnerabilidades ou falhas nas configura es de softwa res instalados em computadores Eles s o programas aut nomos criados para cumprir determinadas miss es como enviar spams ou atacar sites Outra tarefa t pica abrir portas na m quina invadida para a entrada de outros worms Os bots termo derivado de ro bot ou rob em portugu s um tipo de worm que possui dispositi vos de comunica o com o invasor permitindo seu controle a partir de outros computadores Os bots s o normalmente utilizados para atacar sites retirando os do ar e enviar e mails n o solicitados em grandes quantidades meio de e mails que est o pre sentes em alguns sites inid neos ou em algumas daquelas janelas que se abrem
138. de qualquer expectativa de privacidade O envio de mensagens com conte do ntimo n o caracteri za viola o da privacidade devido cogni o do empregado quanto natureza do meio de comunica o utilizado N o ocorreu neste caso subtra o ao poder de autodetermina o do preposto como j ressaltado restando inc lume a sua privacidade N o obstante a predisposi o do e mail corporativo como ferramenta de trabalho e as j expostas conse qu ncias advindas de tal imputa o a conduta das partes elemento id neo modifica o destas caracter sti cas O contrato de trabalho demanda que a atua o de seus figurantes seja pautada pela boa f O dever de in forma o insere se plenamente neste instituto A veda o expressa ao uso par ticular do e mail corporativo e a previs o do monitoramento eletr nico de tal meio de comunica o disposta no contrato de trabalho ou em termo aditivo art 444 da CLT n o somente qualifica a conduta do empregador como fiel mas tamb m torna inequ voco o comportamento esperado do empregado not rio que o direito do traba lho material e processual possui como um de seus princ pios regen tes o da prote o A in rcia do em pregador acrescida de demais vari veis relevantes pode caracterizar sua anu ncia t cita quanto ao uso par ticular do correio eletr nico sendo esta perspectiva refor ada pelo prin c pio acima apresentado
139. dicina de S o Paulo prop e como crit rios transpar ncia honestidade qualidade consenti mento livre e esclarecido privacidade tica m di ca responsabilidade e proced ncia al m de outros aspectos semelhantes aos propostos pelo Hiti e da HON Foundation Em artigo onde resume sua tese de dou torado Lopes oferece um quadro com links para acesso a institui es que desenvolveram ckecklists para avalia o de sites sobre sa de na web A auto ra tamb m nos informa que o Centro de Vigil ncia Sanit ria do Governo do Estado de S o Paulo tra duziu e adaptou o Guia Para Encontrar Informa es Seguras produzido pela Organiza o Mundial da Sa de Nesse Guia s o indicadas as quest es que devem nortear os usu rios na busca de infor ma o relevante e confi vel e H indica es claras do nome e endere o do propriet rio do site e H alguma institui o respons vel e H indica o de patrocinadores e H indica es claras sobre o prop sito do site e Qual a data da publica o da informa o e Institui es reconhecidamente qualificadas ap iam a publica o da informa o e Se for o caso de resultado de pesquisa ha Ne Dados em O Globo 27 ago 2007 men o a testes cl nicos e No caso de produtos novos estes foram re gistrados e aprovados no pa s de origem No Brasil o Comit Executivo do Governo Eletr nico estabeleceu regras e diretrizes para si tes na Administra
140. diferentes para uso pessoal trabalho compras on line e cadastros em sites em geral e Evite o clique compulsivo ou seja clique apenas naquilo que realmente lhe interessa descartando a curiosidade de clicar em links recebidos alea toriamente e Ao receber e mails promocio nais de empresas evite clicar no link dispon vel no e mail Ao acessar o site da empresa voc poder confirmar a exis t ncia da promo o ou mesmo de um golpe que anda circu lando pela rede e Leia com aten o as infor ma es fornecidas em sites onde voc realiza cadastros para evitar que concorde sem querer com op es in desej veis Ao realizar esses cadastros certifique se que a empresa possui uma pol ti ca de privacidade adequada para resguardar o sigilo das 2 GETSCHKO Demi Participa o e Presen a na Rede In CGI br Comit Gestor da Internet no Brasil Pesquisa sobre o uso das tecnologias da informa o e da comunica o 2006 S o Paulo 2007 pp 35 37 3 Algumas das informa es referentes ao resguardo das vulnerabilidades da pr pria m quina foram extra das do v deo A Defesa Gestor da Internet no Brasil CGLbr dispon vel em http www antispam br videos 88 Fonte core criado pelo Comit Julho Dezembro de 2007 informa es que voc for nece e Antes de repassar e mails que relatam fatos atipicos procure certificar se quanto a veracidade das informa es ali contidas
141. do sem querer a rede do vizinho que esta va aberta sem prote o Como n o h limites o risco Julho Dezembro de 2007 A analista do CERT br Cristine Hoepers recomenda cuidados relacionados com o comportamento dos usu rios e n o acessar sites ou seguir links recebidos por e mail por servi os de mensagem instant nea ou presentes em p ginas sobre as quais n o se saiba a proced ncia e jamais executar ou abrir arquivos recebidos por e mail mesmo que venham de pessoas conhecidas jamais executar programas de proced ncia duvi dosa ou desconhecida e consultar sua institui o financeira sempre que tiver d vidas sobre a utiliza o de meca nismos de acesso e seguran a ou quando re ceber convites para cadastros em promo es ou atualiza o de dados entre outros Muitas vezes os fraudadores utilizam estes ardis para tentar convencer o usu rio a fornecer dados de cadastramento Na p gina da Cartilha de Seguran a para Internet poss vel obter um folder com essas e com outras dicas de seguran a http cartilha cert br dicas aumenta seu computador pode ser invadido por algu m que voc nem sabe onde est Ele adverte para o fato de que se houver uma co nex o da rede wireless com uma rede cabeada o acesso aberto tamb m segunda Existem hoje os chamados sniffers que conseguem capturar todo o tr fego em um segmento de rede Se o dado est sem criptografia ele pode capturar tudo
142. do pela Prodemge para aquisi o de uma ferramenta de administra o centralizada de anti v rus e de anti spam A ferramenta de anti spam reduziu drasticamente o n mero de e mails indevidos que giram em torno de 70 do total de e mails recebidos pelos funcion rios da Seplag atualmente O terceiro projeto foi criar o escrit rio de projetos de Seguran a da Informa o Security Project Management Office SPMO que fi cou subordinado Superintend ncia Central de Governan a Eletr nica apoiando diversos projetos simulta neamente como um centro de compe t ncia em seguran a da informa o A raz o da escolha foi por acreditar que as fun es de seguran a assim como outras s o parte de um proje to amplo de utiliza o das TICs na 67 administra o p blica Um manual de gerenciamento de projetos em seguran a da informa o foi criado estabelecendo os processos e os indi cadores para uma gest o eficiente Atrelada cria o do escrit rio uma das a es mais importantes foi realizar o treinamento de todos os componentes do Security Project Management Office SPMO Al m destes um conjunto com mais 32 gestores de outras organiza es p blicas do Poder Executivo Estadual tamb m foi qualificado O treina mento foi constitu do de dois m du los sendo que o primeiro focou os fundamentos dos aspectos de gest o da seguran a da informa o e o se gundo focou os aspectos de gest o das t
143. dos estupro aten tado violento ao pudor corrup o de menores e outros Alguns s o no vos como a produ o divulga o e publica o de fotografias com cono ta o sexual envolvendo crian as e adolescentes Apresentamos o artigo do ECA Art 241 Apresentar produzir vender fornecer divulgar ou publicar por qualquer meio de comunica o inclusive rede mundial de computadores ou internet fotografias ou imagens com pornografia ou cenas de sexo expl cito envolvendo crian a ou adolescente Pena reclus o de 2 dois a 6 seis anos e multa Conclus o Os recursos e considera es aqui apresentadas n o esgotam todos os problemas ocasionados pela intensa exposi o das crian as e adolescen tes web S o apenas alguns recursos auxiliares e pr ticas usuais que visam colaborar no processo de monitora mento e acompanhamento dos jovens enquanto usu rios da internet A edu ca o infantil e do adolescente exige tempo dedica o di logo e con fian a Mecanismos implementados por programas de computador nunca dar o plena seguran a s crian as e aos adolescentes As solu es com putacionais n o dar o maturidade 1 Incorre na mesma pena quem Inclu do pela Lei n 10 764 de 12 11 2003 I agencia autoriza facilita ou de qualquer modo intermedeia a participa o de crian a ou adolescente em produ o referi da neste artigo II assegura os meios ou servi
144. e o Tecnol gica PO4 Definir a Organiza o e Relacionamentos de TI PO5 Gerenciar o Investimento em TI PO7 Gerenciar Recursos Humanos POB Garantir Conformidade com Requisitos Externos PO9 Avaliar Riscos PO10 Gerenciar Projetos PO11 Gerenciar Qualidade M1 Monitorar os Processos M2 Avaliar a Adequa o do Controle Interno M3 Obter Certifica o Independente M4 Providenciar Auditoria Independente Monitoriza o Objetivos do Neg cio PO6 Comunicar Metas e Diretivas Gerenciais gt ES Informa o Efici ncia Efic cia Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade Entrega e Suporte Aquisi o e Implementa o DS1 Definir e Gerenciar N veis de Servi o DS2 Gerenciar Servi os de Terceiros DS3 Gerenciar Desempenho e Capacidade DS4 Garantir Continuidade dos Servi os DS5 Garantir Seguran a de Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinaar Usu rios DS8 Auxiliar e Aconselhar Clientes DS9 Gerenciar Configura o DS10 Gerenciar Problemas e Incidentes DS11 Gerenciar dados DS12 Gerenciar Instala es DS13 Gerenciar a Opera o AM Identificar Solu es Automatizadas Al2 Adquirir e Manter Software Aplicativo AI3 Adquirir e Manter Infra Estrutura Tecnol gica Al4 Desenvolver e Manter Procedimentos AI5 Instalar e Validar Sistemas Al6 Gerenciar Mudan as Figura 2 Os dom nios de processo do C
145. e Neg cios Gerenciamento de Aplica es processos da organiza o permitin do a evolu o gradativa desses O resultado da auditoria per mite identificar o n vel de evolu o dos processos na organiza o de modo concreto com base em re lat rios confi veis de auditoria e par metros de mercado O sum rio executivo do relat rio gerado pela auditoria traz as seguintes informa es se existe um m todo estabele cido para o processo como o m to do definido e estabelecido quais os controles m nimos para a verifi ca o do desempenho do m todo como pode ser feita a auditoria no m todo quais as ferramentas utili zadas no m todo e o que avaliar no m todo para sua melhoria A partir desse ponto a organiza o define os objetivos de controle a serem atingidos Entrega de Servi os Suporte a Servi os e Gerenciamento de Infra estrutu ra Embora o modelo ITIL n o tenha um m dulo dedicado ao gerenciamen to de seguran a computacional ele faz refer ncia a esse tema descrevendo em um documento como este poderia ser incorporado por meio dos proces sos descritos nos m dulos de Suporte a Servi os e Entrega de Servi os Dentre os cinco m dulos cita dos os mais utilizados s o o Suporte a Servi os e Entrega de Servi os Apesar de o modelo ITIL pos suir processos bem definidos para auxiliar na governan a de TIC neste trabalho identifica se a necessidade de algumas adapta es
146. e grupos brasileiros em http www cert br contato br html Do ponto de vista internacional n s do CERT br temos uma coopera o grande com outros CERTs com responsabilidade nacional lista de grupos em http www cert org csirts national contact html Des se modo podemos atuar como facilitadores no contato entre grupos do Brasil e grupos internacionais sendo a rec proca verdadeira Ela explica que as comunica es s o geralmente sob demanda ocorrendo quando h um incidente de se guran a envolvendo as redes atendidas por um dos gru pos Em geral at pelos desafios de fuso hor rio a co munica o toda feita pela internet por meio de e mails que s o cifrados quando necess rio Gloss rio Termos pr prios de seguran a da informa o e jarg es ADS Anomaly Detection System Adware forma de spyware seu nome vem da justaposi o de duas palavras da l ngua inglesa advertisement software e identifica um programa ou parte de um programa de computador que exibe propagandas en quanto seu programa hospedeiro ou aplica o principal executado Veja The Difference Between Adware amp Spyware em http www webopedia com Did YouKnow Internet 2004 spyware asp Ataque de for a bruta uma estrat gia de descoberta de senha que tenta todas as combina es poss veis de ca racteres alfanum ricos e s mbolos especiais A arte de enganar Kevin Mitnick e William L Simon
147. e passar pela rede um n mero de CPF ele acusa Da mesma forma h intelig ncia para detectar fraudes no correio eletr nico Outra preocupa o dos executivos de seguran a que vem recebendo resposta dos fornecedores a quest o Certifica o Digital Num cen rio de crescimento dos servi os ofere cidos pela internet a certifica o digital posiciona se como grande aliada da seguran a em transa es reali zadas via web A Receita Federal estima que at 2010 o Brasil deve atingir a marca de 4 milh es de certifica dos emitidos um n mero ainda muito longe do ideal considerando os riscos que a internet representa e o n mero de usu rios segundo o diretor da CertiSign S rgio Kulikovski Contudo j um grande avan o visto que o certificado digital uma tecnologia relati vamente nova A analista do CERT br Cristine Hoepers entende que o certificado digital n o um mecanismo de segu ran a mas sim de autentica o Ele normalmente uti lizado para comprovar a identidade de uma pessoa em presa ou site semelhante ao CNPJ RG CPF e carteira de habilita o de uma pessoa Cada um deles cont m um conjunto de informa es que identificam a institui o ou pessoa e a autoridade para estes exemplos rg os p blicos que garantem sua validade Alguns usos t pi cos da certifica o segundo a analista s o assegurados pela tecnologia como o acesso a um site com conex o segura
148. e plural no mbito da tecnologia da informa o e comunica o sendo que o conte do dos artigos publicados nesta edi o de responsabilidade exclusiva de seus autores Prodemge Rua da Bahia 2 277 Bairro Lourdes CEP 30160 012 Belo Horizonte MG Brasil www prodemge gov br prodemge prodemge gov br Julho Dezembro de 2007 Inter cdao O mundo em rede Informa es servi os e conhecimento na rota da tecnologia A revista Fonte agradece as mensagens enviadas reda o entre as quais algumas foram selecionadas para publica o neste espa o destinado a acolher as opini es e sugest es dos leitores Continuem participando o retorno fun damental para que a revista evolua a cada edi o e mail revistafonte prodemge gov br Revista Fonte Companhia de Tecnologia da Informa o do Estado de Minas Gerais Rua da Bahia 2 277 Lourdes Belo Horizonte MG CEP 30160 012 OPINI ES DOS LEITORES Recebemos os exemplares da nova edi o da revista Fonte Tenho a impress o de que a presen a da RNP nessa edi o vai ser marcante na hist ria de nossa comunica o Foi a informa o certa no momento cer to no ve culo certo Houve uma feliz sincronia entre o que estamos reali zando implementa o da rede nacional de alto desempenho e extens o dessa infra estrutura at a ltima milha para conex o de institui es de ensino superior e pesquisa em todo o Pa s e a excelente vis o geral
149. e suportam os processos foram ana lisados Para realiza o dos trabalhos foi utilizado um software de Gest o de Riscos denominado Risk Manager que possui uma base de conhecimento vasta sobre seguran a da informa o d Identifica o das caracteris ticas de cada processo em fun o das dimens es Gra vidade Urg ncia e Tend n cia GUT e Identifica o e planejamen to dos projetos de seguran a que devem ser implementa dos indicando os objetivos escopo benef cios produ tos b sicos atividades re cursos necess rios priori dade prazo e estimativa de investimentos a serem cumpridos por todos os ser vidores e prestadores de servi o das 65 tr s organiza es al m de fornecer orienta o e apoio s a es de gest o de seguran a As diretrizes da Pol tica de Seguran a foram elaboradas em conjunto e foram as mesmas para a SEF Seplag e Prodemge As nor mas procedimentos e instru es de trabalho foram desenvolvidos tendo em vista o ambiente de cada organiza o Ao final do trabalho foram desenvolvidas 15 normas de usu rios 15 normas t cnicas 15 procedimentos e 15 instru es de trabalho al m de um modelo de termo de sigilo desenvolvido para cada organiza o Os principais benef cios dessa a o foram a determina o dos va lores de seguran a da informa o para as organiza es a cria o de uma linguagem comum no que se refere seguran a da infor
150. ecessidade de implement la os gerentes n o possuem clareza sobre o que deve ser protegido e como faz lo Este artigo apresenta uma vis o geral da pesquisa na rea e descreve iniciativas diversas Des taca a import ncia de classificar a informa o no ambiente corporativo e conclui que existem benef cios na aplica o de ontologias em seguran a da informa o Espera se contribuir com uma revis o de literatura sem a pretens o de que seja exaustiva e com um roteiro para constru o de ontologias bem como sua integra o aos recursos corporativos 1 Introdu o A express o seguran a da in forma o representa um conceito amplo Em geral nas empresas e nas institui es est associada a sis temas informatizados e a dados que estes manipulam Entretanto uma organiza o n o possui apenas dados em formato digital Considere se que muita informa o sobre uma empresa est armazenada fora dela governo conselhos fornecedores etc Con sidere se ainda a complexidade do Julho Dezembro de 2007 ciclo de vida da informa o desde sua produ o at sua dissemina o e as influ ncias do fator humano Mesmo se observado apenas o contexto das organiza es n o parece tarefa trivial definir seguran a da informa o Os problemas de muitas organi za es na implementa o de segu ran a da informa o est o relacio nados com a dificuldade em definir o que deve ser protegido qual o n v
151. ecnologias da seguran a da in forma o Todos os tr s servidores do SPMO da Seplag respons veis pela implementa o da seguran a 4 Considera es finais A Administra o P blica do Po der Executivo Estadual por meio das a es do Plano Corporativo de Seguran a da Informa o da SEF Seplag e Prodemge iniciou a traje t ria para implementa o de um n vel satisfat rio de prote o das suas informa es O Plano Corporativo de Segu ran a da Informa o est sendo rea lizado por fases para alcan ar n veis de seguran a progressivos em per o dos limitados conforme expostos nas fases 1 e 2 Ap s essas fases as organiza es dever o avaliar a ne cessidade de execu o de outras e assim sucessivamente pois a ges t o de seguran a da informa o da informa o no rg o realizaram a prova de certifica o e receberam o certificado M dulo Certified Security Officer Tamb m foi criado o projeto de classifica o da informa o que teve como objetivo em um processo pi loto classificar as informa es para indicar a necessidade prioridades e o n vel esperado de prote o quan do do tratamento da informa o O processo piloto escolhido foi o de concursos p blicos gerenciado pela Diretoria Central de Provis o que possui informa es cr ticas e bastan te visadas at o momento da publica o do edital do concurso As atividades do projeto con templaram
152. edia org wiki 1 C3 A7ami_tiba 2 GE Inclu do pela Lei n 10 764 de 12 11 2003 I se o agente comete o crime prevalecendo se do exerc cio de cargo ou fun o II se o agente comete o crime com o fim de obter para si ou para outrem vantagem patrimo nial Apesar da possibilidade de in terpreta o do artigo acima de que o simples armazenamento das ima gens e fotografias envolvendo sexo com crian as e adolescentes mes mo sem ci ncia do usu rio do equi pamento computacional seja crime para grande parte dos penalistas o O ordenamento jur dico brasileiro ow incipiente e timido no combate pedofilia acompanhamento participa o e monitoramento A presen a dos pais simplesmente insubstitu vel As crian as e os adolescentes devem experimentar e aprender Da a difi culdade em decidir quando liberar e quando proibir Trata se de um dilema individual que em parte respondido quando lembramos que educar antes de tudo amar profun damente Conclu mos com a fala de Paulo Freire Educar um ato de amor e para educar crian as neces s rio sobretudo am las profunda mente e com a sintetiza o de I ami Tiba Quem Ama Educa Julho Dezembro de 2007 Governan a de TICs e Seguran a da Informa o Jo o Luiz Pereira Marciano Bacharel e mestre em Ci ncia da Computa o doutor em Ci ncia da Informa o consultor de programas
153. efer ncias aos pr prios documentos utilizados na rotina organizacional A ontologia resultante um modelo consultado por um siste ma que pode ser por exemplo de gest o de documentos Sugere se que a interface de classifica o seja integrada a outra interface j em uso de forma que o usu rio n o tome a tarefa como um traba lho adicional A ontologia passa a ser a refer ncia nica para qual quer sistema de informa o em uso na organiza o em quest es que dizem respeito seguran a da informa o 11 Para um levantamento abrangente sobre ferramentas linguagens e metodologias para a constru o de ontologias ver Almeida 2003 12 Documentos vitais s o aqueles essenciais para atestar uma atividade em um contexto organizacional ou seja documentos sem os quais os processos n o teriam in cio continuidade e os agentes n o contariam com instrumental para exercer avalia es e gest o Julho Dezembro de 2007 81 5 Considera es Finais Este artigo apresentou conside ra es sobre seguran a da informa o destacando iniciativas governa mentais normativas e tecnol gicas Sem pretens o de abranger toda a pesquisa em seguran a da informa o apresentou se apenas o suficien te para uma vis o geral da rea In troduziu se ent o a ontologia como importante instrumento para projetos de seguran a nas organiza es e descreveu se um breve roteiro para a sua constru o V rios
154. efesa corporativa semelhante aos moldes adotados pelo Department of Defense DoD a OCTAVE voltados ao incremen to da seguran a da informa o que s o aplicados em larga escala e ainda disponibiliza corre es para falhas encontradas em diferentes softwares bastante conceituada SANS 2004 O SANS Institute publicou ainda um modelo para a elabora o de po l ticas de seguran a de n vel orga nizacional GUEL 2001 al m de uma lista de verifica o checklist para valida o da conformidade ao padr o ISO IEC 17799 Thiaga rajan 2003 Julho Dezembro de 2007 3 4 ITSEC O Information Technology for Security Evaluation Criteria ITSEC foi um dos primeiros padr es pro postos para a interoperabilidade de sistemas computacionais com requi sitos de seguran a principalmente 3 5 COBIT Em 1998 foi criado o Infor mation Technology Governance Institute ITGD organismo com base nos Estados Unidos com o objetivo de realizar pesquisas e es tudos sobre o tema da governan a prote o e seguran a de TI Um dos principais produtos desses estudos o guia conhecido como Control Objectives for Information and related Technology COBIT to talmente compat vel com a norma ISO IEC 17799 que tem como p blico alvo gestores de organi za es auditores e respons veis pela seguran a da informa o IT Governance Institute 2005 do COBIT s o os seguintes IT Governance Institute 200
155. el de envolvimen to do usu rio com o sistema o treinamento passou a ser ponto fundamental para garantir a seguran a Erasmo Borja Sobrinho Engenheiro Mec nico pela UFMG Especializa o em Engenharia Econ mica FDC S cio Diretor da NetSol Diretor da Assespro MG Professor Titular na Universidade FUMEC Julho Dezembro de 2007 GENE 47 Divulga o Vit rio Urashima A diminui o de custo de concentrado res e placas de rede sem fio access points e wireless adapters respectivamente sendo que estas ltimas j v m integradas nos notebooks de ponta tornou o uso de wireless LAN popular tamb m no ambiente corporativo Entretanto adotar wireless nas empresas vai muito al m de extinguir o cabo azul que liga o ponto de rede ao notebook O ambiente corporativo exige a solu o de v rios desafios antes de o acesso wi reless ser utilizado de modo que proporcione uma verdadeira vantagem competitiva para as empresas Para se ter id ia dos principais problemas ser o lis tados seis deles 1 redes wireless isoladas e n o gerenciadas com m ltiplas configura es s o dif ceis de suportar 2 o padr o mais utilizado o 802 11 b g pos sui somente tr s canais de r dio dispon veis n o sobrepostos e utiliza fregii ncias j con gestionadas perto de 2 4 GHz junto com te lefones sem fio celulares bluetooth etc 3 usu rios podem montar redes wireless de compartilhamento em configura
156. el de prote o necess rio e quais ferramentas utilizar no ambiente cor porativo A dificuldade come a na pr pria defini o do objeto a prote ger ou seja na defini o da informa o Wilson 2002 alerta para o uso indistinto dos termos dado e infor ma o Para o autor dados s o fatos e est o fora da mente de uma pessoa Informa es consistem de dados aos quais se incorpora um contexto rele vante para o indiv duo Cabe ent o organiza o descobrir em quais uia 75 Divulga o contextos a informa o cr tica se ma nifesta e quais as necessidades cor porativas em rela o seguran a e n o apenas buscar prote o para da dos em computadores e em redes A despeito da discuss o a ex press o seguran a da informa o amplamente utilizada no ambiente corporativo e envolve uma s rie de possibilidades muitas delas associa das Tecnologia da Informa o TT controle de acesso a recursos dispo sitivos ou documentos seguran a em comunica o gest o de riscos pol ticas de informa o sistemas de seguran a diretrizes legais seguran a f sica criptografia arquiv stica dentre outros Krause e Tipton 1997 Para o Legal Information Institute 2005 seguran a da informa o diz respeito a proteger a informa o e os sistemas de informa o de aces so n o autorizado uso divulga o modifica o ou destrui o Est rela cionada a tr s aspec
157. elos pr prios agentes sociais tais como provedores de internet pro vedores de e mail internautas Isso tem ocorrido por meio de Termos de Uso Pol ticas Eletr nicas inser o de cl usulas espec ficas em contratos Este tempo mais r pido e atende demanda a curto prazo de adequa o do Direito s novas exig ncias da sociedade enquanto em paralelo s o elaboradas novas leis J foi atualizado o C digo Penal em 2002 e 2005 e j foram acrescidos novos tipos penais especialmente no tocante a crimes eletr nicos no ambiente da Administra o P blica Tem sido assim em outros pa ses a atualiza o do pr prio C digo Penal FONTE Voc acredita que todo o arcabou o legal existente no Brasil pode acobertar e tipificar todos os cri mes virtuais Se n o quais seriam as leis que faltam O arcabou o legal atual est bem adequado O problema tem sido mais de prova de autoria do que de tipifica o de condutas Ou seja a quest o passa pelo anonimato e a falta de guarda de provas em terceiros como provedores para permitir a identifica o adequada do infrator e a sua puni o Falta uma lei que defina um prazo m nimo de guarda e o que tem de ser guardado sobre o acesso internet e aos servi os eletr nicos para que seja poss vel a investiga o Na Europa j h medi das nesse sentido determinando guarda por at dois anos de logs e dados de IP No Brasil uma iniciativa positiva j em vigor a le
158. eltrana com br J o denominado e mail privado aquele provido por ente alheio ao empregador N o obstante o acesso a tal meio de comunica o se concre tiza apenas com a utiliza o da estru tura do maquin rio de propriedade da empresa Destarte o e mail corporativo pode ser facilmente caracterizado como ferramenta de trabalho nos eletr nico A termos do art 458 82 da CLT e como tal tem sua fun o adstrita ao exerc cio da atividade laboral A fun o da senha e sua respec tiva finalidade adquirem relev ncia neste contexto A tentativa de des caracteriza o do e mail corporativo como ferramenta de trabalho im pulsionada pelo argumento de que a senha fornecida ao empregador teria como prop sito a garantia de sua pri vacidade frente ao seu empregador bem como a terceiros N o se pode olvidar o fato de que as senhas nes ta modalidade de correio eletr nico s o criadas e posteriormente forneci das diretamente pelo empregador aos seus prepostos O intuito nitidamente percept vel o resguardo de informa es pertinentes empresa que s o transmitidas por tal meio de comu nica o ocorrendo por conseguinte a prote o da atividade empresarial desenvolvida em face de terceiros e at mesmo do pr prio empregado O conhecimento quanto senha destarte decorre logicamente da pr pria estrutura do e mail corporativo Enfatiza se que posicionamento con tr rio poderia at
159. ema da seguran a se adapte nossa necessidade enquanto o correto seria priorizar a seguran a Mas h coisas que se v e aprende nas empre sas e s o levadas pra casa como o caso dos e mails as pessoas em geral t m mais cuidado Marcelo Bezerra lembra que h tamb m quest es sobre as quais ainda n o h defini es como a comercializa o de m sicas pela internet A Amazon lan ou loja nos Estados Unidos que iag 15 Divulga o comercializa m sicas totalmente sem prote o N o sabemos como a ind stria do setor vai se comportar H coisas ainda sem defini o sobre as quais n o se sabe se est o certas ou erradas Muitas est o claras como o fato de piratear software ser crime apesar de a toler ncia variar H pa ses onde se alugam DVDs piratas O Brasil j tem um n vel melhor de esclare cimento sobre o assunto H ainda a quest o cultural que varia de pa s para pa s Al m dos recursos tecnol gicos ele aconselha um trabalho de informa o especialmente com os novos Guerra ao crime virtual O valor da informa o aliado ao desenvolvimen to tecnol gico em especial da consolida o de uso das redes criou um universo virtual que se por um lado fa cilita o fluxo de informa es e as democratiza por outro promove a a o de pessoas mal intencionadas que vis lumbram nesse mundo uma s rie de oportunidades de neg cios il citos Especialistas de todo o mundo unem se na guerr
160. enquanto estamos navegando pop ups sempre com propostas sedutoras e atraentes Ao clicarmos naqueles links acaba mos por cair em uma armadilha e caso n o haja uma a o corretiva e bloqueadora no devido tempo nos tornamos mais uma v tima de uma fraude eletr nica O Trojan ou cavalo de tr ia chega at nossos computadores como uma esp cie de presente um lbum de fotografias interes santes um protetor de tela bacana um cart o virtual jogo ou algo que possa despertar o interesse do des tinat rio Al m de executarem as a es para as quais foram aparen temente projetados os Trojans rea lizam outras a es malignas sem o conhecimento do usu rio como instalar v rus ou abrir portas que podem ser acessadas dist ncia por um invasor Os spywares comp em a cate goria de software que tem como ob jetivo monitorar as atividades de um sistema e enviar as informa es cole tadas para um terceiro Normalmente s o capturadas informa es pessoais e privadas tais como nome completo do usu rio nome da esposa e filhos idades oficiais como RG e CPF bancos e n meros de documentos 1 As informa es referentes s amea as por softwares basearam se no video Os Invasores criado pelo Comit Gestor da Internet no Brasil CGLbr dispon vel em http www antispam br videos Julho Dezembro de 2007 87 institui es financeiras com as quais o usu rio tem relacionamento
161. entre outros e formam uma estrada virtual capaz de interligar e conectar pa ses comunidades e pes soas em qualquer lugar do planeta Embora com base no desenvolvi mento das TICs n o se resume ao desenvolvimento tecnol gico No contexto supramencionado a informa o adquiriu o status de recur so fundamental para as organiza es O desenvolvimento da TIC tornou a informa o cada vez mais difusa nas ltimas d cadas Akutsu Pinho 2002 Castells 2003 o que ensejou um novo conjunto de riscos e oportu nidades para organiza es privadas p blicas ou n o governamentais Para as organiza es p blicas o desenvolvimento das TICs ense jou grandes desafios Como destaca Ara jo 2006 a d cada de 80 tes temunhou o in cio dos processos de Reforma do Estado que transforma ram radicalmente o papel e a gest o das organiza es p blicas N o por acaso a aplica o e a utiliza o das Tecnologias da Informa o figuram sempre nas experi ncias recentes de reforma administrativa em todo o mundo S mola 2003 afirma que a crescente valoriza o da informa o como principal ativo das organiza es somada a alguns fatores como a depend ncia dos processos organi zacionais em rela o aos sistemas de informa o o crescimento cont nuo da digitaliza o das informa es o crescimento exponencial da co nectividade da organiza o o cres cimento do compartilhamento das informa es a ma
162. er operaciona lizadas em uma ontologia Apresenta se a seguir um con junto de procedimentos e uma breve descri o sobre como construir ontolo gias para classifica o de informa o registrada documentos O processo foi dividido em duas etapas apresen tadas de forma gen rica 1 Ontologia e 2 Recursos corporativos Etapa 1 Ontologia i Aquisi o de conhecimen to o objetivo dessa etapa obter com os membros de um setor informa es sobre suas atividades sobre docu mentos que utilizam sobre conceitos e rela es relevan tes para o entendimento das pr ticas organizacionais As t cnicas mais utilizadas para isso s o as entrevistas e a an lise de documentos ii Conceitualiza o os dados s o organizados em uma taxo nomia corporativa composta por classes representativas de conceitos bem como por rela es entre as classes em on tologias classes representam uma categoria de objetos simi lares denominados inst ncias lil Constru o da ontologia a ontologia ent o construi da por meio de um editor de ontologias e em duas cama das a primeira de alto n vel reaproveitamento de outras ontologias como as da se o 4 1 a segunda com termos espec ficos do ambiente de trabalho levantados na fase de aquisi o de conhecimen to e organizados na fase de conceitualiza o Etapa 2 Recursos corporativos 1 ii iii Organiza o dos documen tos
163. es dentro dos ret ngulos sem problemas Tintas invis veis tamb m foram muito usadas em esteganografia nos tempos mais modernos e s o utiliza das at hoje Essas tintas foram utili zadas por espi es durante a Primeira e a Segunda Guerra Mundial com o desenvolvimento de reagentes qu mi cos espec ficos para cada uma Outros m todos modernos de esteganografia incluem cifradores nulos que s o mensagens nas quais certas letras devem ser usadas para formar a men sagem e todas as outras palavras ou letras s o consideradas nulas Para o seu uso ambos os lados da comuni ca o devem manter o mesmo proto colo de uso das letras que formam a mensagem Este m todo dif cil de implementar pois a mensagem de cobertura deve ter algum sentido do contr rio um inimigo desconfiar e quebrar o c digo Um exemplo de um c digo utilizando cifrador nulo mostrado a seguir 7 News Eight Weather tonight increasing snow Unexpected 3 T cnicas de esteganografia As abordagens mais comuns de inser o de mensagens em ima gens incluem t cnicas de inser o no bit menos signicativo t cnicas 3 1 LSB Estas t cnicas baseiam se na modifica o dos bits menos Julho Dezembro de 2007 de filtragem e mascaramento e algo ritmos e transforma es Cada uma destas t cnicas pode ser aplicada a imagens com graus variados de su significativos Least Significant Bit dos valores de pixel no dom nio
164. esentar o bit a ser escondido sem causar altera es percept veis na imagem Estas t cni cas constituem a forma de mascara mento em imagens mais dif cil de ser detectada pois podem inserir dados em pixels n o sequenciais tornando complexa a detec o 1 9 12 aumentados ou diminu dos por um pouco de porcentagem Reduzindo o incremento por um certo grau faz a marca invis vel No m todo de reta lhos patchwork pares de remendos patches s o selecionados pseudo aleatoriamente Os valores de pixel em cada par s o aumentados por um valor constante pequeno em um remendo e diminu dos pela mesma quantia no outro gem a ser escondida em um processo em que cada coeficiente substitu do por um valor pr determinado para o bit O ou 1 12 Atransformada de cosseno discre ta DCT muito utilizada nas com press es dos padr es JPEG e MPEG Para imagens em que as varia es dos tons s o graduais a t cnica de DCT mostra excelentes resultados e por isso adotada nos padr es mais usados hoje em dia O padr o MPEG usa para a compress o de udio uma variante da DCT conhecida como MDCT Modified DCT Maiores de talhes podem ser obtidos em 14 te os canais de freqii ncia A White Noise Storm uma ferramenta po pular que usa esta t cnica Em 15 Julho Dezembro de 2007 dados embutidos como objeto a ser transmitido a imagem de cobertura visualizada como interfer ncia em um framework de
165. esse h bito reduziu se o n mero de pessoas que carregam dinheiro e muitas foram para a internet onde realizam suas opera es O crime vai junto As partes boa e ruim andam juntas a tecnologia ser ve da mesma forma aos dois lados da sociedade Ele lembra que a seguran a f sica patrimonial tam b m acompanhou as demandas da sociedade desenvol vendo tecnologias sofisticadas para seguran a de pr dios comerciais ou residenciais como alarmes cercas etc Esse movimento acompanha o crescimento da crimina lidade uma caracter stica da nossa sociedade Marcelo Bezerra afirma que seguran a da informa o tornou se um componente importante no universo de TI n o se trata de uma aplica o em si mas que possibilita que outras aplica es sejam feitas uma vez que as empresas est o inves tindo em TI e internet os recursos de seguran a agregam a essas inova es a garantia de que elas aconte am Ele cita como exemplo a Web 2 0 que tem sido amplamente utilizada pelas organiza es em seus rela cionamentos com clientes e que se trata de um ambien te pautado fortemente pela intera o Os programas s o feitos para facilitar a comunica o conversarem de forma interativa Um determinado site tamb m conversa com outros Para facilitar toda essa din mica novos pro tocolos e ferramentas de desenvolvimento s o largamente utilizados tudo com base no webbrowser que funciona como um sistema operacional
166. esteganografia uma arte an tiga Suas origens remontam anti guidade Os gregos j a utilizavam para enviar mensagens em tempos de guerra 6 Alguns reis raspavam as cabe as de escravos e tatuavam as mensagens nelas Depois que o cabe lo crescesse o rei mandava o escra vo pessoalmente com a mensagem Os eg pcios usavam ilustra es para cobrir as mensagens escondidas O m todo de escrita eg pcio conheci do como hier glifo era uma t cnica comum para esconder mensagens Quando um mensageiro eg pcio era pego com um hier glifo que continha algum c digo o inimigo n o suspei tava e a mensagem podia ser entregue sem problemas ao destinat rio Durante a Idade M dia a esteganografia foi mais estudada e desenvolvida Em 1499 um monge chamado Tritheimius escreveu uma s rie de livros chamados Stegano graphia nos quais descreveu v rias t cnicas diferentes Uma delas foi a grade de Cardano que era uma l mina que randomicamente definia ret ngu los A quantidade e o posicionamento dos ret ngulos eram o segredo da gra de O remetente escrevia as palavras da mensagem secreta nos ret ngulos Depois a grade era removida e o re metente preenchia os espa os rema nescentes com letras ou palavras para criar a mensagem que seria enviada Uma vez entregue a mensagem o destinat rio colocava a grade que era a mesma do emissor sobre o papel ou superf cie que continha a mensagem e podia ler os caracter
167. etores financeiro e de e commerce e de forma geral na amea a privacidade O debate que a revista Fonte promove nesta sua s tima edi o procura tornar mais transparente para os leitores os riscos e amea as que caracteri zam a comunica o em rede oferecendo insumos para que organiza es p blicas e privadas e usu rios dom sticos possam se prevenir conhecendo formas Julho Dezembro de 2007 de identificar vulnerabilidades e as solu es que o mercado desenvolve para fazer frente a essa realidade Para isso foram ouvidos especialistas nas mais diversas reas ligadas seguran a da infor ma o resultando na apresenta o de um panora ma dos problemas e das solu es que envolvem a quest o Entre os colaboradores desta edi o est o consultor americano Kevin Mitnick que se tor nou famoso como o maior hacker da hist ria da internet Com a experi ncia de quem esteve do lado oposto da lei mostra como agem os contra ventores na rede A advogada Patr cia Peck espe cialista em direito digital d sua contribui o na se o Di logo analisando as mudan as culturais impostas pelas tecnologias e seus reflexos na le gisla o O advogado Alexandre Atheniese aborda a quest o das rela es trabalhistas e privacidade e os analistas da Prodemge Paulo C sar Lopes e M rio Velloso fazem um alerta sobre cuidados que os pais podem adotar com rela o a seus filhos na internet Professores empres rios
168. etores de dados e mais recentemente tags wireless Os softwares de ge renciamento permitem tamb m a representa o gr fica das reas de cobertura e localiza o dos dispositivos wi reless em mapas com precis o de metros Solu es de localiza o que utilizam tags permitem o rastreamento e controle de ativos preciosos de qualquer tipo Basta associar um tag ao dispositivo que se quer controlar e monitor lo pelo software de gerenciamento Em termos de seguran a e disponibilidade do am biente wireless podemos citar as seguintes inova es e ado o de esquemas de seguran a de da dos com chaves din micas se forem que bradas j ter o sido mudadas e zero configuration deployment impede a utiliza o se um AP for roubado e detec o e conten o de APs n o autorizados e IDS IPS para detec o e preven o contra ataques de rede wireless e load balancing entre APs e fast roaming transparente entre c lulas para voice over wireless LAN e adapta o din mica de RF para melhor co bertura Julho Dezembro de 2007 Com gerenciamento e seguran a vale a pena Gra as flexibilidade de acesso aos dados de qualquer lugar o wireless representa um salto na produtividade de nossas equipes Dados da rede podem ser acessados em salas de reuni es e mails podem ser lidos e respondidos de qualquer lugar e n o existe mais a necessidade de o usu rio estar em sua mesa de trabalho para acessar as informa
169. exerc cio de cidadania Por mais que em alguns casos n o haja for ma de punir o infrator uma hora isso ocorre e o con junto de den ncias que permite reunir provas Isso serve tanto para um problema em uma loja virtual ou em uma comunidade do Orkut como uma situa o de fraude de cart o de cr dito ou no internet banking O cidad o deve cumprir com a parte dele que reunir informa es e de nunciar assim que conseguimos fazer a justi a andar e criar estat sticas que permitem aloca o de investimentos e treinamentos FONTE Em recente artigo publicado na Folha de S o Paulo Uma quest o de privacidade Jos Murilo Junior do Global Voices Online afirma Deve caber ao usu rio definir os diferentes n veis de acesso s suas in forma es e cabe aos servi os evoluir para prover essa funcionalidade de forma transparente Na sua opini o qual seria o papel do Estado para prover e exigir da so Julho Dezembro de 2007 de imagem direito autoral ou reputa o entre outros Po demos sim programar o Direito nas interfaces gr ficas e usar a tecnologia para fazer valer o cumprimento das leis j que as testemunhas s o as m quinas FONTE Quais os limites legais do governo ele tr nico No tocante ao Estado cabe a este fazer o que esti ver delimitado em lei Sendo assim o governo eletr nico tratado em uma s rie de normativas que determinam sua capacidade de agir diretrizes entre outr
170. f nicas e as atividades nas esta es de trabalho Algumas chegam a instalar monitoramento por circuito fechado de TV CFTV dentro das salas onde trabalham seus funcion rios N o estar amos pr ximos do descrito em 1984 Quais s o os monitoramentos considerados le gais E quais s o as exig ncias legais para que se pos sam utilizar tais monitoramentos Estamos vivendo uma s ndrome do p nico asso ciada ao poder da tecnologia que d a sensa o de que Julho Dezembro de 2007 imaginada que a pessoa teria Isso tem a ver com a facilida de que a tecnologia trouxe em realizar a es e de certo modo anonimamente Logo muitos acham que ningu m vai descobrir e isso vira est mulo Mas na grande maio ria dos casos a pessoa descoberta pois as testemunhas s o as m quinas e elas contam Sendo assim FONTE A quest o da responsabilidade individual sobre atitudes ainda pouco praticada na internet traz reflexos em mudan as nos valores e cultura de um grupo social Sim Temos visto muito isso em palestras que mi nistramos para o p blico mais jovem quando se explica a responsabilidade individual de um ato e seu impacto coletivo s vezes inclusive na vida de familiares pais Esta orienta o ajuda na constru o clara dos valores da sociedade digital os quais continuam de certo modo balizados nos princ pios n o fa a aos outros o que n o gostaria que fizessem a voc e diga me com q
171. fatiza que essa seguran a tem viabilizado a pesquisa e a iden tifica o constantes de novos servi os via internet A garantia de autoria autenticidade n o rep dio deu um impulso muito grande ao uso dessa tecno logia afirma A certifica o digital a chave para fun cionamento do Centro Virtual de Atendimento ao Contribuinte e CAC onde as pessoas podem executar via internet diversas opera es inclusi ve algumas protegidas pelo sigilo fiscal Consulta a cadastros altera o e retifica o de dados emis s o de comprovantes parcelamento de d bitos e transa es relativas ao Siscomex s o alguns servi os dispon veis Julho Dezembro de 2007 Exemplo dessa aceita o a ades o de re presentantes das prefeituras municipais de todo o Pa s para acesso s informa es do Simples com uso de certificados digitais Segundo o coordena dor a ades o foi mais f cil do que o esperado Eles precisam das informa es n o foi dif cil mais de 5 600 munic pios j usam a certifica o digital Na Receita Federal todos os funcion rios utilizam hoje certificados digitais para controle de acesso a sistemas totalizando 37 mil pessoas no Brasil Donizette considera a tecnologia um marco no processo de seguran a da informa o no rg o Antes os acessos eram controlados da forma tradi cional com usu rio e senha e j h pesquisas para avan os no uso de ferramentas mais sofisticadas
172. forma motriz desse impacto n o a inform tica a intelig ncia artificial o efeito dos computadores sobre a tomada de decis es ou sobre a elabora o de pol ticas ou de estrat gias algo que pra ticamente ningu m previu nem mesmo falava h 10 ou 15 anos o com rcio eletr nico o aparecimento explo sivo da internet como um canal importante talvez prin cipal de distribui o mundial de produtos servi os e Julho Dezembro de 2007 At hoje n o existe nenhum caso de fraude em cer tifica o digital A tecnologia bastante forte e robusta de modo que o n vel de seguran a das assinaturas eletr nicas possa ser aumentado com o passar dos anos Com rela o aos sites seguros como hoje a situa o em empresas p blicas O que levar as empresas em geral a adotarem certifica o em seus sites Hoje as empresas p blicas j utilizam a certifica o digital em seus sites O principal benef cio para elas a possibilidade de aumento no n mero de neg cios que podem ser feitos eletronicamente com muito mais segu ran a Al m disso o cidad o fica satisfeito pois atendi do de forma muito diferente da que est acostumado nas transa es com o governo Em geral o que levar as empresas p blicas a ado tarem a certifica o digital est intrinsecamente ligado quest o da seguran a mas a transpar ncia a agilidade e a desmaterializa o dos processos em papel tamb m ser o fatores decis
173. gr fico gerado pelos softwares Jsteg JP Hide and Seek Invisible Secrets vers es mais antigas do Outguess F5 AppendX e Camouflage A vers o mais atual do StegDetect suporta an lise discriminante linear LDA para detectar qualquer este go sistema No campo das marcas d gua existem v rios softwares para gerar marcas em diversos tipos de m dias tais como TeleTrax Alpha Tec Sys cop e DataMark O ponto funda mental de todos os programas a robustez da marca produzida Nesse sentido preciso testar esta robustez de alguma forma O StirMark uma ferramenta para testes de robustez de algoritmos de marca d gua Com o StirMark foi poss vel realizar o pri meiro benchmarking de algoritmos de marca d gua em 1999 O programa Signlt da AlpVision de f cil utiliza o para esconder n meros de s rie IDDN em imagens de v rios formatos Este n mero escondido em todos os lugares na 7 Considera es finais e tend ncias Tanto a esteganografia quanto a marca d gua descrevem t cnicas que s o usadas na inten o de ocul tar uma comunica o dentro de uma informa o disfarce Entretanto esteganografia refere se tipicamente a uma comunica o ponto a ponto Por isso o m todo geralmente n o robusto contra modifica es ou tem somente uma robustez limitada que a protege de pequenas altera es que possam ocorrer em termos de trans miss o armazenamento mudan as de formato compress
174. guran a no Brasil CERT br Cristine Hoepers embora n o exista um comparativo mundial sobre a situa o de todos os pa ses poss vel ver que os problemas enfrentados aqui n o s o diferentes dos problemas encontrados em outros pa ses Os investimentos s o canalizados para a aquisi o de software hardware consulto rias especializadas equipamentos para seguran a f sica capacita o dos colaboradores programas de gerenciamento de cultura organizacional e racionaliza o de processos ali nhando as estrat gias de seguran a ao neg cio da empresa Em sua publica o trimestral sobre alertas vulnerabilidades e demais acontecimen tos que se destacaram na area de seguran a o Centro de Atendimento a Incidentes de Seguran a da Rede Nacional de Ensino e Pesquisa destacou no quarto trimestre de 2007 o tratamento de um total de 7 436 incidentes de seguran a Desses 44 72 referem se ao envio de spam em grande escala 16 31 a tentativas de invas o de sistemas e 11 29 propaga o de v rus e worms atrav s de botnets computadores infectados e controlados a dist ncia por atacantes Tamb m foram tratados 241 casos de troca de p ginas em que o atacante substituiu o conte do original de uma p gina da web ou incluiu conte do n o autorizado na p gina atacada e ainda 56 casos de phishing ataques que t m por objetivo obter dados confidenciais de usu rios site Cais www cais mp br Engenharia social e vulnerabi
175. i paulista sobre lan house e cybercaf s que exige identifica o do usu rio e guarda de dados H lei sobre cybercaf s e lan house em v rios Estados S o Paulo Bahia Minas Gerais a lei de Minas n o trata da obrigatoriedade de se fazer cadastro do usu rio como for ma de preservar os dados de autoria para uma eventual investiga o A lei de S o Paulo j trata disso e exige a guarda dos dados inclusive por cinco anos FONTE A internet apresenta se muitas vezes como um meio sem regras e sem dono onde os usu rios sentem se livres para fazer o que quiser Quais os principais desafios que o Direito enfrenta ao lidar com esse mundo virtual O principal desafio do Direito come a na educa o das pessoas Independente das leis h princ pios de tica e valores que precisam ser ensinados s novas gera es da era digital Al m disso preciso orientar sobre as pr prias leis que existem e s o v lidas e que est o sendo descum pridas A constitui o federal protege o direito imagem mas mesmo assim muitas pessoas fazem uso da imagem de outras sem autoriza o Assim como protege a honra e h cada vez mais ofensas digitais J proibida a pirataria assim como o pl gio mas muitas pessoas n o acham que est o fazendo algo errado quando d o CTRL C CTRL V e copiam o conte do alheio A educa o no uso tico legal e seguro da tecnologia o maior desafio do Direito mais que criar outras
176. ia ser algo interessante diferente Foi contratado ent o o grupo de teatro empresarial Grafite de Belo Ho rizonte que criou roteiros personalizados com base nos temas fornecidos pela equipe da ASI Eles desenvolviam roteiros espec ficos e faziam uma apresenta o pr via para nossa aprova o ou para adequa es Segundo Lu s houve uma receptividade mui to boa O treinamento era composto de palestras e das pe as de teatro que representavam cenas dos conte dos abordados nas palestras Refor aram dessa forma conceitos de seguran a da informa o engenharia social e pol ticas de seguran a A dura o era de meio expediente e acontecia em ambien tes da Cemig com um custo m dio de R 40 00 por empregado Nunca utilizamos imagens como cadeados que remetem exclus o enfatizando ao contr rio a seguran a da informa o com abordagem de in clus o nunca como policiamento ensina o coor denador do programa Nenhum dos treinamentos obrigat rio Com esse roteiro chegaram a treinar 1 500 pessoas em um ano Cada vez mais procur vamos a inova o sempre resguardando a preocupa o de proporcionar um treinamento agrad vel com brin des jogos brincadeiras e o teatro Sai barato para a empresa garante Dos primeiros sinais de mudan as de cultura para uma atitude pr ativa foi uma guinada ex plica Brasil Em 2005 cerca de quatro anos depois do in cio do trabalho
177. ia sua atua o para toda a sociedade Segundo a gerente do Cais Liliana Solha o Centro criado para fazer frente vulnerabilidade da rede acad mica nacional comemora seus dez anos com um sal do positivo de parcerias formadas desde a comunidade acad mica at os usu rios dom sticos Todos eles s o ex tremamente importantes em nosso trabalho pois funcionam como multiplicadores da cultura de seguran a explica A cria o dessa cultura de seguran a para uma conviv ncia segura em um mundo relativamente novo a internet um dos grandes desafios dos especialis tas que apontam no elemento humano n o s o risco mas tamb m a melhor solu o para prevenir o problema Segundo o analista de Seguran a do Cais Ronaldo Vas concelos as pessoas que t m um certo tempo de vida na internet j est o entendendo a necessidade de uma mudan a de postura mas h sempre algu m que est chegando come ando a usar O que muitas pessoas vi ram e aprenderam h dez anos outras est o aprendendo agora De forma geral est o aprendendo melhor j sa bem o risco de passar dados pessoais clicar em qualquer coisa aprendem a pensar com bom senso Se algu m chegar na rua lhe pedindo nome n mero de conta cor rente carteira de identidade CPF voc n o vai dar Na internet a mesma coisa e essa resposta dos usu rios tem melhorado Julho Dezembro de 2007 Al m de um site rico em informa es e registros
178. ica da imagem nas c meras de seguran a de noite por infravermelho na fronteira do M xico com os Esta dos Unidos por rastreamento de cart es de d bito cr dito de identifica o e passaporte no uso de celulares e no acesso internet pelas escutas telef nicas braceletes e grampos rastreados por GPS etc Quanto ao DNA exa mes est o sendo implantados na Fran a para controle dos imigrantes Mas nessa hist ria de seguran a legal mesmo s o os captchas Ao inv s de o usu rio submeter sua identida de ao computador o computador que submete o usu rio a um teste para certificar se ele mesmo gente ou uma m quina Captcha Completely Automated Turing Test To Tell Computers and Humans Apart ou Teste de Turing Completamente Autom tico para Diferenciar Computado res e Humanos e foi inventado em 2000 Um captcha formado de n meros e letras distorci das e s vezes riscadas que aparecem nas p ginas iniciais de certos sistemas Como ainda os computadores s o inca pazes de ler essas distor es e repeti las todo usu rio que faz a solu o correta presumidamente humano Isso tem impedido que sistemas consigam por tentativas autom ti cas entrar em outros sistemas Os captchas tocam em outro problema Num mundo onde m quinas sistemas e pessoas est o cada vez mais co nectadas como saber quem quem Quando o mundo do Second Life dominar a internet como saber se os avatares s o de gente ou
179. ida 2003 tn linguagens naturais own a internet em http www snort org Julho Dezembro de 2007 Processamento da linguagem natural um campo da ling stica computacional que estuda os problemas de compreens o e gera o autom tica de Um firewall uma aplica o que analisa o tr fico em uma rede dando permiss o ou n o para a passagem de dados a partir de um conjunto de regras O NVD um reposit rio de padr es do governo norte americano voltado para quest es de vulnerabilidade Dispon vel na internet em http nvd nist gov CVE um dicion rio p blico com informa es sobre vulnerabilidades Dispon vel na internet em http cve mitre org SNORT uma rede com recursos sobre preven o e detec o de invas es em sistemas a partir de uma linguagem com base em regras Dispon vel na 19 em Ontology Web Language OWL de suporte certifica o ISO IEC 27001 2005 com informa es para cria o e manuten o de pol ticas de seguran a O mapeamento ontol gi co do padr o ISO aumenta o grau de automa o do processo reduzindo custos e o tempo para a certifica o A ontologia de suporte criada a partir da combina o de tr s recursos prin cipais 1 a CC Ontology Ekelhart et al 2007 a qual contempla o dominio Common Criteria CC e enfatiza re quisitos de garantia de seguran a para a avalia o 11 a Security Ontology Ekelhart et al 2006 que cont
180. ii ncia a falta de recursos para minimizar os riscos existentes no patamar exigi do pela estrat gia organizacional A responsabilidade pelo n vel correto de seguran a computacional dever ser uma decis o estrat gica de ne g cios tendo como base um modelo de governan a da seguran a da in forma o que contemple uma an lise de risco Em um relat rio do Corporate Governance Task Force proposto que para proteger melhor a infra es trutura de TIC as organiza es deve riam incorporar as quest es de segu ran a computacional em suas a es de governan a corporativa CGTFR 2004 Em um trabalho publicado em 2003 o Business Software Alliance BSA chama a aten o para a ne cessidade de desenvolver um mo delo de governan a da seguran a da informa o que possa ser adotado imediatamente pelas organiza es BSA 2003 Esse trabalho sugere que os objetivos de controle contidos na ISO 27000 devam ser considera dos e ampliados para o desenvolvi mento de um modelo em que gover nan a da seguran a da informa o n o seja considerada apenas no plano tecnol gico mas parte integrante das melhores pr ticas corporativas n o deixando de cobrir aspectos rela cionados com as pessoas processos e tecnologia Para que as organiza es obte nham sucesso na seguran a de sua informa o os gestores precisam tornar a seguran a computacional uma parte integrante da opera o do neg
181. in forma o e a se o cinco apresenta as considera es finais No contexto da Federation of American Scientists FAS associa o formada em 1946 pelos cientis tas at micos do Projeto Manhattan Quist 1993 discute a necessidade de uma classifica o da informa o para fins de seguran a e descreve as tr s a es principais para tal i de terminar se a informa o deve ser classificada 11 determinar o nivel de classifica o 111 determinar a dura o da classifica o O autor tamb m apresenta procedimentos para ava liar se a informa o deve ser classifi cada i definir precisamente a infor ma o descrevendo a em linguagem sem ambigitidades ii verificar a exist ncia de classifica o espec fica 1 Projeto em que os Estado Unidos tentavam desenvolver a primeira arma nuclear durante a 2 Guerra Mundial 76 GEE Julho Dezembro de 2007 para o setor da organiza o onde a informa o foi obtida iii verificar se a informa o controlada pelo governo iv determinar se a divul ga o da informa o causar danos seguran a nacional v especificar precisamente porque a informa o classificada O ISOO 2003 estabelece um sistema de classifica o da informa o para seguran a no mbito do go verno norte americano S o descritas algumas regras sobre classifica o de documentos como por exemplo 1 apenas pessoas autorizadas podem classificar d
182. ina e suas prefer ncias em um blog ou no Orkut ele normalmen te est pensando nos amigos e familiares Por m essas informa es tornam se p blicas e do conhecimento de todos Cristine alerta para o fato de que de modo similar o usu rio assume como verdadeiras informa es prestadas por terceiros ou que parecem vir de amigos e familiares armadilhas usadas com fregii ncia para tentar induzir um usu rio a instalar cavalos de tr ia ou outros c digos maliciosos Os golpes que s o aplicados pela internet s o similares queles que ocorrem na rua ou por telefone a grande diferen a que na internet existem algumas ma neiras de tornar o golpe mais parecido com algo leg timo Portanto o importante que o usu rio use na internet o mesmo tipo de cuidado que j usa fora dela Com rela o aos h bitos de usu rios da internet o gerente de Solu es da IBM para a Am rica Latina Julho Dezembro de 2007 nem questionam Outro exemplo comum de engenharia social s o os seqiiestros falsos uma forma de extorquir dinheiro enganando as pessoas sem usar a tecnologia ou a viol ncia O forte dessas pessoas obter dados confi denciais usando apenas a conversa A opini o prevalece entre os administradores de se guran a como o respons vel pelo setor na Companhia Energ tica de Minas Gerais Cemig Jos Lu s Brasil para quem a engenharia social existe porque as empre sas investem em tecnologia e esq
183. initivamente um s rio problema porque pela internet torna se mais f cil roubar Ent o h muitas fraudes de cart es de cr dito fraudes financeiras Julho Dezembro de 2007 extors es esquemas de sites falsos que est o acon tecendo todo dia envolvendo at sites de relaciona mentos H crimes organizados explorando pessoas por meio da constru o de falsos relacionamentos e usando as para conseguir sua ajuda involuntaria mente por exemplo se voc compra mercadorias com um cart o de cr dito internacional a v tima ir reenviar o produto para um pa s estrangeiro por acreditar tratar se de algo leg timo Mas eles ir o pensar que est o fazendo isso para a namorada ou namorado que conheceram na internet Mas na ver dade um esquema fraudulento Que crimes s o mais comuns na rede Roubar dados de cart es de cr dito usar car t es fraudulentos para comprar produtos e servi os esquemas de extors o virtual nos quais as empresas s o amea adas a fim de pagar para que seus web sites n o sejam derrubados ou o hacker de algu ma forma rouba seu dom nio H ainda o roubo de informa es privadas e spywares que infectam o computador do consumidor com programas que na verdade agem como grampos os hackers conse guem dessa forma roubar informa es como cre denciais banc rias on line Eles logam na conta banc ria do cliente e a esvaziam Todos esses tipos de crimes s o cometidos na internet
184. ior parte das tentativas de fraude atuais est relacionada com a utiliza o de algum tipo de programa malicioso em geral direcionado a computadores de usu rios finais Existem duas maneiras de o usu rio ser infectado por este programa malicioso o ataque tenta levar a pessoa a acreditar em algum fato e a seguir um link ou instalar um c digo malicioso em seu computador Se o usu rio n o est esclarecido sobre o problema e acredita no ar dil utilizado ele pode ser afetado pela fraude Ou sua m quina pode ser comprometida automaticamente via rede por um worm ou bot Ao ter acesso m quina do usu rio o invasor n o s poder utilizar os recursos de processamento e banda fazendo com que o usu rio fi que com a m quina e com a conex o internet lentas mas tamb m poder furtar dados de sua m quina como dados pessoais contas senhas n mero de cart o de cr dito declara es de imposto de renda cadastro em sites de relacionamento etc e os endere os de e mail de amigos e familiares para serem posteriormente utilizados em lis tas de spam Tamb m h informa es mais detalhadas espe c ficas sobre fraudes no documento Cartilha de Segu ran a para Internet Parte IV Fraudes na Internet em http cartilha cert br fraudes e pode acontecer de determinadas vers es n o identifi carem todos Manter atualizado o navegador Ronaldo Vasconcelos recomenda que o usu rio deve manter na verdade toda a
185. ios iv rever e ajustar n veis de impacto tempor rios v atri buir categoria do sistema de segu ranga O autor descreve ainda outro conjunto de procedimentos para identificar os tipos de informa es i identificar as reas de neg cio fun damentais ii identificar para cada rea de neg cio as opera es que descrevem o prop sito do sistema em termos funcionais iii identificar as subfun es necess rias para con duzir cada rea iv selecionar tipos de informa es b sicas associados com as subfun es identificadas v identificar qualquer tipo de informa o que receba manipula o especial por ordem superior ou ag ncia regu lat ria As iniciativas citadas apresentam considera es sobre seguran a da informa o sem entretanto definir exatamente a qual objeto se refere quando citam o termo informa o Al m disso tamb m n o citado o meio onde a informa o dissemina da na organiza o Uma importante forma para dissemina o o meio digital representado por documen tos em formato digital sistemas de informa o automatizados outros recursos de TI dentre tecnol gicas e dessa forma inefi cientes em atender s necessidades da organiza o A comunidade de 11 neg cios quem realmente sabe da import ncia de determinada infor ma o no contexto organizacional e deve participar ativamente do plane jamento da seguran a A ISO TEC 15408 1 200
186. is pede por um ordenamento jur dico mais globalizado No en tanto apesar de n o haver barreiras f sicas na web o Di reito limitado ao seu pa s de origem e h regras de ter ritorialidade para isso Pode valer o local de domic lio do consumidor da v tima de um crime onde o crime ocor reu no todo ou em parte ou onde melhor a execu o da a o para garantir efic cia de resultados dif cil alinhar algumas quest es at por diferen as culturais do que considerado certo ou errado em cada pa s seu conjunto de valores Mas h algumas quest es que s o comuns re cebem tratamento igual e podem estar alinhadas como j tem sido feito h anos por meio de tratados e conven es internacionais A mais recente em discuss o a Conven o de Budapeste sobre crimes eletr nicos FONTE Como a pes soa pode se proteger dos perigos do mundo virtual Ao sentir se prejudicada por alguma situa o ocorrida na internet ou por meio dela o que fazer de audi ncias remotas video confer ncia para minimizar custos e dar maior dinamismo ao poder judici rio Alguns juristas afirmam que a presen a do detento na audi ncia indispens vel Qual a sua opini o sobre o assunto Minha opini o a de que deve haver sim videocon fer ncia com a presen a do advogado no mesmo recinto do preso Isto n o apenas gera economia como reduz ris cos de fuga Ou seja o ganho social coletivo justifica sim a aplic
187. izar a confec o de c pias de seguran a para garantir o m ximo de disponibi lidade da informa o diante da perda do meio de armazenamento principal o segundo n vel o de aumentar a ader ncia pol tica de backup da companhia Este por sua vez adere ao prop sito de terceiro n vel de garantir a conformidade com auditorias setoriais externas at que finalmen te toca o prop sito essencial de manter o n vel adequado de opera o do neg cio fazendo o ser reconhecido como um fornecedor de produtos e servi os de alta qualidade Seja por sua repu ta o diante da ado o de melhores pr ticas ou simplesmente por sua efic cia diante de situa es de crise vividas anteriormente a seguran a da informa o de maneira geral foi o instrumento de valoriza o do neg cio da marca e aumentou tamb m a percep o de valor do cliente final No mercado em geral e neste caso em particular a seguran a da informa o oferece controles que analogamente a um ve culo repre sentam o freio Contudo diferente da interpreta o inicial que fazemos do freio para um ve culo este n o tem o objetivo de impedir que o carro ande mais r pido Ao contr rio disso a efici ncia do freio justamente a pe a chave para que os engenheiros de motores possam desenvolver ve culos ainda mais velozes com a certeza de que estar o prontos para parar eficazmente diante de uma si tua o decrise Na dos neg cios possuir pr tica
188. l b m serve para autenticar imagens marca tam 6 Aplicativos existentes As redes de computadores atu almente prov em um canal de f cil utiliza o para a esteganografia V rios tipos de arquivo podem ser utilizados como imagem de cober tura incluindo imagens sons texto e at execut veis Por isso grande o n mero de aplicativos j criados para tentar usar esta facilidade Por outro lado existem tamb m alguns softwares de estegan lise que tentam localizar os dados embutidos nas di versas mensagens de cobertura Tais aplica es podem ser encontradas fa cilmente na internet e funcionam em v rias plataformas As ferramentas Ezstego e Stego On line trabalham com imagens in dexadas de 8bits no formato GIF Julho Dezembro de 2007 Diferentemente estas procuram distin guir as altera es que modificam uma imagem substancialmente daquelas que n o modificam o conte do visual da imagem Uma marca semifr gil nor malmente extrai algumas caracter sticas da imagem que permanecem invarian tes por meio das opera es permitidas e as insere de volta na imagem de forma que a altera o de uma dessas caracte r sticas possa ser detectada Podem se subdividir as marcas de autentica o em tr s subcatego rias sem chave com chave secreta e com chave p blica privada Com rela o extra o da marca d gua t m se tr s tipos de sistemas dife rentes Cada um deles diferencia se pela sua
189. l me dir o desempenho de um proces so diante da pol tica objetivos e experi ncia pr tica do SGSI e apresentar os resultados para a an lise cr tica pela dire o ASSOCIA O BRASILEI RA DE NORMAS T CNICAS 2006 p vi Julho Dezembro de 2007 Por se tratar de etapas que de pendem das an lises de riscos de cada ambiente essa segunda eta pa foi realizada separadamente em cada organiza o Para fazer frente s recomenda es e s necessidades estabelecidas na An lise de Riscos e no Plano de Seguran a a Seplag empreendeu um conjunto de proje tos cujos resultados podem ser vis tos de forma sum ria a seguir Primeiramente em fun o das vulnerabilidades encontradas nos ativos tecnol gicos na primeira fase do projeto foram realizadas imple menta es e configura es de modo que os ativos fiquem protegidos das amea as que possam causar algum impacto para a Seplag visando um aumento de performance e seguran a para os usu rios Nessa primeira eta pa foram implementados os contro les relacionados com os riscos classi ficados como alto e muito alto Ademais um segundo projeto focou a realiza o de uma espe cifica o para os requisitos cons tantes na Pol tica de Seguran a da Informa o da Seplag indicando as a es a serem tomadas para a efetiva implementa o da pol tica publicada A primeira a o a ser executada foi a ades o a um registro de pre os realiza
190. l para todas as empresas conectadas internet Qual a import ncia do elemento humano nesse contexto A influ ncia humana pode ser usada para o que conhecido como engenharia social que significa que voc pode enganar manipular ou in fluenciar uma pessoa uma v tima para conseguir que ela atenda uma solicita o geralmente pessoas confi veis em uma organiza o Ent o claro se as empresas n o treinarem seus funcion rios sobre o que a engenharia social sobre as diferentes abor dagens utilizadas pelos engenheiros sociais e treinar funcion rios nas pol ticas de seguran a e motiv los a n o quebr las sob qualquer circunst ncia as em presas estar o correndo risco de ser atacadas pela engenharia social As ferramentas para prevenir ou detectar ataques t m acompanhado a velocidade de sofisti ca o dos hackers Eu vejo preven o e prote o como ferra mentas da tecnologia e os hackers experientes ao us las deveriam saber como usar essas ferramen tas para prevenir e detectar invas es Mas isso real mente depende da habilidade do hacker H hackers que podem n o estar familiarizados com determina da tecnologia e h hackers profissionais Isso real mente depende da experi ncia particular deles Pode se falar em crime organizado na inter net H quadrilhas de hackers Como elas atuam Com certeza Especialmente na R ssia e em algumas na es pobres o crime organizado def
191. lacionada Desde a Constitui o de 1988 art 227 CF 88 o Brasil j demons trava o envolvimento com a Doutrina de Prote o Integral da Crian a e do Adolescente Em 1990 oficializou com a ades o a Conven o Inter nacional sobre Direitos da Crian a por meio do Decreto Legislativo 28 1990 Em 1990 tamb m surge a primei ra e nica lei efetiva e em n vel infra constitucional de prote o crian a e ao adolescente O Estatuto da Crian a e do Adolescente ECA Lei 8069 90 instrumento de efetiva o dos direitos fundamentais garantidos pela Constitui o No seu artigo 2 existe a defini o de crian a e ado lescente Crian a para os efeitos da lei pessoa com menos de doze anos de idade e adolescente pessoa entre doze e dezoito anos de idade Recentemente o Brasil tam b m ratificou por meio do Decreto n 5007 04 o Protocolo Facultati vo Conven o sobre os Direitos da Crian a Nova York 2000 re ferente venda de crian as pros titui o infantil e pornografia in fantil O C digo Penal junto ao Estatu to da Crian a e Adolescente prop e a preven o e a repress o a v rios 10 Dispon vel em http www media awareness ca english resources tip sheets internet checklists loader cfm url commonspot security getfile cfm amp PageID 27804 Acesso em 09 12 2007 Julho Dezembro de 2007 91 delitos que envolvem os jovens Al guns s o conheci
192. lidades Como se n o bastassem os problemas ligados es sencialmente ao uso das tecnologias outra amea a a en genharia social foco de preocupa o dos especialistas por envolver um dos pontos considerados mais vulner veis num programa de seguran a as pessoas O fato que por mais que a tecnologia desenvol va e forne a solu es para preven o e combate aos crimes virtuais a informa o ainda estar amea ada se o elemento humano n o for contemplado adequada mente Definida pelo especialista em seguran a Kevin Mitnick como a arte de fazer com que as pessoas fa am coisas que normalmente n o fariam para um estranho a 14 EM engenharia social na verdade o grande temor das organi za es que se preocupam em proteger suas informa es Em seu livro A arte de enganar Mitnick chama a aten o para o fato de que a maioria das pessoas su p e que n o ser enganada com base na cren a de que a probabilidade de ser enganada muito baixa o atacan te entendendo isso como uma cren a comum faz a sua solicita o soar t o razo vel que n o levanta suspeita enquanto explora a confian a da v tima Para isso se gundo o especialista o perfil do engenheiro social a combina o de uma inclina o para enganar as pessoas com os talentos da influ ncia e persuas o Julho Dezembro de 2007 Dossi Dossi Dossi Dossi Dossi Dossi O analista de seguran a do Centro de A
193. logo as chances de detec o da presen a de uma em fases relativas Tamb m exis tem algumas distor es do ambiente muito comuns que s o simplesmen te ignoradas pelo ouvido na maioria dos casos Para desenvolver um m todo de esteganografia em udio a representa o do sinal e o caminho de transmiss o devem ser conside rados na escolha de um m todo de esteganografia A taxa de dados muito dependente da taxa de amos tragem e do tipo de som que est sendo codificado Um valor t pico de taxa 16 bps mas este valor pode variar de 2 bps a 128 bps mensagem escondida aumen tam 9 e ataques estat sticos os pa dr es dos pixels e seus bits menos significativos freqiien temente revelam a exist ncia de uma mensagem secreta nos perfis estat sticos Os no vos dados n o t m os mesmos perfis esperados Estas t cnicas estat sticas tamb m podem ser usadas para determinar se uma dada imagem e ou som possui alguma mensagem escondida Na maioria das vezes os da dos escondidos s o mais ale at rios que os substitu dos no processo de mascaramento ou inserem padr es que alteram as propriedades inerentes do objeto de cober tura 9 17 18 Dentre as t c nicas de estegan lise que se baseiam em ataques estat sti cos existentes podem ser cita das estegan lise por teste do x Chi Square Test Approach an lise RS m tricas de quali dade de imagens m tricas de tons cont nuos e an li
194. m dados sobre amea as e respectivas medidas de prote o iii o pr prio pa dr o ISO IEC 27001 2005 A Figura 1 apresenta um fragmento de uma on tologia sobre seguran a po je e Eele sea el E Li is Metadata secont raf OwLClasses mi Properties Individuals prot g SUBCLASS EXPLORER For Project SecurityOntology ent Section instance of owlClass _ Inferred View Asserted Hierarchy Le K B CE LJ annotations owlThing a Property Value Lang atcertSoftwareVulnerability E rdfs comment A q entAsset q O entimmoveableAsset O entarea O ent Building o O entLevel v o o ent Section G gle e Asserted Conditions o ent SectionConnector o entwall O entWaterPipe o entMoveableAsset O entData entDocuments entPerson o O entRole O iso Category O iso Contral O iso Objective O locitocation O org Organization o probability Probability o sec Attribute q O sec Contral q sec AccessControlControl O sec ChangeOfPresetPasswords O sec CleanDeskPolicyControl e sec DeactivationOfUnnecessaryAccountsOrTerminals a o a a O entimmoveableasset entconnectedBy only entSectionConnector entcontains only entMoveableAsset entlocatedin only entArea O en
195. m o objetivo de preparar as referidas organiza es a alcan ar o n vel de seguran a desej vel A implanta o de controles de seguran a da informa o eficazes ga rantir que o Governo do Estado ado te novas tecnologias principalmente a internet como recurso estrat gico 1 Hacker indiv duo que se especializa em estudar os ativos tecnol gicos computadores sistemas redes e testar seus limites explorando suas fra quezas e falhas Tem grande facilidade de assimila o e estuda exaustivamente algo at dominar o assunto MOREIRA 2001 p 65 2 V rus um programa capaz de infectar outros programas e arquivos de um computador Para realizar a infec o o v rus embute uma c pia de si mesmo em um programa ou arquivo que quando executado tamb m executa o v rus dando continuidade ao processo de infec o NIC BR Security Office 2007 81 3 Spam o termo usado para se referir aos e mails n o solicitados que geralmente s o enviados para um grande n mero de pessoas Quando o con te do exclusivamente comercial este tipo de mensagem tamb m referenciada como UCE do ingl s Unsolicited Commercial Email NIC BR Security Office 2007 1 4 Engenharia Social o m todo de ataque onde algu m faz uso da persuas o muitas vezes abusando da ingenuidade ou confian a do usu rio para obter informa es que podem ser utilizadas para ter acesso n o autorizado a computadores ou inform
196. m treinamento de pessoal Ela ressalta que a qualifica o de pessoal e a conscientiza o dos usu rios a chave para o aumento da seguran a Regulamenta es O problema da seguran a das informa es e a glo baliza o que coloca on line na internet diferentes legis la es e culturas reflete profundamente na gest o das organiza es com maiores ou menores impactos em fun o da natureza de seus neg cios Uma s rie de nor mas e regulamenta es t m surgido para enquadrar num padr o desejado de seguran a determinados grupos de institui es que se relacionam pela rede Segundo o analista da Prodemge Paulo C sar Lo pes os impactos atingem diretamente os departamentos de administra o de risco e as reas de tecnologia que assumem novas fun es a partir dessas normas visando adequa o Marcelo Bezerra da IBM acrescenta que a quest o pode se transformar num problema administrativo para organiza es vinculadas s v rias regulamenta es O n o cumprimento de determinadas normas pode desabilit las para presta o de servi os j que est o su jeitas a auditorias e puni es Julho Dezembro de 2007 Para a implementa o de um programa de seguran a afirma importante que a pessoa respons vel pela gest o de riscos compreenda n o s as implica es de seguran a de cada solu o de TI adotada mas tamb m entenda profundamente o neg cio da empresa Somente somando esse
197. ma o e a padroniza o e normatiza o dos processos e tecnologias em seguran a Ademais a Pol tica de Seguran a da Informa o mostrou se como um exemplo exitoso de pol tica realizada 2 4 Programa de Sensibiliza o em Seguran a O elemento humano apontado por v rios autores entre eles Mo reira 2001 S mola 2003 Ra mos 2004 e Te filo 2002 como o elo mais fraco na implementa o do processo de gest o da seguran a da informa o O programa de sensibiliza o em seguran a teve o prop sito de formar uma cultu ra de seguran a que se integre s atividades de rotina dos colabora dores das organiza es a partir de uma ampla divulga o da Pol tica de Seguran a e dos seus conceitos principais A campanha de seguran a da informa o da Seplag utilizou como mote Seguran a da Informa o Adote essa id ia Fig 2 O proces so de conscientiza o contou com a realiza o de 11 palestras de sensibi liza o com a pe a teatral As velhas e o dia de chuva para 800 servidores p blicos contratados e estagi rios Essa pe a teatral j havia sido utiliza da pela Companhia Energ tica de Mi nas Gerais Cemig e aborda de for ma l dica os problemas dos velhos h bitos de seguran a da informa o adotados pelas pessoas Nas palestras SEGURAN A DA INFORMA O ADOTE ESSA IDEIA de forma corporativa N o s o raros os casos em que a administra
198. mais sofisticados em que locais de inclus o s o adap tativamente selecionados depen dendo de caracter sticas da vis o humana at uma pequena distor o aceit vel Em geral a inclus o de LSB simples suscet vel a proces samento de imagem especialmente 3 2 Filtragem e mascaramento As t cnicas de esteganografia que se baseiam em filtragem e mas caramento s o mais robustas que a inser o LSB Estas geram estego imagens imunes compress o e ao recorte No entanto s o t cnicas mais propensas detec o 9 Ao contr rio da inser o no canal LSB as t cnicas de filtragem e mascaramento traba lham com modifica es nos bits mais significativos das imagens As ima 3 3 Algoritmos e transforma es As t cnicas de esteganografia que se baseiam em algoritmos e transforma es conseguem tirar proveito de um dos principais pro blemas da inser o no canal LSB que a compress o Para isso s o utilizadas a transformada de Fourier discreta a transformada de cosseno discreta e a transformada Z 13 Sendo embutido no dom nio de transforma o os dados escondidos residem em reas mais robustas es palhadas atrav s da imagem inteira e fornecem melhor resist ncia contra processamento de sinal Configuram se como as mais sofisticadas t cnicas 3 4 Outras t cnicas Na t cnica de espalhamento de espectro como o espalhamento de frequ ncia os dados escondidos s o 104 gua
199. milh es de computadores ao redor do mundo e permite a publica o e a troca de informa es de qualquer tipo entre seus usu rios parte ine g vel do cotidiano dos nossos filhos realmente uma tecnologia fasci nante Mas o acesso s informa es de qualquer tipo precisa ser tratado j que estamos considerando indiv duos cujo car ter e cuja personalida de est o em processo de forma o Como esse processo se d a partir dos valores e informa es que recebem bem como do meio e da cultura ao qual est o inseridos o uso que eles d o internet deve ser examinado analisado e controlado bloquean do se as informa es e experi ncias negativas que n o contribuam para o seu desenvolvimento A tend ncia natural dos pais ou dos respons veis de serem otimistas a respeito do uso que seus Julho Dezembro de 2007 ve culos automotores por acompa nhantes e extenso monitoramento Jogos e brincadeiras como escon de esconde rouba bandeira gar raf o pega ladr o e outros reali zados nas ruas foram substitu dos por jogos eletr nicos em videoga mes ou computadores e pelo acesso internet Muitos pais por n o po der oferecer a inf ncia que tiveram tentam compensar as restri es f si cas impostas aos seus filhos com a amplitude e as possibilidades quase ilimitadas da grande rede mundial de computadores A internet sem d vida revo lucion ria e dona de um potencial educa
200. n da es e dicas sobre como o usu rio da rede deve se comportar para aumentar a sua seguran a e proteger se de poss veis amea as A analista do CERT br Cristine Hoepers lembra que os computadores dom sticos s o utilizados para realizar in meras tarefas tais como transa es financeiras sejam elas banc rias sejam para compra de produtos e servi os comunica o por exemplo por e mails armazenamento de dados sejam eles pessoais sejam comerciais etc importante que o usu rio se preocupe com a se guran a de seu computador pois ele provavelmente n o gostaria que suas senhas e n meros de cart es de cr dito fossem furtados e utilizados por terceiros que sua conta de acesso internet fosse utilizada por algu m n o auto rizado que seus dados pessoais ou at mesmo comer ciais fossem alterados destru dos ou visualizados por terceiros ou que seu computador deixasse de funcionar por ter sido comprometido e arquivos essenciais do siste ma terem sido apagados etc Dessa forma o material da Cartilha serve como fonte de consulta para todas as vezes em que o usu rio quiser esclarecer d vidas sobre seguran a ou aprender como se proteger desses ataques e amea as ma importante iniciativa do CERT br na preven o aos incidentes na internet brasileira o Cons rcio Bra sileiro de Honeypots Projeto Honeypots Distribu dos que tem o objetivo de aumentar a capacidade de detec o de inciden
201. n forma o e de comunica o TICs Na literatura diversas acep es s o apresentadas ao termo governan a Van Grembergen De Haes Gulden tops 2004 p 5 sendo que de modo geral quanto governan a corporati va elas est o relacionadas com a ca pacidade da organiza o realizar ati vidades voltadas ao seu desempenho Julho Dezembro de 2007 e vantagem competitiva Esta ca pacidade pode variar conforme o neg cio e a localiza o geogr fica da organiza o o que constitui um problema parte para as organiza es globais Em especial o trabalho de Ayogu 2001 p 309 acerca do tema introduz uma observa o fun damental ao notar que do ponto de vista pr tico o problema da gover nan a corporativa est relacionado com o delineamento de institui es entendidas como o conjunto de procedimentos normas rotinas e conven es formais ou informais que norteiam as a es coletivas North 1991 Ostrom 1999 p 36 37 que orientam o corpo de gerentes em suas a es levando em considera o o bem estar dos stakeholders inves tidores empregados comunidades fornecedores e clientes No tocante s TICs a gover nan a assume aspectos necessaria mente mais localizados inseridos em um contexto delineado pelas GEE 93 Divulga o pr prias tecnologias que se prop e aplicar e gerenciar Pode se enten der a governan a das TICs como sendo a responsabilidade
202. n o correta Isto salienta tamb m a distin o entre estrutura e significado aos quais conforme j se disse a seguran a n o est afeita Note se que esses dois conceitos pertencem a dom nios distintos de representa o sint tico e sem ntico 94 GE Julho Dezembro de 2007 Irretratabilidade ou n o re p dio garantia de que n o se pode negar a autoria da informa o ou o tr fego por ela percorrido Desse modo a seguran a faz se presente nas arquiteturas e modelos 160 000 140 000 120 000 100 000 80 000 60 000 40 000 20 000 0 xo a Oy o O Na OD O O EN da informa o inserindo se em todos os n veis Entretanto observa se um n mero crescente de ocorr ncias de incidentes relativos seguran a da in forma o Fraudes digitais furtos de senhas cavalos de tr ia c digos de programas aparentemente inofensivos mas que guardam instru es danosas ao usu rio ao software ou ao equipa mento v rus e outras formas de ame a as t m se multiplicado vertiginosa mente conforme ilustra a Figura 1 Incidentes E Vulnerabilidades Figura 1 Vulnerabilidades e incidentes de seguran a da informa o em sites no mundo reportados no per odo de 1988 a 2003 Fonte CERT 2006 Naimagem apresentada pela Figu ra 1 mostra se o aumento do n mero de vulnerabilidades ou seja potenciais falhas de mecanismos comp
203. ncipal uso que sua s crian a s faz em da internet Ta refas da escola Pesquisa por infor ma es Jogos Troca de mensagens instant neas Salas de bate papo E mails Encontrar novos amigos Criar seu site pessoal blog Pe gar ouvir m sicas Todas as alterna tivas anteriores H mais alguma que voc ainda n o saiba O desafio est ficando cada vez maior Apesar dos tantos benef cios des sa tecnologia precisamos ressaltar a exist ncia de conte dos na internet que poder amos classificar como inapropriados Apenas para exem plificar citamos a pornografia a vio l ncia o racismo al m das quest es sobre a seguran a nas intera es on line com outras pessoas quanto divulga o de informa es pessoais e sigilosas Diante dessa realidade poder amos dizer que n o possu mos nenhuma preocupa o com o uso que nossas crian as fazem da internet Afinal como poder amos conci liar o uso da internet com n veis de seguran a satisfat rios Poder amos apresentar em algumas sugest es Amea as mais comuns Podemos dividir as amea as da internet em dois grandes grupos as amea as por pessoas e as amea as por softwares As amea as por 86 Fonte iniciais colocar o computador que as crian as usam em uma rea de uso comum do lar haver sempre um adul to por perto enquanto as crian as es tiverem usando a internet educ las a sempre pedir permiss o antes de enviar
204. nde impulsiona dor para o maior uso das tecnologias de informa o e comunica o na rea de sa de Ali s j era tem po Nos ltimos anos assistimos a uma tremenda evolu o nos equipamentos m dicos mas o papel ainda persistia em ser o principal instrumento de re presenta o dos prontu rios resultando em salas e salas destinadas aos lend rios Servi os de Arquivo M dico e Estat stica SAMEs Bem mais que isso estando as informa es de sa de de uma pessoa no formato digital outros benef cios podem ser ex plorados como a facilidade na comunica o para consultas de segundas opini es acompanhamento remoto em procedimentos complexos e at no apoio tomada de decis es e redu o de erros em prescri es Ou seja uma not ria melhora no atendimento assistencial O cen rio muito promissor Contudo temos que admitir que uma grande mudan a de para digma que muda conceitos e processos Conceitos na medida em que como pacientes temos com a internet acesso a uma avalanche de informa es e ferramentas fazendo com que sejamos muito mais participativos e pr ativos no tratamento da doen a e mais que isso na promo o da sa de Processos j que n o fazemos mais as coisas da mesma forma 36 KA Iniciativas e import ncia da seguran a da informa o e privacidade na sa de que antes e temos que aprender pacientes e profis sionais da sa de Em se tratando de seguran a do que estam
205. ndial de computadores por softwares englobam os progra mas de computador que executam tarefas cujas consequ ncias s o negativas Julho Dezembro de 2007 Amea as por Pessoas Parte das amea as da internet proporcionadas por pessoas a mes ma que motivava nossos pais e av s a sempre nos recomendarem quando ramos pequenos a n o falar com estranhos A web permite a comu nica o com estranhos de todo tipo e de qualquer parte do mundo O pro blema que manter o anonimato nes ses di logos muito simples Se pas sar por outras pessoas tamb m Um terceiro mal intencionado pode usar Amea as por Softwares Os primeiros programas inva sores de computadores foram os v rus Criados no in cio da d cada de 80 normalmente por meio de disquetes contamina dos alterando as informa es de inicializa o do computador Master Boot Record ou MBR Desde ent o sua capacidade destrutiva vem au mentando exponencialmente Eles se propagam infectando ou seja criando c pias deles mesmos tor nando se parte de outros programas de computador Dependem da exe cu o do programa hospedeiro para tornarem se ativos e dar continuida de ao processo de infec o e tamb m podem acessar sua lista de endere os de e mails enviando c pias de si mesmo provocando verdadeiras epidemias Alguns desses programas podem apagar arquivos desconfigu rar sistemas operacionais ou mesmo inutilizar todos os
206. nforma o Requisitos Rio de Janeiro 2006 40 p AKUTSU Luiz PINHO Jos Ant nio Gomes de Sociedade da informa o accountability e democracia delegativa investiga o em portais de governo no Brasil Revista de Administra o P blica Rio de Janeiro v 36 n 5 p 723 745 set out 2002 ARA JO Wagner Frederico Gomes de A Avalia o de S tios Governamentais como um Instrumento para Melhoria dos Servi os e Informa es On line da concep o aos resultados Trabalho premiado em 1 Lugar no 1 Pr mio Excel ncia em Gest o P blica do Estado de Minas Gerais Belo Horizonte Junho de 2006 BRASIL Livro Verde da Sociedade da Informa o no Brasil Bras lia Minist rio da Ci ncia e Tecnologia 2000 BRASIL Gabinete de Seguran a Institucional Metodologia para gest o de seguran a da informa o para a administra o p blica federal 30 maio Bras lia 2006 14 p Dispon vel em lt https www governoeletronico gov br anexos metodologia para gestao de seguranca da informacao gt Acesso em 08 dez 2007 CASTELLS Manuel A sociedade em rede 7 ed S o Paulo Paz e Terra 2003 p 1 118 A era da informa o economia sociedade e cultura v 1 MOREIRA Nilton Stringasci Seguran a m nima uma vis o corporativa da seguran a de informa es Rio de Janeiro Axcel Books 2001 240 p NIC BR Security Office Cartilha de Seguran a para Internet Vers o 3 1 s l 11 set 2007 Dispon vel em lt http
207. nha m quinas infectadas e torne se um vetor de ataque Outra linha importante de combate a incidentes a parceria com outras entidades que trabalham com os mesmos objetivos Segundo Ronaldo Vasconcelos h bastante intera o entre o Cais e v rios grupos como por exemplo o Forum of Incident Response and Security Teams First e do Antiphishing Working Group APWG A gerente do Cais Liliana Solha faz parte do Comit Gestor e tem apoiado a cria o de grupos no Brasil e ou tros pa ses da Am rica Latina H tamb m iniciativas hacker positivas no Brasil a exemplo de outros pa ses com a realiza o de confe r ncias O especialista chama a aten o para o uso do termo hacker cujo sentido original refere se pessoa que gosta de pesquisar softwares na internet que se interessa por essas quest es e que ganhou o sentido pejorativo de criminoso na internet Segundo ele nesses eventos nor malmente discutem se problemas de vulnerabilidade e o Cais tem participado O Brasil tamb m tem esse tipo de evento para discutir tecnologias e pelo que tenho obser vado n o t m car ter underground A colabora o entre entidades em todo o mundo suporte tamb m s atividades do CERT br Segundo Cristine Hoepers existe uma coopera o muito grande entre os grupos de seguran a existentes Aqui no Brasil a intera o muito boa havendo coopera o e troca de informa es sobre tecnologias e tend ncias lista d
208. niza o principal mente do setor p blico que al m de ter que proteger as informa es do seu neg cio respons vel pela cust dia das informa es de cidad os e empresas O objetivo deste artigo apresentar a concep o do Plano Corporativo de Seguran a da Informa o do Governo do Estado de Minas Gerais e seus prin cipais resultados Ser o apresentadas as duas fases do Plano sendo que a primeira contemplou a sua elabora o e contou com a participa o da Secretaria de Estado de Fazenda SEF Secretaria de Esta do de Planejamento e Gest o Seplag e a Companhia de Tecnologia da Informa o de Minas Gerais Prodemge J a segunda fase refere se implementa o do Plano e os resultados aqui apresentados restringem se Seplag Palavras chave Seguran a da Informa o ABNT NBR ISO IEC 27001 2006 Gest o de Riscos Julho Dezembro de 2007 o 1 o o 2 3 2 a 1 Introdu o A sociedade da informa o vem sendo discutida e apresentada como uma nova era em que a informa o pode fluir a velocidades e quantida des at h pouco tempo inimagin veis al m de assumir valores sociais e econ micos centrais Brasil 2000 A base instrumental para esse novo paradigma encontra se no desenvol vimento sem precedentes das Tecno logias da Informa o e Comunica o TICs que permitem a troca de da dos por meio dos fios de telefone li nhas de fibra tica transmiss es via sat lite d
209. nta o da classifica o envolve os seguintes procedimentos 1 marcar a informa o 11 armazen la iii transmiti la iv descartar a informa o desneces s ria v permitir o acesso e a divul ga o apropriados vi estabelecer responsabilidades Baker 2004 estabelece cate gorias para informa o e para sis temas de informa o no mbito do National Institute of Standards and Technology NIST As categorias propostas baixa moderada alta t m como base o impacto potencial para a organiza o quando ocor rem eventos que colocam em risco a informa o e os seus sistemas A avalia o do impacto em categorias fundamenta se nos objetivos de se guran a para informa o e para sis temas de informa o confidenciali dade integridade disponibilidade especificados pelo Legal Information Institute 2005 3 Seguran a da informa o no contexto da TI Em muitas organiza es os ge rentes encarregam as equipes de TI de solucionar quest es de seguran a 2 Parte do U S Department of Defense Julho Dezembro de 2007 da informa o Tal pr tica tem con duzido a planos de seguran a fun damentados em solu es puramente Baker 2004 apresenta um con junto de procedimentos para mapea mento entre a informa o e os n veis de impacto que pode provocar i identificar sistemas de informa o ii identificar tipos de informa o iii selecionar n veis de impacto tempor r
210. o Federal da OAB Coordenador e professor do curso de p s gradua o de Direito de Inform tica da Escola Superior de Advocacia da OAB SP Coordenador da Comiss o de Estudos da Associa o Brasileira de Direito de Inform tica e Telecomunica es ABDI em Minas Gerais Autor do livro Internet e o Direito e co Autor dos livros Internet Legal e Manual de Direito Eletr nico e Internet Atua nas reas de Direito Empresarial e Direito de Inform tica Editor do blog DNT O Direito e as Novas Tecnologias www dnt adv br A atividade empresarial mo derna est inserida em um contexto de extrema competitividade com demandas crescentes por solu es r pidas e eficazes O advento e a conseq ente consolida o das tec nologias de informa o propiciaram o instrumental necess rio para res ponder adequadamente a estas exi g ncias apontadas Somado a este fator observa se o decr scimo no custo de tais ferramentas bem como a sua simplifica o permitindo 70 gaa RESUMO A utiliza o de v rios dispositivos de comunica o no ambiente empresarial por meio eletr nico pode resultar na transmiss o ou acesso de dados sigilosos pelos empregados Este problema resulta na necessidade de monitoramento eletr nico por parte dos empregadores Este recurso vem suscitando discuss es controversas sobre a viola o ao direito de privacidade dos empregados Neste artigo ser o analisados os fundamentos da licitude e dos limites do
211. o de atores de empreendimentos que visam ao desenvolvimento e tamb m daqueles que vislumbram possibilidades de ganhos f ceis O problema da transfe r ncia natural dos crimes do mundo real para o espa o digital passa dessa forma a figurar nas agendas de profissionais dos mais diversos setores saaddaddaddadd Fonte Julho Dezembro de 2007 ronte 13 gt A exig ncia imposta as empresas de desenvolver programas e iniciativas de segu ranga vem n o s da preocupa o em manter n veis satisfat rios de servi o e de confian a dos clientes mas tamb m das diversas regulamenta es impostas por organismos nacio nais e internacionais que definem posturas e normas s empresas sob pena de serem responsabilizadas por eventuais problemas E mais ataques comprometem n o s seus neg cios e informa es mas tamb m sua imagem O crescimento a diversifica o e a gravidade dos ataques criaram ao mesmo tem po um mercado bastante efervescente de servi os e produtos para preven o e combate aos incidentes de seguran a Segundo dados do IDC o mercado mundial de TI movimen tou em 2007 US 1 2 trilh o dos quais US 44 5 bilh es referem se ao mercado de segu ran a No Brasil dos US 20 4 bilh es contabilizados no mercado de TI 2007 US 0 37 bilh o destinou se seguran a com uma taxa de crescimento m dio de 15 3 at 2010 Para a analista de seguran a do Centro de Estudos Resposta e Tratamento de Incidentes de Se
212. o de casa com os filhos alimentando seus blogs re lacionando se pelo Orkut a fam lia fazendo compras pela internet at mesmo pelo telefone os riscos de extors o existem Com a experi ncia de atua o no mercado corpo rativo ele defende que os or amentos dedicados segu ran a da informa o variam de acordo com a import ncia que a empresa d a esse aspecto Quanto mais importan te a seguran a da informa o para o neg cio da empre sa maior o or amento destinado Fernando Nery governan a gest o de riscos e compliance m tp Nery ressalta ainda o desafio dos gestores de se guran a para sinalizar aos respons veis pelas reas de neg cios a import ncia de adotar medidas de seguran a numa empresa Ele explica que a seguran a ou proble mas relacionados aparecem em casos cr ticos quando h uma invas o indisponibilidade ou queda de um sistema e defende que relevante trat la como algo positivo o risco pode ser positivo considerando se o conceito de que o risco o efeito das incertezas nos objetivos trabalho do profissional de seguran a conscientizar usu rios e gestores Em palestra realizada durante o Security Meeting 2007 em Belo Horizonte o executivo fez alerta aos pro fissionais da rea sobre o conceito de Governan a Gest o de Riscos e Compliance GRC Segundo ele uma ten d ncia na forma de um conceito mais abrangente do que os tr s elementos tratado
213. o oculto as atividades do computador de um alvo Um dos meios mais comuns dessa pr tica usada para controlar os sites visitados pelos compradores da internet para que os an ncios on line possam ser adaptados aos seus h bitos de pesquisa na internet A outra forma an loga grampear um telefone s que o dispositivo alvo um computador O software captura as atividades do usu rio incluindo as senhas e as teclas digitadas e mail conversas de chat men sagens instant neas todos os sites web visitados e capturas de tela A arte de enganar Kevin Mitnick e William L Simon Surfar sobre os ombros o ato de observar uma pessoa digitando no teclado do computador para descobrir e roubar sua senha ou outras informa es do usu rio Threat Intelligence um pr requisito para fazer uma an lise de risco conhecer quais s o as amea as o que est a fora que pode nos atacar qu o severas s o as amea as como elas v m evoluindo etc Isso o que chamamos de Threat Intelligence e um componente essencial do gerenciamento de riscos de uma organi za o Trojans Cavalos de Tr ia Os Trojan horses propagam se quando as pessoas abrem inadvertidamente um pro grama porque pensam que a mensagem proveniente de uma fonte leg tima Virar latas vasculhar o lixo de uma empresa quase sempre em um lixo externo e vulner vel para encontrar informa es descartadas que t m valor ou que fornecem uma ferramenta a
214. o p blica precisa lidar como os proble mas e as dificuldades de fazer com que ag ncias aut nomas trabalhem de forma cooperativa para buscar ob jetivos comuns de uma pol tica evi tando que cada uma fique insulada em seu pr prio contexto O projeto de seguran a foi bem sucedido ao criar uma estrutura de gest o descen tralizada coordenada que permitiu a cria o de uma Pol tica nica para os tr s rg os em quest o foram distribu das cartilhas e brindes como camisas cordas de crach s e ca netas Na intranet da Seplag foi criada uma rea de seguran a da informa o e foram divulgados 12 cartazes sobre o tema ao longo do ano de 2006 A campanha de seguran a da in forma o da SEF utilizou como mote Seguran a da Informa o Segure essa id ia Fig 3 e contou tamb m com um mascote chamado Seguri to A campanha conscientizou cerca de 7 683 servidores e terceirizados distribu dos por todas as regionais da SEF no Estado Figura 2 Mote da Campanha de Seguran a da Informa o Seplag 2006 66 GENES Julho Dezembro de 2007 Seguran a da Informa o Segure essa id ia SEFA Secretaria de Estado de Fazenda Figura 3 Mote da Campanha de Seguran a da Informa o SEF 2006 2 5 Plano de Continuidade de Neg cios para os Ativos de Tecnologia da Informa o O Plano de Continuidade de Neg cios PCN para os ativos de tecnologia da informa o foi elaborado
215. o p ginas na internet sem o risco de algu m copi las e us las comercialmente pois dif cil remover a modifica o sem destruir a obra original poss vel tamb m inserir digitalmente marcas vis veis em v deo e at aud veis em m sica d gua digitais s o classificadas de acordo com a dificuldade em remov las em As marcas ocultadas dentro da pr pria imagem n o haveria risco de a imagem se se parar dos dados 19 Em alguns casos deseja se mo nitorar um dado arquivo com direi tos autorais que est sendo distribu do na internet por exemplo Pode se tamb m inserir peda os de informa es dentro dos dados que est o sen do transmitidos para que o p blico que as receba possa us las Como exemplo podem se ter informa es de um dado produto anunciado por uma r dio em que o cliente com um simples apertar de bot o pode des cobrir o pre o o local de venda mais pr ximo ou fabricante Atualmente a esteganografia tem sido tamb m ex plorada em ramos de sistemas de de tec o de intrus o 10 e em sistemas de arquivos 11 Outras aplica es de esteganografia incluem as t cnicas de autentica o criptografia e rastre amento de documentos que podem ser utilizadas normalmente em con junto com a t cnica de marca d agua robustas frageis e semifrageis Nor malmente esta classifica o tamb m determina a finalidade para a qual a marca ser utilizada As marca
216. o passa natu ralmente pelos custos de operacionalizar novos procedi mentos nesse sentido A quest o financeira sobrep e se a quest es ideol gicas relativas manuten o do anoni mato na internet Sim FONTE Recentemente em S o Paulo um cart rio n o reconheceu a Nota Fiscal Eletr nica o que leva antiga discuss o dos aspectos legais dos documentos e provas vinculadas ao papel Chegar o dia em que o papel ser substitu do pelas m dias eletr nicas garan tindo se todos os aspectos legais e jur dicos Acredito que sim mas n o sei se iremos eliminar o papel totalmente assim como mais segura mas a quest o quem paga esta conta pois tecnologia j existe para isso FONTE Com os recursos j dispon veis da crip tografia e da assinatura digital virtual h o risco de a internet abrigar dois grupos distintos os n o an nimos formais e legais e os underground que defendem e man ter o o anonimato Quais as tend ncias de formaliza o de uma identidade digital Acredito que a internet pode ter seu lado an nimo mas isso n o condizente com uma web transacional principalmente onde em termos de quest es legais es sencial ter a prova de autoria No entanto mesmo quando falamos de uma web 2 0 por causa da falta de educa o dos usu rios comum a pr tica de crimes principalmen te contra a honra e portanto o Direito precisa garantir a possibilidade de investiga o e puni
217. ocumentos originais ii existem apenas tr s n veis de classi fica o supersecreto secreto e con fidencial iii informa es n o devem ser classificadas pelo sistema de clas sifica o caso n o sejam de interes se da seguran a nacional O ISOO 2003 descreve ainda marcas obri gat rias aplicadas aos documentos originais para identifica o dos n veis de seguran a a adotar 1 marcas em partes do documento caso tais partes tenham diferentes classifica es 11 classifica o do documento como um todo com o n vel mais res trito de classifica o presente dentre as partes do documento iii inser o dos campos classificados por raz o da classifica o e data final da clas sifica o no documento No Canad o Government of Alberta 2005 disp e de um siste ma de classifica o de documentos que tem por objetivos i proteger a informa o pessoal ii proteger a in forma o confidencial contra acesso n o autorizado iii proteger a pro priedade intelectual do governo iv dar suporte dissemina o de infor ma o v possibilitar coopera o intergovernamental e para seguran a p blica O sistema de classifica o identifica quatro n veis de seguran a para a informa o irrestrita prote gida confidencial e restrita Existem casos em que a informa o de inte resse nacional e assim classificada como confidencial secreta e super secreta Na pr tica a impleme
218. oftware default mspx Free Spyware Remo val Forever outra solu o sem nus Remove spyware e adware Dispon vel em http free spyware removal fore ver microsmarts llc qarchive org Outro programa gratui to para uso pessoal ou edu cacional o SpywareBlaster 3 5 1 Dispon vel em http www javacoolsoftware com spywareblaster html Op o tamb m interessante o Free Anti SPY Guard Dispon vel em http www pcguardsoft com free anti spy html O SpywareTerminator outra solu o gratuita Dispon vel em http www spywareter minator com H tamb m alguns sites que s o muito teis pois apresentam infor ma es interessantes a respeito da seguran a no uso da internet Pode mos citar http www cgi br http cartilha cert br e http www antispam br http www infowester com dicaseguranca php http www portaldafamilia org artigos artigo054 shtml e http www microsoft com brasil athome security chil dren default mspx http www safecanada ca link e asp category 3 amp topic 94 http www internet101 ca en index php e http wwwl1l k9webprotec tion com e http www datastronghold com security articles general security articles the state of kids internet safety html http online security for kids qarchive org e http www2 cifop ua pt no nio seguranet guia pais htm http www seguranet crie min edu pt pais Default aspx e http www acme
219. ologia da Informa o e Comunica o TIC desempenham um papel vital na co leta an lise produ o e distribui o da informa o indispens vel exe cu o do neg cio das organiza es Dessa forma o reconhecimento de que a TIC tornou se essencial crucial estrat gica e um importante recurso que precisa de investimento e gerenciamento apropriados Esse cen rio motivou o surgi mento do conceito de governan a Governan a de TIC pode ser de finida da seguinte forma e Uma estrutura de relaciona mentos entre processos para direcionar e controlar uma em tecnol gica do termo ingl s IT Go vernance por meio da qual procu ra se o alinhamento de TIC com os objetivos da organiza o Governan a tecnol gica define que TIC um fator essencial para a gest o financei ra e estrat gica de uma organiza o e n o apenas um suporte a esta presa para atingir seus objeti vos corporativos por meio da agrega o de valor e controle dos riscos pelo uso da TIC e seus processos TTGI 2001 capacidade organizacional exercida pela mesa diretora gerente executivo e gerente Julho Dezembro de 2007 de TIC de controlar o plane jamento e a implementa o das estrat gias de TIC e dessa forma permitir a fus o da TIC ao neg cio Van Grembergen 2003 especifica o das decis es corretas em um modelo que encoraje o comportamento desej vel no uso de TIC nas organiza es Weill
220. omponentes como um que de termine que o guia do adminis trador deve ser consistente com toda a documenta o suprida para avalia o NIAP 2003c de n vel de servi os Service Level Agreements SLA com 0 cliente e gest o financeira para servi os de TI destinada forma o negocia o e exibi o de cus tos dos servi os e gest o de disponibilidade des tinada garantia de disponibi lidade com vistas satisfa o do cliente e manuten o do neg cio e gest o de capacidades des tinada observ ncia de de mandas sua adequa o e conson ncia com tempos e custos e gest o de continuidade de ser vi os de TI destinada a asse gurar a recupera o dos ativos de TI quando necess rio de atualiza es essenciais sua formaliza o e implementa o Exemplos que merecem desta que no tocante seguran a da informa o s o o texto publi cado pelo Tribunal de Contas da Uni o TCU com melhores pr ticas sobre o tema TCU 2003 e recomenda es dispostas pelo Network Information Center do pa s NIC BR NBSO 2005 Julho Dezembro de 2007 a 4 Coment rios finais Evidencia se a inter rela o entre outro Enquanto as TICs devem se ade alinhamento com as pol ticas e pr ticas os modelos de governan a de TICs e quar perfeitamente governan a institu dos ativos da informa o os quais s o os modelos voltados seguran a da in cional a seg
221. onalidade Uma norma constitucional n o deve pre valecer de forma abstrata e aprior s tica em rela o outra Constatada a antinomia esta se resolve por meio do princ pio da proporcionalidade Contudo a caracteriza o do correio eletr nico como correspon d ncia n o abrange o cerne da ques t o podendo at mesmo ser conside rada in cua Mesmo que se repute o correio eletr nico como correspon d ncia os limites de sua prote o est o determinados na Lei 9 296 96 que regulamentou o aludido disposi tivo constitucional O artigo 10 da mencionada lei or din ria estatui Constitui crime rea lizar intercepta o de comunica es telef nicas de inform tica ou tele m tica ou quebrar segredo da Jus ti a sem autoriza o judicial ou com objetivos n o autorizados em lei A exegese da norma aponta a permissi vidade do monitoramento desde que haja autoriza o judicial ou se esteja munido por uma finalidade legalmen te tutelada Neste ponto urge o refor o dos in meros fundamentos legais apresentados para o monitoramento eletr nico atribuindo legitimidade ao seu implemento desde que adstri to aos objetivos apresentados O Tribunal Superior do Trabalho manifestou se quanto ao tema no RR 613 publicado em 10 06 2005 Esta importante decis o reconhece a lega lidade do monitoramento do e mail Julho Dezembro de 2007 corporativo Pertinente a vincula o do monitoramento ao cont
222. or meio do Datasus a comiss o tem participado ativamente na International Organization for Standardization ISO na elabora o das normas internacionais e publica o de suas vers es brasileiras As quest es de seguran a e privacidade s o discutidas no Grupo de Trabalho 4 espec fico para esse assunto Entre os principais trabalhos em curso destacam se dois a ISO 27799 que trata da aplica o da ISO IEC 27002 a principal norma de seguran a da informa o especificamente para a rea de sa de e que tem programada a sua publica o no Brasil t o logo a norma internacional seja publicada e a ISO 25237 que trata de t cnicas de pseudonimiza o que visa impedir a possibilidade da identifica o de um pa ciente por meio de seu conjunto de informa es de sa de como aquele contido em um prontu rio do paciente permitindo contudo que seja vi vel uma cobran a financeira a esse paciente N o h d vidas que o uso N o h como pensar em da tecnologia na ma sitya o na qual rea da sa de tra r muitos ganhos Contudo dada a alta sensibilida infor ma o de sa de de desse tipo de seja divulgada seja uma informa o po doen a uma consulta demos dizer que seja um diagn stico Z a seguran a um sem a expressa autoriza o de um paciente uma fator essencial e que sem os devidos controles implantados me lhor manter os processos tradicionais N o h como
223. os uma tend ncia internacional que o Estado atenda e sirva o seu povo os cidad os por meio de servi os de e gov FONTE Quais as peculiaridades de tratamento das informa es e sua guarda por parte de empresas p blicas As institui es da Administra o P blica devem guardar os dados dos cidad os com zelo para garantir o sigilo E o Estado possui responsabilidade objetiva ou seja vai responder por danos causados mesmo indepen dente de culpa FONTE No caso de redes wireless estruturadas e disponibilizadas pela administra o p blica como fazer o gerenciamento e controle de acessos fundamental que haja sempre uma autentica o de usu rio com dados completos em virtude da quest o atual da autoria em ambientes eletr nicos onde essas informa es s o necess rias se for preciso investigar um inciden te Sendo assim mesmo em ambientes de inclus o digital cabe a elabora o do termo de uso do servi o mesmo que gratuito determinando claramente os direitos e as obri ga es dos usu rios e a solicita o de dados detalhados de identidade A n o coleta desses dados a n o guarda a n o autentica o contribuem para o anonimato e mesmo para pr ticas il citas FONTE Uma pol mi ca recente a da realiza o uma tend ncia internacional que o Estado atenda e sirva o povo os cidad os por meio de servi os de e gov Realmente a sociedade digital cada vez ma
224. os falando Existem v rias quest es que envolvem a seguran a da informa o mas as principais tratam da privacidade e da integridade das informa es digitais e da identidade dos atores Essas quest es tamb m est o presentes no mundo tradicional mas no mundo digital ganham propor es muito maio res Aquela pasta que era guardada e trancada no arm rio agora est em um servidor que potencial mente pode ser acessado do outro lado do mundo S precisamos aprender como funcionam as trancas eletr nicas ou seja quem pode abrir ler alterar e excluir as informa es E como verificamos em um arquivo digital se ele foi ou n o adulterado da mesma forma que um papel escrito a tinta que n o poderia ser apagado sem deixar rastros Existem sa das tecnol gicas para todas essas quest es e vale ressaltar a import ncia da ado o de padr es nacionais e internacionais de forma que propiciem interoperabilidade e n veis de qua lidade Nesse sentido destaco algumas iniciativas em curso Uma das principais trata do uso da certifica o digital O Brasil j regulamentou por meio da Infra Estrutura de Chaves P blicas do Brasil ICP Brasil as formas de uso e emiss o de certificados digitais aos cidad os que podem ser usados para autentica o em aplicativos em substitui o ao Julho Dezembro de 2007 tradicional usu rio e senha e para gerar assinaturas digitais com validade jur dica equivalente assi nat
225. os anteriormente Para estes locais importante que os pais ou os respons veis verifiquem as res pectivas pol ticas existentes de uso da internet e solicitem a instala o das ferramentas de software j suge ridas quando for o caso Ressaltamos ainda que vivemos em um planeta composto de comu nidades distintas com valores morais e culturais diversos Partindo desse contexto percebemos que enquanto comunidade precisaremos ainda nos envolver com outras quest es mais amplas por m que tamb m dizem res peito aos riscos a que nossas crian as est o expostas S o quest es como os provedores de acesso internet devem ser administradores e supervi sores de conte do Ou nossa comu nidade entende que isso seria invas o de privacidade e prefere deixar esta responsabilidade como sendo apenas dos pais O governo deveria desem penhar algum tipo de papel no con trole de conte do da internet Qual At que ponto estar amos dispostos a deixar o governo entrar na vida pes soal de nossas fam lias com esse tipo de controle Seria melhor atribuir a uma organiza o independente tal responsabilidade Ou dever amos deixar a internet sem administra o ou supervis o como atualmente est e tratarfamos os riscos com a es positivas e educativas voltadas para nossas crian as dentro dos limites que julgamos adequados sem a inter fer ncia de terceiros ou de estranhos em nossa liberdade de surfar na rede mu
226. os para o armazenamento das fotografias cenas ou imagens produzidas na forma do caput deste artigo HI assegura por qualquer meio o acesso na rede mundial de com putadores ou internet das fotogra fias cenas ou imagens produzidas na forma do caput deste artigo 2 A pena de reclus o de 3 tr s a 8 oito anos discernimento bom senso virtuosi dade ast cia e sabedoria N o h tec nologia capaz de substituir a rela o aberta o di logo franco e a educa o dada pelos pais aos seus filhos O grande dilema da educa o de crian as quando liberar e quan do proibir a quest o basilar que envolve esta discuss o dos riscos existentes no acesso delas internet evidente que a independ ncia e a autonomia das crian as e adolescen tes s o caracter sticas que devem ser constru das e incentivadas como afirmava Piaget Mas todo pai sabe que o cotidiano exige proximidade 11 ECA dispon vel em http www planalto gov br ccivil 03 Leis L8069 htm Acesso 27 12 2007 12 Para den ncias de crimes virtuais que afetem toda a sociedade como o caso da PEDOFILIA utilize a Central Nacional de Den ncias de Crimes Cibern ticos Dispon vel em http www safernet org br twiki bin view SaferNet WebHome Para outros casos o site apresenta algumas orienta es interessantes Acesso em 30 11 2007 13 http pt wikipedia org wiki Piaget 14 http pt wikipedia org wiki Paulo Freire 15 http pt wikip
227. os t m que entender toda a estrat gia de quem quer passar por eles e fechar as alternativas quase em tempo real Quem n o quer se arriscar n o deve enviar e nem receber e mails Esta n o mais uma op o vi vel Sem comunica o o profissional e a em presa n o existem As ferramentas mais uma vez requerem treinamento Filtros podem barrar men sagens importantes simplesmente porque cont m alguma caracter stica que as torna parecidas com um spam ou com um worm N o ser mais o setor de TI que ir vasculhar o lixo de cada usu rio para procurar um falso positivo mensagem barrada in devidamente nos filtros de correio O usu rio tem que saber acessar as ferramentas para recuperar suas pr prias mensagens O usu rio que vai ter acesso abertura de mensagens de risco tem que estar treinado tem que saber o que faz tem que identificar quando est recebendo um arquivo de risco N o porque o e mail vem de um amigo que a mensagem n o tem risco Os amigos tamb m podem ser v timas de pessoas que os usam para enviar mensagens pe rigosas Talvez ele nem saiba disso Sua m quina pode ter sido invadida e passar a ser um ponto de envio de spam Sem treinamento o usu rio pode n o saber que algumas condutas s o consideradas inade quadas com rela o a um c digo de tica que se estabelece no uso da internet Com isso causam problemas que acabam trazendo preju zos para a institui o onde ele trabalha Um simple
228. otivar as organiza es a expandirem seus modelos de governan a incluindo quest es de seguran a computacional e incor porar o pensamento sobre seguran a por toda a organiza o em suas a es di rias de governan a corpo rativa CERT 2005b Como resultado de uma for a tarefa formada nos Estados Unidos em dezembro de 2003 para desenvolver e promover um framework de governan a coerente para direcionar a implementa o de um programa efetivo de seguran a da informa o foi apresentado ao p blico um documento descreven do a necessidade de governan a da seguran a da informa o CGTFR 2004 Esse trabalho apresenta tam b m recomenda es do que ne cess rio ser implementado e uma proposta para avaliar a depend ncia das organiza es em rela o segu ran a computacional O IT Governance Institute apre senta tamb m a necessidade de ter um modelo para governan a da se guran a da informa o ITGI 2001 Nesse trabalho apresentada a neces sidade de as diretorias das organiza es envolverem se com as quest es de seguran a computacional 4 Modelos em Aux lio Governan a da Seguran a da Informa o Um modelo para governan a da seguran a da informa o pode ser estruturado como um subconjunto da governan a de TIC e conseqiiente mente da governan a organizacio nal Esse modelo ser respons vel pelo alinhamento das quest es de se guran a computacional
229. para uma organiza o naquele dom nio al m de permitir a classifica o da informa o registra da ou seja a classifica o dos docu mentos corporativos pelos pr prios membros da organiza o 3 Robert T Morris estudante da Cornell University criou em 1988 um worm para um experimento de acesso a computadores O programa deveria detectar a exist ncia de c pias de si mesmo e n o reinfectar computadores Um bug impediu a detec o e sistemas foram infestados com centenas de c pias do worm cada uma delas tentando acesso e se replicando em mais worms Menninger 2005 78 Fonte Julho Dezembro de 2007 4 Ontologias aplicadas seguran a da informa o O termo ontologia origin rio da filosofia e tem sido utilizado des de o in cio dos anos 80 em Ci ncia da Computa o e em Ci ncia da In forma o para designar uma estru tura de organiza o da informa o com base em um vocabul rio repre sentacional Segundo Borst 1997 uma ontologia uma especifica o formal e expl cita de uma concei 4 1 Pesquisa anterior significativa sobre ontologias em seguran a Segundo Raskin et al 2001 a pesquisa em seguran a da informa o pode se beneficiar da ado o de ontologias Os autores apresentam duas propostas para utiliza o da on tologia na pesquisa em seguran a da informa o A primeira proposta enfatiza a possibilidade de reunir um conjunto de termos e rela es repre
230. plou as atividades para o estabelecimento de um Sistema de Gest o de Seguran a da Informa o SGSI que repre senta a primeira etapa na implementa o de um Modelo PDCA aplicado aos 2 1 An lise de Riscos A an lise de riscos identificou os riscos e vulnerabilidades dos ativos tec nol gicos f sicos e humanos que supor tam os processos cr ticos e sens veis das tr s organiza es estabelecendo a es para a prepara o do ambiente para implementa o de medidas de segu ran a S mola 2003 p 109 reafirma o papel da an lise de riscos ao mencionar que ela um instrumento perfeito para dimensionar a situa o da seguran processos do SGSI conforme explici tado pela norma ABNT NBR ISO IEC 27001 2006 Essa primeira etapa pos sui o objetivo de Estabelecer a pol tica objetivos processos e procedimentos do SGSI relevantes para a gest o de riscos e a melhoria da seguran a a atual da organiza o tornando a consciente dos riscos e orientando a na busca de solu es que a conduzam para o patamar de risco aceit vel A an lise de riscos contemplou em seu escopo cerca de um conjunto de servidores computadores notebooks contratos regulamenta es ativos de conectividade gestores usu rios e os ambientes f sicos e os Data Centers da SEF Seplag e Prodemge O mais im 2 2 Plano Diretor de Seguran a da Informa o A partir da an lise de risco o Plano Diretor de Seg
231. precipitation smothers eastern towns Be extremely cautious and use snowtires especially heading east The highways are knowingly slippery Highway evacuation is suspected Police report emergencies in downtown ending near Tuesday Usando as primeiras letras de cada palavra o texto que aparece Newt is upset because he thinks he is president Novas t cnicas de esteganografia s o produzidas atualmente para ser utilizadas nos novos meios de comu nica o Por exemplo hoje em dia muitos artistas e gravadoras usam a marca d gua para proteger suas obras Com o crescente aumento da pirataria e de sites na internet onde se podem baixar filmes m sicas e v deos esta t cnica tem se mostrado uma aliada na prote o dos direitos autorais O uso de esteganografia em software tem um grande potencial pois pode esconder dados em uma infinidade de m dias Nas t cnicas que utilizam o ltimo bit de um byte para esconder mensagens uma mensagem de 64kbytes pode ser escondida em uma figura de 1 024 x 1 024 em tons de cinza ou imagens coloridas Esta e outras novas t cnicas representam o estado da arte da esteganografia atual e s o apresentadas a seguir cesso O m todo de inser o no bit menos signicativo provavelmen te uma das melhores t cnicas de esteganografia em imagem 1 9 espacial Em uma implementa o b sica estes pixels substituem o 103 plano LSB inteiro com o stego dados Com esquemas
232. pretende contribuir em parte na elabora o de respostas para estas perguntas simples Evi dentemente n o pretendemos esgo tar assunto t o instigante complexo e pol mico expostas enquanto usu rias dessa tecnologia Apesar do alarde acerca dos riscos do uso da internet ainda h uma tend ncia de acreditar que ela seja uma fonte est tica de informa es ao inv s de uma ferramenta extremamente din mica de comuni ca o com possibilidades de impli ca es positivas e negativas para as crian as Trata se de um equ voco prim rio e perigoso Essas pessoas costumam acreditar tamb m que as crian as usam a internet primordial mente para atividades educacionais e de pesquisa Portanto importante estar atento para uma poss vel dis crep ncia entre o que os pais acre ditam que as crian as estejam fazen do e o que elas realmente fazem na internet Como pai ou respons vel como voc se classifica como usu rio de internet leigo intermedi rio avan ado ou especialista 09 Alguns aspectos precisam tam b m ser considerados para o ade quado tratamento do problema nor malmente suas crian as acessam a internet a partir de qual is ponto s de acesso de casa Da escola Da casa de um a amigo a De uma biblioteca p blica De um compu tador em seu local de trabalho De um ponto de acesso comunitario De uma lan house Do seu celular Um outro aspecto at onde voc sabe qual o pri
233. que essa edi o da Fonte construiu acerca do cen rio de redes de comunica o no Brasil e no mundo Parab ns pelo trabalho Marcus Vinicius Rodrigues Mannarino RNP Gerente de Comunica o e Marketing AGRADECIMENTOS Primeiramente gostaria de agradecer equipe da revista Fonte por eu ter recebido no ano que passou todos os exemplares Sou consultor de TI Software nesta capital e me surpreendo a cada exemplar publicado por este ve culo de comunica o no qual a Prodemge retrata os temas abordados com muita clareza Parab ns mais uma vez aos colaboradores desta publica o t o elementar em nosso dia a dia contribuindo para o acesso s informa es que merecem destaque em TI Aproveitando gos taria de reiterar o meu interesse em assinar a revista Fonte neste ano que se inicia com o firme objetivo de estudos e atualiza o di ria em meu ambiente de trabalho Cristiano A Firmino Belo Horizonte MG zia 5 SOLICITA ES DE ASSINATURA Nosso departamento na pre feitura de Par de Minas o res pons vel direto e est completa mente envolvido com as redes de comunica o locais e wireless Conversando com um dos nossos fornecedores sobre as op es que temos disposi o para integra o dos pontos remotos mais dis tantes normalmente localizados em reas rurais e sem visada com as antenas recebemos dele uma revista trazendo uma mat ria so bre o Wimax Essa revista foi a Fonte ano
234. ra controlar sua utiliza o o software conecta se com a empre sa desenvolvedora pela internet que armazena o IDDN de todos os usu rios registrados o que torna esse identificador nico podendo ser utili zado para proteger os direitos autorais de imagens e localizar c pias ilegais O software GWatermarker in sere tanto a marca d gua de forma vis vel a olho nu quanto de maneira invis vel de forma robusta O softwa re utiliza algoritmos pr prios para a inser o e remo o das marcas vis veis e invis veis algoritmo RC4 para a inser o da chave secreta e o algo ritmo hash MDS t cnicas de estegan lise Em 8 s o apresentados novos m todos que permitem esconder mensagens de forma segura e resistente an lise estat stica T cnicas esteganogr ficas t m uso legal e ilegal Como uso legal no presente e no futuro esteganografia tem sido usada e ser cada vez mais utilizada na prote o de direitos in telectuais principalmente quando se consideram as novas formas de co mercializa o que utilizam a m dia digital Nesse sentido as t cnicas de marca d gua parecem ser um campo prof cuo de pesquisa e aplica es no futuro Por outro lado h o uso ilegal de t cnicas esteganogr ficas que cresce cada vez mais em virtude da facilidade de acesso internet Usar esteganografia para transitar men sagens ou at pequenas imagens de pornografia ou pedofilia poss vel e prov vel Um rel
235. rativas feitas por funcion rios A empresa responde legalmente pelo mau uso das suas ferramentas tecnol gicas de trabalho que gere les o a terceiros Pelo crime em si s responde quem o cometeu no caso o funcion rio mas a responsabilidade civil pelo dano causado moral ou material pode caber empresa que depois tem o direito de regresso contra o funcion rio que foi o verdadeiro causador do dano FONTE real a possibilidade de uma empresa monitorar os e mails de seus funcion rios A quest o da privacidade x seguran a x direitos individuais tema constante de discuss o Na sua opini o como adminis trar interesses no contexto das organiza es Novamente precisamos de educa o na verdade Cabe empresa deixar claro o limite de uso das ferramen tas tecnol gicas de trabalho e dever da empresa moni torar para fazer valer suas normas internas para fins de preven o evitar incidentes ou para fins de rea o punir infratores Sendo assim se a empresa fizer o aviso legal de monitoramento claramente e previamente pode monitorar os ambientes corporativos O que inclui navega o na inter net e uso de caixa postal de e mail corporativa Assim j Estamos vivendo uma s ndrome do p nico associada ao poder da tecnologia que d a sensa o de que poss vel controlar tudo poss vel controlar tudo No entanto j vimos em mui tos trabalhos que importante a emp
236. re a nova pol tica dispon vel para todos os em pregados Todos tiveram o direito de fazer explica Lu s Brasil Cerca de 85 dos empregados j foram treinados em um ano e meio contemplando todas as diretorias da Cemig Os gerentes das diversas reas acompanhavam a situa o de suas respectivas equi pes por meio de relat rios semanais e podiam assim estimular a participa o dos empregados A avalia o desses treinamentos permitiu aferir resultados e prover a ASI de informa es para novas iniciativas Foi feita tamb m pesquisa com empregados para avaliar o grau de assimila o das informa es o que norteou o planejamento da divulga o da Pol tica de Seguran a Foram eleitos 14 temas e quinzenalmente um deles destaque com suas respectivas instru es no programa Em dia com a seguran a da informa o Outra etapa importante do programa de segu ran a da Cemig foi a classifica o das informa es considerada pelos especialistas uma das mais im portantes em um programa de seguran a Trata se de identificar as informa es mais importantes para o neg cio da empresa e classific las de acordo com seu grau de sigilo a fim de organizar e priorizar a es diferenciadas para aquelas consideradas mais cr ticas esclarece o coordenador Trata se de uma a o complexa que foi co ordenada pela ASI e desenvolvida pelos pr prios empregados Para isso foi criada uma metodologia para identific
237. repara se para um desfile importante ressaltando o valor da participa o individual das conting ncias e do sigilo das informa es para que tudo d certo Ap s a palestra uma escola de samba apresentou se para os presentes com sambistas passistas bateria e muita anima o Em 2006 a ASI cresceu e hoje tem seis pessoas Jos Lu s Brasil Arlindo Porto Marcus Vin cius Belfort Jean Marcelo Oliveira Ricardo Moleda e Lucas Lanna Em 2007 o programa de conscien tiza o foi estendido aos filhos dos empregados A percep o de que a quest o ia al m do local de trabalho foi sinalizada pelos pr prios empregados durante os treinamentos explica Lu s Brasil Em novembro de 2007 foi feito um piloto em Belo Ho rizonte com 108 filhos de empregados com idade entre 12 e 16 anos Reunimos a garotada num s bado pela manh para palestra da advogada Patr cia Peck especialista em direito digital Ela falou sobre Julho Dezembro de 2007 os perigos da internet e cuidados que devem ter em suas comunica es pela rede Foram distribu dos brindes e uma cartilha com dicas para evitar pagar mico na rede e exibido filme sobre utiliza o da internet al m de cinco cenas de teatro escolhidas pela plat ia A programa o foi encerrada com a apresenta o de um show de rock pelo grupo Tchai que movimentou a meninada Treinamento on line e classifica o Outra frente de a o o treinamento on line sob
238. resa equilibrar as prote es e os riscos inerentes ao neg cio para permitir tamb m que os profissionais trabalhem e que o exces so de prote o n o gere queda de produtividade ou at inviabilize neg cios N o h uma receita de prateleira depende muito de cada realidade empresarial cultura in terna e riscos envolvidos Se o risco for relevante deve sim ser implementada a prote o o monitoramento Mas preciso avaliar cada caso FONTE Voc utiliza o termo esquizofrenia di gital Fale um pouco sobre o comportamento dos cida d os que sofre transforma es nem sempre positivas em seus respectivos avatares no mundo virtual E interessante obser varmos que h pessoas que usam o mundo virtual para ser outra pessoa totalmente diferente da que no dia a dia e inclusive para praticar il citos ou at ter uma m conduta que jamais seria comum a empresa inspecionar equipamentos m veis como notebook celular pen drive para evitar a pirataria bem como vazamento de informa o confidencial ou at mes mo contamina o por v rus Mas tudo isso tem que estar claro em Pol ticas e Normas documentado e se poss vel atualizado no C digo de Conduta do Profissional ou em seu contrato de trabalho Quanto melhor estiver a informa o menos riscos a empresa e o funcion rio correm FONTE V rias empresas est o monitorando al m do e mail os acessos internet as liga es tele
239. riedade em corte ou em mecanismos de controle de c pia como em aparelhos de DVDs e marcas d gua p blicas ou cegas n o requer nem o ar quivo original nem a marca A inten o do esquema tentar retirar a marca do dado sem pistas de onde este se localiza ou como seria imagem JPEG por meio de um ge rador de n meros pseudoaleat rios Os coeficientes da DCT s o escolhidos tamb m de maneira ran d mica para ser substitu dos pelos n meros gerados aleatoriamente O LSB dos coeficientes selecionados substitu do pela mensagem cifra da Testes estat sticos de primeira ordem n o s o capazes de detec tar mensagens mascaradas com o Outguess Os softwares de estegan lise dis p em se a descobrir se os arquivos usados como mensagem de cobertura cont m algum dado embutido e se poss vel identificar o software utili zado no processo de esteganografia Um destes softwares o StegSpy 107 que permite a identifica o de um arquivo que serve como mensagem de cobertura O programa detectar a esteganografia e o software utiliza do para esconder o dado embutido A vers o atual do software tamb m identifica a localiza o da mensa gem embutida dentro do arquivo de cobertura O StegSpy atualmente identifica os programas Hiderman JPHide and Seek Masker JPegX e Invisible Secrets Outra ferramenta de estegan lise o StegDetect Este software pro p e se a detectar o conte do estega no
240. riz la corretamente E ainda qual seria o custo efetivo porque em an lise de riscos importante saber quanto se perderia se um incidente de seguran a ocorresse Ent o na an lise final voc precisa identificar as vulnerabilidades que podem resultar numa perda significativa para que voc possa priorizar quais itens focar e quanto seria or ado para garantir sua prote o H alguma peculiaridade se considerarmos uma empresa p blica N o necessariamente Toda empresa est sob risco e n o importa se um setor do governo uma empresa p blica ou privada H definitivamente amea as e voc tem que gerenci las apropriada mente claro que hackers com inten es criminosas ir o onde o dinheiro est Mas n o necessariamente precisa ser uma empresa p blica poderia ser uma empresa de servi os financeiros ou de transfer ncia de dinheiro que poderia ser atacada pela habilidade de roubar dinheiro Geralmente as grandes empre sas t m um or amento de seguran a para comprar tecnologias apropriadas e treinar seu pessoal Des sa forma podem ser menos vulner veis Mas voc n o pode generalizar seus inimigos isso de fato se resume individualidade de cada empresa e o que elas fazem com seus programas de gerenciamento de seguran a Voc pode ter uma empresa p blica que possui uma seguran a terr vel e uma empresa p blica que possui uma boa seguran a S o todas 24 GE diferentes n o tudo igua
241. rocura em sua ess ncia estabelecer padr es de qualidade para as institui es financeiras aperfei oando as Os acordos de Basil ia I e II podem ser vistos tamb m como um est mulo transpar ncia e seguran a para clientes investidores acionistas e controladores ia 21 suog 9 S IM uyor uojuug AuO 2 lt Julho Dezembro de 2007 Em seu livro A arte de enganar The art of deception o senhor enf tico ao falar da vulnera bilidade dos sistemas de seguran a Como prestar servi os provendo justamente seguran a Eu me sinto muito melhor claro trabalhando no lado certo da lei e ajudando empresas setores governamentais universidades e protegendo seus sistemas de informa o definitivamente uma carreira muito recompensadora e o gerenciamento desses riscos realmente imprescind vel no hostil ambiente da computa o atual Na pr tica que servi os o senhor oferece aos seus clientes Os servi os que eu forne o s o servi os de hacker tico Empresas me contratam para tentar comprometer seus sistemas ou em outras palavras para encontrar todas as falhas de seguran a que um hacker poderia usar para entrar em suas redes ou para ter acesso a informa es cr ticas E o que de safiador nisso Como um hacker voc s precisa encontrar um dos furos na seguran a para burlar o sistema Mas como um hacker tico como um pro fissional de seguran a voc tem que encontr
242. role reali zado de forma moderada generali zada e impessoal O desvio destes objetivos configura abuso de direito art 187 do C digo Civil viabili zando inclusive a repara o civil A garantia da inviolabilidade das comunica es nos termos supra des critos funda se na prote o ao direito privacidade como j assentado Por tanto sua correta defini o torna se imprescind vel para a solu o do con flito posto Costumeiramente aborda se o tema da privacidade pela delimita o de sua abrang ncia deslocando se do ponto essencial da quest o Mesmo a doutrina que procede perspectiva do direito adstrita a sua amplitude reconhece a relativiza o de seu conte do moldado segundo al gumas especificidades Alexandre de Morais 2000 74 estabelece os para metros para tal restri o Essa neces sidade de interpreta o mais restrita por m n o afasta a prote o constitu cional contra ofensas desarrazoadas desproporcionais e principalmente sem qualquer nexo causal com a ativi dade profissional realizada Da mesma forma pondera Jos Afonso da Silva 1996 204 ao dis tinguir os aspectos da vida da pes soa A vida exterior que envolve a pessoa nas rela es sociais e nas atividades p blicas pode ser objeto das pesquisas e das divulga es de terceiros porque p blica O conte do abrangido pela pri vacidade de relevante determina o entretanto a limita
243. s a receber notifica es do mundo todo e selecionar aquelas que diziam respeito RNP como m quinas infectadas O Cais participa de v rias comunidades internacionais passou de uma atua o passiva a proativa buscando incidentes novos moni torando Nessas comunidades o que importa a confian a N o esperamos que algu m reclame de um spam mas procuramos identific lo e combat lo Essa postura de preven o consolidou se basica mente em 2007 com reflexos expressivos nas estat sticas Julho Dezembro de 2007 Dossi Dossi Dossi Dossi Dossi Dossi eA de registros de incidentes da entidade Trata se de cor tar o mal antes que ele se instale enfatiza Vasconcelos Uma das medidas mais importantes a identifica o e combate a botnets capazes de provocar estragos de grandes dimens es As chamadas botnets s o na ver dade grandes redes de m quinas infectadas Quan do a m quina infectada torna se vulner vel e passa a se comunicar com uma m quina central Nessa rede de bots infectados cada uma delas um verdadeiro ar senal de ferramentas utiliza se IRC um tipo de chat mais antigo entra automaticamente no canal e come a a esperar comandos podendo infectar at 30 mil maqui nas e mandar spams a partir de v rias m quinas ao mes mo tempo Cortando a prolifera o de botnets e tamb m redu zindo alguns tipos de incidentes como spams o Cais tem evitado que a RNP te
244. s administradores atuais necessitam que n o s a TIC esteja alinhada com as estrat gias da organiza o mas que estas estrat gias estejam tirando o melhor provei to da infra estrutura de TIC existente Eles ter o que assumir cada vez mais a responsabilidade de garantir que as organiza es estejam oferecendo aos seus usu rios e clientes um ambiente de TIC seguro e confi vel As organiza es necessitam de prote o contra os riscos inerentes ao uso da infra estrutura de TIC e simultaneamente obter indicadores dos benef cios de ter essa infra estru tura segura e confi vel Dessa forma al m da governan a de TIC as orga niza es precisam estruturar especi ficamente a governan a da seguran a da informa o 3 Algumas Iniciativas Relacionadas com a Governan a da Seguran a da Informa o poss vel encontrar estudos que apontem a necessidade de um modelo para que as organiza es possam al can ar a governan a da seguran a da informa o BSA 2003 ITGI 2001 IA 2001 CGTFR 2004 NCSP 2004 Caruso 2003 OGC 2001B CERT 2005b Em um estudo recente o Coordination Center CERT CC um centro especializado em se guran a na internet localizado no Software Engineering Carnegie Mellon University aponta a atual necessidade de as organiza es estabelecerem e manterem a cul tura de uma conduta organizacional Institute para a seguran a da informa o Eles procuram m
245. s conhecimentos o profissional tem condi es de avaliar quais as reas priorit rias e qual a estrat gia adequada para gerir os riscos de sua infra estrutura Para o envolvimento dos colaboradores num proje to de gest o de riscos Cristine afirma que n o existe uma receita de sucesso mas este depende do envolvimento de todos os setores no processo de defini o da estrat gia Se os setores chave est o envolvidos no projeto e dis cuss es e conseqiientemente compreendem a import n cia fica muito mais f cil conseguir o comprometimento para atingir o sucesso Mais informa es espec ficas para administradores de redes podem ser encontradas nos seguintes sites e Antispam br rea de Administradores http antispam br admin e Pr ticas de Seguran a para Administradores de Redes Internet http www cert br docs seg adm redes Uma das normas mais conhecidas internacio nalmente a Sarbanes Oxley a chamada SOX uma regulamenta o fiscal norteamericana aplic vel a em presas de todo o mundo que tenham a es nas bolsas dos Estados Unidos Segundo Marcelo Bezerra como todas as transa es baseiam se na tecnologia da in forma o nesse caso os sistemas de dados cont beis financeiros operacionais e jur dicos t m que estar ntegros e aderentes s centenas de artigos que com p em a SOX Uma regulamenta o importante dirigida ao sistema financeiro o acordo de Basil ia que p
246. s de forma individual Ele explica que os tr s pontos juntos s o capazes de contemplar uma capacidade de trabalho superior da soma dos tr s al m de evitar redund ncias entre reas da empresa Ele adverte para o fato de que a aplica o do GCR exige dois princ pios b sicos a automa o e a Wagner Ant nio Sucesu MG E ma Julho Dezembro de 2007 Dossi Dossi Dossi Dossi Dossi Dossi eA integra o a import ncia da troca de informa es re mete colabora o fundamental um clima prop cio colabora o ressalta Nery lembra que hoje existe uma boa base te rica e t cnica para tratar a quest o que deve contemplar tr s conceitos b sicos a confidencialidade resguardar sigilo e evitar vazamento a integridade combate a fraudes conformidade com leis normas regulamenta o e a disponibilidade Ele alerta ainda para o fato de que pro gramas e normas de seguran a hoje s o compuls rios para as organiza es quem t m alguma regulamenta o de acordo com a rea de atua o E deixa um lembrete pense no todo Comece pequeno Crie um modelo escal vel Cres a rapida mente Para a analista do CERT br Cristine Hoepers de forma geral empresas provedores e outras grandes ins titui es devem seguir as boas pr ticas de seguran a de redes internet possuir pol ticas e procedimentos adequa dos ferramentas adequadas de prote o e investir for temente e
247. s e mail respondido com letras mai sculas pode ofender o destinat rio por exemplo O treinamento n o p ra no usu rio final O profissional de TI no uso de cada ferramenta preci sa estar atento s op es no uso de cada programa mesmo que o servi o de seguran a seja terceirizado Deve seguir as recomenda es da empresa contrata da Sua atua o fundamental para adequar as ins tru es realidade da empresa e s peculiaridades de sua rede interna Terceiriza o este outro ponto importante em seguran a At onde seguro passar o controle a terceiros Est cada vez mais di A SOLU O EST f cil manter pro pas a es fissionais de TI coordenadas com treinamento dos mundo da segu USUAarios para que ran a de rede Isto tenham procedimentos est se tornando Seguros dentro assunto para es darede atualizados com o que acontece no pecialistas Un e empresa dedicada a essa tarefa tem equipe que trabalha s com segu ran a e pode replicar as atualiza es e novidades a toda a sua base de clientes instantaneamente Este n vel de entendimento requer dedica o e compe t ncia Dessa forma os servi os de seguran a dei xam o setor de TI mais tranq ilo quanto s atua liza es e novidades constantes O treinamento da equipe encarregada neste caso pode ser focado na ferramenta escolhida e na estrat gia de adequ la ao objetivo da empresa Portanto seja qual for o n v
248. s refer ncias principais uma grande diversidade de iniciati vas para seguran a da informa o na rea de TI vem surgindo desde os anos 80 roteiros para avalia es e para auditorias Kraus 1980 GAO 1988 Garfinkel e Spafford 1996 ISACF 2000 ISSEA 2003 listas de verifica o Wood et al 1987 CIAO 2000 diretrizes e crit rios OECD 1992 Wood et al 1990 NIST CSD 1998 listas de termos e taxonomias Neumann e Parker 1989 Meadows 1992 Levine 1995 Howard e Longstaff 1998 Dentre essas iniciativas desta ca se a taxonomia de incidentes de seguran a proposta por Howard e Longstaff 1998 Os autores advo gam a necessidade de uma linguagem comum sobre seguran a que permi ta o interc mbio e a compara o de dados sobre incidentes de seguran a Tal linguagem composta por ter mos de alto n vel ou seja gen ricos estruturados em uma taxonomia Na linguagem de Howard e Longstaff 1998 um evento corres ponde a uma altera o no estado do sistema ou dispositivo A altera o resultado de a es autenticar ler copiar etc direcionadas a objetos conta processo dado rede etc Um evento pode ser parte de um con junto de processos que objetivam ocorr ncias n o autorizadas Esse evento ent o parte de um ataque Um ataque utiliza uma ferramenta ataque f sico comando script etc para explorar a vulnerabilidade de um dispositivo que corresponde a uma falha no si
249. s robustas s o pro jetadas para resistir maioria dos procedimentos de manipula o de ima gens A informa o embutida em uma imagem por meio de uma marca robusta poderia ser extra da mesmo que a imagem hospedeira sofresse rota o mudan a de escala mudan a de brilho contraste compacta o com perdas com diferentes n veis de compress o corte das bordas etc Uma boa marca d gua robusta deveria ser imposs vel de ser remo vida a n o ser que a qualidade da Julho Dezembro de 2007 imagem resultante deteriore a ponto de destruir seu conte do visual Por esse motivo as marcas d gua robus tas s o normalmente utilizadas para a verifica o da propriedade das imagens As marcas fr geis s o facilmente remov veis e corrompidas por qual quer processamento na imagem Este tipo de marca d gua til para che car a integridade e a autenticidade da imagem pois possibilita detectar altera es nesta s vezes esta pro priedade indesej vel Por exemplo ajustar brilho contraste para melhorar a qualidade da imagem pode ser um processamento v lido que n o deve ria ser detectado como uma tentativa de adultera o maliciosa Ou ent o compactar uma imagem com perdas em diferentes n veis de compress o deveria ser uma opera o permiti da Ainda imprimir e escanear uma imagem n o deveria levar perda da autentica o Assim foram criadas as marcas d gua semifr geis Uma semifr gi
250. sas e investimentos em tecnologias e comportamentos na busca de uma harmonia entre a seguran a da informa o e a continuidade dos neg cios A seguran a da informa o freia ou acelera os neg cios O professor da FGV e diretor de Opera es de Information Risk da Atos Origin em Londres Marcos S mola faz uma reflex o sobre os impactos dos programas de seguran a da informa o nos neg cios das empresas Iniciativas e import ncia da seguran a da informa o e privacidade na sa de O uso de documentos eletr nicos na rea da sa de e as implica es das tecnologias da informa o e comunica o no setor em artigo do pesquisador do Laborat rio de Sistemas Integr veis da EPUSP Lu s Gustavo Kiatake Benchmarking A implanta o e o gerenciamento de programas de seguran a da informa o nas organiza es Mudan a e consolida o de cultura e tecnologias no combate aos incidentes de seguran a na Companhia Energ tica de Minas Gerais e na Receita Federal Informa o sobre sa de na web A professora Isa Maria Freire l der do Grupo de Pesquisa Informa o e Inclus o Social do IBICT faz um alerta aos usu rios da internet quanto veracidade das informa es publicadas na rede Como identificar fontes confi veis A chave da seguran a est no treinamento Um panorama da seguran a da informa o nas organiza es e a import ncia da prepara o dos colaboradores para fazer frente aos riscos em artigo do professor Er
251. se o usu rio n o entender a utiliza o do mecanismo e n o compreender a import ncia de sua utiliza o algum pro blema ainda pode ocorrer O gerente da IBM Marcelo Bezerra tamb m comenta o servi o de internet banking os bancos investiram muito e continuam a faz lo Promovem tamb m a dissemina o de informa es alertando seus clientes dif cil acontecer algum incidente e nesse caso o computador utilizado que certamente est com problema Ele explica que o risco pode estar no computador do usu rio da seguinte forma se a m quina a partir da qual voc vai fazer a opera o n o for bem prote gida h possibilidade de ter problemas Pode haver programas rastreando n meros de cart es e senhas Os bancos est o cientes de que n o d para esperar que o cliente tenha essa seguran a e passaram a investir nis so Usam uma s rie de recursos como senhas din mi cas cart es de senhas teclados virtuais que pedem se nhas com n meros e letras blindagem de software que dificulta muito evitando que outras aplica es inter firam neles Com rela o s compras pela internet ele recomen da cuidados adicionais n o comprar em lojas totalmen te desconhecidas mesmo que a oferta seja muito boa Ali s se for boa demais melhor desconfiar da pro ced ncia do produto Com rela o s lojas desconhe cidas checar telefones para comprovar se elas de fato existem conferir endere
252. se de pa res de amostragem estat sticas 105 5 Aplica es Em atividades militares a des coberta de comunica es secretas pode levar a um ataque imediato do inimigo Mesmo com a criptografia a simples detec o do sinal fatal pois descobre se n o somente a exis t ncia de inimigos mas tamb m a sua posi o Unindo o conceito de ocultamento de informa o com t cnicas como modula o em espa lhamento de espectro torna se mais dif cil de os sinais serem detectados ou embaralhados pelo inimigo V rias t cnicas relacionadas com o ocultamento de informa o levam em considera o sistemas com n veis de seguran a Um v rus ou um programa malicioso propaga se dentro do sistema passando de n veis de seguran a inferiores para os superiores Uma vez que alcan a seu objetivo tenta passar informa es si gilosas para setores de n vel de segu ran a menores Para isso utilizam se de t cnicas de ocultamento para esconder informa es confidenciais 5 1 Marcas d gua O grande crescimento dos siste mas de multim dia interligados pela rede de computadores nos ltimos anos apresenta um enorme desafio nos aspectos propriedade integrida de e autentica o dos dados digitais Para enfrentar tal desafio o conceito de marca d gua digital foi definido Uma marca d gua um sinal portador de informa o visualmen te impercept vel embutido em uma imagem digital A imagem que con
253. security org laboratorio news seguranca na internet para criancas http dotsafe eun org dotsafe eun org eun org2 eun index_ dotsafe html http www fosi org icra Julho Dezembro de 2007 Checklist de seguran a Apresentamos um checklist desen volvido pela Media Awareness Network em 2003 onde voc pode verificar seu grau de envolvimento nas principais a es de prote o das suas crian as e adoles centes enquanto usu rios da internet Checklist Voc est envolvido e ciente das atividades on line das suas crian as Voc sabe o que eles est o fazendo e com quem eles est o conversando enquanto est o na internet SIM NATO A sua fam lia pai m e e filhos j estabeleceu um conjunto de regras ou um acordo para o uso apropriado da internet Suas crian as j sabem que t m que pedir permiss o antes de enviar qualquer tipo de informa o pessoal on line Isso inclui enquanto usa o e mail as salas de bate papo ou de mensagens instant neas preenchendo formul rios em sites perfis pessoais em sites de relacionamento ou participando de desafios na web Voc tenta n o fazer tantas cr ticas negativas sobre as atividades de seus filhos na web e usa as experi ncias deles como uma oportunidade de discutir conte do inapropriado estabelecimento de confian a entre voc s e responsabilidades advindas de seus atos on line Voc faz do uso da internet uma atividade familiar gui
254. sentativos do dom nio de seguran a da informa o Uma ontologia sobre seguran a da informa o auxilia os usu rios de produtos e sistemas de informa o ao proporcionar interc mbio organi za o e compara o de dados sobre incidentes de seguran a bem como melhorias na capacidade de tomada de decis o diante de um incidente A segunda proposta consiste em incluir fontes de dados em linguagem natural na aplica o de a es em se guran a da informa o Dessa forma tualiza o compartilhada Nessa defini o formal significa leg vel por computadores especifica o expl cita diz respeito a conceitos rela es e a axiomas explicitamen te definidos compartilhado quer dizer conhecimento consensual conceitualiza o diz respeito a um modelo abstrato de algum fen me no do mundo real Com aplica es seria poss vel especificar formalmen te o know how da comunidade de se guran a possibilitando o incremento de medidas para preven o e para rea o a ataques O Processamento de Linguagem Natural PNL pode ser aplicado por exemplo no pro cessamento de logs de sistemas os quais s o escritos em uma sublingua gem da linguagem natural Para Martiniano e Moreira 2007 o grande volume de dados gerado por diferentes fontes tais como logs de sistemas de firewalls alertas de vulnerabilidade etc tem causado problemas aos administra dores O principal problema est relacionado
255. ses quatro pontos cha ve sejam os mais comuns apontados pela literatura os seguintes pontos s o citados com freqii ncia e Necessidade de monitorar au ditar e revisar as atividades de forma rotineira e Necessidade de estabelecer um plano de continuidade de neg cio que possa ser testado regularmente 6 Processos e Controles para um Modelo de Governan a da Seguran a da Informa o Para atender a todos os requisitos necess rios a um modelo de gover nan a da seguran a da informa o proposto neste artigo a combina o das potencialidades dos modelos 06 Fonte COBIT e ITIL e da norma ISO 20000 Esses modelos v m sendo utilizados isoladamente pelas organiza es nos ltimos anos e representam as me lhores pr ticas desenvolvidas testa das e aprovadas por especialistas ao redor do mundo Uma vis o geral da norma ISO 27000 dos modelos COBIT e ITIL ser o apresentados a seguir Julho Dezembro de 2007 6 1 C digo de Pr tica para a Gest o da Seguran a da Informa o ISO 27001 Para atender aos anseios de gran des empresas de ag ncias governa mentais e de institui es internacio nais em rela o ao estabelecimento de padr es e normas que refletissem as melhores pr ticas de mercado relacio nadas com a seguran a dos sistemas e informa es o British Standards Institute BSI criou uma das primei ras normas sobre o assunto Denomi nada BS 77799 Code of Practice for Inform
256. steganografia a arte das mensagens ocultas C lio Albuquerque Ph D 2000 em Informa o e Ci ncia da Computa o pela University of California Irvine e atua como professor do DCC UFF desde 2004 Divulga o Eduardo Pagani Julio Mestre em Computa o 2007 pela UFF e atua desde 2004 como professor da Universidade Salgado de Oliveira e da Faculdade Metodista Granbery ambas em Juiz de Fora Wagner Gaspar Brazil Mestre em Computa o 2007 pela UFF e atualmente trabalha na Petrobr s na rea de Seguran a da Informa o sendo respons vel por projetos de criptografia an lise de risco e certifica o digital RESUMO Esteganografia deriva do grego em que estegano significa esconder mascarar e grafia significa es crita Logo esteganografia a arte da escrita oculta Durante toda a hist ria as pessoas buscam in meras maneiras de esconder informa es dentro de outros meios para de alguma forma obter mais privacidade para seus meios de comunica o As abordagens mais comuns de inser o de mensagens em imagens incluem t cnicas de inser o no bit menos significativo filtragem e mascaramento e algoritmos de transforma es Cada uma destas t cnicas pode ser aplicada a imagens com graus variados de sucesso 1 Uma vers o estendida deste trabalho encontra se dispon vel em 20 Julho Dezembro de 2007 Fonte 101 Divulga o 1 Introdu o A seguran a digital uma
257. stema e permite a o n o autorizada A vulnerabilidade pode ser de projeto de implementa o ou de configura o Al m disso provo ca um evento e gera um resultado n o autorizado acesso indevido roubo de recursos etc Um grupo de ata ques que envolve diferentes agentes objetivos locais ou hor rios de nominado incidente Um incidente um ataque mais um objetivo o qual pode ser ganho pol tico ou financei ro danos ou preju zos etc O uso de uma linguagem nica com significados consensuais possi bilita a constru o de modelos sobre um dom nio do conhecimento e pode incrementar a forma com que os in div duos da empresa aprendem novas pr ticas compartilham conhecimen to e o armazenam com um n vel de ambigiiidade reduzido Von Krogh e Roos 1995 Eccles e Nohria 1994 As linguagens informais como a lin guagem natural s o expressivas mas geram interpreta es amb guas As linguagens formais proporcionam a cria o de modelos com n vel de ambigiiidade reduzido e com signi ficados consistentes para o contex to da organiza o Uma ontologia pode operacionalizar a linguagem formal visto que possui conceitos rela es e atributos semanticamente bem definidos e pode variar em grau de formalidade conforme a neces sidade A linguagem representada pela ontologia precisa estar restrita apenas a um vocabul rio sobre seguran a da informa o Pode abranger conceitos significativos
258. sultado nico que capture a ess ncia original da obra Seria ing nuo pensar que agora o desafio multidimensional de proteger a confidencialidade integridade e disponibilidade das informa es esti vesse claro para todos os n veis hier rquicos e em todas as camadas de atividade Que compreendes sem em sua plenitude a import ncia e os m todos de transmiss o de dados camadas de protocolo chaves de sess o algoritmos criptogr ficos redes sem fio sistemas operacionais e todos os seus sa bores as t cnicas de desenvolvimento de aplica es seguras e suas interfaces E que al m disso Julho Dezembro de 2007 ainda enxergassem os aspectos f sicos os proces sos a segrega o de per metros os sensores e tri lhas de auditoria a conting ncia as pol ticas e os procedimentos bem como todas as outras implica es advindas de aspectos humanos mercadol gi cos financeiros e legais que inevitavelmente giram em sua rbita Como qualquer outro produto ou servi o de que se tem not cia a seguran a da informa o tam b m tem um prop sito essencial e este deve estar claro Para produtos e servi os compostos como o que ocorre aqui preciso compreender o prop sito de cada camada de atividade para finalmente conhe cer o prop sito essencial Tomemos como exemplo a instala o de um sistema de backup em uma institui o financeira Enquanto esta a o tem o prop sito de primei ro n vel de automat
259. tala o de controles de acesso internet Entre outros v rios temas a especialista tra a ainda um paralelo entre as necessidades de exig ncias legais nos dois mundos fala dos crimes na internet e d dicas para que os usu rios possam se prevenir e se defender em casos de incidentes FONTE O Direito tem acompanhado as r pidas transforma es sociais provocadas pela evolu o da tecnologia e suas consegii ncias positivas e negativas na vida das pessoas Com que velocidade a legisla o tem se adequado s novas exig ncias O Direito muda conforme a sociedade evolui ent o natural sim que o Direito acompanhe as novas ques t es trazidas pela tecnologia mas o tempo desta adap ta o n o r pido Em termos de leis as normas atuais ja alcan am e tratam bem v rias quest es relacionadas com a internet e com as ferramentas tecnol gicas mas h leis que precisam ser criadas para preencher lacunas naturais j que h novos comportamentos e riscos Mas esse processo legislativo leva alguns anos j h projetos de lei mas o tr mite deles de aproximadamente uns 10 anos FONTE Sob esse ponto de vista quais s o as experi ncias recentes mais relevantes no Pa s H expe ri ncias adotadas em outros pa ses que podem ser consi deradas bem sucedidas As experi ncias recentes est o alinhadas com o princ pio de auto regulamenta o muito forte no Direito Digital onde as regras s o estabelecidas p
260. te pequena em compara o a outros softwares propriet rios caso queira us lo sistematicamente Passado o tempo de avalia o o software pode parar de funcionar perder algumas fun es ou ficar emitindo mensagens inc modas de aviso de prazo de avalia o expirado http pt wikipedia org wiki Shareware SPAM todo e mail cujo remetente inexistente ou falso o destinat rio n o autorizou previamente o seu envio n o podendo inclusive requerer o n o envio E ainda o conte do do e mail n o condiz com o cabe alho da mensagem n o apresentando qualquer classifica o ou alerta de que o e mail de pesquisa ou marketing 32 GE Julho Dezembro de 2007 Dossi Dossi Dossi Dossi Dossi Dossi E mails comerciais enviados a algu m sem solicita o V o para milhares de usu rios ao mesmo tempo e congestionam a rede Spam zombies s o computadores de usu rios finais que foram comprometidos por c digos maliciosos em geral como worms bots v rus e Cavalos de Tr ia Esses c digos maliciosos uma vez instalados permitem que spammers utilizem a m quina para envio de spam sem o conhecimento do usu rio Enquanto utilizam m quinas comprometidas para executar suas atividades dificultam a identifica o da origem do spam e dos autores tamb m S o muito explorados pelos spammers por proporcionar o anonimato que tanto os protege TI Inside Spyware software especializado usado para monitorar de mod
261. tendimento a Incidentes de Seguran a da Rede Nacional de Pesqui sa Cais RNP Ronaldo Vasconcelos explica que em bom portugu s o engenheiro social aquele que usa de l bia para conseguir as coisas e pode ou n o utilizar a tecnologia para obter informa es valiosas para seus ob jetivos Essas pessoas s o capazes de obter informa es reservadas sem necessidade de instalar um cavalo de tr ia por exemplo Podem passar por atendentes da ope radora do cart o de cr dito e solicitar o n mero do cart o do usu rio data da expira o h golpistas que chegam ao refinamento de colocar fundo musical imitando um ser vi o de atendimento As pessoas na maioria das vezes Cultura de seguran a A analista do CERT br Cristine Hoepers afirma que existe uma grande tend ncia de associar o que ocor re via internet com algo virtual ou que n o oferece os mesmos riscos a que j estamos acostumados no dia a dia Por m a internet n o tem nada de virtual os dados s o reais as empresas s o reais e as pessoas com quem se interage na internet s o as mesmas que est o fora dela Desse modo explica a especialista preciso le var para a internet as mesmas preocupa es que temos no dia a dia como por exemplo visitar somente lojas confi veis n o deixar p blicos dados sens veis ter cui dado ao ir ao banco ou fazer compras etc Quando um usu rio coloca coment rios sobre sua rot
262. tes correla o de eventos e determina o de tend ncias de ataques no espa o internet brasileiro Operacionalmente o projeto funciona com a instala o de m ltiplos honeypots de baixa interatividade no espa o internet brasileiro e com o processamento centralizado pelo CERT br dos dados capturados por esses honey pots Um honeypot pote de mel no ingl s um recurso computacional de seguran a dedicado a ser sondado atacado ou comprometido em um ambiente pr prio que permite que esses eventos sejam registrados e avaliados Cada institui o participante tem a chance de capacitar se na tecnologia de honeypots livre para adapt los conforme as suas necessidades e para utilizar como quiser os dados capturados em seus honeypots Por meio dos dados obtidos poss vel que o CERT br identifique m quinas brasileiras envolvidas em atividades maliciosas e notifique os respons veis por estas redes Essas atividades incluem por exemplo m quinas que realizam varreduras ou que est o infectadas por worms Atualmente o projeto conta com 35 institui es parceiras nos setores p blico e privado Essas institui es mant m honeypots que est o distribu dos em 20 cidades do Brasil e em diversos blocos de rede da internet no Brasil Muitas das institui es participantes t m por meio do projeto a oportunidade de adquirir ou aprimorar conheci mentos sobre as reas de honeypots detec o de intrus o firewalls e an lise de
263. tidores bem como pode ser um mecanismo para a pr tica de diversos il citos na seara c vel e criminal Em resguardo a esta constata o o empregador utiliza variados instrumentos para viabilizar o monitoramento das atividades dos seus prepostos O chamado monitoramento ele tr nico corresponde justamente consecu o dos meios dispon veis de vigil ncia com emprego de recursos tecnol gicos Este procedimento plenamente vi vel quanto s mensa gens eletronicamente transmitidas Basicamente pode se distinguir o monitoramento eletr nico em duas modalidades de controle A vigil n cia pelo controle formal concretiza se em programas que analisam aspectos externos da mensagem tais como o destinat rio o t tulo da mensagem e o registro das p ginas visitadas Via de regra buscam se ind cios tecnol gicos de diversas naturezas que cor respondam a ultrapassagem do limite de conduta dos empregados Devemos entender que o espectro de monitoramento nas empresas atual mente extrapola o at ent o restrito controle das mensagens eletr nicas intercambiadas pelos empregados O efetivo monitoramento se d at mesmo antes da efetiva contra ta o pelo departamento de recur sos humanos que tra a um perfil do Julho Dezembro de 2007 candidato atrav s da somat ria das in forma es colacionadas a partir de sites de relacionamento Estas informa es cotejadas com os dados dos curr culos enviados revel
264. tlocatedin only entLevel entownedBy only org Organization NECESSARY amp SUFFICIENT NECESSARY ea EE Cel eal INHERITED from entAsseti E Seade D Disjoints v a e a AIA e o Logic View Properties View Figura 1 Ontologia de incidentes em um editor de ontologias Fenz et al 2007 4 2 Constru o de ontologia organizacional para seguran a da informa o Existem aplica es com base em ontologias para seguran a da informa o conforme comprovam as iniciativas apresentadas na se o 4 1 Tais iniciativas est o relaciona das com a cria o de um vocabul rio consensual de alto n vel com ter mos sobre seguran a da informa o Pretende se apresentar uma aborda gem que enfatize duas a es princi pais i agrupamento dos termos sobre seguran a em uso no dia a dia da 10 O CC Common Criteria for Information Tecnhnology Secutity Evaluation fornece diretrizes para avalia o e certifica o de seguran a 80 Fonte Julho Dezembro de 2007 organiza o e dos termos obtidos em ontologias de alto n vel os quais re presentam padr es aceitos no domi nio ii integra o do vocabul rio so bre seguran a a um vocabul rio mais amplo representativo da informa o registrada e compartilhado por todos os membros da organiza o As duas contribui es podem s
265. tos benef cios no uso da certifica o tanto para pessoas fisi cas quanto jur dicas Para profissionais de contabilida de n o ter o certificado acaba ficando caro uma vez que h necessidade de deslocamentos e tr mites de papel que podem ser feitos seguramente pela internet Ele afirma que a oferta de mais servi os instrumento para popularizar o uso da tecnologia Hoje muitos rg os do Governo j exigem o certificado para v rios servi os Novas Autoridades Certificadoras est o sendo credencia das e h cart rios que oferecem servi os por certifica o digital Com isso a tend ncia reduzir o custo A quest o do custo de obten o e manuten o de um certificado digital apontada tamb m pelo gerente da IBM Marcelo Bezerra como um obst culo sua po pulariza o A certifica o digital aumenta bastante a seguran a nas transa es para as duas partes envolvidas mas o custo ainda alto A partir do momento em que haja mais servi os o interesse aumenta aumentando o interesse crescer o uso e o pre o cair Trata se de ir sofisticando inventando servi os ia 27 Divulga o Atualmente o n mero de servi os oferecidos que utilizam a certifica o digital n o grande e a maioria limita se a servi os p blicos Qual a tend ncia para am plia o desses servi os Al m da seguran a e autenticidade de todo e qualquer tipo de mensagem trocada eletronicamente car
266. tos integridade confidencialidade e disponibilidade Integridade diz respeito prote o contra altera o indevida ou destrui o assegurando a autenticidade e o n o rep dio Confidencialidade sig nifica preservar restri es de divul ga o e de acesso garantindo meios para prote o da privacidade pessoal Disponibilidade significa assegurar o acesso e o uso da informa o de for ma confi vel Este artigo destaca a importan cia da classifica o da informa o em quest es de seguran a Apresenta uma abordagem com base em ontolo gias para seguran a da informa o O termo ontologia nasceu na filosofia mas tem sido utilizado para designar uma estrutura de organiza o da in forma o que se baseia em conceitos e em suas rela es Esperam se duas 2 Vis o geral sobre seguran a da informa o Para muitas organiza es a se guran a da informa o uma neces sidade de neg cio Ainda assim nem sempre se implementam pr ticas para tal visto que os projetos necess rios s o caros complexos demandam tempo e n o t m garantia de suces so Segundo Fowler 2005 os prin cipais mecanismos para proteger as informa es corporativas s o as po l ticas de seguran a da informa o a an lise de riscos e a classifica o da informa o Uma pol tica de seguran a um plano de alto n vel que estabelece como esta seguran a deve ser prati cada na organiza o que a es s o a
267. tp www educause edu ecar Visitado em 16 03 2005 CERT 2005b CERT CORDINATION CENTER Governing for Enterprise Security 2005 Dispon vel on line em http www cert org governance ges html Visitado em 01 03 2005 CGTRF 2004 CORPORATE GOVERNANCE TASK FORCE REPORT Information Security Governance A Call to Action April 2004 Dispon vel on line em www cyberpartnership org InfoSecGov4_04 pdf Visitado em 15 11 2004 ENTRUST 2004 ENTRUST Information Security Governance ISG An Essential Element of Corporate Governance April 2004 Dispon vel on line em http www entrust com governance Visitado em 16 03 2005 IIA 2001 THE INSTITUTE OF INTERNAL AUDITORS Information Security Governance What Directors Need to Know 2001 The Critical Infraestructure Assurance Project ISBN 0 89413 457 4 Disponivel on line em www theiia org eSAC pdf ISG_1215 pdf Visitado em 14 01 2005 ISO 2000 International Organization for Standardization International Eletrotechnical Committee Information technology Code of practice for information security management Reference number ISOMEC 17799 2000 E Atualmente substitu da pela ISO 27002 ITGI 2000 THE IT GOVERNANCE INSTITUTE COBIT Control Objectives for information and related Technology Printed in the United States of America 2000 ISBN 1 893209 13 X ITGI 2001 THE IT GOVERNANCE INSTITUTE Information Security Governance Guidance for Boards of Directors and Executive Man
268. trol e Anti Porn O segundo grupo possui v rios representantes mas poucos s o gra tuitos Uma solu o freeware Web Browser KidRocket Esta solu o bastante simples e eficiente Direcio nada para as crian as com menos de oito anos o KidRocket possui lista de sites que podem ser utilizados e algumas funcionalidades que auxi liam no desenvolvimento da crian a Esta solu o pode ser configurada de maneira que tome conta do equipa mento inviabilizando a utiliza o de qualquer outro programa Ou tras solu es conhecidas Frostzo ne KidSafe Firefly Web Browser TUKI Freedom Browser KidSurf Child Safe Web Browser My Kids 4 Existe ferramenta semelhante para o Windows XP que implementa estas prote es A ferramenta o Windows Live OneCare Prote o para a Fam lia A solu o exige a inscri o no Windows Live Veja em http get live com Acesso em 31 10 2007 onan Disponivel em http www snapfiles com get iprotectyou html Acesso em 31 10 2007 Disponivel em http www naomifilter org index html Para mais informa es veja http www microsoft com protect products family vista mspx Acesso em 31 10 2007 Exemplos de solu es P2P Kazaa Emule LimeWire Morpheus Dispon veis em http baixaki ig com br categorias cat283 1 htm Cabe salientar que estas solu es podem tornar os sistemas vulner veis e contribuem para a transgress o de v rias leis especialmente a de Direitos Autorais 9
269. ue uma civiliza o inventa a si pr pria deliberadamen te Seria o caso da ocorr ncia aqui e agora de um fen meno de alta cultura que o historiador Giorgio Di Santillana explica como um salto qu ntico na cul tura de uma civiliza o No ocidente dois fen menos anteriores emerg ncia do ciberespa o s o identifica dos no per odo da inven o das tecnologias da escrita e depois da imprensa Agora trata se da nova rele v ncia de um fen meno antigo a informa o desta vez viajando nos meios digitais de comunica o Os n meros s o esclarecedores aos milh es de usu rios da internet do s culo 20 somaram se mais de 1 1 bilh o de usu rios at 2007 que 44 GE Informa o sobre sa de na web buscam nos mais de 125 milh es de sites e 70 mi lh es de blogs informa es relevantes para dimi nuir a incerteza em face dos problemas do cotidiano Um dos temas recorrentes dessa oferta de informa es na web a sa de coletiva e individual Uma busca simples no Google com o termo sa de tem como resultado 132 milh es de links elos para liga o com fontes de informa o sobre sa de E mesmo que o tema seja especificado como em sa de coletiva o resultado ultrapassa 318 mil links dispon veis Como selecionar uma fonte rele vante e confi vel nesse mar de informa es Ade mais al m de um direito social a sa de um bem pessoal e intransfer vel que recebemos da vida e
270. ue isso seja v lido n o s para o processo decis rio no enfoque organizacional mas Julho Dezembro de 2007 tamb m para o gerenciamento de seguran a da informa o Entretan to em fun o do grande n mero de dados provenientes das mais diver sas fontes da infra estrutura de TIC no cen rio atual boa parte das de cis es precisa ser tomada de forma estruturada e cient fica e n o mais de forma sist mica Isso v lido tanto para as quest es de seguran a com putacional quanto para o processo de tomada de decis es estrat gicas nas organiza es No enfoque organizacional de forma cient fica o gestor pode uti lizar modelos de governan a orga nizacional apoiados por ferramentas dispon veis na teoria da decis o que por sua vez utiliza ferramental de outras ci ncias tais como mate m tica estat stica filosofia admi nistra o etc ox Considerando a depend ncia atual das organiza es do correto funcionamento de sua rea de TIC para a realiza o de sua miss o as a es relacionadas com a seguran a computacional est o deixando cada vez mais de ser tratadas apenas como uma responsabilidade da rea de TIC e est o sendo vistas como um desafio para os gestores das organiza es Os gestores atuais est o cada vez mais necessitados de incorporar as responsabilidades relacionadas com a seguran a computacional em seu processo de tomada de decis o Al m disso o
271. ue os criminosos virtuais est o ganhando dinheiro Estes s o os que a m dia mais veicula por serem mais compreens veis ao grande p blico Existem v rias empresas sendo atacadas por gente paga para faz lo Por isso o ou tro lado tamb m precisa de pessoal em evolu o por dentro das novidades infiltrado nas comuni dades de hackers que entenda o pensamento do inimigo Boas ferramentas s o fundamentais nessa guerra e precisam ser flex veis Por exemplo dar se guran a com todas as portas fechadas n o resolve como construir um bunker para proteger uma pes soa importante Quando esta precisar entrar e sair desse bunker os pontos fracos ser o expostos Na rede corporativa a mesma coisa A empresa pre cisa de acesso internet em m o dupla Tanto seus 46 GE A chave da seguran a est no treinamento colaboradores precisam acess la dentro da empre sa quanto seus funcion rios e clientes precisam de acesso a informa es e servi os via internet fora dela Existem empresas at do Primeiro Mundo que ainda t m rede interna separada da rede que tem liga o com a internet por receio de roubo de dados estrat gicos Imagino quantos neg cios est o sendo perdidos porque seus executivos n o podem aces sar informa es estando fora da empresa Enquanto o concorrente soluciona o problema em minutos o funcion rio da empresa X tem que ligar para a ma triz e pedir ao setor de engenharia para analisar a
272. uecem as pessoas S o elas que operam sistemas e m quinas que fornecem in forma es Se elas n o sabem por que est o apertando um parafuso n o sabem a import ncia do seu trabalho passam a ser um ponto fraco no processo Marcelo Bezerra considera a exist ncia de dois compor tamentos importantes segundo ele uma pessoa que n o especialista em tecnologia no ambiente de uma organi za o vai se adequar s exig ncias e procedimentos exi gidos Vai adotar uma senha forte com n meros e tipos de caracteres bem definidos vai contar com software que faz controle de acesso etc Ela tem que se enquadrar at mesmo por exig ncia da empresa e acaba aprendendo procedimentos recomend veis Convive inclusive com restri es em rela o ao que tem no computador J em casa esse comportamento vai ser muito diferen te As pessoas costumam ter jogos aplica es de m sica e outras E de forma geral n o querem ter a responsabilidade de cuidar dos procedimentos de seguran a querem ter essas coisas de forma tranqiiila f cil querem ter mais liberdade No caso de um software em conflito com um anti v rus por exemplo na empresa voc vai pedir ajuda considerar como funciona o sistema de seguran a J em casa mais f cil mudar o software de seguran a Esses comportamentos s o muito diferentes Hoje nas empre sas a quest o est bem equacionada Em casa a tend n cia desejar que o probl
273. uem na vegas que te direi quem s FONTE V rias foram as tentativas de se criar uma lei para controlar o acesso web inclusive a pro posta que exigiria o CPF e a identifica o de cada usu rio que sofreu questionamentos t cnicos com rela o viabiliza o desses controles Qual a sua opini o sobre esta implementa o e o consegiiente combate ao acesso an nimo aos recursos da internet Sou a favor de um processo de verifica o de identi dade ou de concess o de uma identidade digital obrigat ria em que em algum momento no acesso internet fosse poss vel registrar quem estaria navegando quem seria o usu rio No entanto isso n o significa n o permitir que a pessoa tenha um avatar ou um apelido mas sim em uma investiga o ter registros que permitam saber quem prati cou a conduta indevida assim no mundo real para viajar em avi o em nibus dirigir um carro H atos da vida em sociedade que exigem o regis tro de uma identidade ou de um respons vel legal quando menor e a tend ncia isso acontecer na internet Todos t m interesse em uma internet A empresa responde legalmente pelo mau uso de suas ferramentas tecnol gicas de trabalho que venha a gerar les o a terceiros pessoa pode dizer o que quiser mas responde pelo que disse pelo dano que causar Est assim j na Constitui o de 1988 no artigo 5 Inciso IV FONTE A discuss o da identifica
274. uly 2007 FENZ S et al Information security fortification by ontological mapping of the ISO IEC 27001 Standard 2007 Available from Internet lt http www ifs tuwien ac at node 4274 gt Access 19 Nov 2007 FOWLER S GIAC Security essentials certification 2003 Available from Internet lt http www sans org reading_room whitepapers auditing 846 php gt Access 13 April 2005 GAO General Accounting Office of United States GAO Audit Guide 1988 Available from Internet lt http www gao gov index html gt Access 15 Nov 2007 GARFINKEL S SPAFFORD G Practical Unix and Internet Security 2 ed 1996 Sebastopol O Reilly 1000 p GOVERNMENT OF ALBERTA Information Security Classification 2005 Avalaible from Internet lt http www im gov ab ca publications pdf InfoSecurityClassification pdf gt Access 20 Oct 2006 HOWARD J D LONGSTAFF T A A common language for computer security incidents 1998 Avalaible from Internet lt http www cert org research taxonomy_988667 pdf gt Access 13 Dec 2006 82 Eua Julho Dezembro de 2007 a ISACF Information Systems Audit and Control Foundation COBIT Control Objectives for Information and Related Technology 2000 Available from Internet lt http www isaca org gt Access 01 Dec 2007 ISSEA International Systems Security Engineering Association SSE CMM System Security Engineering Capability Maturity Model V3 0 2003 Available from Internet
275. ura manuscrita Com o uso desse instrumento ser poss vel eliminar o papel Al m disso tamb m prov condi es de verificar a integridade dos do cumentos assinados digitalmente e possibilita a criptografia de arquivos agregando sigilo Ou seja com esse instrumento pode se atuar nos principais pontos de seguran a mencionados Outra iniciativa est sendo conduzida pela Sociedade Brasileira de Inform tica em Sa de SBIS em conv nio com o CFM para estabele cer um processo de Certifica o de Software de Registros Eletr nicos de Sa de Os aplicativos poder o ser classificados em dois n veis de segu ran a sendo que o primeiro avalia se um conjun to de controles b sicos de seguran a seguido e o segundo obrigat rio para programas que dis pensar o o suporte em papel inclui aspectos de certifica o digital O manual de certifica o est dispon vel no site da SBIS www sbis org br Vale lembrar que este refer ncia para uma das principais iniciativas de informatiza o da sa de que o padr o para Troca de Informa o na Sa de Suplementar TISS implantado pela Ag ncia Nacional de Sa de Suplementar ANS Finalmente um novo e talvez o mais impor tante f rum de discuss o e promo o da informati za o do setor a rec m criada Comiss o de Estu do Especial em Inform tica em Sa de CEEIS da Associa o Brasileira de Normas T cnicas ABNT Com suporte do Minist rio da Sa de p
276. uran a PDS definiu os projetos e investimentos em seguran a em um horizonte de tempo de tr s anos que ser o exe cutados para conduzir o ambiente da SEF Seplag e Prodemge infra estrutura f sica tecnologia e pes soas a um n vel de seguran a definido como aceit vel pelas tr s organiza es A cria o do PDS contou com o desenvolvimento das seguintes ati vidades a Mapeamento dos processos cr ticos de neg cio e dos seus gestores b Mapeamento da relev ncia dos processos cr ticos para o funcionamento global do neg cio Classifica o da sensibilida de Confidencialidade Inte gridade Disponibilidade e Legalidade CIDAL de cada processo de neg cio referen te a uma prov vel quebra de c wm seguran a 2 3 Pol tica de Seguran a da Informa o A Pol tica de Seguran a da In forma o estabeleceu formalmente Julho Dezembro de 2007 as diretrizes normas procedimentos instru es de trabalho de seguran a da informa o para produzir resul tados de acordo com as pol ticas e objetivos globais de uma organi za o ASSOCIA O BRASI LEIRA DE NORMAS T CNI CAS 2006 p vi Os projetos dessa primeira etapa ser o descritos a seguir portante que a an lise do Governo de Minas Gerais n o focou somente ativos tecnol gicos A metodologia identificou um conjunto de processos cr ticos para as organiza es A partir da os ativos qu
277. uran a da informa o deve o principal insumo para as organiza es forma o Um n o pode subsistir sem o dar lhe suporte a fim de garantir o exato da Sociedade da Informa o Refer ncias ASSOCIA O BRASILEIRA DE NORMAS T CNICAS NBR ISO IEC 27001 Tecnologia da informa o t cnicas de seguran a sistemas de gest o de seguran a da informa o requisitos Rio de Janeiro 2006 AYOGU M D Corporate governance in Africa the record and policies for good corporate governance African Development Review v 13 n 2 p 308 330 Dec 2001 BASS F T Security policy target contents and links In Proceedings of the 21st National Information Systems Security Conference NIST National Institute of Standards and Technology 1998 Disponivel em lt http csrc nist gov nissc 1998 proceedings paperG4 pdf gt Acesso em 2 jun 2003 BOSWORTH S KABAY M E Eds Computer Security Handbook 4th ed New York John Wiley amp Sons 2002 BRASIL TRIBUNAL DE CONTAS DA UNI O Boas pr ticas em seguran a da informa o Bras lia Tribunal de Contas da Uni o 2003 Dispon vel em lt http www tcu gov br gt Acesso em 8 jul 2003 COMPUTER EMERGENCY RESPONSE TEAM Site oficial Pittsburgh 2004 Dispon vel em lt www cert org gt Acesso em 9 maio 2003 COMPUTER EMERGENCY RESPONSE TEAM CERT Coordination Center Statistics Pittsburgh Carnegie Mellon University Jan 2006 Dispon vel em lt http www cert org
278. usto Gazzola Diretor de Produ o Raul Monteiro de Barros Fulg ncio Diretor de Desenvolvimento de Sistemas Nathan Lerman Superintendente de Marketing Heloisa de Souza Assessor de Comunica o D nis Kleber Gomide Leite CONSELHO EDITORIAL Antonio Augusto Junho Anastasia Paulo Kl ber Duarte Pereira Isabel Pereira de Souza Maur cio Azeredo Dias Costa Am lcar Vianna Martins Filho Marcio Luiz Bunte de Carvalho Marcos Brafman Gustavo da Gama Torres EDI O EXECUTIVA Superintend ncia de Marketing Heloisa de Souza Edi o Reportagem e Reda o Isabela Moreira de Abreu MG 02378 JP Artigos Universidade Corporativa Renata Moutinho Vilella Coordena o da Produ o Gr fica Gustavo Rodrigues Pereira Consultoria T cnica Paulo C sar Lopes S rgio de Melo Daher Revis o Marlene A Ribeiro Gomide Rosely Battista Diagrama o Carlos Weyne Capa Guydo Rossi Impress o Grupo Open Lastro Editora Tiragem Quatro mil exemplares Periodicidade Semestral Patroc nio Apoio Institucional Gustavo Rodrigues Pereira 31 3339 1133 revistafonte prodemge gov br Esta edi o contou com o apoio MICROC TY Outsourcing de Infra Estrutura de T L CERTISIGN A sua identidade na rede Agradecimento especial Naira Fontes Faria Marcela Garcia Bruno Moreira Carvalho Belo Sucesu MG A revista Fonte visa abertura de espa o para a divulga o t cnica a reflex o e a promo o do debat
279. utacionais implementados em software ou em hardware as quais uma vez explo radas ou em virtude de fatores n o tecnol gicos como humanos d o en sejo ocorr ncia dos incidentes Estes por sua vez apresentam se em n me ro e crescimento muito superiores s vulnerabilidades mesmo porque a rei terada explora o de uma mesma vul nerabilidade pode ocasionar m ltiplos incidentes Observa se ainda que um mesmo incidente que atinja diversas instala es como a infec o por um mesmo v rus em centenas de milhares de computadores por exemplo con tabilizado como um nico caso para a confec o do gr fico Tabela 1 Ranking de pa ses por acesso internet Fonte e Commerce Org 2006 EUA China Jap o ndia Alemanha Reino Unido Cor ia do Sul It lia Fran a Brasil Julho Dezembro de 2007 internet milh es Usu rios da Popula o est 2006 milh es 203 8 299 0 111 8 1 307 0 86 3 128 4 50 6 Wiz 48 7 82 5 37 8 60 1 3879 50 6 28 9 SO 26 2 61 0 259 184 3 Ado o da internet Usu rios no mundo 68 1 20 0 8 5 10 9 67 2 8 5 4 5 5 0 59 0 4 8 62 9 Bu 67 0 33 48 8 28 43 0 2 6 14 1 25 95 3 Alguns organismos e padr es relacionados com a governan a das TICs e com as pol ticas de seguran a da informa o Tal como a governan a de TICs as pol ticas de seguran a da informa o para serem eficazes devem ade rir legisla
280. utador come a a ser executado e tenta acessar ou gravar informa es em reas que n o s o as usuais ou a interagir com outros programas com os quais n o tem nenhuma rela o esse fato identificado O acompa nhamento pode ser feito tanto com rela o ao comporta mento de redes quanto de pessoas Por exemplo o caso de um colaborador que tem perfil de acesso a determinadas aplica es e de repente come a a mandar de seu usu rio Julho Dezembro de 2007 o 0 Or if 2 3 2 a Dossi Dossi Dossi Dossi Dossi Dossi eA dados criptografados para endere o desconhecido Tra ta se de um procedimento que foge rotina ou compor tamento diferente que pode ser identificado e analisado Pode n o ser nada mas se for h como intervir Segundo Marcelo a ind stria vem estudando pa dr es de comportamento e j tem mapeada uma s rie de padr es de comportamento de programas de ataque Os v rus autom ticos por exemplo que come am a partir de uma m quina contaminam cem que por sua vez contami nam mais cem Quanto mais efetivo for o mapeamento de comportamento melhor Outra tend ncia a preven o de perdas de dados Ele explica que um problema hoje bem identificado a perda de dados sejam eles pessoais ou de empresas O data lost prevention uma solu o que acompanha produ tos de rede e capaz de detectar por exemplo um n mero de CPF circulando pela rede Nesse caso s
281. valiando a depend ncia que cada pro cesso de neg cio tem das tecnologias da informa o e comunica o O objetivo definir com base nos pro cessos priorit rios medidas capazes de assegurar que os sistemas e rotinas de TI estejam de fato de acordo com as necessidades de confidencialidade integridade e disponibilidade dos neg cios da empresa Capacita o utiliza recursos l dicos Divulga o GEN 41 Divulga o Receita Federal Receita Federal Certifica o digital a chave da seguran a Antes mesmo da oferta de informa es e servi os pela internet a Receita Federal j ado tava procedimentos para seguran a de suas infor ma es desde 1994 O coordenador adjunto de Tecnologia da Informa o da Receita Donizette Victor Rodrigues lembra que no in cio as medidas eram ainda incipientes uma vez que os riscos e preocupa es eram tamb m pequenos Os siste mas eram basicamente em mainframe n o havia muito perigo lembra Em 1995 a entidade passou a instalar e a utilizar redes locais adotando microcomputadores servidores e intensificando ao mesmo tempo o uso da internet o que levou a uma preocupa o maior com a seguran a das informa es dessa poca a oferta das primeiras informa es para os usu rios na internet em uma se o do site do Minist rio da Fazenda uma vez que a Receita ainda n o tinha seu pr prio site A cria o da homepage da entidade em 1996 ainda no
282. wireless Divulga o 02 Mauro C sar Bernardes Algumas recomenda es para um modelo de governan a da seguran a da informa o Doutor em Computa o pela Universidade de S o Paulo ICMC USP 2005 Atualmente diretor de divis o tecnol gica no Centro de Computa o Eletr nica da USP CCE USP e professor no Centro Universit rio Radial UniRadial atuando na rea de Seguran a da Informa o e Governan a de TIC RESUMO Este artigo apresenta um conjunto de recomenda es para o desenvolvimento de um modelo que permitir aos administradores de uma organiza o a incorpora o da governan a da seguran a da informa o como parte do seu processo de governan a organizacional A partir da utiliza o desse modelo pretende se que o conhecimento sobre os riscos relacionados com a infra estrutura de Tecnologia da Informa o e Comunica o TIC seja apresentado de forma objetiva ao conse lho administrativo ao longo do desenvolvimento de seu planejamento estrat gico Uma revis o de literatura sobre governan a de TIC foi realizada para a identifica o de modelos que pudessem oferecer contribui es 1 Governan a de Tecnologia da Informa o e Comunica o A informa o reconhecida pe las organiza es nos ltimos anos como sendo um importante recurso estrat gico que necessita ser geren ciado Weill amp Ross 2004 Os sis temas e os servi os de Tecn
283. y Evaluation 1998 Available from Internet lt http csrc nist gov nissc 1999 proceeding papers p15 pdf gt Access 01 Dec 2007 OECD Organization for Economic Cooperation and Development Guidelines for the Security of Information Systems 1992 Available from Internet lt http www oecd org gt Access 01 Dec 2007 QUIST A S Security Classification of Information volume 2 principles and techniques for classification of information 1993 Available from Internet lt http fas org sgp library quist2 index html gt Access 02 Dec 2007 RASKIN V et al Ontology in information security a useful theoretical foudation and methodological tool 2001 Available from Internet lt http portal acm org ft_gateway cfm id 508 180 amp type pdf amp dl portal amp dI ACM gt Access 16 Aug 2005 SHIREY R RFC 2828 Internet Security Glossary 2000 Available from Internet lt http rfc dotsrc org rfc rfc2828 html gt Access 19 Nov 2007 VON KROGH G ROOS J Conversation Management European Management Journal online v 13 n 4 p 390 394 1995a Available from Internet lt http www sciencedirect com gt Access 10 March 2005 WILSON T D The nonsense of knowledge management 2002 Available from Internet lt http informationr net ir 8 1 paper144 html non95 gt Access 03 April 2006 WOOD C C Principles of Secure Information Systems Design 1990 Available from Internet lt http portal
Download Pdf Manuals
Related Search