Segurança da Informação
Contents
1. eee ereereeereerreerraaa 19 Ilustra o 3 Plan Do Check Act in Norma 27001 errar 55 Faculdade de Letras Universidade do Porto FLUP Seguran a da Informa o Resumo Na emergente era da informa o a seguran a da informa o uma preocupa o cada vez mais presente no dia a dia das organiza es Desengane se quem pensa que apesar da constante evolu o tecnol gica as amea as seguran a da informa o est o apenas relacionadas com as novas tecnologias N o deixa de ser verdade que com as novas tecnologias se tem vindo a desenvolver um vasto leque de armas que muito contribuem para o aumento da inseguran a da informa o como exemplo temos programas de spyware adware v rus inform ticos etc no entanto n o se pode colocar de parte uma enorme amea a que nada tendo a ver com os meios tecnol gicos apelidada de Engenharia Social De forma paralela ao aparecimento destas amea as foram tamb m sendo desenvolvidas respostas tanto no mbito tecnol gico como no mbito da engenharia social Para combater as amea as de origem tecnol gica foram sendo desenvolvidos programas de anti spyware anti adware anti virus etc Quanto engenharia social pouco mais se pode fazer do que preparar os colaboradores das institui es para enfrentar determinadas t cnicas utilizadas pelos engenheiros sociais Aten o N o existem medidas 100 eficazes contra a viola o da informa o Exist2. Leit o H F 2008 O perigo vem de dentro Fuga de Informa o ou Desinforma o 36 2 Khansa L Liginlal D 2009 Quantifying the Benefits of Investing in Information Security Communications of the Acm 52 11 6 Lynch D M 2006 Security Against Insider Attacks Information Security Journal 15 5 9 Main A 2004 Application Security Building in Security during the Development Stage Information Security Journal 13 2 7 Knapp K Marshall T JR Rainer R K et al 2006 The Top Information Security Issues Facing Organizations What Can Government Do to Help Information Security Journal 15 4 8 80 Faculdade de Letras Universidade do Porto FLUP Seguran a da Informa o Reinhold C Frolick M Okunoye A 2009 Managing Your Security Future Information Security Journal 18 3 8 Ott J L 2000 Information Security in the New Millenium Information Security Journal 9 1 3 Pinto M M 2010 Apoio a Aulas 2 46 Pinto M M 2010 Apoio a Aulas 3 96 Reed B 2007 Implementing Information Lifecycle Security Information Security Journal 16 3 5 Republica A d 2009 Lei 109 de 2009 Assembleia da Rep blica 7 Santos H Gest o da Seguran a da Informa o Porto Universidade do Porto 10 Thompson Samuel T C Helping the Hacker Information Tecnology amp Libraries 25 no 4 2006 5 Tsai Dwen Ren
3. Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o Para combater estes ataques internos t m sido tomadas medidas a v rios n veis desde refor os legais at ao desenvolvimento de software amigo como os exemplos a seguir demonstrados Hoje em dia nem o facto de que algu m est do lado de dentro do per metro sin nimo de que essa pessoa confi vel e torna se necess rio recorrer s novas tecnologias para combater os ataques tecnol gicos como alias tem toda a l gica necess ria a exist ncia de tecnologia que atrav s das infra estruturas existentes ajude as organiza es a monitorizar as suas redes internas definindo as permiss es para os fluxos de informa o e assegurando que a informa o confidencial est sempre codificada Tem de ser uma tecnologia capaz de cobrir toda a rede e assegurar um ambiente seguro cumprindo para isso as seguintes etapas 1 Estabelecer as necess rias rela es de seguran a 2 Delimitar as redes internas s zonas seguras de forma a serem facilmente geridas 3 Refor ar a seguran a das liga es estabelecidas atrav s do cruzamento de zonas de seguran a 4 Fazer auditorias peri dicas rede interna para assegurar que refor ada continuamente a seguran a das redes existentes 5 Gerir e actualizar as rela es de seguran a encarando as como qualquer outra necessidade de neg cio 6 Adoptar um sistema de auditoria e de relat rios
4. ainda sin nimo de Sistema inform tico o conjunto de dados recuperados tratados armazenados ou transmitidos pelos referidos dispositivos Dados Ei In CERT Organizational Security 2010 from http www cert org work organizational security html E In Republica A d 2009 Lei 109 de 2009 Assembleia da Republica 7 70 Faculdade geleiras Universidade do Porto FLUP Seguran a da Informa o inform ticos toda a representa o de dados conceitos ou informa es pass veis de serem processados num sistema inform tico Dados de tr fego dados inform ticos associados a uma comunica o que se verifica atrav s de um sistema inform tico criados por esse sistema como elementos de comunica o indicadores do ponto de partida da comunica o o trajecto a hora a data o tamanho a dura o e o destino Fornecedor de servi o toda a entidade publica ou privada que possibilite aos seus utilizadores a comunica o atrav s de um sistema inform tico entende se ainda por fornecedor de servi o qualquer entidade que proceda ao tratamento e armazenamento inform ticos em nome pr prio ou dos seus utilizadores Intercep o o acto de captar informa es armazenadas num sistema inform tico utilizando dispositivos mec nicos ac sticos electromagn ticos etc Topografia uma serie de imagens associadas independentemente do modo de fixa o e codifica o que s o uma representa o tridimensional das
5. cs eeesssecssecsseceecsseeesecsseessnessneeeneeeaeecaaecaecnaeesaeeeaeenes 54 6 3 3 mbito abrang ncia da norma ccssssssssessessssssessesssessecsessssssessessseesecseesseeseesees 55 6 3 4 Sistemas de Gest o de Seguran a da Informa o eee eeeeceeeeeeeeeeeeeeeeeeeee 56 6 3 5 Gest o de responsabilidade ir ereeeeeeeeerreerrenaraaa 60 6 3 6 Auditorias internas ao SGSI 0 0 eeeesseeeseeeseeessecesscessceenesceseeceteoessoeesseesseetseeeees 61 6 3 7 Gerir a revis o dO SGSI areen i E EEEE sediadas 61 6 3 8 Melhoria do SGS Lena caseruaasia ne paniico lada dd pelas de daphne lds dg ab esao atas o aaa pad 61 6 4 Complementaridade entre as normas ISO 17799 e ISO 27001 61 6 5 De que forma as normas contribuem para garantir a seguran a da informa o 62 7 Pol ticas de seguran a da informa o eee eeeaeeeaeeraaeraerraaa 62 7 1 Quest es de seguran a nacional relacionadas com a seguran a da informa o resposta dos SOVEIMOS einernie eraino ian in a E E EEEE E E E 62 8 Metodologia de avalia o da seguran a de informa o rr 63 8 1 Information Security Evaluation Method rr 64 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o 5 Partilha em seguran a de informagao cee ee eeeeeeseeeseeeneeeacecseeceaecsaecsaeesseeseeseeeeseeseneeeaes 66 5 1 SOC Centro de Opera e
6. mais concretamente o governo dos EUA criarem um ambiente legislativo que proteja as empresas dos ataques seguran a da informa o 8 Metodologia de avalia o da seguran a de informa o A necessidade do desenvolvimento de uma Metodologia de partilha de informa o adv m do facto das pol ticas de seguran a serem implementadas ignorando os n veis de a In Ott J L 2000 Information Security in the New Millenium Information Security Journal 9 1 3 3 In Knapp K Marshall T JR Rainer R K et al 2006 The Top Information Security Issues Facing Organizations What Can Government Do to Help Information Security Journal 15 4 8 63 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o seguran a e sentindo se uma necessidade emergente de aumentar a efic cia das pol ticas de seguran a verificou se o desenvolvimento de metodologias que baseadas na vulnerabilidade e no resultado das an lises aos sistemas de seguran a garantam o n vel de seguran a No seu artigo Improve of Evaluation Method of Information Security Levels of CIIP Yoo Shin Lee e Lee Yoo Shin Lee e Lee 2007 apresentam nos um M todo segundo eles capaz de proporcionar esquemas e m todos de avalia o suscept veis de serem utilizados para melhorar o n vel de seguran a de uma forma continua e activa Esse m todo denominado de Information Security Evaluation Method 8 1 Information
7. o um bem que tal como outros bens relevantes essencial para as reas de neg cio de uma organiza o e precisa de ser constantemente protegida Isto especialmente importante na crescente inter rela o dos ambientes de neg cio Como resultado deste aumento de inter conectividade a informa o exposta a um n mero cada vez maior e mais variado de amea as e vulnerabilidades A informa o pode assumir v rias formas Pode ser impressa ou escrita em papel armazenada electronicamente transmitida atrav s de meios electr nicos atrav s de filmes ou falada Seja qual for a forma assumida pela informa o ou o significado a partilhar ou armazenar deve sempre proceder se a uma protec o adequada A Seguran a da Informa o a protec o da informa o relativamente a um largo n mero de amea as com o objectivo de assegurar a continuidade do neg cio minimizar os cm a z E riscos e maximizar o retorno dos investimentos bem como as oportunidades de neg cio 2 Enquadramento te rico Antes de tudo importante proceder a um enquadramento te rico que torne percept vel o lugar ocupado pela Seguran a da Informa o na Ci ncia da Informa o Todavia inserindo se a seguran a da informa o na chamada Preserva o e Conserva o da Informa o para se conseguir situar a Seguran a da Informa o na Ci ncia da Informa o necess rio fazer uma contextualiza o pr via da Preserva
8. o tecnologia e acesso tendo em conta os seguintes par metros 1 Enquadrar a defini o de objectivos e delinear os princ pios de ac o que regem a seguran a da informa o 2 A rea de neg cio e os requisitos legais ou regulamentares e as obriga es de seguran a acordadas em contrato 3 O alinhamento com a estrat gia de gest o de risco da organiza o e o contexto no qual o Sistema de Gest o de Seguran a da Informa o ir ser implementado 4 Estabelecer condi es a seguir para a avalia o do risco 56 Faculdade se Petras Universidade do Porto FLUP 5 Seguran a da Informa o Zelar para que a pol tica do Sistema de Gest o de Seguran a da Informa o implementado tenha sido aprovada pela gest o de topo c DEFINIR A ESTRAT GIA DE AVALIA O DE RISCO DA ORGANIZA O 1 2 3 Identificar uma metodologia de avalia o de risco apropriada ao Sistema de Gest o de Seguran a da Informa o e aos requisitos de neg cio legais e regulamentares identificados para a seguran a da informa o Desenvolver condi es para que os riscos sejam aceites e identificar os n veis de risco aceit veis A metodologia de avalia o de riscos enunciada deve assegurar que a avalia o de riscos produz resultados compar veis e reprodut veis d IDENTIFICA O DOS RISCOS 1 2 3 4 Identificar tanto os bens abrangidos pelo Sistema de Gest o de Seguran a d
9. o em rede alguns problemas constituem uma s ria amea a seguran a nacional A fim de solucionar esta quest o muitas na es em todo o mundo t m se dedicado r 2 zs at 36 pesquisa e ao desenvolvimento de v rias t cnicas e pol ticas de seguran a da informagao In Cicco F 2006 ISO IEC 27001 na opini o de um especialista 3 e In Yoo Don Young Shin Jong Whoi Lee Gang Shin et al 2007 Improve of Evaluation Method for Information Security Levels of CIIP Critical Information Infrastructure Protection PROCEEDINGS OF WORLD ACADEMY OF SCIENCE ENGINEERING AND TECHNOLOGY 6 62 Faculdade de Letras Universidade do Porto FLUP Seguran a da Informa o assumidas como esfor os governamentais para proteger as suas infra estruturas de novas e emergentes amea as Nos Estados Unidos foi promulgado em 1996 o National Information Infrastructure Protection Act e em Maio de 1998 foi emitida a Presidential Decision Directive PDD 63 para criar todo um sistema de seguran a governamental para as maiores infra estruturas importante referir que esse plano foi concebido para ser colocado em pr tica no ano 2000 e estar a funcionar na sua plenitude em 2003 Para al m disso foi fundado com a emiss o da Executive Order 13284 em Janeiro de 2003 o Department of Homeland Security DHS e em Fevereiro de 2003 foi anunciada uma iniciativa de estrat gia nacional para a seguran a no ciberes
10. portanto um c digo de boas pr ticas que se complementa de forma excelente com a Norma ISO 27001 6 5 De que forma as normas contribuem para garantir a seguran a da informa o Embora as normas nem sempre sejam pass veis de ser utilizadas pelas institui es e a sua efic cia n o corresponda a 100 s o instrumentos que quando adoptados permitem s institui es ultrapassar muitas vulnerabilidades relacionadas com a seguran a da informa o Desta forma tornam se mais eficazes no combate informa o e inspiram mais confian a aos utilizadores o que potencia o seu sucesso 7 Pol ticas de seguran a da informa o 7 1 Quest es de seguran a nacional relacionadas com a seguran a da informa o resposta dos governos Como consequ ncia do desenvolvimento da informatiza o os problemas de seguran a da informa o como emails spam phishing e pharming as amea as infra estrutura nacional t m aumentado Como a rede de infra estrutura nacional foi desenvolvida e difundida a informa o foi igualmente partilhada e intercambiada e o acesso ilegal informa o tornou se um s rio problema medida que a comunica o em rede transformada num sistema global internacional a resposta legal s invas es estranhas e aos ciber ataques est a atingir o seu limite Numa perspectiva internacional num ambiente onde as maiores infra estruturas s o geridas e controladas com base na informa o da comunica
11. uma norma que deve ser combinada com a acima referida norma ISO 17799 tratando se de um padr o direccionado para a gest o de seguran a da informa o Ser o aqui tamb m referidas algumas pol ticas de seguran a da informa o compreendendo os m todos de avalia o os mecanismos de partilha da seguran a da informa o bem como alguns meios de combate ao cibercrime tamb m importante referir a import ncia do investimento em seguran a da informa o e da utiliza o de sistemas de seguran a da informa o Como ltimo t pico mas nem por isso menos importante abordar se tamb m o tema da certifica o digital Capitulo 1 Estrutura pontos a abordar Far se neste cap tulo uma pequena apresenta o de todos os pontos que comp em esta an lise bem como uma pequena s ntese do abordado em cada um desses pontos E feita tamb m uma resenha das fontes bibliogr ficas utilizadas tamb m em cada um desses pontos Estrutura Uma vez que o que se pretende abranger uma vasta s rie de sub t picos relacionados com a Seguran a da Informa o optou se por dividir se o tema pelos t picos cap tulos a seguir enumerados 1 Estrutura pontos a abordar o presente cap tulo onde se procede apresenta o da estrutura do trabalho 2 Seguran a da Informa o aspectos a considerar Aqui questiona se que na emergente era da Informa o a Seguran a da Informa o cada vez mais uma
12. Faculdade de Letras da Universidade do Porto Preserva o e Conserva o Jan 2011 Trabalho Realizado por Sofia Elisabete Costa Patr cia Lopes Faculdade de Letras Universidade do Porto FLUP Seguran a da Informa o Agradecimentos Antes de avan ar com este trabalho queremos manifestar o nosso agradecimento Prof Doutora Manuela Pinto sem a qual n o seria poss vel dar continuidade ao trabalho que a seguir se apresenta e consequentemente lev lo a bom termo Faculdade de Letras Universidade do Porto FLUP Seguran a da Informa o Sum rio THOM CAO rAr FA cssencadudeceanstuscedeavedeedsvess Dea T A a shaved ogden doa decada drag a 7 Capitulo 1 Estrutura pontos a abordar ese eraerae cena cenaneraneraaaea 8 Estrutura sc sees ss deste T A E A T ssa 8 Rol de fontes bibliogr ficas usadas em cada um dos cap tulos 10 Capitulo 2 Seguran a da Informa o aspectos a CONSIAELAL ee eeeeseeseeeseeeneeeneeeeaeceaeeeseeees 12 1 Seguran a da Informa o ss cssecsc cei ccevetsseseseastiessevssecesseda te snae iaeiiai aiae a 12 2 Enquadramento te rico spcur tebe gatagaea fevavs RN Ea OESE ERR ns Deseag 12 1 1 A import ncia da Informagao eee eeeeceeeseeeneeeeeeseecseecaecaecsaeceaeesaeeeseeeseeeseeeeaeesaes 15 1 2 Princ pios de Seguran a da Informa o raras 16 1 3 O Ciclo de Vida da Seguran a da Informa o 18
13. Os ataques maliciosos a infra estruturas das empresas tornaram se uma s ria amea a com o crescimento da internet Cada vez mais as organiza es t m que implementar uma esp cie de salvaguarda que assegure a confiabilidade integridade e a disponibilidade da informa o Falhas a este n vel tornam as organiza es vulner veis e conduzem a preju zos In Thompson Samuel T C Helping the Hacker Information Tecnology amp Libraries 25 no 4 2006 5 74 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o financeiros e a perdas de clientes e bens Segundo v rios estudos foram j apresentados v rios modelos com o prop sito de justificar a import ncia em investimentos em seguran a de informa o ao n vel organizacional Esses modelos s o limitados pela dificuldade ou falta de fiabilidade na preven o de potenciais perdas relacionadas com a exist ncia de lacunas na seguran a e a previs o dessas pr prias lacunas Uma simples falha na seguran a da informa o envolvendo acesso n o autorizado por parte de utilizadores por exemplo o acesso informa o constante no cart o de cr dito pode ter consequ ncias catastr ficas para uma organiza o No estudo Quantifying the Benefits of Investing in Information Security elaborado por Khansa e Liginlal proposto um modelo baseado no valor da flexibilidade da troca entre Tecnologias de Informa o Compat
14. Os utilizadores devem assegurar se de que os equipamentos n o assistidos possuem protec o apropriada Os equipamentos instalados nas reas dos utilizadores como esta es de trabalho ou servidores de arquivos podem exigir protec o espec fica contra acesso n o autorizado quando deixados sem assist ncia por um per odo prolongado Todos os utilizadores e contratados devem ser consciencializados dos requisitos e procedimentos de seguran a para proteger o equipamento n o assistido bem como das suas responsabilidades para a implementa o de tal protec o Controlo de acesso rede O objectivo a protec o dos servi os que utilizam redes O acesso a servi os em redes internas e externas deve ser controlado Isto necess rio para assegurar que os utilizadores que t m acesso a redes e servi os em rede n o comprometam a seguran a de tais servi os Rela es inseguras com servi os numa rede podem afectar toda a organiza o Os utilizadores devem ter acesso directo apenas aos servi os aos quais foram especificamente autorizados a usar Este controlo particularmente importante para liga es de rede com aplica es sens veis ou cr ticas ou para utilizadores em locais de alto risco como reas p blicas ou externas que est o fora da gest o e controlo de seguran a da organiza o Liga es externas apresentam um potencial para acesso n o autorizado s informa es do neg cio como por exemplo acesso atrav s
15. o da informa o da ag ncia avaliada AP L LP i l N itens Os itens de controlo podem classificar se como fortes ou vulner veis no que respeita s amea as de seguran a e isto permite aos gestores uma melhor detec o e correc o das suas vulnerabilidades O m todo apresentado por estes autores oferece nos uma descri o pormenorizada das categorias de controlo e como consequ ncia uma melhor compreens o dessas categorias 65 Faculdade d Datas Universidade do Porto FLUP Seguran a da Informa o dando assim um forte contributo para que haja uma melhor compreens o dos avaliadores dos n veis de protec o da informa o das organiza es e desta forma para que haja uma maior efic cia na seguran a da informa o 5 Partilha em seguran a de informa o 5 1 SOC Centro de Opera es de Seguran a SOC o acr nimo de Centro de Opera es de Seguran a que por sua vez uma unidade que funcionando de forma interna ou externa a uma organiza o se dedica a observar sistemas e redes contra atacando eventuais ataques Seguran a da Informa o utilizando para isso a analise estat stica a colecta e a gest o de Seguran a da Informa o em varias arquitecturas de sistema O staff dedica se monitoriza o cont nua de redes e facilidades de acesso aos sites controlando tamb m de forma directa ou indirecta os equipamentos de seguran a dos sites pois poss vel ao
16. o de palavras chave etc Atrav s de todas estas dimens es entra em ac o a terceira rea axial de Ci ncia da Informa o mencionada a Organiza o e Representa o da Informa o Agora coloca se uma quest o de que forma a Organiza o e Representa o da Informa o est relacionada com a pluridimensionalidade do objecto digital Ao longo das quatro dimens es do objecto digital verifica se a presen a de meta informa o uma vez que para se produzir informa o necess rio utilizar c digos apenas intelig veis por computador o que o mesmo que dizer que a informa o se produz a partir de informa o ou seja a partir de c digo inform tico produzida informa o intelig vel para o leitor e para o utilizador Para alem disso na dimens o essencial necess rio organizar e representar a informa o resultante de todas as outras dimens es suporte f sico e digital software utilizado caracteres e significado da informa o para determinar se se justifica ou n o a preserva o dessa informa o 1 1 Aimport ncia da Informa o A informa o tem um valor altamente significativo e pode representar grande poder para quem a possui No mbito da Ci ncia da Informa o trans e interdisciplinar defende se que tem uma dupla funcionalidade sem ntica Refere um fen meno humano e social que compreende tanto o dar forma a ideias e a emo es informar como a troca a efectiva interac o des
17. o dos inqu ritos BAD sugerem algumas medidas que ao serem tidas em conta reduzem os riscos de destrui o e viola o da informa o No que se refere s condi es de seguran a e aos edif cios recomenda se o apetrechamento de equipamentos de seguran a apropriados para a redu o do risco de perda de informa o em caso de incidentes naturais dever ser institu do um plano de emerg ncia Deve ser percebida a import ncia de elaborar planos de preserva o e conserva o de informa o que respeitem os seguintes par metros devem ter como ponto de refer ncia projectos j elaborados e prever a defini o de um or amento espec fico com a consequente atribui o de verbas a defini o de objectivos para concluir esses projectos a selec o de um respons vel por essa rea No que diz respeito s condi es ambientais aconselha se o fomento de ac es de forma o para consciencializar os profissionais sobre a import ncia de ter instala es com boas condi es ambientais Quanto gest o e controlo dos fundos e das colec es deve ser incutida a necessidade de gerir e avaliar de forma eficaz n o s o n mero de volumes existentes mas tamb m a qualidade das colec es Desta forma ser poss vel determinar os eventuais desvios de informa o e fazer uma avalia o correcta da informa o de modo a ter uma percep o eficaz do que deve ser conservado e do que deve ser eliminado tamb m sugerida
18. o As responsabilidades e os procedimentos para a gest o e opera o de todas as facilidades de processamento de informa o devem ser estabelecidos Isso inclui o desenvolvimento de instru es de opera o apropriadas e de procedimentos para resposta a incidentes Os procedimentos operacionais identificados pela pol tica de seguran a devem ser documentados e mantidos actualizados devendo tamb m ser tratados como documentos formais e as altera es devem ser autorizadas pela ger ncia As mudan as nas facilidades de processamento de informa o e nos sistemas devem ser controladas O controlo inadequado dessas mudan as uma causa frequente de falhas na seguran a ou nos sistemas Os programas operacionais devem estar sujeitos a um controlo restrito das altera es Quando os programas s o alterados deve ser retido um log para auditoria contendo todas as informa es relevantes 40 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o Altera es no ambiente operacional podem causar impacto nos aplicativos Onde for pratic vel os procedimentos para controlo das mudan as operacionais e nos aplicativos deve ser integrado A segrega o de tarefas um m todo de reduzir o risco de m utiliza o acidental ou deliberada do sistema Deve se considerar a separa o da gest o ou da execu o de determinadas tarefas ou reas de responsabilidade para reduzir as oportunidades
19. o ocorr ncia de um evento ou ac o Eles podem ajudar a estabelecer provas para substanciar se um determinado evento ou ac o ocorreu por exemplo nega o de envio de uma instru o assinada electronicamente usando correio electr nico Estes servi os s o baseados no uso de t cnicas de criptografia e assinatura digital A gest o das chaves criptogr ficas essencial para o uso eficaz das t cnicas de criptografia Um sistema de gest o de chaves deve ser baseado num conjunto acordado de padr es procedimentos e m todos seguros Seguran a de arquivos do sistema O objectivo assegurar que os projectos de IT e actividades de suporte sejam conduzidos de uma forma segura O acesso aos arquivos do sistema deve ser controlado Manter a integridade do sistema deve ser responsabilidade da fun o usu ria ou grupo de desenvolvimento ao qual o sistema aplicativo ou software pertence Deve ser fornecido controlo para a implementa o de software em sistemas operacionais O software usado em sistemas operacionais que seja fornecido pelo revendedor deve ser mantido num n vel no qual o fornecedor d suporte Qualquer decis o de fazer upgrade para uma nova vers o deve ter em conta a seguran a da vers o isto a introdu o de uma nova funcionalidade de seguran a ou a quantidade e a severidade dos problemas de seguran a que afectam esta vers o Os dados de teste devem ser protegidos e controlados Os testes e a aceita o de
20. por exemplo fluxo de dados entre pa ses Todas as exig ncias contratuais estatut rias e regulamentadoras relevantes devem ser explicitamente definidas e documentadas para cada sistema de informa o Os controlos espec ficos e as responsabilidades individuais para satisfazer estas exig ncias devem estar similarmente definidos e documentados Os procedimentos apropriados devem ser implementados para garantir o cumprimento de restri es legais quanto ao uso de material em rela o ao qual podem existir direitos de propriedade intelectual tais como copyright direitos de projecto e marcas registadas As exig ncias legislativas regulamentadoras e contratuais podem colocar restri es quanto c pia de material propriet rio Em particular elas podem obrigar que apenas material que desenvolvido pela organiza o ou que licenciado ou fornecido pelo investigador para a organiza o possa ser usado Os produtos propriet rios de software s o geralmente fornecidos com um contrato de licenciamento que limita o uso dos produtos a m quinas especificadas e pode permitir c pias apenas para a cria o de backups Os Registos importantes de uma organiza o devem ser protegidos contra perda destrui o e falsifica o Alguns registos podem precisar de ser guardados em seguran a para satisfazer exig ncias estatut rias ou regulamentadoras bem como para apoiar actividades essenciais do neg cio Exemplos destes s o registos que
21. ria para reduzir o risco de acesso n o autorizado aos dados e para os proteger contra perda ou danos Deve se tamb m considerar a localiza o dos equipamentos e a sua disposi o f sica Os equipamentos devem ser protegidos ou dispostos fisicamente de forma adequada para reduzir os riscos oriundos de amea as e perigos ambientais e de oportunidades de acesso n o autorizado Os equipamentos devem ser protegidos contra a falta de energia e outras anomalias na electricidade Uma fonte el ctrica adequada deve ser provida de acordo com as especifica es do fabricante do equipamento Um equipamento de no break para suportar um encerramento do processamento de forma ordenada ou para continuar com o processamento recomendado para equipamentos que suportam opera es cr ticas para o neg cio Os planos de conting ncia devem cobrir a ac o a ser executada no caso de falha do no break O equipamento de no break deve ser verificado regularmente para certificar que ele possui a capacidade adequada e deve ser testado de acordo com as recomenda es do fabricante Os cabos de energia e telecomunica o que transportam dados ou suportam servi os de informa o devem ser protegidos contra intercepta o ou danos Os equipamentos devem ser correctamente conservados para assegurar a sua disponibilidade e integridade continuadas 39 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa
22. tulo procura se dar resposta aos problemas detectados na fase anterior ou pelo menos dar sugest es para evitar esses problemas Versando sobre os mecanismos tecnol gicos ser analisado o artigo Managing Your Security Future em que o autor apresenta um panorama das actuais amea as tecnol gicas Seguran a da Informa o fornecendo de seguida um leque de respostas tamb m elas tecnol gicas a essas amea as Por sua vez o autor do artigo The Top Management Information Security Issues Facing Organizations What Can Governments do to Help mostra nos um estudo com a pretens o de determinar os principais problemas relacionados com a seguran a da informa o nas organiza es apresentando de seguida sugest es de apoios governamentais Ser o abordados aspectos relativos Certifica o Digital Com o objectivo de apoiar as organiza es na preven o contra incidentes relacionados com a Seguran a da Informa o s o aqui analisadas as duas Normas ISO a Norma ISO 17799 que no fundo um conjunto de pr ticas para gerir a Seguran a da Informa o ISO 17799 2005 a Norma ISO 27001 aso 27001 2005 de extrema import ncia para o tema Procurando consultar a opini o de um especialista sobre estas duas Normas de um modo particular sobre a Norma ISO 27001 ser consultado o artigo ISO IEC 27001 na opini o de um especialista da autoria de Francesco de Cicco N o querendo deixar de parte a influ ncia dos governos na pr
23. 3 2 2 Firewall assina passas a Lenita aiii Ra Dana Dan cias 28 3 2 3 JATUIVADOS errorae tanari ae Ea e EEE 25 daca vith des EO AE ee soba chase puta natedas 28 3 2 4 Anti spyware anti adware erre cereaeerareeaeeeaeenacenananaa 29 3 2 5 Controlo de acesso pelos servidores ii reeeeereerereraaa 29 3 2 6 Detec o de Intrus es sistema IDS erre 29 3 2 7 i i e PORTA O ERRADO PRP PR RN PR 29 3 2 8 Wareless ESPeC TICO a sisesiueonaidtan soe iieevayeclyodins bias st sgctoas sda hie vhagastessunebiay E EER 29 3 2 9 Biometria inform tica ts siga pes iise iesite ri erans Cinn sE sul aer peido teia pelas 29 4 Certifica o digital Defini o e utilidade eee 30 4 1 O que a certifica o digital e para que serve e 30 3 Faculdade de Letras Universidade do Porto FLUP Seguran a da Informa o 4 2 PKE como TUNCION AS sss sseccscasvness sesenecicectved sseavoceesdevvedesesusecuseeusetaupsvaqenaseeusdsiaoenreacventeds 30 4 2 1 Como tudo se processades incici iiaii i iisi ai 30 4 3 Certificado digital qualificado oo cee eeeeeeesceeneeeneeesceeseecsaecaecsaecsaeceaeceseeeeeeeseeeeneesaes 31 4 4 Como obter um certificado digital 0 eeceseeeeeeeeeeeeeeaeeeaeecaecsaecsaessaeeeseeeseeees 31 5 Tr s categorias de aplica es de seguran a rrenan 32 6 Normaliza o da informa o eee eeeceseceseceseeeeceeeseeeseeeaeecsaecsa
24. Cap tulo 3 Ataques Seguran a da Informa o ir eeeeererereeerreaa 19 2 Amea as Seguran a da Informa o rr ereereceneeeneearaearaaaraada 19 2 1 Os incidentes naturais e humanos e a destrui o da informa o 19 22 Fuga de Informa o carsaetun doveseraeseteorasswaenvelecdtlnensqesssacseteseaageneesslesterssbeyecerasdeles beds 20 2 3 Engenharia Social atesta estara sait eth aveenieabsiel pos GER aa adsl uia nisi dali 20 2 4 Tecnologias da Informa o 00 eee ceeceseeeseceeeeeeseeeaeeeaeeeaaecaaecaecsaeesseesseesseeeseessneesaes 22 24 1 HACKED E sles scuyeuesdectwusea ieevvlensaydas sovyebatdesveaiienstepdeveneblssoceventsas 22 2 4 2 Gioia chan cemperreceer ere Pree rererreererer creer verre nd tales ld dig passa ads 22 2 5 CASO PLallCOirc2 schscivs Sinsdesussestaasdeuasessugeaeyss tneddeessnesenssbeladsestebecyond dest EEE EEEE IRES 24 2 5 1 Vulnerabilidade das Bibliotecas Seguran a da Informa o 24 Cap tulo 4 Garantir a Seguran a da Informa o e rereereeereeereaa 26 3 Mecanismos de protec o de Seguran a da Informa o 26 3 1 Protec o contra incidentes naturais e humanos 26 3 2 Tecnologias de Seguran a da Informa o rara 27 3 2 1 Resposta a incidentes intern0S cesessceeeceeeseeeecesecaeeeeeeseceeeeeeesecaeeaeeeeeeaeeaeees 27
25. Chen Wen Chi Lu Yin Chia et al 2009 A Trusted Security Information Sharing Mechanism 2009 IEEE INTERNATIONAL CARNAHAN CONFERENCE ON SECURITY TECHNOLOGY 81 Faculdade de Letras Universidade do Porto Anexos Norma ISO 17799 VER PASTA Norma ISO 27001 VER PASTA Lei do Cibercrime VER PASTA Seguran a da Informa o 82
26. Security Evaluation Method Este m todo comp em se por procedimentos destinados a medir o n vel de seguran a da organiza o e atrav s da an lise dos dados determina a maturidade desse n vel de seguran a Trata se de um m todo desenvolvido com o objectivo de detalhar os par metros de avalia o presentes na BS 7799 entre outras Normas A avalia o da seguran a dos diversos n veis feita atrav s de 12 categorias 54 itens e 89 detalhes de controlo Estes ltimos dividem se ainda em 41 itens correspondentes a processos e 49 itens denominados de itens funcionais Enquanto os itens funcionais est o relacionados apenas com a provis o de fun es os itens de processos podem ser classificados como sub processos Para avaliar as 12 categorias de controlo e os 89 detalhes de controlo de itens elaborada uma lista de verifica o divis vel em cinco n veis Essa lista pass vel de ser utilizada para uma auto avalia o por parte da organiza o cujo resultado certificado atrav s da inspec o de documentos relacionados de inspec es no local e da an lise de gestores O resultado do n vel de protec o da informa o de uma organiza o pode ser avaliado atrav s de dois m todos 1 C lculo da maturidade do resultado do n vel de protec o da informa o atrav s da soma dos valores da avalia o dos detalhes de controlo de itens para os 54 itens de controlo 1 S itens de controlo i L detalhe
27. a inclus o de linhas de financiamento que potenciem a cria o de planos de preserva o e conserva o com o objectivo de impulsionar a cria o de infra estruturas regionais dividindo equitativamente os recursos humanos e equipamentos Por ltimo fortemente recomendada a contrata o de profissionais qualificados num n mero proporcional efic cia dos servi os que as bibliotecas devem prestar aos seus 68 Faculdade d Universidade do Porto i FLUP Letras Seguran a da Informa o utilizadores sendo por isso vivamente aconselhada a realiza o de cursos de reciclagem profissional e de forma o cont nua em PRECON Quanto preven o da informa o em formato digital seguem se algumas sugest es comecemos pela fuga de informa o a n vel inform tico cada vez mais importante investir em sistemas como programas de anti virus ou de firewall que bloqueiem as tentativas de viola o e difus o de informa o confidencial No entanto muitas vezes as tecnologias inform ticas n o s o suficientes para travar as fugas de informa o pelo que muito importante apostar e investir na forma o dos colaboradores preparando os para enfrentar esse tipo de desafios e evitar o desvio de informa o da organiza o Para al m disso importante seleccionar bem os colaboradores que t m acesso a informa o estritamente confidencial uma vez que arriscado deixar este tipo de informa o ao alcanc
28. camadas constituintes do produto semi condutor correspondendo cada imagem a um desenho ou a parte dele e juntas todas as imagens formam a superf cie do produto semi condutor Produto semicondutor a forma final ou interm dia de qualquer produto inform tico composto por material semi condutor e mat rias condutoras ou semi condutoras isolantes assumindo uma representa o tridimensional e desempenhando uma fun o electr nica exclusiva ou n o S o suscept veis de puni o as seguintes actividades a falsidade inform tica os danos relativo a programas ou a outros dados inform ticos a destrui o inform tica o acesso ileg timo a intercep o ileg tima a reprodu o ileg tima de programa protegido A preserva o de dados pode servir como constitui o de prova Quando necess rio as autoridades competentes ordenam a quem de direito que preserve os dados em causa Essa preserva o descrimina a natureza dos dados a origem e destino dos dados e o per odo de tempo atribu do sua preserva o at um m ximo de tr s meses No entanto pode ser ordenada a renova o da preserva o de dados at um prazo m ximo de um ano Quando necess rio e se tal for ordenado pela autoridade judicial competente a entidade que dispuser ou controlar os dados deve apresent los ou permitir o seu acesso Se tal se verificar necess rio no decurso de um processo a autoridade competente determina que se realize uma pesquisa no sis
29. de controlo de item A primeira etapa da avalia o dos detalhes de controlo de itens calculada tendo por base o patamar mais baixo da informa o e tendo como referencia a matura o da protec o do 3 Que serviu de base para a cria o da Norma ISO 17799 64 Faculdade de Letras Universidade do Porto FLUP Seguran a da Informa o n vel O n vel de avalia o a soma total dos valores de avalia o dos detalhes de controlo de itens sob o n mero de detalhes de itens de avalia o AL S N itens 2 S itens de controlo AL N vel de avalia o O Segundo m todo consiste em calcular a soma total da avalia o dos valores dos detalhes do controlo de itens das respectivas categorias de controlo a partir da seguinte f rmula n M SAI i 3 M soma total da avalia o dos valores dos detalhes de controlo de itens das respectivas categorias de controlo SAi valores de avalia o dos detalhes de controlo de itens n N mero de itens aplicados por cada categoria de controlo calculado o resultado da soma da avalia o dos valores dos detalhes de controlo de itens e os valores de cada categoria s o expressos em percentagem LP M 100 N Soma dos itens 4 Soma do n mero de itens aplicados respectiva categoria A soma total dos valores percentuais LP por cada categoria de controlo dividida pelo valor da categoria de controlo o valor percentual da avalia o do nivel de protec
30. e ou descarregamento de mensagens ou ficheiros contaminados Por sua vez um worm come a por determinar os pontos fracos nos computadores das v timas fazendo a sua invas o a partir desses pontos depois transfere para esses computadores o c digo malicioso procurando de seguida outros computadores ligados mesma rede activa o seu payload e infesta o computador da v tima 2 5 Caso pr tico 2 5 1 Vulnerabilidade das Bibliotecas Seguran a da Informa o As bibliotecas s o de facto institui es bastante vulner veis no que respeita Preserva o e Conserva o da Informa o e consequentemente Seguran a da Informa o A prova disso um inqu rito realizado pela BAD que embora tenha sido realizado j em 1998 cr se que infelizmente os seus resultados ainda s o bastante actuais A partir desse inqu rito foi poss vel determinar que as bibliotecas p blicas se debatem com in meros problemas para preservar e conservar os documentos e por incr vel que pare a os documentos mais problem ticos s o os livros modernos devido m qualidade do papel seguindo se as publica es peri dicas pelo mesmo motivo e tamb m pelo facto de ser relativamente f cil para os leitores levar as publica es para casa surripiar folhas ou partes de folhas etc Para al m disso elevado o n mero de bibliotecas que se encontram em edif cios que n o foram constru dos para essa finalidade n o est o bem lo
31. emissor seja clara para o receptor da mensagem Para definir o necess rio per odo de valida o da mensagem necess rio utilizar um carimbo de tempo ou timestamp que emitido por uma terceira entidade 3p In Multicert Certificados digitais 2010 from https www multicert com certificadosdigitais 30 Faculdade de Petras Universidade do Porto FLUP Seguran a da Informa o Um timestamping id ntico a uma assinatura electr nica contendo a data hora fornecida por uma fonte de tempo legal A sua utilidade a de que permite detectar altera es ao documento feitas ap s a introdu o do carimbo A assinatura digitalizada permite a terceiras entidades alterar o documento sem que ningu m se aperceba 4 3 Certificado digital qualificado O art 3 do Decreto de Lei 62 2003 postula que quando dotado de uma assinatura electr nica certificada o documento electr nico tem o mesmo valor legal que um documento particular assinado O art 5 do mesmo Decreto de Lei estabelece que poss vel aos rg os p blicos emitir documentos electr nicos com a assinatura qualificada desde que esta respeite as normas constantes na presente lei No que respeita cria o emiss o reprodu o arquivo transmiss o e c pia de documentos electr nicos relativos a actos administrativos tudo isso feito informaticamente deve proceder se clarifica o dos respectivos actos tornando mais f cil identific
32. empregados e contratados devem estar cientes dos procedimentos para reportar os diferentes tipos de incidente que possam ter impacto na seguran a dos bens organizacionais Os incidentes de seguran a devem ser reportados atrav s dos canais administrativos adequados o mais rapidamente poss vel Todos os empregados e contratados devem estar cientes do procedimento para reportar incidentes de seguran a e deve se exigir que reportem tais incidentes o mais r pido poss vel Processos de feedback adequados devem ser implementados para garantir que aqueles que reportaram os incidentes sejam notificados dos resultados ap s o incidente ser investigado e encerrado Os utilizadores de servi os de informa o devem ser obrigados a anotar e reportar quaisquer pontos fracos observados ou amea as nos sistemas e servi os Os utilizadores devem ser informados de que eles n o devem em nenhuma circunst ncia tentar provar testar um ponto fraco suposto Devem ser estabelecidos procedimentos para reportar mau funcionamento de softwares Os utilizadores n o devem tentar remover o software suspeito a menos que sejam autorizados a faz lo A recupera o deve ser executada por pessoal adequadamente treinado e experiente devem existir mecanismos para capacitar a quantifica o dos tipos volumes e custos dos incidentes e maus funcionamentos Essas informa es devem ser usadas para identificar incidentes ou maus funcionamentos recorrentes ou de alto im
33. empresa De uma forma coerente estes princ pios v o de encontro ao que ocorre no fen meno info comunicacional e consequentemente vis o da informa o como um processo Ou seja O fen meno info comunicacional versa sobre a comunica o da informa o e consequentemente isso requer que esta esteja dispon vel pode ou n o ser confidencial e ntegra 17 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o 1 3 O Ciclo de Vida da Seguran a da Informa o Tal como John Oltsik defende se que tamb m a seguran a da informa o tem um ciclo de vida que as organiza es devem zelar para que seja cumprido Segundo este autor o ciclo de vida da seguran a da informa o compreende nove etapas chave s o elas 1 Classifica o de dados Classificar os dados de acordo com as pol ticas vigentes n ciclo de vida da informa o e da pr pria organiza o para determinar como a informa o ser monitorizada 2 Fluxo de informa o Classificar e localizar os movimentos e as modifica es da informa o com base na altera o de dados 3 Acesso informa o Mapear o acesso informa o de acordo com a classifica o dos dados 4 Utiliza o da informa o Uma componente de gest o digital baseada na classifica o de dados 5 Gest o de risco da informa o A seguran a da informa o e a protec o de dados s o baseadas na classifica o de dados 6 Pol ticas de funciona
34. identificadas as melhorias nos processos de SGSI 59 g h b c a b c d g h 6 3 5 a b a b Faculdade se Petras Universidade do Porto i FLUP Seguran a da Informa o A actualiza o dos planos de seguran a tendo em conta as descobertas nas actividades de monitoriza o e revis o Registar ac es e eventos pass veis de causar impacto na efic cia ou desempenho do SGSI 1 c Manter e melhorar o SGSI A organiza o deve tomar regularmente as seguintes medidas P r em pr tica as melhorias identificadas no SGSI Levar a cabo ac es preventivas e correctivas adequadas de acordo com os pontos 6 a e 6 b Aplicar as li es apreendidas de experi ncias de seguran a de outras organiza es e aquelas da pr pria organiza o Comunicar as ac es e melhorias a todas as partes interessadas na efic cia do desempenho do SGSI Requisitos de documenta o 1 a Geral Os documentos necess rios para o SGSI s o Declara es documentadas da pol tica e dos objectivos de SGSI ver 2 a 1c O mbito do SGSI Procedimentos e controlos de apoio ao SGSI A descri o da metodologia de avalia o de riscos O registo de avalia o de riscos O plano de tratamento de risco Procedimentos documentados exigidos pela organiza o para garantir a efectividade do plano organiza o e controlo dos processos de seguran a de informa o e descrever como medir a efic cia dos co
35. los e deve tamb m ser comprovada a fun o desempenhada pela pessoa que assina cada documento Ainda neste mesmo Decreto de Lei o art 7 determina o que um documento electr nico dotado com uma assinatura electr nica certificada tem o mesmo valor que um documento em papel autenticado com uma assinatura manual Presumindo se pois que o individuo que colocou a assinatura electr nica o seu legitimo titular e subentende se logicamente que essa assinatura foi colocada com o objectivo de legitimar o documento electr nico Depreende se tamb m que a partir do momento em que foi assinado o documento electr nico n o foi alterado O Decreto de Lei 62 2003 n o a nica disposi o legal relativamente aos certificados digitais um outro artigo que se destaca o artigo 376 0 do C digo Civil que estipula que no caso de um documento electr nico cujo conte do n o seja suscept vel de ser representado atrav s de um documento escrito este tem o valor legal de acordo com o previsto no artigo 368 0 do C digo Civil e no artigo 167 0 do C digo de Processo Penal 4 4 Como obter um certificado digital Podem ser obtidos variados tipos de certificados digitais certificado digital para pessoa singular certificado digital para pessoa singular profissional ou certificado digital para pessoa colectiva Todavia o processo de obten o do certificado digital similar em todos os casos consulta se a documenta o exigida pela entidade auto
36. nos formatos f sicos e electr nicos 6 1 4 Seguran a relacionada com o pessoal Seguran a na defini o de fun es e aloca o de pessoal O objectivo de reduzir os riscos de erros humanos roubos ou uso indevido das facilidades As responsabilidades de seguran a devem ser tratadas no est gio de recrutamento inclu das em contratos durante o tempo que o indiv duo estiver no emprego Os candidatos potenciais devem ser adequadamente seleccionados especialmente para as fun es sens veis Todos os empregados e utilizadores terceirizados das facilidades de processamento de informa o devem assinar um contrato de confidencialidade n o divulga o Os pap is de seguran a e as responsabilidades conforme delineados na pol tica de seguran a de informa o da organiza o devem incluir as responsabilidades gerais pela implementa o ou manuten o da pol tica de seguran a bem como todas as responsabilidades espec ficas pela protec o de determinados bens ou pela execu o de determinados processos ou actividades de seguran a Para os empregados permanentes no momento das propostas de emprego devem ser efectuadas verifica es de confirma o Quando na contrata o inicial ou na promo o se envolver uma pessoa com acesso s facilidades de processamento de informa o e em particular se esta lidar com informa o sens vel a organiza o tamb m deve executar uma verifica o de cr dito Contr
37. o e Conserva o da Informa o A Preserva o e Conserva o da Informa o est integrada no ciclo da Gest o da Informa o e tem uma rela o de depend ncia directa com duas outras rias axiais de Ci ncia da Informa o o Comportamento Informacional e a Organiza o e Representa o da Informa o luz do actual paradigma Cient fico Informacional a Preserva o da Informa o assume como desafios particulares focar se na informa o e no processo Info Comunicacional sendo este um dos pontos que estabelece a rela o de depend ncia directa com o Comportamento Informacional encarar o dinamismo da Informa o e do Processo Info Comunicacional no que respeita ao objecto digital trabalha para assegurar a caracter stica da 2 In ISO 2005 ISO 17799 Sui a ISO 17799 2 In Departamento de Ci ncia da Informa o C d C J e E UFES Universidade Federal do Esp rito Santo and F F d L d U d P Sec o Aut noma de Jornalismo e Ci ncias da Comunica o Ci ncia da Informa o Dicion rio Electr nico de Ci ncia da Informa o 12 Faculdade geleiras Universidade do Porto FLUP Seguran a da Informa o multidimensionalidade tendo as dimens es f sica e l gica como o suporte para a dimens o conceptual como surgem cada vez mais ambientes de multiprodu o da informa o a Preserva o e Conserva o da Informa o v tamb m a resolu o desse problema como um de
38. o esquecer a meta informa o e consequentemente definir estruturas normalizadas que permitam gerir o acesso e a preserva o do objecto digital Qual o melhor procedimento para assegurar a Seguran a da Informa o Digital Para al m de tudo o que j foi mencionado as organiza es devem instituir uma pol tica de seguran a da informa o 4 2 a E Msn Messenger um programa das mensagens instant neas criado pela Microsoft Corporation 14 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o de acordo com a sua cultura organizacional informacional bem como as quest es humanas e tecnol gicas Ao proceder assim assegurar a confidencialidade da informa o a sua autenticidade e seguran a da a sua rela o com a gest o da informa o Ap s tudo isto acredita se ser poss vel perceber a import ncia da seguran a da informa o no ciclo de vida da informa o e consequentemente no mbito da ci ncia da informa o A seguran a da informa o pode pois e deve ser avaliada em termos f sicos e em termos l gicos a seguran a f sica compreende como o pr prio nome indica as amea as f sicas como inc ndios desabamentos rel mpagos inunda es acesso indevido de pessoas forma inadequada de manuseamento e tratamento do material etc Quanto seguran a l gica atenta contra amea as ocasionadas por v rus acessos remotos rede backups desactualizados viola
39. podem ser exigidos como prova de que uma organiza o opera dentro das normas estatut rias ou regulamentadoras ou para assegurar defesa adequada contra potencial ac o criminal ou civil ou para confirmar o status financeiro de uma organiza o com respeito a accionistas parceiros e auditores O per odo de tempo e os conte dos de dados para reten o das informa es podem ser definidos por lei ou regulamento nacional 51 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o Os sistemas de armazenamento de dados devem ser escolhidos de forma que os dados exigidos possam ser recuperados de uma forma aceit vel num tribunal O sistema de armazenamento deve garantir a identifica o clara dos registos e de seu per odo de reten o estatut rio ou regulamentar Ele deve permitir a destrui o apropriada dos registos ap s aquele per odo se eles n o forem necess rios para a organiza o Diversos pa ses introduziram legisla o que coloca controlos no processamento e transmiss o de dados pessoais Tais controlos podem impor obriga es para aqueles que colectam processam e disseminam informa es pessoais e podem restringir a capacidade de transferir aqueles dados para outros pa ses A obedi ncia legisla o de protec o de dados exige estrutura de gest o e controlo apropriadas Com frequ ncia a melhor forma de conseguir isto pela nomea o de um encarregado da protec o d
40. preocupa o para as organiza es uma vez que exposta a um grande n mero de amea as e vulnerabilidades devendo ser continuamente protegida ISO 17799 2005 Procede se a um enquadramento te rico abordando essencialmente aspectos ligados ao facto de a Seguran a da Informa o da Informa o estar naturalmente enquadrada na Inter disciplina Ci ncia da Informa o estando directamente inserida na rea da Preserva o e 1 y j E y 4 Note ao longo da apresenta o do trabalho n o ser necessariamente seguida a ordem referida aqui na introdu o Faculdade de Letras Universidade do Porto FLUP Seguran a da Informa o Conserva o da Informa o que por sua vez tem uma rela o directa com as tr s reas axiais de Ci ncia da Informa o Regendo se pelos princ pios b sicos da confiabilidade autenticidade e integridade da informa o a Seguran a da Informa o prop e se reduzir os riscos de viola o destrui o da informa o nas organiza es 3 Amea as Seguran a da Informa o Apontam se algumas amea as de v ria ordem Seguran a da Informa o desde as cat strofes naturais e humanas at aos ataques tecnol gicos n o esquecendo a engenharia social Muitas vezes o perigo est dentro das pr prias organiza es Quest o como a Engenharia Social que tamb m uma forte amea a Seguran a da Informa o 4 Garantir a Seguran a da Informa o Neste cap
41. relacionados com a seguran a da informa o e fomenta a visibilidade do suporte corporativo para a seguran a da informa o em toda a organiza o As responsabilidades pela protec o de bens individuais e pela condu o de processos de seguran a espec ficos devem ser claramente definidas A pol tica de seguran a da informa o deve proporcionar uma orienta o geral sobre a aloca o de pap is e responsabilidades relacionados seguran a na organiza o Isto deve ser implementado onde f r necess rio com orienta o mais detalhada para sites sistemas ou servi os espec ficos Em muitas organiza es um gestor de seguran a da informa o ser designado para assumir a responsabilidade geral pelo desenvolvimento e implementa o da seguran a e para dar suporte identifica o dos controlos Entretanto a responsabilidade pela aloca o de recursos e implementa o dos controlos frequentemente permanecer com gestores individuais essencial que as reas pelas quais cada gestor respons vel sejam claramente definidas e em especial deve coincidir o seguinte os v rios bens e processos de seguran a associados com cada sistema individual devem ser identificados e claramente definidos deve haver concord ncia quanto ao gestor respons vel por cada activo ou processo de seguran a e os detalhes dessa responsabilidade devem ser documentados bem como os n veis de autoriza o que tamb m devem ser claramente def
42. ser executado num computador dedicado deve compartilhar recursos apenas com sistemas aplicativos confi veis ou n o ter limita es 6 1 8 Desenvolvimento e manuten o de sistemas Requisitos de seguran a nos sistemas O objectivo assegurar que a seguran a seja encaixada nos sistemas de informa o Isto incluir infra estrutura aplica es do neg cio e aplica es desenvolvidas pelos utilizadores O projecto e a implementa o do processo corporativo que d suporte aplica o ou ao servi o pode ser crucial para a seguran a Os requisitos de seguran a devem ser identificados e acordados antes do desenvolvimento de sistemas de informa o Os relat rios relativos aos requisitos do neg cio para novos sistemas ou melhorias em sistemas existentes devem especificar as necessidades de controlos Tais especifica es devem considerar os controlos automatizados a serem incorporados no sistema e a necessidade de suportar controlos manuais Os requisitos de seguran a e controlos devem reflectir o valor para o neg cio dos bens de informa o envolvidos e o preju zo potencial para o neg cio que poderia resultar de uma falha ou aus ncia de seguran a A base para se analisar os requisitos de seguran a e identificar os controlos para satisfaz los a avalia o de riscos e gest o de riscos Seguran a em sistemas aplicativos O objectivo impedir perda modifica o ou m utiliza o de dados dos utilizadores em
43. sistemas geralmente exigem volumes substanciais de dados de teste que sejam o mais parecido poss vel com os dados operacionais O uso de bancos de dados operacionais contendo informa es pessoais deve ser evitado Se tais informa es forem usadas elas devem ser despersonalizadas antes do uso Os seguintes controlos devem ser aplicados para proteger dados operacionais Seguran a nos processos de desenvolvimento e suporte O objectivo manter a seguran a dos softwares e das informa es dos sistemas aplicativos Os ambientes de projecto e suporte devem ser estritamente controlados Os gestores 48 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o respons veis pelos sistemas aplicativos tamb m devem ser respons veis pela seguran a do ambiente de projecto ou suporte Eles devem assegurar que todas as altera es propostas nos sistemas sejam revistas para verificar se elas n o comprometem a seguran a do sistema ou do ambiente operacional Procedimentos para controlo de altera es Para minimizar o rompimento dos sistemas de informa o deve existir um controlo estrito sobre a implementa o de altera es Devem ser obrigat rios procedimentos formais para controlo de altera es Eles devem garantir que os procedimentos de controlo e seguran a n o sejam comprometidos que os programadores do suporte recebam acesso apenas quelas partes do sistema necess rias para o trabalho e que seja
44. um sistema de gest o de seguran a da 53 Faculdade se Petras Universidade do Porto Seguran a da Informa o informa o a ISO 27004 Incide sobre os mecanismos de media o e de relat rio de um sistema de gest o de seguran a da informa o a ISO 27005 constitu da por indica es para implementa o monitoriza o e melhoria cont nua do sistema de controlos O seu conte do id ntico ao da norma BS 7799 3 2005 Information Security Management Systems Guidelines for Information Security Risk Management e a ISO 27006 est dentro da s rie 27000 e a ltima norma que referente recupera o e continuidade de neg cio 6 3 Norma ISO 2700132 6 3 1 Introdu o Norma Trata se de acordo com Francesco de Cicco de uma especifica o de um Sistema de Gest o da Informa o composto por sete sec es 0 Introdu o 1 Objectivo e Campo de Aplica o 2 Refer ncias Normativas 3 Termos e Defini es 4 Sistema de Gest o da Seguran a da Informa o 5 Responsabilidades da Direc o 6 An lise Cr tica do SGSI 7 Melhoria do SGSI Definindo tamb m um processo de seis etapas para a implementa o desse SGSI i Defini o da pol tica de seguran a da informa o da organiza o ii Definir o mbito do SGSI iii Identificar analisar e avaliar os riscos iv Tratar os riscos avaliados v Seleccionar os controlos a implementar vi Preparar uma declara o de aplica
45. veis Mencionam outros autores como Ettredge e Richardson que exp em os efeitos nefastos que as lacunas de seguran a provocam no mercado de valor das organiza es No modelo apresentado medido o investimento global em seguran a da informa o de acordo com as receitas apresentadas pelas firmas que dedicando se seguran a da informa o controlam a partilha entre os v rios segmentos de mercado de seguran a da informa o Para tal proposto o seguinte o investimento em seguran a da informa o eficaz na redu o de muitos ataques maliciosos que s o conhecidos por afectarem negativamente o valor das ac es das organiza es e um maior pedido de produtos e servi os de seguran a da informa o indica uma perspectiva positiva para a mesma e sin nimo de um aumento do valor das ac es que lidam com a seguran a da informa o proposto que a soma das receitas obtidas pelas empresas de seguran a da informa o que controlam o respectivo mercado constituam um bem mensur vel para o c lculo global em seguran a da informa o Neste estudo foram recolhidas 6 400 situa es de ataques maliciosos apenas no website da Symantec Os n veis de gravidade dos ataques foram classificados por assunto com base em tr s atributos nomeadamente poder de destrui o distribui o e viol ncia refere se expans o do ataque amea a no computador dos utilizadores Poder de destrui o est relac
46. Esta etapa composta por oito passos distintos a realizar pela organiza o Conceber um plano de tratamento de risco que identifique a ac o de gest o adequada recursos responsabilidades e prioridades na gest o dos riscos de seguran a da informa o Colocar em pr tica um plano de tratamento de risco para atingir os objectivos de controlo que incluem os financiamentos e a distribui o de pap is e de responsabilidades numa organiza o Implementar os controlos seleccionados de forma a atingir os objectivos de controlo Definir como medir a efic cia dos controlos ou grupos de controlos seleccionados e especificar como essas medidas devem ser utilizadas para avaliar a efic cia do controlo na produ o de resultados pass veis de serem comparados e reproduzidos Promover programas de treino e de consciencializa o Gerir opera es de SGSI 58 Faculdade d Universidade do Porto FLUP Letras Seguran a da Informa o g Gerir recursos de SGSI h Colocar em pr tica procedimentos e outros controlos que permitam detectar e responder r pida e eficazmente a incidentes de seguran a 1 c Monitorizar e rever o SGSI Por sua vez esta etapa composta por sete passos sendo alguns deles decompostos em sub etapas a Executar a vigil ncia e revis o de procedimentos e outros controlos com o objectivo de 1 Detectar rapidamente poss veis erros no resultado dos procedimentos 2 Identificar atempadamente e
47. Lee Shin Gang et al 2007 Improve of Evaluation Method for Information Security Levels of CIIP Critical Information Infrastructure Protection PROCEEDINGS OF WORLD ACADEMY OF SCIENCE ENGINEERING AND TECHNOLOGY 2007 Improve of Evaluation Method for Information Security Levels of CIIP Critical Information Infrastructure Protection PROCEEDINGS OF WORLD ACADEMY OF SCIENCE ENGINEERING AND TECHNOLOGY 6 Khansa Lara Liginlal Divakaran Quantifying the Benefits of Investing in Information Security Communications of the Acm 52 11 6 Knapp K Marshall T JR Rainer R K et al 2006 The Top Information Security Issues Facing Organizations What Can Government Do to Help Information Security Journal 15 4 8 Multicert Certificados digitais 2010 from https www multicert com certificadosdigitais Reinhold C Frolick M Okunoye A 2009 Managing Your Security Future Information Security Journal 18 3 8 Ott J L 2000 Information Security in the New Millenium Information Security Journal 9 1 3 Republica A d 2009 Lei 109 de 2009 Assembleia da Rep blica 7 Thompson Samuel T C Helping the Hacker Information Tecnology amp Libraries 25 no 4 2006 5 11 Faculdade se Petras Universidade do Porto i FLUP Seguran a da Informa o Capitulo 2 Seguran a da Informa o aspectos a considerar 1 Seguran a da Informa o Informa
48. Petras Universidade do Porto FLUP g h i a b c d e Seguran a da Informa o SELECCIONAR OBJECTIVOS DE CONTROLO E CONTROLOS PARA O TRATAMENTO DE RISCO 1 Os objectivos de controlo e controlos devem ser seleccionados e colocados em pr tica com o objectivo de satisfazer os requisitos identificados pela avalia o de riscos e pelo processo de tratamento de risco Para isso devem ser levadas em linha de conta n o s as condi es de aceita o de risco mas tamb m os requisitos legais regulamentares e contratuais 2 Os objectivos de controlo e controlos presentes no Anexo A da Norma ISO 27001 ver Anexo 2 devem ser seleccionados como parte deste processo e entendidos como satisfat rios para abranger esses requisitos Trata se de objectivos de controlo incompletos que podem ser destacados como objectivos de controlo ou controlos complementares OBTER APROVA O PARA OS RESTANTES RISCOS PROPOSTOS OBTER AUTORIZA O PARA IMPLEMENTAR E COLOCAR OPERACIONAL O SGSI PREPARAR UMA DECLARA O DE APLICABILIDADE QUE COMPREENDA 1 Os objectivos de controlo e os controlos seleccionados em 2 a 1 g bem como os motivos que levaram a essa selec o 2 Os objectivos de controlo e os controlos actualmente implementados na organiza o 3 A exclus o de quaisquer objectivos de controlo e controlos presentes no Anexo A acompanhada da devida justifica o 1 b Implementar e trabalhar o SGSI
49. SOC a detec o de potenciais ataques seguran a utilizando para isso os equipamentos de tecnologia de informa o que proporcionam uma cont nua recolha de relat rios de acontecimentos que s o analisados e correlacionados em tempo real Desta forma ainda tarefa do SOC prover resolu es para os ataques seguran a da Informa o protegendo e salvaguardando os sites ainda pol tica de um Centro de Seguran a de Opera es eficiente manter uma activa troca de informa o sobre os eventos com outros Centros de Seguran a de Opera es Para al m dos Centros de Opera es de Seguran a normais existe o chamado National SOC ou Centro de Opera es de Seguran a Nacional que criado por um pa s com o objectivo de proteger a tecnologia da informa o mais importante que actua nos sites governamentais In Yoo Don Young Shin Jong Whoi Lee Gang Shin et al 2007 Improve of Evaluation Method for Information Security Levels of CIIP Critical Information Infrastructure Protection PROCEEDINGS OF WORLD ACADEMY OF SCIENCE ENGINEERING AND TECHNOLOGY 6 66 Faculdade de Petras Universidade do Porto i FLUP Seguran a da Informa o 8 2 Partilha de Seguran a de Informa o Uma vez que a adop o de alguns equipamentos de seguran a da informa o por parte do SOC se torna obsoleta ao lidar com certos tipos de ataque logo que detectado um ataque o contra ataque do SOC feito atrav
50. Seguran a da Informa o 2 4 Tecnologias da Informa o Com a integra o da Internet no quadro comunicacional de grande parte das organiza es assistiu se invas o de uma multiplicidade de t cnicas m todos ou mecanismos de software malicioso que surgiram com o intuito de violar a informa o e mais alarmante ainda o facto da grande maioria dos ciber ataques a seguir descritos terem origem no interior das organiza es N o existe nenhuma t cnica cem por cento eficaz para tra ar o perfil de um potencial atacante Pelo contr rio o seu perfil indica o como um vulgar colaborador de qualquer organiza o moderna o atacante pode desempenhar qualquer fun o na organiza o desde programador artista gr fico gestor de rede etc s o no fundo colaboradores que tendo autoriza o para utilizar os Sistemas de Informa o da organiza o fazem no com fins il citos Os peritos Kenneth J Knapp Thomas E Marshall R Kelly Rainer Jr e Dorsey W Morrow desenvolveram um estudo descrito no artigo Top Information Security Issues Facing Organizations What Can Government do to Help e n o deixa de ser curioso o facto de ap s uma an lise aos resultados deste estudo se perceber que ao contr rio do que inicialmente se pensava as quest es de malware n o pertencem sequer aos dois problemas mais preocupantes ocupando uma modesta terceira posi o sendo superados por problemas relacionados com a falta de prepara o e
51. a o Com a emergente era da informa o s o cada vez mais e mais preocupantes as amea am seguran a da informa o Embora seja um pensamento comum atribuir se a seguran a da informa o ou a falta dela rea estritamente tecnol gica n o pode ou n o deve ser esquecida a vertente humana e social H mecanismos de combate que permitem agir contra as falhas na seguran a da informa o que compreendem ferramentas de foro tecnol gico as chamadas Tecnologias de Seguran a da Informa o Ser tamb m feita uma refer ncia s normas ISO relacionadas com a seguran a da informa o as normas ISO 17799 ISO 27000 e ISO 27001 A norma ISO 17799 fornece um plano que permite identificar e aplicar solu es para alguns riscos que envolvem a pol tica de seguran a organiza o da seguran a classifica o e controlo dos bens controlo de acesso contrata o forma o e sensibiliza o para a seguran a Faculdade de Letras Universidade do Porto FLUP Seguran a da Informa o seguran a f sica e ambiental gest o de comunica es e opera es desenvolvimento e manuten o dos sistemas Quanto norma ISO 27000 pertencendo grande fam lia das normas ISO a norma ISO 27000 est directamente relacionada com a seguran a da informa o mais concretamente com as tecnologias de seguran a uma vez que regula as t cnicas de seguran a da informa o No que respeita norma ISO 27001
52. a o enquanto abordagem sist mica para gerir as informa es importantes da empresa necessita do envolvimento de todos os colaboradores e dos processos de Sistemas de Tecnologias de Informa o 6 4 Complementaridade entre as normas ISO 17799 e ISO 27001 S o duas normas que apesar de distintas se complementam Tratando se a Norma 177799 de um c digo de pr ticas para gerir a seguran a da informa o e dedicando se a Norma ISO 27001 ao fornecimento de um modelo com o objectivo de estabelecer implementar operar monitorizar rever manter e melhorar o Sistema de Gest o de Seguran a da Informa o estas duas normas acabam por funcionar de uma forma encadeada e interdependente ali s usual que uma organiza o que se baseie na Norma ISO 27001 para implementar um Sistema de Gest o de Seguran a da Informa o siga tamb m as pr ticas institu das pela Norma 17799 34 In Cicco F 2006 ISO IEC 27001 na opini o de um especialista 3 61 Faculdade de Letras Universidade do Porto FLUP Seguran a da Informa o No entanto de acordo com Francesco de Cicco parece ter se gerado alguma confus o em torno da Norma ISO 17799 uma vez que ao contr rio do que muitas vozes afirmam tratando se desta Norma de um documento que aponta caminhos e princ pios gerais para melhorar a seguran a da informa o nas organiza es n o deve ser utilizada com a finalidade de certifica o Segundo o autor A ISO 17799
53. a Informa o como os propriet rios desses bens Identificar as amea as a esses bens Identificar os pontos vulner veis suscept veis de serem explorados por essas amea as Identificar o impacto que a perda de confidencialidade integridade e disponibilidade podem representar para esses bens e ANALISE E AVALIA O DOS RISCOS 1 2 3 4 Avaliar o impacto que uma falha de seguran a poder ter no neg cio de uma organiza o tendo em conta as eventuais consequ ncias de perda de confidencialidade integridade e disponibilidade da informa o Avaliar de forma realista a probabilidade de uma falha de seguran a acontecer devido s vulnerabilidades do sistema e os impactos associados aos bens e s formas de controlo actualmente em vigor Avaliar os n veis de risco Determinar at que ponto o risco aceit vel e a partir de que momento necess rio utilizar um tratamento atrav s das condi es de aceita o de risco estabelecidas em 2 a 1c 2 f IDENTIFICAR E AVALIAR AS OP ES PARA O TRATAMENTO DE RISCOS 1 2 3 4 Aplicar controlos adequados Aceitar os riscos de forma consciente e objectiva atendendo plena satisfa o das pol ticas da organiza o e s condi es para que os riscos sejam aceit veis Evitar os riscos Transferir os riscos associados ao neg cio para outras partes interessadas como por exemplo os fornecedores 57 Faculdade se
54. a algum padr o ou c digo de pr tica publicado sobre produ o de prova admiss vel Para obter qualidade da prova necess rio um s lido rastreamento da prova Revis es da pol tica de seguran a e obedi ncia t cnica O objectivo garantir a obedi ncia dos sistemas s pol ticas e padr es de seguran a da organiza o A seguran a de sistemas de informa o deve ser revista regularmente 52 Faculdade de Letras Universidade do Porto FLUP Seguran a da Informa o Os gestores devem assegurar que todos os procedimentos de seguran a dentro das suas reas de responsabilidade s o executados correctamente Os sistemas de informa o devem ser verificados regularmente quanto obedi ncia aos padr es de implementa o de seguran a A verifica o da obedi ncia t cnica envolve o exame de sistemas operacionais para garantir que os controlos de hardware e software foram correctamente implementados Este tipo de verifica o de obedi ncia exige assist ncia t cnica especializada Deve ser executada manualmente por um engenheiro de sistemas experiente ou por um pacote de software automatizado que gere um relat rio t cnico para subsequente interpreta o por um especialista t cnico A verifica o da obedi ncia cobre tamb m por exemplo testes de penetra o que podem ser executados por especialistas independentes contratados especificamente para este prop sito Isto pode ser til para detectar vu
55. a e multi direccionada cada vez mais um bem considerado de grande valor Vivemos numa sociedade que se baseia em informa o e que exibe uma crescente propens o para obter e armazenar informa o e o uso efectivo da informa o permite que uma organiza o aumente a efici ncia de Opera es j o afirma Katzam 1977 te In Khansa L Liginlal D 2009 Quantifying the Benefits of Investing in Information Security Communications of the Acm 5211 6 76 Faculdade geleiras Universidade do Porto FLUP Seguran a da Informa o A informa o e o conhecimento ser o os diferenciais das empresas e dos profissionais que pretendem destacar se no mercado e manter a sua competitividade Rezende e Abreu 2000 E percebeu se aqui que as as empresas j perceberam ou tendem cada vez mais a perceber que o dom nio da tecnologia como aliado para o controlo da informa o vital e que o controlo da informa o um factor de sucesso cr tico para os neg cios e sempre teve fundamental import ncia para as corpora es do ponto de vista estrat gico e empresarial j o defendiam Synnat 1987 Feliciano Neto Furlan e Higo 1988 Dispor da informa o certa na hora certa significa tomar uma decis o de forma gil e eficiente Com a evolu o dos dados e sistemas a informa o ganhou mobilidade intelig ncia e real capacidade de gest o da a import ncia em proteger e guardar adequadamente esse bem chamado inf
56. a sociedade que se baseia em informa o e que exibe uma crescente propens o para obter e armazenar informa o e o uso efectivo da informa o permite que uma organiza o aumente a efici ncia de Opera es segundo Katzam 1977 A informa o e o conhecimento ser o os diferenciais das empresas e dos profissionais que pretendem destacar se no mercado e manter a sua competitividade Rezende e Abreu 2000 As empresas j perceberam que o dom nio da tecnologia como aliado para o controlo da informa o vital O controlo da informa o um factor de sucesso cr tico para os neg cios e sempre teve fundamental import ncia para as corpora es do ponto de vista estrat gico e empresarial j o defendiam Synnat 1987 Feliciano Neto Furlan e Higo 1988 Dispor da informa o certa na hora certa significa tomar uma decis o de forma gil e eficiente Com a evolu o dos dados e sistemas a informa o ganhou mobilidade intelig ncia e real capacidade de gest o 1 2 Princ pios de Seguran a da Informa o A seguran a da informa o busca reduzir os riscos fraudes erros uso indevido sabotagens paralisa es roubo de informa o ou qualquer outra amea a que possa prejudicar os sistemas de informa o ou equipamentos de um indiv duo ou organiza o Segundo PUTTINI 2001 uma solu o de seguran a adequada deve satisfazer os seguintes princ pios E In Departamento de Ci ncia da Informa o C d C J
57. adores S o normalmente formados pelas seguintes partes concealer parte que atribui ao v rus capacidades para que n o seja detectado pelos programas anti virus normais a In Okunoyea C R M N F A 2009 Managing Your Security Future Information Security Journal 18 3 8 13 In Resultado Concursos Not cias e Editais de Concursos P blicos 2010 Provas Gabaritos Apostilas Resultados e mais 2010 23 Faculdade d Universidade do Porto i FLUP Letras Seguran a da Informa o payload uma esp cie de c digo programador do v rus que indica a finalidade ou o objectivo do pr prio v rus sendo que muitas vezes um v rus dotado de m ltiplos payloads Associados aos v rus normais existem os chamados Worms que mais n o s o do que v rus muitos sofisticados que t m a capacidade de auto replicar automaticamente Para al m dos Worms existem muitos outros tipos de v rus desde os Bankers destinados a roubo de informa o banc rias at aos KeyLogger que capturam informa o digitada pelos utilizadores passando pelos Spyware que s o programas clandestinos com a finalidade de roubar senhas vigiando para isso o que digitado nos computadores e as p ginas de Internet acedidas pelos utilizadores transmitindo as para o computador da pessoa que lan ou o v rus 2 4 2 7 2 Como se propagam Os vulgares v rus podem propagar se de diversas formas sendo as mais usuais atrav s do envio
58. afirme controlar os fundos e as colec es que det m existe ainda uma manifesta falta de controlo por parte das bibliotecas o que propicia uma maior facilidade no desvio de documentos De ressalvar ainda que uma grande fasquia das bibliotecas em estudo afirmaram n o deter meios nem desenvolver ac es com o objectivo de conservar a informa o Todavia as vulnerabilidades das bibliotecas n o se limitam informa o material nem t o pouco s obras o facto das Bibliotecas possu rem bases de dados com os nomes endere os e dados pessoais sobre os seus utilizadores torna as num potencial alvo para os hackers e engenheiros sociais Essa informa o pode ser utilizada como um fim em si pr prio ou como um patamar para violar a seguran a da informa o noutros sistemas Sendo muito dispendiosas as subscri es de propriedade de bases de dados e sendo limitadas as licen as o acesso a estes recursos de informa o torna se mais facilmente ating vel para os hackers Podem ser hackers casuais que apenas pretendam obter acesso aos recursos da biblioteca para o seu pr prio computador ou podem ser hackers com um ndice de criminalidade mais elevado que roubam direitos de propriedade intelectual para um fornecedor de base de dados Uma agravante para este problema o facto de as bibliotecas terem acesso de banda larga a uma grande extens o de rede banda larga essa que re ne a capacidade de fazer download de informa o de outras r
59. alados com o objectivo de recolher dados pessoais de utilizadores utilizando para isso a fachada de an ncios publicit rios na internet 2 4 2 2 Cracker Pessoas que invadem e desviam informa o pertencente a outros 2 4 2 3 Pharming Trata se de um ataque inform tico que altera a liga o existente entre um website e um servidor Web para que os pedidos de acesso a um site sejam enviados para um outro endere o controlado por pelos individuo s atacantes 2 4 2 4 Phishing uma t cnica utilizada com objectivo de extrair informa o dos utilizadores atrav s da cria o de p ginas web falsas em tudo similares s verdadeiras 2 4 2 5 Spyware Programas inform ticos que sub repticiamente instalados nos computadores dos utilizadores registam todas as ac es destes registando tudo o que digitado no computador e ou armazenando as p ginas Web visitadas encaminhando esses dados para o computador da pessoa que instalou o programa 2 4 2 6 Outros tipos de ataque Existem v rios outros tipos de ataques Seguran a da Informa o alguns deles relacionados com o protocolo TCP IP Um famoso exemplo o chamado ataque DOS que consiste em sobrecarregar um servidor com demasiadas solicita es de servi os incapacitando o pr prio servidor de internet 2 4 2 7 V rus inform ticos 2 4 2 7 1 O que s o Os v rus s o programas que provocam danos intencionais no software e ou no hardware dos comput
60. aseado num processo de melhoria da seguran a de continuidade do neg cio e em alguns aspectos da gest o de opera es em Tecnologias da Informa o Esse processo o conjunto das principais capacidades desempenhadas pela organiza o para assegurar que os seus bens continuam a apoiar eficazmente os processos de neg cio e os servi os Como muitas vezes as maiores amea as v m de dentro e n o de fora esta rea n o descartada pelo CERT dedicando mesmo parte da sua aten o pesquisa de amea as internas Para isso procedem avalia o do risco das amea as internas analisam um caso exemplo e descrevem as melhores pr ticas fazem modelos e simula es disponibilizam materiais de forma o tentam detectar e localizar as amea as internas no ciclo de vida do desenvolvimento do software publicam anualmente a revista electr nica e crime watch survey e fazem pesquisa de espionagem 11 2 Sancionamento do cibercrime legisla o aplic vel Para combater o cibercrime foi aprovada pela Assembleia da Rep blica em 15 de Setembro do ano transacto uma proposta de lei Trata se de uma lei que define as ordens penais materiais e processuais e a coopera o internacional relativamente ao cibercrime Algumas defini es pertinentes na actual lei s o Sistema inform tico todo o dispositivo ou rede de dispositivos envolvidos na execu o de programas desenvolvendo o tratamento e a comunica o de dados inform ticos
61. atos de confidencialidade ou n o divulga o s o utilizados para avisar que informa es s o confidenciais ou secretas Os empregados devem normalmente assinar tal contrato como parte integrante dos termos e condi es iniciais de emprego Nos termos e condi es de emprego devem constar a responsabilidade do empregado pela seguran a da informa o As responsabilidades e direitos legais do empregado por 37 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o exemplo com respeito a leis de copyright ou legisla o de protec o de dados devem ser esclarecidas e inclu das nos termos e condi es do contrato de trabalho Forma o dos utilizadores O objectivo assegurar que os utilizadores se consciencializem das preocupa es e amea as seguran a da informa o e estejam preparados para apoiar a pol tica de seguran a organizacional no curso do seu trabalho normal Os utilizadores devem ser treinados nos procedimentos de seguran a e no uso correcto das facilidades de processamento de informa o para minimizar os poss veis riscos de seguran a Respondendo a incidentes de seguran a e mau funcionamento O objectivo de minimizar os danos resultantes de incidentes de seguran a e mau funcionamento e monitorizar e aprender com tais incidentes que afectam a seguran a e que devem ser reportados atrav s de canais administrativos apropriados o mais rapidamente poss vel Todos os
62. bilidade 6 3 2 Processo de abordagem O processo de abordagem para a gest o da seguran a da informa o apresentado nesta norma tem nfase nos seguintes factores 1 A compreens o dos requisitos de seguran a da informa o de uma organiza o e a necessidade do estabelecimento de pol ticas e objectivos relativos seguran a da informa o in ISO 2005 ISO 27001 Sui a ISO 27001 In Cicco F 2006 ISO IEC 27001 na opini o de um especialista 3 54 Universidade do Porto FLUP Seguran a da Informa o 2 Implementar e trabalhar comandos para gerir os riscos de seguran a da informa o de uma organiza o no contexto dos riscos globais de neg cio da organiza o Vigiar e rever o desempenho e efic cia dos Sistemas de Gest o da Seguran a da Informa o 4 Melhoria cont nua com base em medi es objectivas Esta Norma Internacional adoptou o modelo do Plan Do Check Act o qual aplicado estrutura de todos os processos dos Sistemas de Gest o de Seguran a da Informa o muro mt mama pa TO quai Implement and Maintain and Ac operate the ISMS improve the ISMS pe _ Monitor and Information _ q review the ISMS security requirements P Pi we Check and expectations lee esan qu om q Ilustra o 3 Plan Do Check Act in Norma 27001 Passemos descri o das v rias etapas do plano Plan estabelece as pol ticas dos sistemas de gest o de seguran a da informa o
63. calizados n o s o dotados de equipamentos 16 E act In 2009 Guia Pr tico para a Internet e as Novas Tecnologias Internet e Novas Tecnologias 16 17 E E In 2009 Guia Pr tico para a Internet e as Novas Tecnologias Internet e Novas Tecnologias 16 18 see gas n os Associa o Portuguesa de bibliotec rios arquivistas e documentalistas 24 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o que garantam uma maior protec o da informa o em caso de desastre natural como por exemplo portas corta fogo Grande parte das bibliotecas estudadas estavam equipadas com estantes de madeira o que representa um grande perigo em caso de inc ndio Tamb m n o deixa de ser alarmante que uma grande percentagem das institui es inquiridas n o responderam ou n o tem qualquer plano de emerg ncia Tamb m se verificou uma grande percentagem de absten o e ou de inexist ncia de um plano de Preserva o e Conserva o de Informa o bem como da exist ncia de um respons vel por essa sec o Mas talvez isso seja justific vel com a baixa disponibilidade de verbas para aplicar nessa rea Quanto s condi es ambientais tamb m aqui impera o aspecto negativo uma vez que existe uma elevada taxa de bibliotecas que n o procede ao controlo das chamadas condi es ambientais Quanto ao controlo dos fundos e das colec es embora a maior parte das institui es inquiridas
64. ceber o edif cio de forma a que os pontos de acesso janelas portas elevadores etc sejam apenas os estritamente necess rios equipar o edif cio com um bom sistema de seguran a n o facilitar o acesso de estranhos aos locais com acesso limitado aos colaboradores da organiza o identificar devidamente os colaboradores e os utilizadores proceder a uma actualiza o constante dos ficheiros que cont m a identifica o dos leitores e dos colaboradores e mant los em seguran a manter os espa os p blicos em vigil ncia constante marcar as esp cies para que a sua proced ncia possa ser correctamente identificada tanto fisicamente como atrav s dos sistemas de detec o magn ticos se necess rio proibir a entrada dos utilizadores com material suscept vel de dissimular actos de roubo como por exemplo sacos ou casacos impulsionar a implementa o de sistemas de alarme rigorosos que funcionem 24 horas por dia manter um invent rio actual das esp cies existentes na institui o para controlar melhor o pr prio acervo Para proteger a informa o contra a guerra e cat strofes naturais deve se sempre que poss vel fazer uma previs o de potenciais ocorr ncias desses acontecimentos proceder se sempre que necess rio a uma reestrutura o arquitect nica dos edif cios tendo sempre em linha de conta os potenciais danos causados pelo fogo ou pela gua e por ltimo devem existir planos de emerg ncia para a remo o e salvament
65. com sucesso lacunas e incidentes de seguran a 3 Permitir gest o determinar se as actividades de seguran a sob a responsabilidade de pessoas ou postas em pr tica atrav s de tecnologias de informa o est o a ser devidamente executadas 4 Ajudar a detectar problemas de seguran a e assim prevenir incidentes de seguran a atrav s da utiliza o de indicadores 5 Determinar a efic cia das ac es levadas a cabo para solucionar uma eventual falha de seguran a b Rever periodicamente a efic cia do SGSI tendo em conta os resultados de auditorias incidentes efic cia das medidas sugest es e feedback das partes envolvidas relativamente informa o c Medir a efic cia dos controlos para verificar se foram seguidos os requisitos de seguran a d Rever periodicamente a avalia o de riscos e rever o n vel de riscos residuais e os riscos aceit veis identificados considerando mudan as de 1 A organiza o 2 Tecnologia 3 Objectivos e processos de neg cio 4 Identificar amea as 5 Efic cia dos controlos colocados em pr tica 6 Eventos externos tais como altera es no meio legal ou regulamentar altera es s obriga es contratuais e altera es no meio social e Dirigir auditorias internas ao SGSI seguindo intervalos peri dicos f Responsabilizar se pelas gest es de revis o do SGSI de acordo com uma base regular para garantir que o mbito da norma continua a ser apropriado e se s o
66. considerada para protec o de informa es sens veis ou cr ticas O n vel requerido de protec o deve ser identificado com base numa avalia o de riscos tendo em conta o tipo e a qualidade do algoritmo de criptografia usado bem como o tamanho das chaves criptogr ficas a serem utilizadas Ao se implementar a pol tica de criptografia da organiza o devem ser considerados os regulamentos e as restri es nacionais que se podem aplicar ao uso de t cnicas criptogr ficas em diferentes partes do mundo e s quest es de fluxo de informa o criptogr fica entre pa ses As assinaturas digitais fornecem um meio de proteger a autenticidade e a integridade de documentos electr nicos Por exemplo eles podem ser usados no com rcio electr nico onde 47 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o houver necessidade de confirmar quem assinou um documento electr nico e de verificar se os conte dos do documento assinado foram alterados timestamp As assinaturas digitais podem ser aplicadas a qualquer forma de documento processado electronicamente A sua implementa o pode ser feita atrav s de uma t cnica criptogr fica baseada num par de chaves relacionadas de forma nica onde uma chave usada para criar a assinatura e a outra para verificar a assinatura Servi os de n o rejei o Devem ser utilizados servi os de n o rejei o para resolver disputas sobre a ocorr ncia ou n
67. curso de diagn stico remoto Se desprotegidas estas portas de diagn stico propiciam um meio para acesso n o autorizado Portanto elas devem ser protegidas por um mecanismo de seguran a adequado como um key lock e um procedimento para garantir que elas sejam acess veis apenas atrav s de combina o entre o gestor do servi o de computador e o pessoal de suporte de hardware software que solicitar o acesso As redes est o cada vez mais a estender se al m das fronteiras tradicionais das organiza es medida que s o formadas parcerias comerciais que podem necessitar de interliga o ou partilha de facilidades de processamento de informa o e redes Tais extens es podem aumentar o risco de acesso n o autorizado aos sistemas de informa o que j usam a rede alguns dos quais podem exigir protec o contra outros utilizadores da rede devido sua confidencialidade Em tais circunst ncias a introdu o de controlos dentro da rede para segregar grupos de servi os de informa o utilizadores e sistemas de informa o deve ser considerada Os requisitos da pol tica de controlo de acesso para redes compartilhadas especialmente aquelas que se estendem al m das fronteiras da organiza o podem exigir a incorpora o de controlos para restringir a capacidade de liga o dos utilizadores As redes compartilhadas especialmente aquelas que cruzam as fronteiras da organiza o podem exigir a incorpora o de controlos para ass
68. da em 1966 desta feita atrav s da gua uma vez que foi inundada pelo rio Arno inunda o que causou uma In 2004 Inc ndio destroi patrim nio da humanidade DW WORLD DE B2B 19 Faculdade d Universidade do Porto i FLUP Letras Seguran a da Informa o destrui o incalcul vel do acervo da biblioteca Mas as inunda es n o s o apenas provocadas pelo vazamento dos rios podem ser tamb m causadas por estragos nas janelas ou nos telhados pelo pr prio combate aos inc ndios obstru o de caleiras infiltra es canaliza es rompidas rompimento das condutas de aquecimento central ou ar condicionado etc Em Col nia em 2009 a fachada principal da Biblioteca sofreu uma devastadora derrocada causando a destrui o de uma grande parte do seu acervo 2 2 Fuga de informa o Em portugu s comum podemos designar fuga de informa o como o acesso divulga o de informa o privada e supostamente protegida e interdita Face a este problema as empresas investem cada vez maiores quantias de dinheiro em tecnologia inform tica que visa barrar o acesso informa o dita privada da organiza o Todavia nem sempre a fuga de informa o feita atrav s dos meios inform ticos e h uma certa tend ncia para esquecer o meio social e humano Pois os maiores desvios da informa o surgem a partir do interior da pr pria empresa pela m o dos seus colaboradores Note se que esse desvio da info
69. de consciencializa o dos utilizadores relativamente aos ciber ataques e ainda mais pela falta de apoio gest o de topo Seguem se alguns exemplos de ataques relacionados com o malware e com o cibercrime 2 4 1 Hacker um indiv duo que ilegalmente tenta entrar em sistemas inform ticos sendo normalmente um bom programador que atrav s de bons conhecimentos tecnol gicos tenta furar a seguran a de sistemas inform ticos tipicamente classificados como seguros atrav s da identifica o e explora o dos pontos fracos desses sistemas 2 4 2 CiberCrime Denomina o atribu da aos crimes cometidos atrav s da Internet s o v rios os exemplos de CiberCrimes desde o desvio de dinheiro de contas banc rias acesso modifica o In Lynch D M 2006 Security Against Insider Attacks Information Security Journal 15 5 9 1a In Knapp K Marshall T JR Rainer R K et al 2006 The Top Information Security Issues Facing Organizations What Can Government Do to Help Information Security Journal 15 4 8 e In Dep sitos C G d Gloss rio de Seguran a 2010 from http www cgd pt Seguranca Glossario Pages Seguranca Glossario aspx 22 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o e viola o de dados interditos roubos atrav s de cart es de cr dito viola es de propriedade intelectual pedofilia etc 2 4 2 1 Adware Programas que s o inst
70. de m todos dial up O acesso de utilizadores remotos deve estar sujeito autentica o Existem tipos diferentes de m todos de autentica o e alguns fornecem um n vel de protec o maior do que outros tais como m todos baseados no uso de t cnicas criptogr ficas que podem proporcionar uma autentica o mais poderosa importante determinar o n vel de protec o requerida a partir de uma avalia o de riscos Isto necess rio para a selec o apropriada de um m todo de autentica o A autentica o de utilizadores remotos pode ser conseguida usando se por exemplo uma t cnica baseada em 44 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o criptografia tokens de hardware ou protocolo tipo challenge response Linhas privadas dedicadas ou uma funcionalidade para verificar endere os de utilizador na rede tamb m podem ser usadas para fornecer garantia da origem das liga es Um recurso para liga o autom tica com um computador remoto pode fornecer um meio para obter acesso n o autorizado a uma aplica o da organiza o Liga es com sistemas de computadores remotos devem portanto ser autenticadas Isto especialmente importante se a liga o usar uma rede que est fora do controlo da gest o de seguran a da organiza o O acesso a portas de diagn stico deve ser controlado de forma segura Muitos computadores e sistemas de comunica o s o instalados como um re
71. de modifica o n o autorizada ou utiliza o indevida das informa es ou servi os Separar as facilidades de desenvolvimento testes e produ o importante para se obter a segrega o dos pap is envolvidos As regras para transfer ncia de software do desenvolvimento para o status operacional devem ser definidas e documentadas As actividades de desenvolvimento e testes podem causar s rios problemas tais como a modifica o indesejada de arquivos ou do ambiente de desenvolvimento ou falha no sistema Deve ser considerado o n vel de separa o que necess rio entre ambientes de produ o testes e desenvolvimento para impedir problemas operacionais Uma medida semelhante tamb m deve ser implementada entre as fun es de desenvolvimento e teste Neste caso existe uma necessidade de se manter um ambiente est vel e conhecido no qual se possa executar testes significativos e de impedir o acesso inadequado pelo investigador Onde as equipas de desenvolvimento e testes tiverem acesso ao sistema operacional e s suas informa es eles podem ser capazes de introduzir c digo n o autorizado e n o testado ou alterar dados operacionais Nalguns sistemas essa capacidade pode ser usada impropriamente para cometer fraudes ou introduzir c digo malicioso ou n o testado As actividades de desenvolvimento e de testes podem causar altera es n o intencionadas ao software e s informa es se elas compartilharem o mesmo ambiente co
72. digo para reduzir os riscos ii In Pinto M M 2010 Apoio a Aulas 2 46 B In Leit o H F 2008 O perigo vem de dentro Fuga de Informa o ou Desinforma o 36 2 69 Faculdade d Universidade do Porto i FLUP Letras Seguran a da Informa o de seguran a criados pelas vulnerabilidades do software o CERT tenta abranger o n mero de vulnerabilidades tanto no software que est a ser desenvolvido como no software que j est implantado Para corrigir eventuais vulnerabilidades utilizado um processo que compreende quatro passos recolha analise coordena o e divulga o das vulnerabilidades para garantir a seguran a do software o CERT desempenha ainda a fun o de excluir o c digo malicioso Para garantir a seguran a do sistema o CERT aposta num modelo de engenharia de seguran a cibern tica ver anexo 3 e no desenvolvimento de solu es de engenharia e de abordagens de investiga o com o objectivo de analisar a actividade que decorre na rede com o objectivo de caracterizar quantitativamente as amea as e as actividades dos intrusos Na quest o da seguran a organizacional o CERT desenvolveu um guia para implementa o da seguran a nas organiza es ver anexo 4 verifica se tamb m uma preocupa o em gerir a capacidade que o sistema tem para reagir face s altera es ou perturba es no seu meio envolvente Para enfrentar isso o CERT desenvolveu um modelo de gest o de resili ncia b
73. e E UFES Universidade Federal do Esp rito Santo and F F d L d U d P Sec o Aut noma de Jornalismo e Ci ncias da Comunica o Dicion rio Electr nico de Ci ncia da Informa o In Laureano M A P 2005 Gest o de Seguran a da Informa o 132 16 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o A confiabilidade que significa proteger informa o contra a revela o para algu m n o autorizado interna ou externamente Consiste em proteger a informa o contra leitura e ou c pia por algu m que n o tenha sido explicitamente autorizado pelo propriet rio daquela informa o A informa o deve ser protegida Deve se cuidar n o apenas da protec o da informa o como um todo mas tamb m de partes da informa o que podem ser utilizadas para interferir sobre o todo No caso da rede isto significa que os dados enquanto em tr nsito n o ser o vistos alterados ou extra dos da rede por pessoas n o autorizadas ou capturados por dispositivos il citos A autenticidade o controlo de autenticidade est associado com a identifica o correcta de um utilizador ou computador O servi o de autentica o de um sistema deve assegurar ao receptor que a mensagem realmente procedente da origem informada no seu conte do Normalmente isso implementado a partir de um mecanismo de senhas ou de assinatura digital A verifica o de autenticidade necess ria ap s tod
74. e da pessoa errada Para al m disso e talvez antes de qualquer uma dessas medidas devem ser respeitadas seguidas as normas ISO 17799 e 27001 11 Combate ao cibercrime 11 1 Centros de coordena o Centros de Coordena o s o centros que se dedicam gera o de respostas a incidentes seguran a da informa o Contribuindo de forma decisiva para o combate ao cibercrime 11 1 1 CERT Um dos mais importantes Centros de Coordena o sem d vida o CERT CC que embora tenha como miss o inicial responder a incidentes evoluiu para al m disso especializando se na tarefa de identificar e calcular o tamanho das potenciais amea as planeando um contra ataque a essas amea as de forma coordenada com as equipas de resposta e com os fornecedores O CERT est focalizado em v rias reas desde a garantia do software at seguran a organizacional sem esquecer a seguran a dos sistemas Como f cil depreender estas reas est o intimamente relacionadas entre si Para garantir a seguran a do software o CERT actua em v rios n veis como muitos programas de software facilmente evit veis est o relacionados com o c digo de programa o utilizado necess rio garantir a seguran a do c digo para que o software seja seguro para isso o CERT coloca alguns membros da sua equipa a trabalhar com profissionais e organiza es de desenvolvimento de software com o objectivo de reduzir as vulnerabilidades provenientes de erros de c
75. ecificar a natureza dos dados a sua origem e destino se tal for poss vel o per odo de preserva o com um m ximo de tr s meses prazo esse que pode ser renovado pelo limite m ximo de um ano segue se a preserva o dos dados pelo per odo especificado pela entidade respectiva os dados apenas podem ser fornecidos 1 A autoridade judici ria competente 2 A autoridade nacional que emitiu a ordem de preserva o Os motivos que podem levar recusa do fornecimento de dados quando os dados respeitarem a lei portuguesa no que se refere natureza pol tica ou conexa atentam contra os princ pios da Constitui o Portuguesa n o s o oferecidas garantias de protec o dos dados pessoais se prev a recusa do pedido de auxilio por n o se verificar a dupla incrimina o Coopera o internacional acesso a dados inform ticos Para executar um pedido de uma autoridade estrangeira a autoridade nacional competente pode pesquisar apreender e divulgar dados inform ticos armazenados em Portugal tendo sido admiss veis a pesquisa e a apreens o num caso nacional similar Suspeitando se da vulnerabilidade dos dados inform ticos relativamente perda ou altera o ou sendo prevista em regulamento especifico a r pida coopera o internacional a autoridade nacional competente actua com a maior rapidez poss vel O acesso transfronteiri o a dados inform ticos armazenados e dispon veis publicamente ou com consentimento as autoridad
76. ecsaecsaeesseeeseeseeesseeseneesaes 32 6 1 Norma ISO 17799 Ju auuade erosi Kenna asa gabi EEEE EE pon EEE EE OE EEE R 32 6 1 1 Politica dese Suran a sacas siitl ass pi singh iche en eI EE Dai Sit at aa foras 32 6 1 2 Seguran a organizacional 00 cee ceeeceseeeeeeeeeeeeeeseeeaeceaecaecssecsseeseeesseeeseeseneesaee 33 6 1 3 Classifica o e controlo dos bens erre 36 6 1 4 Seguran a relacionada com o pessoal erre 37 6 1 5 Seguran a f sica e ambiental ceeesceeneeeseeeeecnsecssecssecsseeseeeseeessneseeeeeaee 39 6 1 6 Gest o de Comunica es e opera es eee 40 6 1 7 Necessidades de controlo de acesso e eeeeerreereeereaa 43 6 1 8 Desenvolvimento e manuten o de sistemas 46 6 1 9 Gest o da continuidade de neg cio erre 49 6 1 10 Obedi ncia a exig ncias eee eeeereceneraneeananaranaraada 51 62 Familia ISO 27000 ey sccescceseltcntberwsiccen sos cat vencgedshdcslecehenssicns E EE E E SEEE EEE 53 6 2 1 O que E cate abaya losepieedd Oubin pudor lacd sss ssevdestervuia teed niente 53 6 2 2 COMPOSI O fz peca nssaesa idoso sede dn thirn pita ua std ude view ovules easier ceo vines 53 6 3 Norma ISO 27001 ders seiecssiscessschzessascncessetengusesutesulesesledsnrscdeayssdsosssventocerssasizearassecepseey 54 6 3 1 Introdu o NoMa scinsioni ana dois bbs E a ER EKE EEG eii 54 6 3 2 Processo de abordagem
77. edes motivando assim os hackers a utilizar este recurso para fins il citos com nfimas hip teses de detec o A crescente automatiza o das bibliotecas tamb m acaba por colocar em risco a sua seguran a uma vez que torna poss vel uma cada vez maior infiltra o de hackers atrav s da utiliza o de computadores remotos 1977 Pinto M M 2010 Apoio a Aulas 2 46 25 Faculdade de Petras Universidade do Porto FLUP Seguran a da Informa o Mas a vulnerabilidade das bibliotecas n o est apenas relacionada com os hackers sendo tamb m justificadamente inclu dos os engenheiros sociais pelas raz es j mencionadas A 120 aquando da apresenta o da engenharia social Cap tulo 4 Garantir a Seguran a da Informa o 3 Mecanismos de protec o de Seguran a da Informa o 3 1 Protec o contra incidentes naturais e humanos Existem uma s rie de regras que sendo seguidas embora n o garantam uma protec o total da informa o ajudam a prevenir e contornar algumas vulnerabilidades das institui es no que se refere protec o da informa o O roubo uma amea a constante que paira como um fantasma em todas as institui es que det m informa o todavia embora nenhum m todo tenha uma taxa de efic cia de 100 existem algumas regras que ao serem seguidas podem contornar consideravelmente algumas vulnerabilidades apresentadas pelas institui es s o elas con
78. egado liter rio alem o O local que abrigava livros raros havia sido declarado patrim nio da humanidade pela Unesco Estima se que cerca de 30 mil obras dos s culos 16 17 e 18 tenham sido destru das Outros 40 mil livros foram s riamente danificados pela Ilustra o 2 Sala da biblioteca Anna ac o do fumo e da gua usada para apagar o fogo muitos Amalia i deles de valor inestim vel como a colec o de 3900 volumes da obra Fausto de Johann Wolfgang Von Goethe 2 mil pergaminhos medievais 8400 mapas hist ricos 500 manuscritos do fil sofo Friedrich Nietzsche e ainda uma colec o de b blias incluindo a b blia de Martinho Lutero de 1534 que foi salva com ajuda da Ilustra o 1 Inc ndio na Biblioteca de Weimar popula o Tudo leva a crer que o fogo tenha sido desencadeado por um defeito na parte el ctrica Apesar de todos os esfor os n o foi poss vel salvar todo o acervo Toda a valiosa colec o de livros musicais que estava na sala principal foi queimada pelo inc ndio Era uma das 12 bibliotecas mais importantes da Alemanha O espa o que abrigava obras de Schiller Herder e Wieland por exemplo era considerado ber o do classicismo alem o Ironicamente o inc ndio na biblioteca aconteceu cinco semanas antes de o acervo ser transferido para outro lugar justamente para que o castelo pudesse ser restaurado e modernizado Tamb m a famosa biblioteca de Floren a foi parcialmente destru
79. egurar que as liga es entre computadores e os fluxos de informa o n o violem a pol tica de controlo de acesso das aplica es do neg cio Est dispon vel uma vasta gama de servi os de redes p blicas ou privadas algumas das quais oferecem servi os com valor agregado Os servi os de rede podem ter caracter sticas de seguran a nicas ou complexas As organiza es que usam servi os de rede devem assegurar se que fornecida uma descri o clara dos atributos de seguran a de todos os servi os usados O Controlo de Acesso s Aplica es O objectivo impedir acesso n o autorizado s informa es mantidas nos sistemas de informa o Os recursos de seguran a devem ser usados para restringir o acesso dentro dos sistemas aplicativos 45 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o Os utilizadores de sistemas aplicativos incluindo a equipa de suporte devem receber acesso s informa es e fun es dos sistemas aplicativos de acordo com uma pol tica predefinida de controlo de acesso baseada nos requisitos individuais das aplica es do neg cio e consistente com a pol tica organizacional de acesso a informa o Os sistemas sens veis podem exigir um ambiente computacional dedicado isolado Alguns sistemas aplicativos s o suficientemente sens veis a perdas potenciais a ponto de exigir tratamento especial A sensibilidade pode indicar que o sistema aplicativo deve
80. em ainda duas Normas Internacionais pertencentes fam lia ISO que devem ser empregues pelas institui es n o para resolver problemas de viola o da informa o mas para evitar que esses problemas aconte am Trata se das Normas ISO 17799 e 27001 Paralelamente a tudo isto e para combater os crimes relacionados com a seguran a da informa o v o sendo postos em pr tica v rios instrumentos legais Abstract In the information age the organizations are each time more concerned whit the information security And although new technologies are in constantly evolution there are more treats to the information security It s true that with the new technologies appeared many weapons that can be used to break the information security systems some examples are spyware and adware programs computer viruses etc but it s also true that there is another treat perhaps even older than those mentioned treats we are talking about the Social Engeneering To fight against these treats were being developed technologic and social answers To defeat the technologic treats the experts are developing anti spyware and anti adware programs antivirus etc To defeat the Social Engineer we can t do much more than prepare the Faculdade de Petras q Universidade do Porto 5 J Seguran a da Informa o institution s employees though training programs But it s very important remember that there are no 100 effective measures aga
81. entificar prioridades para os testes e para a manuten o Cada plano de continuidade do neg cio deve especificar claramente as condi es para sua activa o bem como os indiv duos encarregados pela execu o de cada componente do plano Quando forem identificados novos requisitos os procedimentos de emerg ncia estabelecidos tais como planos de evacua o ou quaisquer arranjos de fallback existentes devem ser ajustados conforme apropriado Os planos para continuidade do neg cio podem falhar ao serem testados frequentemente devido a suposi es incorrectas omiss es ou mudan as em equipamentos ou pessoal Portanto devem ser testados regularmente para assegurar que s o actualizados e eficazes Tais testes tamb m devem garantir que todos os membros da equipa de recupera o e outras equipas relevantes estejam cientes dos planos O cronograma de testes para o s plano s para continuidade do neg cio deve indicar como e quando cada elemento do plano deve ser testado Diversas t cnicas devem ser usadas para garantir que os planos funcionar o na vida real Estas t cnicas podem incluir por exemplo testes de mesa de diversos cen rios discutir os arranjos para recupera o usando interrup es de exemplo simula es testes da recupera o t cnica testar recupera o num site alternativo testes das facilidades e servi os de fornecimento e ensaios As t cnicas podem ser usadas por qualquer organiza o e devem reflectir a nat
82. es estrangeiras competentes podem sem pr vio consentimento das autoridades portuguesas 1 Aceder a dados inform ticos armazenados em Portugal que estejam publicamente dispon veis 2 Receber ou ter acesso a dados inform ticos c armazenados tendo o consentimento legal e voluntario da pessoa que pode legalmente divulg los Coopera o internacional intercep o de comunica es Um juiz pode autorizar a intercep o de transmiss es de dados inform ticos num sistema localizado em Portugal desde que isso esteja legalmente previsto para que se proceda 73 Faculdade d Universidade do Porto i FLUP Letras Seguran a da Informa o execu o de um pedido de uma autoridade estrangeira competente A entidade competente para receber os pedidos de intercep o a pol cia judici ria que depois os transmite a quem de direito e esse despacho da autoriza o permite a transmiss o imediata da comunica o para o Estado requerente 12 Combate engenharia social 2 E necess rio o desenvolvimento de pol ticas que comuniquem as preocupa es relativamente aos ataques de engenharia social e dos hackers e treinar os colaboradores contra essas pol ticas para que se protejam a eles e s suas organiza es As organiza es devem ser dotadas de um conjunto de pol ticas que apoiem a preven o contra a engenharia social Essa pol tica deve ser de f cil memoriza o e tamb m devem ser facilmente imp
83. eus processos tarefas pretendendo dessa forma amenizar os erros e n o repassar informa es desnecess rias ou sem import ncia Uma grande empresa com filiais que possui um sistema de informa o integrado contendo todas as informa es de todas as filiais precisa ter um sistema integrado e automatizado de backup peri dico firewall sistemas de seguran a f sica l gica e pessoal se ela perder toda a informa o provavelmente a empresa ou individuo perder um valor incalcul vel Por exemplo se a organiza o se preocupar em colmatar as lacunas de seguran a da informa o n o h um sistema de seguran a da informa o perfeito vai ganhar valor aos olhos do cliente e vai aumentar o seu valor de mercado 14 Refer ncias Bibliogr ficas e CERT Organizational Security 2010 from http www cert org work organizational security html e Col gio Web Retrieved 2010 from http www colegioweb com br curiosidades biometria html e Kimaldi rea de Conhecimento Assinatura Digital From http www sankhya com br glossario_a php e Multicert Certificados digitais 2010 from https www multicert com certificadosdigitais e Resultado Concursos Noticias e Editais de Concursos P blicos 2010 Provas Gabaritos Apostilas Resultados e mais 2010 e SANKHYA Gest o de Neg cios from http www sankhya com br glossario_a php e WebHouse Net Gloss rio de Termos da In
84. forma o A resposta tudo A informa o enquanto parte integrante do processo Info Comunicacional composta por v rios passos desde a concep o e cria o da informa o at sua interpreta o incluindo o seu armazenamento e divulga o pesquisa etc e ao longo de todos estes passos necess rio preservar a informa o Embora a informa o ao n vel material ou f sico por exemplo livros no seu conceito tradicional ainda seja uma realidade influente assistimos a uma cada vez maior prolifera o da produ o da informa o em formato digital O objecto digital composto por v rias dimens es que embora distintas s o interdependentes s o elas Dimens o f sica esta dimens o compreende o suporte f sico da informa o que pode e muitas vezes est a quil metros de dist ncia da pessoa que est a utilizar a informa o Como exemplos de suporte f sico temos CDs Pendrives Discos R gidos etc para al m do suporte f sico existe ainda o software que tamb m condiciona muito a informa o produzida a Dimens o l gica a dimens o l gica compreende o c digo utilizado para produzir informa o c digo que tem de ser pass vel de ser interpretado por um computador a Dimens o Conceptual aqui est patente o significado que o individuo que produz e ou l a informa o atribui ao c digo utilizado fazendo assim uma interpreta o personalizada desse mesmo c digo e a Dimens o essencial esta
85. guinte rever e aprovar a pol tica de seguran a da informa o e responsabilidades gerais monitorizar mudan as significativas na exposi o dos bens de informa o s principais amea as rever e monitorizar incidentes que afectem a seguran a da informa o e aprovar as iniciativas importantes para aprimorar a seguran a da informa o Um gestor deve ser respons vel por todas as actividades relacionadas com a seguran a Numa organiza o de grande porte pode ser necess rio um f rum inter funcional de representantes da gest o de sectores relevantes da organiza o para coordenar a implementa o de controlos de seguran a da informa o Geralmente um f rum desse tipo concorda sobre pap is e responsabilidades espec ficos para seguran a da informa o em toda a organiza o concorda sobre metodologias e processos espec ficos para seguran a da informa o por exemplo avalia o de riscos e sistema de classifica o de seguran a concorda e apoia 33 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o iniciativas de seguran a da informa o que abrangem toda a organiza o por exemplo programas de consciencializa o sobre seguran a assegura que a seguran a seja parte do processo de planeamento de informa o avalia a adequa o e coordena a implementa o de controlos espec ficos para seguran a da informa o em novos sistemas ou servi os fiscaliza os incidentes
86. icos tal como para a recolha de prova em suporte electr nico Coopera o internacional ponto de contacto permanente Existe uma estrutura assegurada pela pol cia judici ria que garante um ponto de contacto permanente cuja assist ncia imediata inclui aconselhamento t cnico a outros pontos de contacto preserva o de dados em caso de urg ncia ou risco na demora localiza o de suspeitos e fornecimento de informa es de car cter jur dico a transmiss o imediata ao 72 Faculdade geleiras Universidade do Porto FLUP Seguran a da Informa o Minist rio P blico de pedidos associados s medidas referidas nas duas al neas anteriores para serem rapidamente executados Coopera o internacional preserva o e revela o expeditas de dados inform ticos Em caso de pedido de preserva o expedita de dados inform ticos devem ser explicitados a autoridade que pede a preserva o a infrac o a ser investigada os dados inform ticos a preservar e a sua rela o com o delito informa es dispon veis para identificar o respons vel pela infrac o ou localizar o sistema inform tico a necessidade que justifica a preserva o inten o de apresentar de um pedido de aux lio judici rio para fins de pesquisa apreens o e divulga o dos dados Ap s isto a pol cia judici ria ordena a preserva o dos dados solicitados entidade que os controlar ou deles dispuser A ordem de preserva o tem de esp
87. inidos Um processo de gest o de autoriza o para novas facilidades de processamento de informa o deve ser implantado consideradando novas facilidades e com a devida aprova o autorizando os seus prop sitos e uso Tamb m deve ser obtida a aprova o do gestor respons vel pela manuten o do ambiente local de seguran a de sistemas de informa o para assegurar que s o atendidas todas as pol ticas e exig ncias relevantes se for necess rio o hardware e o software devem ser verificados para assegurar que eles s o compat veis com outros componentes do sistema o uso de facilidades pessoais de processamento de informa o para processar informa o do neg cio e quaisquer controlos necess rios t m que ser autorizados uma vez que o uso de facilidades pessoais de processamento de informa o no local de trabalho pode acarretar novas vulnerabilidades o que justifica a sua necessidade de avalia o e autoriza o Estes controlos s o especialmente importantes em ambientes que utilizam redes muito prov vel que seja necess rio em muitas organiza es um aconselhamento especializado 34 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o sobre seguran a da informa o Idealmente um consultor interno experiente em seguran a de informa o deve ter a capacidade de desempenhar essa fun o Os consultores de seguran a da informa o devem ter como tarefa fornecer um aconse
88. inst problems related with the information security There are two ISO International Standards that the institutions should respect Those Standards help their to avoid problems related with information security and are the ISO 17799 and ISO 27001 Those standards don t solve existent problems but they help to avoid them We should explain that those standards don t work alone the institutions have much more work to do Another measure taken to fight crimes related to information security is the adoption of legal instruments specially created by governments Palavras chave Seguran a da Informa o Amea as Seguran a da Informa o Protec o da Seguran a da Informa o Introdu o O presente trabalho realizado no mbito da unidade curricular de Preserva o e Conserva o da Informa o leccionada pela Prof Doutora Manuela Pinto e tem como objectivo tra ar uma perspectiva acerca da Seguran a da Informa o Come ando por uma abordagem mais primitiva ao tema come ar se por tentar perceber porque surgiu a necessidade de seguran a da informa o ao longo dos tempos Trata se de compreender o que a seguran a da informa o para que serve quais os seus princ pios e crit rios de que forma afecta ou condiciona as tomadas de decis o Far se tamb m uma pequena abordagem quest o da seguran a da informa o a um n vel governamental seguran a nacional relacionada com a seguran a da inform
89. ion rio Electr nico de Ci ncia da Informa o e ISO 2005 ISO 17799 Su a ISO 17799 e Laureano M A P 2005 Gest o de Seguran a da Informa o 132 e Reed B 2007 Implementing Information Lifecycle Security Information Security Journal 16 3 5 Cap tulo 3 e Resultado Concursos Not cias e Editais de Concursos P blicos 2010 Provas Gabaritos Apostilas Resultados e mais 2010 e 2009 Guia Pr tico para a Internet e as Novas Tecnologias Internet e Novas Tecnologias 16 e C G d Gloss rio de Seguran a 2010 from http www cgd pt Seguranca Glossario Pages Seguranca Glossario aspXx e Leit o H F 2008 O perigo vem de dentro Fuga de Informa o ou Desinforma o 36 e Lynch D M 2006 Security Against Insider Attacks Information Security Journal 15 5 9 e Reinhold C Frolick M Okunoye A 2009 Managing Your Security Future Information Security Journal 18 3 8 10 Faculdade de Letras Universidade do Porto Seguran a da Informa o Thompson Samuel T C Helping the Hacker Information Tecnology amp Libraries 25 no 4 2006 5 Capitulo 4 CERT Organizational Security 2010 from http www cert org work organizational_security html ISO 2005 ISO 17799 Sui a ISO 17799 ISO 2005 ISO 27001 Sui a ISO 27001 Cicco F 2006 ISO IEC 27001 na opini o de um especialista 3 Yoo Young Dong Shin Whoi Jong
90. ionado com os danos ou com os potenciais danos E a distribui o est relacionada com a velocidade de expans o do ataque Para avaliar a necessidade de investimento em seguran a da informa o os autores do estudo recolheram todas as receitas trimestrais e dados de mercado de valores tendo como fonte o banco de dados CRSPg Para a sua an lise foram utilizadas as seguintes vari veis receitas retorno do mercado pre o de stock e a gravidade dos ataques i In Khansa L Liginlal D 2009 Quantifying the Benefits of Investing in Information Security Communications of the Acm 52 11 6 48 4 x Stine Empresa lider no fornecimento de software anti virus 75 Faculdade de etras Universidade do Porto FLUP Seguran a da Informa o Assim pode dizer se que se uma organiza o n o der a devida import ncia seguran a da informa o vai ser mais desacreditada no mercado uma vez que os clientes n o v o ter grande confian a nessa organiza o Pelo contr rio se a organiza o se preocupar em colmatar as lacunas de seguran a da informa o n o h um sistema de seguran a da informa o perfeito vai ganhar valor aos 49 olhos do cliente e vai aumentar o seu valor de mercado Conclus o A Seguran a da Informa o est relacionada com protec o de um conjunto de dados no sentido de preservar o valor que possuem para um indiv duo ou uma organiza o S o caracter sticas b sica
91. ir a seguran a da informa o na rea computacional Do Firewall s Biometrias colocado disposi o do utilizador um vasto leque de alternativas ou de medidas complementares que lhe permitem salvaguardar a informa o Passemos ent o defini o de algumas dessas ferramentas 3 2 1 Resposta a incidentes internos Como as mais s rias amea as seguran a da informa o s o internas pr pria organiza o David Lynch prop e a cria o de uma esp cie de per metro que estabele a a fronteira entre um interior fi vel e um exterior que n o expira confian a Esse per metro tem como fun o refor ar as medidas de controlo ao acesso da informa o isto baseia se no conceito de confian a tribal ou seja se pertences minha tribo eu confio em ti se n o pertences essa confian a n o existe Transpondo isto para as organiza es pode definir se que quem trabalha para a minha empresa de confian a quem n o trabalha n o H um elemento constante na grande maioria dos ciber ataques que o facto de terem origem no interior da pr pria organiza o O problema maior reside no facto desses ataques n o serem casos isolados muito pelo contr rio estarem a expandir se perigosamente a uma escala global e serem fortemente impulsionados pela influ ncia que a Internet exerce nos neg cios e In Lynch D M 2006 Security Against Insider Attacks Information Security Journal 15 5 9 27
92. isso da gest o e estabelecer a abordagem da organiza o quanto gest o da seguran a da informa o A pol tica deve ter um respons vel pela manuten o e revis o de acordo com um processo de revis o definido Esse processo deve assegurar que seja executada uma revis o em resposta a quaisquer mudan as que afectem a base da avalia o de risco original por exemplo epis dios de seguran a significativos novas vulnerabilidades ou mudan as na infra estrutura organizacional ou t cnica Tamb m devem ser programadas revis es peri dicas de aspectos como a efic cia da pol tica demonstrada pela natureza quantidade e impacto dos incidentes de seguran a comedidos o custo e impacto dos controlos na efici ncia do neg cio e os efeitos das mudan as na tecnologia 6 1 2 Seguran a organizacional Infra estrutura para Seguran a da Informa o O objectivo da Infra estrutura para Seguran a da Informa o de gerir a seguran a da informa o dentro da organiza o Seguran a da Informa o uma responsabilidade corporativa compartilhada por todos os membros da equipa de gest o Portanto deve ser considerado um f rum de gest o para assegurar a exist ncia de direc o clara e suporte vis vel por parte da gest o para as iniciativas de seguran a Esse f rum deve promover a seguran a dentro da organiza o atrav s de compromisso apropriado e aloca o de recursos adequados Geralmente tal f rum encarrega se do se
93. l no computador pede ao utilizador que lhe forne a algumas informa es para corrigir o suposto problema Apreciando a preocupa o e a assist ncia a v tima fornece as informa es sem se aperceber da falta de car cter do suposto t cnico Outra arma muito utilizada a manipula o de simpatia muito utilizada por indiv duos fornecedores de informa o como por exemplo colaboradores de helpdesk Aqui o engenheiro social contacta a v tima e afirma que necessita de uma informa o que deveria ter e n o tem e de novo acreditando nas boas inten es da pessoa que pediu a informa o a v tima fornece a sem colocar quaisquer reservas Uma outra t cnica a impersonaliza o est relacionada com a necessidade de conquistar a confian a da v tima e de para isso o engenheiro social se fazer passar por algu m que seja uma outra pessoa ou por algu m que tem uma outra profiss o adequada ao tipo de informa o que ele ela pretende obter Com esta t cnica o engenheiro social tem tamb m para al m da obten o da informa o como principal objectivo conquistar a confian a da v tima A pesquisa outra t cnica utilizada pelo engenheiro social pois permite lhe descobrir que informa o deve pedir como as deve pedir e a quem as deve pedir ao Thompson Samuel T C Helping the Hacker Information Tecnology amp Libraries 25 no 4 2006 5 21 Faculdade d Universidade do Porto i FLUP Letras
94. lanos de conting ncia para assegurar que os processos do neg cio possam ser restaurados dentro dos limites temporais exigidos Tais planos devem ser actualizados e praticados para se tornarem uma parte integral de todos os outros processos de gest o 49 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o A continuidade do neg cio deve come ar pela identifica o de eventos que possam causar interrup es nos processos do neg cio tais como falhas em equipamento inc ndios e inunda es Isto deve ser seguido por uma avalia o de riscos para determinar o impacto daquelas interrup es tanto em termos de escala de danos como de per odo para recupera o Ambas as actividades devem ser executadas com o total envolvimento dos propriet rios dos recursos e processos do neg cio Esta avalia o considera todos os processos do neg cio e n o limitada s facilidades de processamento de informa o Deve ser desenvolvido um plano estrat gico para determinar o enfoque global para a continuidade do neg cio Uma vez criado este plano ele deve ser endossado pela gest o Devem ser desenvolvidos planos para manter ou restaurar as opera es do neg cio nos limites temporais exigidos seguintes interrup o ou falha nos processos cr ticos do neg cio Deve ser mantida uma nica estrutura para os planos de continuidade do neg cio para garantir que todos os planos sejam consistentes e para id
95. lementadas quando se recebe uma chamada ou um e mail suspeito Devem ainda ser tomadas as seguintes medidas ter em aten o a eventuais pedidos de informa o n o solicitados sobre colaboradores informa o t cnica ou outros assuntos internos da organiza o nunca fornecer palavras chave ou usernames atrav s de telefone ou e mail a ningu m n o fornecer informa es patronais mas apenas entidade patronal e mediante a apresenta o da respectiva identifica o contactar as respectivas autoridades caso n o haja certeza sob a legitimidade de um pedido documentar e relate sempre situa es suspeitas 13 Porqu investir em investiga o na seguran a da informa o As organiza es aceitam ou n o p em em causa as necessidades de segurar os seus equipamentos im veis viaturas uma vez que se mostram bens palp veis tang veis Porque n o se manifesta uma igual preocupa o com a informa o Porque se encara tal investimento como uma despesa desnecess ria ou no m nimo adi vel Talvez a resposta possa residir no facto da informa o n o ser um bem vis vel e palp vel pela organiza o Parece importante incidir neste aspecto Como prevenir ent o eventuais problemas de seguran a da informa o O sucesso de um programa de seguran a de informa o reside em analisar os pontos fracos da organiza o e melhor los evitando que essas fraquezas sejam utilizadas para viola o da informa o
96. lhamento sobre todos os aspectos da seguran a da informa o A qualidade das suas avalia es sobre as amea as seguran a e de seu aconselhamento sobre os controlos determinar o a efectividade da seguran a de informa o na organiza o O consultor de seguran a de informa o deve ser consultado o mais cedo poss vel a partir do momento em que h suspeita de um incidente ou quebra de seguran a para que possa actuar como uma fonte de orienta o especializada ou recursos de investiga o Os contactos apropriados com autoridades policiais rg os regulamentadores provedores de servi os de informa o e operadoras de telecomunica es devem ser mantidos para garantir que a ac o apropriada seja tomada rapidamente e obtido aconselhamento na eventualidade de um incidente de seguran a O interc mbio de informa o de seguran a deve ser restrito para assegurar que as informa es confidenciais da organiza o n o sejam encaminhadas para pessoas n o autorizadas O documento sobre a pol tica de seguran a da informa o estabelece a pol tica e as responsabilidades pela seguran a da informa o Seguran a para o acesso de terceiros O objectivo da Seguran a para o acesso de terceiros de manter a seguran a nas facilidades de processamento de informa o organizacionais e bens de informa o consultados por terceiros O acesso por terceiros s facilidades de processamento de informa o da organiza o deve
97. lnerabilidades no sistema e para verificar qu o eficazes os controlos s o na preven o de acesso n o autorizado devido a estas vulnerabilidades Deve se exercer cautela no caso de um sucesso em testes de penetra o poder levar a um compromisso da seguran a do sistema e inadvertidamente explorar outras vulnerabilidades Considera es para auditoria de sistemas O objectivo maximizar a efic cia do processo de auditoria de sistemas minimizar a interfer ncia do processo de auditoria nos neg cios e minimizar interfer ncias no processo de auditoria Devem existir controlos para salvaguardar os sistemas operacionais e as ferramentas de auditoria durante auditorias de sistemas Os requisitos de auditoria e actividades envolvendo verifica es em sistemas operacionais devem ser cuidadosamente planeados e acordados para minimizar o risco de perturba es nos processos do neg cio 6 2 Fam lia ISO 27000 6 2 1 Oque A norma ISO 27000 est relacionada com o vocabul rio da gest o seguran a de informa o 6 2 2 Composi o Para al m da ISO 27000 constitu da pela ISO 27001 publicada em Outubro de 2005 e que substituiu a norma BS 7799 2 para certifica o de sistema de gest o de seguran a da informa o pela ISO 27002 este standard substituiu em 2006 2007 a j mencionada ISO 17799 2005 C digo de Boas Pr ticas a ISO 27003 aborda a gest o de risco contendo recomenda es para a defini o e implementa o de
98. m obtidos um acordo e uma aprova o formais para cada altera o Alterar software aplicativo pode causar impacto no ambiente operacional Periodicamente necess rio alterar o sistema operacional Devem ser desencorajadas modifica es em pacotes de software Tanto quanto poss vel e pratic vel os pacotes de software fornecidos por revendedor devem ser usados sem modifica o Um covert channel pode exp r informa o atrav s de alguns meios indirectos e obscuros Ele pode ser activado alterando se um par metro acess vel tanto por elementos seguros quanto inseguros de um sistema informatizado ou embutindo se informa o num fluxo de dados O c digo troiano projectado para afectar um sistema de uma forma que n o autorizada n o prontamente percebida e n o solicitada pelo receptor ou utilizador de um programa Covert channels e c digo troiano raramente ocorrem por acidente 6 1 9 Gest o da continuidade de neg cio Aspectos da gest o da continuidade do neg cio O seu objectivo anular interrup es nas actividades do neg cio e proteger processos cr ticos do neg cio contra os efeitos de grandes falhas ou desastres Um processo de gest o da continuidade do neg cio deve ser implementado para reduzir a perturba o causada por desastres e falhas de seguran a a um n vel aceit vel atrav s da combina o de controlos preventivos e de recupera o Devem ser desenvolvidos e implementados p
99. mento do ciclo de vida da seguran a da informa o Depois da classifica o de dados existem regras que regem os dados tal como os fluxos e as altera es 7 Classificadores e repositores de metadados Classificar a informa o atrav s de um conjunto de regras e dotando a de uma identidade pass vel de ser universalmente compreendida 8 Sistemas de ficheiros seguros Distribuir sistemas de ficheiros que reconhe am e interajam com diferentes pol ticas de conduta identidades de informa o e metadados 9 Gest o centralizada Se o armazenamento de informa o tiver de seguir algum conjunto de regras ou contiver um reposit rio de metadados dever ter tamb m um registo centralizado da informa o s In Reed B 2007 Implementing Information Lifecycle Security Information Security Journal 16 3 5 18 Faculdade de Letras h Yanlis dy ruris FLUP Seguran a da Informa o Cap tulo 3 Ataques Seguran a da Informa o 2 Amea as Seguran a da Informa o 2 1 Os incidentes naturais e humanos e a destrui o da informa o Incidentes como roubos guerras inunda es inc ndios podem colocar em risco a seguran a da informa o O exemplo que se segue versa sobre um inc ndio na Biblioteca de Anna Amalia em Weimar e demonstra o qu o prejudicial este elemento se pode tornar para a seguran a da informa o O inc ndio na biblioteca Anna Amalia em Weimar causou danos irrepar veis ao l
100. mputacional A utiliza o de uma empresa externa contratada para gerir as facilidades de processamento de informa o pode introduzir uma exposi o potencial de seguran a tal como a possibilidade de compromissos danos ou perdas de dados no site da empresa contratada Planeamento e aceita o de sistemas O objectivo minimizar os riscos de falhas nos sistemas O planeamento antecipado e prepara o s o obrigat rios para assegurar a disponibilidade das capacidades e recursos adequados Devem ser feitas projec es das necessidades futuras de capacidade para reduzir o risco de sobrecarga no sistema Os crit rios de aceita o para novos sistemas de informa o upgrades e novas vers es devem ser estabelecidos e devem ser realizados testes adequados aos sistemas antes da aceita o Os gerentes devem garantir que os requisitos e os crit rios para aceita o de novos sistemas est o claramente definidos concordados documentados e testados 41 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o Para novos desenvolvimentos importantes a rea de produ o e os utilizadores devem ser consultados em todos os est gios do processo de desenvolvimento para garantir a efici ncia operacional do projecto do sistema proposto Testes apropriados devem ser conduzidos para confirmar que todos os crit rios de aceita o est o plenamente satisfeitos Protec o contra software malicioso O objecti
101. n o autorizado Interc mbios de informa o e softwares O objectivo impedir perda modifica o ou uso indevido de informa o intercambiadas entre organiza es Os interc mbios de informa o e software entre organiza es deve ser controlado e deve obedecer a qualquer legisla o relevante Os interc mbios devem ser executados com base em contratos As informa es podem ser vulner veis a acesso n o autorizado ou uso indevido durante transporte f sico O com rcio electr nico pode envolver o uso de interc mbio de dados electr nicos EDD correio electr nico e transac es online atrav s de redes p blicas como a 42 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o Internet O com rcio electr nico vulner vel a muitas amea as pela rede que podem resultar numa actividade fraudulenta disputa contratual e divulga o ou modifica o de informa o O correio electr nico vem sendo usado para comunica es comerciais substituindo as formas tradicionais O correio electr nico difere das formas tradicionais de comunica o comercial por exemplo pela sua velocidade estrutura de mensagens grau de informalidade e vulnerabilidade a ac es n o autorizadas As pol ticas e directrizes devem ser preparadas e implementadas para controlar os riscos para a seguran a e para o neg cio associados com sistemas de automa o de escrit rios Estes propiciam oportunidades
102. nar ataques e Introduzindo uma plataforma de partilha de seguran a da informa o com base num reduzido SIDEx que tenha o potencial de esconder automaticamente a informa o sensitiva encaminhando a informa o de acordo com o conjunto de crit rios estabelecidos pelo emissor e pelo destinat rio e Construir um sistema de gest o autom tica de redes que permita a reconfigura o autom tica dos equipamentos de rede de forma proporcional ao n vel dos ataques detectados a In Tsai Dwen Ren Chen Wen Chi Lu Yin Chia et al 2009 A Trusted Security Information Sharing Mechanism 2009 IEEE INTERNATIONAL CARNAHAN CONFERENCE ON SECURITY TECHNOLOGY 67 Faculdade d Universidade do Porto i FLUP Letras Seguran a da Informa o muito dif cil remover e detectar um novo tipo de ataque numa fase inicial pelo que o Centro de Opera es de Seguran a deve estar habilitado para prevenir os sites circundantes e evitar que estes sejam afectados Para que tal aconte a necess rio que haja uma partilha de alguma informa o entre os varios SOC s partilha essa que apesar de necess ria se pretende que seja cada vez mais reduzida 10 Preven o da fuga de informa o 10 1 Solu o para Caso Pr tico Ponto 2 5 1 N o se trata de uma solu o mas apenas uma forma de contornar algumas vulnerabilidades No que respeita seguran a da Informa o no n vel material os respons veis pela realiza
103. ntir que o processamento de informa es armazenadas seja correcto e apropriado s circunst ncias Geralmente os sistemas s o constru dos baseados na premissa de que tendo havido valida o apropriada confirma o e testes a sa da ser sempre correcta Controlos criptogr ficos O objectivo proteger a confidencialidade autenticidade ou integridade das informa es Sistemas e t cnicas criptogr ficas devem ser usados para a protec o das informa es que estejam consideradas em risco e para as quais outros controlos n o propiciam protec o adequada A tomada de decis o sobre se uma solu o criptogr fica apropriada deve ser vista como uma parte de um processo mais amplo de avalia o de riscos e selec o de controlos Uma avalia o de riscos deve ser efectuada para determinar o n vel de protec o que as informa es devem receber Esta avalia o pode ent o ser usada para determinar se um controlo criptogr fico apropriado que tipo de controlo deve ser aplicado e para quais prop sitos e processos do neg cio Uma organiza o deve desenvolver uma pol tica sobre o uso de controlos criptogr ficos para protec o das suas informa es Uma tal pol tica necess ria para maximizar os benef cios e minimizar os riscos de usar t cnicas criptogr ficas e evitar uso inapropriado ou incorrecto A criptografia uma t cnica que pode ser usada para proteger a confidencialidade das informa es Deve ser
104. ntos especiais As classifica es e controlos de protec o para as informa es devem considerar as necessidades do neg cio quanto partilha ou restri o das informa es e os impactos para o neg cio associados a tais necessidades As informa es e as sa das geradas pelos sistemas que tratam dados confidenciais devem ser rotuladas segundo o seu valor e sensibilidade para a organiza o Tamb m pode ser apropriado rotular informa o em termos da import ncia que esta tem para a organiza o As informa es deixam frequentemente de ser sens veis ou cr ticas ap s um certo per odo de 36 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o tempo Esses aspectos devem ser levados em conta assim como tamb m o facto de uma classifica o excessiva poder levar a despesas adicionais desnecess rias As directrizes para a classifica o devem prever e admitir o facto de que a classifica o de um item qualquer de informa o n o necessariamente fixa ao longo do tempo e pode mudar de acordo com alguma pol tica predeterminada Deve se levar em considera o a quantidade de categorias de classifica o e os benef cios a serem obtidos com o seu uso importante que um conjunto apropriado de procedimentos seja definido para a rotulagem das informa es de acordo com o esquema de classifica o adoptado pela organiza o Esses procedimentos t m de cobrir os bens de informa o
105. ntrolos Registos exigidos por esta Norma Declara o de aplicabilidade 1 b Controlo de Documentos 1 a Controlo de Registos Gest o de responsabilidade Compromissos de gest o Gest o de recursos Fornecimento de recursos Treino consciencializa o e compet ncia 60 Faculdade se Petras Universidade do Porto 4 FLUP Seguran a da Informa o 6 3 6 Auditorias internas ao SGSI 6 3 7 Gerir a revis o do SGSI a Geral b Revis o das entradas c Revis o das sa das 6 3 8 Melhoria do SGSI a Melhoria continua b Ac es correctivas Esta etapa est relacionada com ac es que devem ser desenvolvidas pela organiza o com o objectivo de eliminar as inconformidades existentes relativamente s exig ncias do SGSI c Ac es preventivas Ac es preventivas s o ac es levadas a cabo pela organiza o para eliminar causas de eventuais inconformidades com os requisitos do SGSI Em jeito de conclus o pode afirmar se que tal como Francesco de Cicco a adop o desta Norma por parte das empresas representa uma vantagem que o facto de tornar evidente n o s para os clientes como para os fornecedores que a organiza o est de facto a levar a s rio a seguran a da informa o uma vez que as organiza es enfrentam amea as e riscos de seguran a atrav s de processos actualizados Este autor est ainda de acordo com a Norma quando afirma que o Sistema de Gest o da Seguran a da Inform
106. o Independentemente da propriedade o uso de qualquer equipamento fora das instala es f sicas da organiza o para processamento de informa o deve ser autorizado pela ger ncia A seguran a fornecida deve ser equivalente quela dos equipamentos on site usados para o mesmo prop sito levando se em considera o os riscos de trabalhar fora do local da organiza o As informa es podem ser comprometidas atrav s da exclus o ou reutiliza o descuidada dos equipamentos Os dispositivos de armazenamento que tenham informa o sens veis devem ser fisicamente destru dos ou regravados de forma segura em vez de se usar a fun o padr o delete Controlos gerais O objectivo de impedir o compromisso ou roubo de informa o e de facilidades de processamento de informa o As informa es e as facilidades de processamento de informa o devem ser protegidas contra a divulga o modifica o ou roubo por pessoas n o autorizadas e devem ser implementados controlos para minimizar perdas ou danos Os equipamentos informa o ou software n o devem ser retirados das instala es da organiza o sem autoriza o Quando necess rio e apropriado deve proceder se ao registo da sa da dos equipamentos tal como do seu retorno 6 1 6 Gest o de Comunica es e opera es Procedimentos operacionais e responsabilidades O objectivo garantir a opera o correcta e segura das facilidades de processamento de informa
107. o Gest o do acesso de utilizadores O objectivo de impedir acesso n o autorizado aos sistemas de informa o Os procedimentos formais devem ser implementados para controlar a aloca o de direitos de acesso a sistemas e servi os de informa o Os procedimentos devem cobrir todos os est gios do ciclo de vida do acesso dos utilizadores desde o registo inicial de novos utilizadores at a retirada final do mesmo que n o necessita mais de ter acesso aos sistemas e servi os de informa o 43 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o O acesso a servi os de informa o multiutilizadores deve ser controlado atrav s de um processo formal de registo de utilizadores A aloca o e o uso de privil gios devem ser restritos e controlados O uso inapropriado de privil gios de um sistema um dos principais factores contribuintes para a falha de sistemas que foram violados As senhas s o um meio comum de validar a identidade de um utilizador para consultar um sistema ou servi o de informa o Responsabilidades dos utilizadores O objectivo impedir o acesso de utilizadores n o autorizados A coopera o dos utilizadores autorizados essencial para a efic cia da seguran a Os utilizadores devem ser consciencializados de suas responsabilidades quanto manuten o de controlos eficazes de acesso particularmente o uso de senhas e seguran a do equipamento do utilizador
108. o acesso a informa o t o somente s entidades leg timas ou seja quelas autorizadas pelo propriet rio da informa o a integridade propriedade que garante que a informa o manipulada mantenha todas as caracter sticas originais estabelecidas pelo propriet rio da informa o incluindo controlo de mudan as e garantia do seu ciclo de vida nascimento manuten o e destrui o e a disponibilidade propriedade que garante que a informa o esteja sempre dispon vel para o uso leg timo ou seja pelos utilizadores autorizados pelo propriet rio da informa o Listaram se aqui alguns mecanismos para atestar a seguran a da informa o e o suporte para as recomenda es de seguran a pode ser encontrado em controlos f sicos s o barreiras x que limitam o contacto ou acesso directo informa o ou a infra estrutura que garante a 77 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o exist ncia da informa o que a suporta E existem mecanismos de seguran a que apoiam os controlos f sicos E controlos l gicos s o barreiras que impedem ou limitam o acesso informa o que est em ambiente controlado geralmente electr nico e que de outro modo ficaria exposta a altera o n o autorizada por algu m mal intencionado Existem uma serie de regras que sendo seguidas embora n o garantam uma protec o total da informa o ajudam a prevenir e contornar alguma
109. o dos acervos sae In Thompson Samuel T C Helping the Hacker Information Tecnology amp Libraries 25 no 4 2006 5 2 In Pinto M M 2010 Apoio a Aulas 3 96 26 Faculdade d Universidade do Porto i FLUP Letras Seguran a da Informa o Para garantir uma maior protec o de informa o em caso de inc ndio deve ter se em conta o seguinte proceder coloca o de portas corta fogo e manter os dep sitos o mais afastados poss vel das instala es el ctricas eliminar tanto quanto poss vel os espa os abertos as grandes escadarias pois funcionam como correntes que potenciam o alastramento dos inc ndios implementar sa das de emerg ncia para os profissionais e utilizadores das institui es seguir os requisitos legais aplic veis a este tipo de quest es utilizar materiais n o inflam veis e n o t xicos implementar sistemas de detec o de inc ndios e alarmes actualizados instalar sistemas el ctricos secund rios que sejam uma alternativa aos sistemas el ctricos principais verificar periodicamente circuitos el ctricos equipamento inform tico equipamentos de extin o de inc ndios produtos qu micos em caso de exist ncia de laborat rios e ou oficinas apostar na forma o dos profissionais para enfrentar este tipo de riscos delimitar espa os para fumadores 3 2 Tecnologias de Seguran a da Informa o S o v rias as tecnologias propositadamente criadas para proteger garant
110. o o processo de identifica o seja de um utilizador para um sistema de um sistema para o utilizador ou de um sistema para outro sistema Ela a medida de protec o de um servi o informa o contra a personifica o por intrusos A integridade consiste em proteger a informa o contra a modifica o sem a permiss o expl cita do propriet rio daquela informa o A modifica o inclui ac es como escrita altera o de conte do altera o de status remo o e cria o de informa o Deve se considerar a protec o da informa o nas suas mais variadas formas como por exemplo armazenada em discos ou fitas de backup Integridade significa garantir que se o dado est l ent o n o foi corrompido encontra se ntegro Isto significa que aos dados originais nada foi acrescentado retirado ou modificado A integridade assegurada evitando se altera o n o detectada da mensagem A disponibilidade que consiste na protec o dos servi os prestados pelo sistema de forma a que eles n o sejam degradados ou se tornem indispon veis sem autoriza o assegurando ao utilizador o acesso aos dados sempre que deles precisar Atrav s da correcta aplica o destes princ pios a seguran a da informa o pode trazer benef cios como o aumento da produtividade dos utilizadores atrav s de um ambiente mais organizado maior controlo sobre os recursos de inform tica e garantia da funcionalidade das aplica es cr ticas de uma
111. objectivos processos e procedimentos importantes para gerir o risco e melhorar a seguran a da informa o para que sejam atingidos resultados adequados s pol ticas da organiza o e aos seus objectivos Do efectua o e gest o do SGSI efectua e gere as pol ticas controlos processos e procedimentos do SGSI Check vigiar e rever o SGSI aceder e medir a reac o do processo relativamente s pol ticas do Sistema de Gest o de Seguran a da Informa o objectivos e experi ncia pr tica e expor os resultados da gest o a uma revis o Act manter e melhorar o Sistema de Gest o da Informa o desenvolver ac es correctivas e preventivas com base nos resultados de auditorias internas ao Sistema de Gest o de Seguran a da Informa o e gerir revis es ou outras informa es importantes para que se obtenha uma melhoria continua do Sistema de Gest o de Seguran a da Informa o 6 3 3 Ambito abrang ncia da norma Esta Norma Internacional abrange todos os tipos de organiza es e especifica os requisitos para estabelecer implementar vigiar operar rever manter e melhorar um Sistema de 55 Faculdade se Petras Universidade do Porto Seguran a da Informa o Gest o de Seguran a da Informa o documentado e inserido no contexto dos riscos globais de neg cio da organiza o Esta Norma define os requisitos para a implementa o dos controlos de seguran a adaptados s necessidades da organiza o o
112. odo que tem como objectivo obter acesso a informa o ou a sistemas de computa o interditos Baseia se na obten o de informa o privada a partir da persuas o manipula o emocional abuso de confian a e impersonaliza o t cnicas utilizadas pelo engenheiro social para com um colaborador de determinada organiza o uma t cnica que funciona porque se apoia na honestidade e inoc ncia das v timas que partem do princ pio que esses valores tamb m s o aplic veis outra pessoa engenheiro social Tratando se de algu m muito semelhante ao Hacker o Engenheiro Social tamb m apelidado de Hacker n o t cnico uma vez que n o se apoia na utiliza o de tecnologia inform tica para obter as informa es pretendidas Como j foi subliminarmente referido o Engenheiro Social dotado de um verdadeiro arsenal de armas psicol gicas que apontadas v tima de forma eficaz levam obten o da informa o desejada sem que sejam necess rios processos muito rebuscados Muitas vezes a informa o pedida de forma directa e como j tamb m foi referido atrav s de uma enorme capacidade de transmiss o de confian a e da manipula o emocional da v tima Em muitos casos de apelo de confian a e de manipula o emocional da v tima o engenheiro social pode por exemplo vestir a pele de um t cnico inform tico e manipular o utilizador final de um computador dirigindo se a sua casa e insinuando que algo est a funcionar ma
113. ol ticas e medidas que permitam gerir a preserva o da informa o zelando pela sua seguran a a utiliza o de ferramentas normativas e legais atrav s das quais seja poss vel n o s proteger preservar a informa o mas tamb m punir infractores a institui o de rg os que procedam cria o dessas ferramentas normativas e legais e zelem pelo seu cumprimento a cria o de regulamentos internos s pr prias institui es que pretendam preservar a informa o A n vel operacional basicamente colocar em pr tica as medidas definidas no n vel estrat gico e de gest o implementar ac es que visem proteger a informa o ac es que devem ser realizadas no mbito do Sistema de Informa o implementado Em suma o objectivo da preserva o do objecto digital garantir que este fidedigno autentico ntegro e acess vel a longo termo Como percept vel deveras importante a utiliza o de Normas ou Padr es Internacionais e Protocolos Em primeiro lugar a adop o de normas ou padr es internacionais permite evitar algumas situa es de risco ou de viola o da informa o A quest o dos Protocolos est directamente relacionada com o estabelecimento de rela es de coopera o com industrias de tecnologia de forma a potenciar a compra e a expans o de sistemas electr nicos de gest o da informa o conciliados com a legisla o em vigor e com a gest o da informa o igualmente importante n
114. orma o Actualmente o conceito de Seguran a da Informa o est padronizado pela as normas ISO 17799 ISO 27000 e ISO que foram reservadas para tratar de padr es de Seguran a da Informa o Que como se percebeu e embora as normas nem sempre sejam pass veis de ser utilizadas pelas institui es e a sua efic cia n o corresponda a 100 s o instrumentos que quando adoptados permitem s institui es ultrapassar muitas vulnerabilidades relacionadas com a seguran a da informa o Desta forma tornam se mais eficazes no combate informa o e inspiram mais confian a aos utilizadores o que permite o sucesso A Seguran a da Informa o refere se protec o existente sobre a informa o de uma determinada empresa ou pessoa isto aplica se tanto as informa es corporativas quanto s pessoais Podem ser estabelecidas m tricas com o uso ou n o de ferramentas para a defini o do n vel de seguran a existente e com isto serem estabelecidas as bases para an lise da melhoria ou piora da situa o de seguran a existente A seguran a de uma determinada informa o pode ser afectada por factores comportamentais e de uso de quem se utiliza dela pelo ambiente ou infra estrutura que a cerca ou por pessoas mal intencionadas que t m o objectivo de furtar destruir ou modificar tal informa o Portanto os atributos b sicos segundo os padr es internacionais ISO 17799 s o a confidencialidade propriedade que limita
115. orma o a todos os n veis contra esses ataques estando ou n o ligadas ao quadro computacional e inform tico Foi aqui apresentado e percebido a import ncia da exist ncia de um m todo para que se componham procedimentos destinados a medir o n vel de seguran a da organiza o a exist ncia de Centros de Opera es de Seguran a como SOC que se dedica a observar sistemas e redes contra atacando eventuais ataques Seguran a da Informa o utilizando para isso a analise estat stica a colecta e a gest o de Seguran a da Informa o em varias arquitecturas de sistema e do CERT CC um dos mais importantes Centros de Coordena o especializando na tarefa de identificar e calcular o tamanho das potenciais amea as planeando um contra ataque a essas amea as de forma coordenada com as equipas de resposta e com os fornecedores Compreende se por fim que numa organiza o tudo est ligado informa o ela extremamente importante dentro de uma empresa dessa forma a sua seguran a de extrema import ncia Por m a maioria das empresas n o v em ou n o viam essa necessidade por se considerar que os resultados dela n o s o muito vis veis como um sector que atinge a sua meta antes do tempo possuindo resultados mais vis veis e concretos 78 Faculdade de Letras Universidade do Porto FLUP Seguran a da Informa o A seguran a da informa o funciona a longo prazo fazendo uma harmoniza o de s
116. os dados que deve fornecer orienta o para os gerentes utilizadores e provedores de servi o sobre as suas responsabilidades individuais e os procedimentos espec ficos que devem ser seguidos Deve ser responsabilidade dos propriet rios dos dados informar o encarregado da protec o aos dados sobre quaisquer propostas para manter informa es pessoais num arquivo estruturado e para assegurar a consciencializa o sobre os princ pios de protec o dos dados definidos na legisla o relevante As facilidades de processamento de informa o de uma organiza o s o fornecidas para os fins do neg cio A gest o deve autorizar o seu uso Qualquer utiliza o destas facilidades para prop sitos n o autorizados ou n o relacionados ao neg cio sem aprova o da gest o deve ser considerada como uso impr prio das facilidades Muitos pa ses t m ou est o em processo de implanta o legisla o para proteger contra a m utiliza o de computadores Alguns pa ses implementaram acordos leis regulamentos ou outros instrumentos para controlar o acesso a controlos criptogr ficos ou o seu uso necess rio ter provas adequadas para apoiar uma ac o contra uma pessoa ou organiza o Sempre que esta ac o for uma quest o disciplinar interna a prova necess ria estar descrita pelos procedimentos internos Para obter a admissibilidade da prova as organiza es devem assegurar se de que os seus sistemas de informa o obedecem
117. otec o da Seguran a da Informa o este ponto ser tamb m abordado contando para isso com a analise dos artigos Knapp K Marshall T JR Rainer R K et al 2006 Yoo Don Young Shin Jong Whoi Lee Gang Shin et al 2007 Ott J L 2000 NO primeiro artigo mencionado s o apontadas medidas que devem ser levadas a cabo pelos governos para proteger a Seguran a da Informa o nas organiza es por sua vez o autor do segundo artigo apresenta nos algumas medidas governamentais j tomadas e apresentado tamb m o National Information Infrastructure Protection Act que depois tratado de forma mais pormenorizada no ltimo artigo referido Seguran a da Informa o Foi tamb m encontrada alguma mat ria que permitiu aplicar os temas da avalia o da seguran a da informa o e da import ncia da partilha de informa o sobre os ataques Rol de fontes bibliogr ficas usadas em cada um dos cap tulos Agora por ordem alfab tica apresentam se as correctas refer ncias bibliogr ficas e de novo de acordo com os v rios t picos a seguir a este cap tulos 2 3 e 4 do trabalho as fontes consideradas mais relevantes para levar a bom termo a abordagem a este tema Cap tulo 2 e Departamento de Ci ncia da Informa o C d C J e E UFES Universidade Federal do Esp rito Santo and F F d L d U d P Sec o Aut noma de Jornalismo e Ci ncias da Comunica o Ci ncia da Informa o Dic
118. pa o Em Fevereiro de 2000 o Jap o administrou leis contra actos de acesso ilegal e estabeleceu o Comit de Medidas de Seguran a e o Civilian Experts Council no Centro Estrat gico de Informa o Tecnol gica Tamb m a Coreia estabeleceu em conformidade com a lei de infra estrutura de seguran a promulgada em 2001 o comit de infra estruturas de seguran a e tem vindo a construir de forma sistem tica e compreensiva medidas contra o ataque electr nico para importantes infra estruturas de informa o e telecomunica o Desde que a protec o para o controlo e opera o de maiores infra estruturas sociais requer o envolvimento de factores como comunica o financeiro militar e energ tico o comit foi fundado pelo primeiro ministro Coreano para dirigir e coordenar o estabelecimento e a execu o de pol ticas de seguran a de infra estruturas de informa o e telecomunica o Contudo as pol ticas de seguran a t m usualmente sido estabelecidas sem ter em conta os n veis de seguran a Por isso com o objectivo de estabelecer uma pol tica de seguran a mais eficaz t m de ser desenvolvidas metodologias que assegurem o n vel de seguran a baseado na vulnerabilidade e no resultado das an lises Kenneth J Knapp Thomas E Marshall R Kelly Rainer Jr e Dorsey W Morrow atrav s do seu artigo The Top Information Security Issues Facing Organizations What Can Government do to Help refor am a necessidade dos governos
119. pacto E devem existir um processo disciplinar formal para empregados que tenham violado as pol ticas e procedimentos de seguran a organizacionais 38 Faculdade deetras Universidade do Porto FLUP Seguran a da Informa o 6 1 5 Seguran a f sica e ambiental reas de seguran a O Objectivo de impedir o acesso n o autorizado danos ou interfer ncia s instala es f sicas e s informa es da organiza o As facilidades de processamento de informa o sens veis ou cr ticas para o neg cio devem ser localizadas em reas seguras protegidas por um per metro de seguran a definido com barreiras de seguran a apropriadas e controlos de entrada Elas devem ser fisicamente protegidas contra acesso n o autorizado danos e interfer ncias A protec o f sica pode ser obtida criando se diversas barreiras f sicas em torno dos edif cios e das facilidades de processamento de informa o da organiza o Cada barreira estabelece um per metro de seguran a cada um aumentando a protec o total fornecida As organiza es devem usar per metros de seguran a para proteger reas que contenham facilidades de processamento de informa o Seguran a dos equipamentos O Objectivo impedir perda danos ou compromisso de bens e interrup o das actividades do neg cio Os equipamentos devem ser fisicamente protegidos contra amea as seguran a e perigos ambientais A protec o dos equipamentos necess
120. para dissemina o e partilha mais r pida de informa o comercial usando uma combina o de documentos computadores computa o m vel comunica es m veis correio correio de voz comunica es verbais em geral multim dia servi os facilidades postais e equipamentos de fax Devem ser tomadas medidas para proteger a integridade de informa o publicada electronicamente para impedir a modifica o n o autorizada que poderia prejudicar a reputa o da organiza o que publica As informa es de um sistema disponibilizado publicamente tal como informa o num servidor de Web acess veis via Internet podem necessitar de obedecer a leis normas e regulamentos na jurisdi o onde o sistema est localizado ou onde os neg cios ocorrem 6 1 7 Necessidades de controlo de acesso O objectivo controlar o acesso s informa es O acesso a informa o e processos do neg cio deve ser controlado com base nas necessidades de seguran a e do neg cio e devem ser tidas em conta as pol ticas para dissemina o e autoriza o das informa es Os requisitos de controlo de acesso na organiza o devem ser definidos e documentados As regras e direitos de controlo de acesso para cada utilizador ou grupo de utilizadores devem ser claramente definidas numa declara o de pol tica de acesso Os utilizadores e os provedores de servi os devem receber uma declara o clara dos requisitos a serem satisfeitos pelos controlos de acess
121. peri dicos Recomenda se ainda que a Gest o de Topo se consciencialize da import ncia que a seguran a da informa o representa para a sobreviv ncia da pr pria organiza o 3 2 2 Firewall um programa que controla o tr fego entre a Internet e uma rede interna protegendo essa rede contra eventuais ataques de hackers inform ticos muitas vezes quando o firewall falha essas falhas est o relacionadas com erros humanos como por exemplo erros de 5 z ae 25 configura o e n o com os pr prios computadores 3 2 3 Antiv rus 2 E um programa utilizado para detectar a presen a de virus em computadores ou redes eliminando os e actuando contra os efeitos nocivos causados pelo v rus funciona tamb m como uma barreira protectora contra novos ataques de virus da mesma esp cie 23 In Knapp K Marshall T JR Rainer R K et al 2006 The Top Information Security Issues Facing Organizations What Can Government Do to Help Information Security Journal 15 4 8 s In WebHouse Net Gloss rio de Termos da Internet Retrieved 2010 ai In Reinhold C Frolick M Okunoye A 2009 Managing Your Security Future Information Security Journal 18 3 8 In SANKHYA Gest o de Neg cios from http www sankhya com br glossario_a php 28 Faculdade de Petras Universidade do Porto FLUP Seguran a da Informa o 3 2 4 Anti spyware anti adware S o programas utilizados para e
122. rizada a emitir esse tipo de certificados e ao preenchimento do formul rio disponibilizado ap s o que se procede ao envio da documenta o e do formul rio para a respectiva entidade 31 Faculdade se Petras Universidade do Porto i FLUP Seguran a da Informa o 5 Tr s categorias de aplica es de seguran a Em jeito de conclus o no que respeita s tecnologias de informa o pode dizer se que existem tr s diferentes tipos de aplica es que trabalham para garantir a seguran a da informa o S o elas 1 Aplica es de seguran a de rede 2 Aplica es de software 3 Aplica es de seguran a de dados As aplica es de seguran a de rede s o um misto de aplica es que garantem uma maior seguran a de rede seguran a de dados e protec o de software Ao abrangerem ataques externos contra fontes de informa o protegidas pelos programas de firewall proporcionam uma protec o de rede As aplica es de seguran a de rede protegem e garantem a disponibilidade dos servi os de rede e normalmente servem se de programas de firewall sistemas de detec o de intrusos sistemas de preven o contra intrus es autentica o e programas antiv rus Por sua vez as aplica es de software t m a fun o de como o pr prio nome indica proteger o software e os dados que este cont m contra os diversos tipos de ataques Quanto s aplica es de seguran a de dados destina se a proteger os dados u
123. rma o pode ser feito tanto de forma consciente como inconsciente Muitas vezes as pessoas servem se da chamada Engenharia Social para apelar ao sentimentalismo e boa vontade dos colaboradores induzindo os de forma inconsciente para estes ao fornecimento de informa o supostamente sigilosa ou confidencial Tamb m a tecnologia inform tica pode ser posta ao servi o da Engenharia Social atrav s do envio de emails maliciosos os t picos emails que pedem para o destinat rio clicar em algum link com o suposto objectivo de abrir uma imagem ou um documento mas cujo objectivo real abrir o acesso dos computadores da organiza o ao individuo invasor Voltando faceta social e humana um erro em que as organiza es tendem a cair tornar vis veis a todos os colaboradores as informa es consideradas privadas ou sigilosas para a organiza o deixando assim ao crit rio dos colaboradores a devida ou indevida utiliza o da informa o 2 3 Engenharia Social De acordo com o Instituto de Gest o e Administra o IOMA a Engenharia Social foi vista como a principal amea a seguran a no ano de 2005 E o que a Engenharia Social A In Pinto M M 2010 Apoio a Aulas 3 96 a In Leit o H F 2008 O perigo vem de dentro Fuga de Informa o ou Desinforma o 36 2 20 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o Engenharia Social um m t
124. s uma delas a chamada biometria inform tica Esta t cnica de reconhecimento consiste num sistema electr nico que permite reconhecer as pessoas atrav s de caracter sticas f sicas ou n o Exemplos dessas caracter sticas s o voz m os face ris veias assinatura digita o Das enumeradas as mais fi veis s o a face as veias e a ris a In Kimaldi Area de Conhecimento Assinatura Digital from http www sankhya com br glossario_a php Ee In Col gio Web Retrieved 2010 from http www colegioweb com br curiosidades biometria html 29 4 dol N ris a parte mais vis vel e colorida do olho 29 Faculdade de Petras Universidade do Porto FLUP Seguran a da Informa o 4 Certifica o digital3 Defini o e utilidade 4 1 Oque a certifica o digital e para que serve A certifica o digital funcionando base de uma chave p blica denominada de PKI Public Key Infrastructure como o pr prio nome indica uma plataforma utilizada para garantir a seguran a nos documentos electr nicos Normalmente a certifica o digital assegura aos seus clientes os crit rios b sicos para a seguran a da informa o Integridade Identifica o Confidencialidade Aceita o Com a confidencialidade garante se que a informa o n o violada Para garantir um processo eficaz de Autentica o Identifica o atribu do uma esp cie de c digo digital a cada parte en
125. s da seguran a da informa o os atributos de confidencialidade integridade disponibilidade e autenticidade n o estando esta seguran a restrita somente a sistemas computacionais informa es electr nicas ou sistemas de armazenamento O conceito se aplica a todos os aspectos de protec o de informa o O conceito de Seguran a Inform tica ou Seguran a de Computadores est intimamente relacionado com o de Seguran a da Informa o incluindo n o apenas a seguran a informa o mas tamb m a dos sistemas em si Embora essa protec o n o se deva encarar apenas no sentido digital e inform tico mas ao n vel chamado tradicional A seguran a da Informa o pode e dever ser medida a dois n veis a um n vel f sico que compreende como o pr prio nome indica as amea as f sicas como inc ndios desabamentos rel mpagos inunda es acesso indevido de pessoas forma inadequada de manuseamento e tratamento do material etc e a um n vel l gico atenta contra amea as ocasionadas por v rus acessos remotos rede backups desactualizados viola o de palavras chave etc A informa o definida em Ci ncia da Informa o como conjunto estruturado de representa es mentais e emocionais codificadas signos e s mbolos e modeladas com pela interac o social pass veis de serem registadas num qualquer suporte material papel filme banda magn tica disco compacto etc e portanto comunicadas de forma ass ncron
126. s de Seguran a serrana 66 8 2 Partilha de Seguran a de Informa o ir ireeeereereeraeea 67 9 Mecanismos de partilha de seguran a de informa o eras 67 10 Preven o da fuga de informa o eee eeracencaneaneeanaearanaranas 68 10 1 Solu o para Caso Pr tico Ponto 2 5 1 rear 68 11 Combate ao CIbETCIIE iaaemadiiaoigabigani lesada grab possua aaa bye bb ondas pda ea unas EE ee agenda sua p 69 11 1 Centroside coordena o is sairiam sisnias aa dinar citi E chaise alo dras 69 MEE CERT oa oposto nes a fase A Re TERA A A Da E Spa a sarees dt 69 11 2 Sancionamento do cibercrime legisla o aplic vel 70 12 Combate engenharia Social oo eee ceeceeeeeseeeseeeeeeeeaeeeaeecaeecaaecsaecsaecsaeenaeenseeeseeeeeeeseeesaes 74 13 Porqu investir em investiga o na seguran a da informa o 0 eee eeeeeeeeeeeeeeeeeeeeee 74 CONCUSSA Oreeson aeii a a e a a a ea ai eati 76 14 Refer ncias Bibliogr ficas irsinin narn iaa i eE 79 PNL E E PE E A A A EEE 82 Norma ISO 17799 enneren a a i a E E 82 Norma ISO 27001 ssc issssssss esieisiatsissnsts den tess e a E A E A A A E AE Ea 82 Lerdo Cibercrime usas sosp os comnaias das tenessero NE ERE E eE I E Eaa e iea di pae 82 ndice de Ilustra es Ilustra o 1 Inc ndio na Biblioteca de Weimar eee 19 Ilustra o 2 Sala da biblioteca Anna Amalia
127. s de um patch ao software do atacante ou ent o reconfigurando os seus pr prios equipamentos face s caracter sticas do atacante colmatando depois as falhas ou vulnerabilidades do seu pr prio sistema Uma vez que os novos ataques t m tend ncia a causar muitos danos aos sites que visitam muito importante que haja uma partilha de informa o entre os SOC s para controlar a expans o dos ataques e os danos causados por estes 9 Mecanismos de partilha de seguran a de informa o O objectivo de partilhar os ataques seguran a da informa o controlar os danos que estes provocam devendo apenas ser partilhado o tempo em que ocorreu o ataque a fonte do ataque o n vel do ataque e os destinat rios Contudo os autores do artigo A Trusted Security Information Wu Lu Chen e Tsai 2009 f defendem uma partilha de informa o ainda mais reduzida baseada no formato SIDEx Ainda segundo estes autores existem mecanismos de autentica o utilizados entre os SOC s que podem ser utilizados para melhorar os n veis de seguran a assim como tamb m podem ser utilizados os chamados percursos de protec o de dados os autores contribuem com varias sugest es para a constru o de mecanismos de partilha de informa o a saber e A constru o de um mecanismo de trackback que permita parar a expans o do ataque em tempo real com base na identifica o de hosts infectados e na distribui o de software de limpeza para elimi
128. s vulnerabilidades das institui es no que se refere protec o da informa o Perspectivou se aqui como se procede ou deve proteger a informa o contra roubos cat strofes naturais Os mecanismos de seguran a que apoiam os controlos l gicos s o por exemplo mecanismos de criptografia utiliza se para tal algoritmos determinados e uma chave secreta para a partir de um conjunto de dados n o criptogr ficos produzir uma sequ ncia de dados criptogr ficos a assinatura digital que um conjunto de dados criptogr ficos associados a um documento do qual s o fun o garantindo a integridade e autenticidade do documento associado mas n o a sua confidencialidade mecanismos de garantia da integridade da informa o usando fun es de Hashing por exemplo mecanismos de controlo de acesso com o uso de palavras chave sistemas biom tricos firewalls etc mecanismos de certifica o que atestam a validade de um documento e ainda um outro vasto conjunto de mecanismos Com a integra o da Internet no quadro comunicacional de grande parte das organiza es assistiu se invas o de uma multiplicidade de t cnicas m todos ou mecanismos de software malicioso que surgiram com o intuito de violar a informa o e mais alarmante ainda o facto da grande maioria dos ciber ataques a seguir descritos terem origem no interior das organiza es e os mecanismos mencionados anteriormente surgiram com o intuito de proteger a inf
129. safio A Preserva o e Conserva o da Informa o pode ser entendida como um ciclo que tem como ponto de partida a cria o de uma plataforma tecnol gica que potenciar a produ o armazenamento recupera o avalia o e utiliza o da informa o Avan ar para um novo modelo de preserva o e caso haja necessidade construir um novo tipo de operacionaliza o compreendendo todos os intervenientes Ao falar se de Seguran a da Informa o n o seria l gico abordar se em primeiro lugar uma defini o de Informa o Talvez no entanto afigurou se ser mais coerente faz lo agora at porque como se ver a pr pria defini o de Informa o conduz rela o existente entre a Preserva o e Conserva o da Informa o e o Comportamento Informacional Em Ci ncia da Informa o a Informa o encarada n o s do ponto de vista cient fico que define Informa o como um conjunto estruturado de representa es mentais e emocionais modeladas e codificadas atrav s da interac o social e que podem ser registadas em qualquer suporte material mas tamb m como um fen meno humano e social tamb m chamado de fen meno Info Comunicacional estabelecendo aqui um elo de liga o com a rea axial de Ci ncia da Informa o Comportamento Informacional Agora altura de questionar qual a rela o entre o processo Info Comunicacional e a Preserva o e Conserva o e mais concretamente com a Seguran a da In
130. sas ideias e emo es entre seres humanos comunicar E identifica um objecto cient fico a saber conjunto estruturado de representa es mentais e emocionais codificadas signos e s mbolos e modeladas com pela interac o social pass veis de serem registadas num qualquer suporte material papel filme banda magn tica disco compacto etc e portanto comunicadas de forma ass ncrona e multi direccionada Um objecto cient fico assim concebido demarca se claramente da tend ncia que se foi generalizando a partir de meados de novecentos de espalhar 15 Faculdade d Universidade do Porto i FLUP Letras Seguran a da Informa o o conceito da imprensa biologia e das defini es que se multiplicaram sob a gide da teoria matem tica da transmiss o de sinais gen rica e abusivamente conhecida por teoria da informa o de Shannon e Weaver n o obstante todo um esfor o feito para aplic la com proveito no campo das Ci ncias Sociais e mais especificamente na ci ncia da comunica o Mas como advertiu implicitamente Anthony Wilden a dimens o simb lica e humana do conceito Informa o n o redut vel dimens o f sica e quantitativa qual se refere a teoria de Shannon Relacionar a exist ncia de informa o com a redu o da incerteza n o permite captar a complexidade introduzida pelas ambiguidades do sentido e da interpreta o que est o no mago do fen meno info comunicacional Vivemos num
131. ser controlado Quando houver uma necessidade de fornecer acesso a terceiros para garantir a concretiza o de um neg cio dever em primeiro lugar efectuada uma avalia o de riscos para determinar as implica es de seguran a e as exig ncias Os controlos devem ser acordados e definidos atrav s de um contrato com a terceira parte Outsourcing Z O objectivo do Outsourcing o de manter a seguran a da informa o quando a responsabilidade pelo processamento da informa o tiver sido terceirizada com outra organiza o Os acordos de outsourcing devem tratar dos riscos controlos de seguran a e procedimentos para os sistemas de informa o ambientes de rede e ou desktop no contrato entre as partes Os requisitos de seguran a de uma organiza o que terceiriza a gest o e o controlo de todos ou alguns dos sistemas de informa o ambientes de redes e ou ambientes de desktop 35 Faculdade de Letras Universidade do Porto FLUP Seguran a da Informa o devem ser tratados num contrato acordado entre as partes que deve mencionar como exig ncias legais a serem satisfeitas 6 1 3 Classifica o e controlo dos bens Responsabilidade pelos bens O objectivo de manter uma protec o apropriada para os bens organizacionais Todos os bens de informa o mais importantes devem ter um propriet rio nominal respons vel por eles A responsabilidade pelos bens ajuda a assegurar que seja mantida
132. sistemas aplicativos Controlos apropriados e audit trails ou logs de actividades devem ser projectados nos sistemas aplicativos incluindo aplicativos escritos pelos utilizadores A entrada de dados para os sistemas aplicativos deve ser validada para garantir que est correcta e apropriada E devem ser efectuadas verifica es entrada de transac es comerciais dados de registo e tabelas de par metros Dados que foram correctamente introduzidos podem ser corrompidos por erros de processamento ou atrav s de actos deliberados O projecto das aplica es deve assegurar que sejam implementadas restri es para minimizar o risco de falhas de processamento que levem a 46 Faculdade se Petras Universidade do Porto FLUP Seguran a da Informa o uma perda de integridade Os controlos exigidos depender o da natureza do aplicativo e do impacto nos neg cios causados por quaisquer dados corrompidos A autentica o de mensagens uma t cnica usada para detectar altera es n o autorizadas dos conte dos de uma mensagem transmitida electronicamente Ela pode ser implementada em hardware ou software que suporte um dispositivo f sico de autentica o de mensagens ou um algoritmo de software A autentica o de mensagens deve ser considerada para aplicativos onde exista uma necessidade de seguran a para proteger a integridade do conte do das mensagens A sa da de dados de um sistema aplicativo deve ser validada para gara
133. tema em causa dirigindo essa pesquisa sempre que poss vel Essa pesquisa tem de ser realizada no prazo m ximo de 30 dias ap s a sua determina o A pesquisa pode ser feita pela pol cia criminal sem autoriza o pr via da autoridade judici ria quando se verificarem as seguintes condi es 1 For livremente consentida pela entidade que dispuser ou controlar os dados sendo documentado esse consentimento 2 Em caso de terrorismo criminalidade violenta ou organizada havendo suspeitas fundamentadas da pr tica de crime colocando em risco a vida ou a integridade das pessoas 71 Faculdade geleiras Universidade do Porto FLUP Seguran a da Informa o Confisca o de dados inform ticos No decurso de uma investiga o quando forem encontrados dados ou documentos inform ticos necess rios produ o de prova para descobrir a verdade a autoridade competente autoriza ou ordena a confisca o dos mesmos Em caso de urg ncia ou de risco percebido na demora podem ser feitas confisca es sem autoriza o pr via da autoridade judici ria No caso de constar informa o privada nos dados ou documentos apreendidos estes s o apresentados ao Juiz que determinar se devem ou n o ser adicionados aos autos As confisca es efectuadas pela pol cia criminal t m de ser validadas em 72 horas Os dados inform ticos podem ser confiscados das seguintes formas apreens o do suporte de instala o do sistema ou do arma
134. ternet Retrieved 2010 e 2004 Inc ndio destroi patrim nio da humanidade DW WORLD DE B2B e 2009 Guia Pr tico para a Internet e as Novas Tecnologias Internet e Novas Tecnologias 16 e Departamento de Ci ncia da Informa o C d C J e E UFES Universidade Federal do Esp rito Santo and F F d L d U d P Sec o Aut noma de Jornalismo e Ci ncias 19 Faculdade deetras Universidade do Porto FLUP Seguran a da Informa o da Comunica o Ci ncia da Informa o Dicion rio Electr nico de Ci ncia da Informa o Departamento de Ci ncia da Informa o C d C J e E UFES Universidade Federal do Esp rito Santo and F F d L d U d P Sec o Aut noma de Jornalismo e Ci ncias da Comunica o Dicion rio Electr nico de Ci ncia da Informa o Dep sitos C G d Gloss rio de Seguran a 2010 from http www cgd pt Seguranca Glossario Pages Seguranca Glossario aspx ISO 2005 ISO 17799 Su a ISO 17799 ISO 2005 ISO 27001 Su a ISO 27001 Cicco F 2006 ISO TEC 27001 na opini o de um especialista 3 Laureano M A P 2005 Gest o de Seguran a da Informa o 132 Yoo Don Young Shin Jong Whoi Lee Gang Shin et al 2007 Improve of Evaluation Method for Information Security Levels of CIIP Critical Information Infrastructure Protection PROCEEDINGS OF WORLD ACADEMY OF SCIENCE ENGINEERING AND TECHNOLOGY 6
135. tilizados e armazenados localmente ou transmitidos entre os utilizadores atrav s de uma rede sendo o tipo de protec o mais utilizada a protec o criptogr fica importante referir que as aplica es de seguran a v o sofrendo uma evolu o proporcional ao aumento da complexidade dos ataques no entanto est o sempre a surgir novos tipos de ataques e as aplica es actuais muitas vezes j n o est o altura desses ataques pelo que necess rio estar sempre na vanguarda 6 Normaliza o da informa o 6 1 Norma ISO 17799 Esta norma est organizada estruturada nos seus pontos essenciais da forma apresentada imediatamente a seguir 6 1 1 Pol tica de seguran a O Objectivo da Pol tica de Seguran a da Informa o de dar apoio gest o para a seguran a da informa o gi In Main A 2004 Application Security Building in Security during the Development Stage Information Security Journal 13 2 7 32 Faculdade de Petras Universidade do Porto FLUP Seguran a da Informa o A gest o deve estabelecer uma direc o pol tica clara e demonstrar suporte e compromisso com a seguran a da informa o atrav s da emiss o e manuten o de uma pol tica de seguran a da informa o para toda a organiza o Um documento com a pol tica de seguran a da informa o deve ser aprovado publicado e divulgado conforme apropriado para todos os empregados Ele deve declarar o comprom
136. u de partes que a comp em O Sistema de Gest o de Seguran a da Informa o tem como fun o assegurar a selec o de controlos de seguran a adequados protec o do acesso informa o e manuten o da confidencialidade das partes interessadas necess rio justificar qualquer exclus o de controlos determinada como necess ria para satisfazer os necess rios crit rios de aceita o de risco e tem de ser provado que os riscos associados s o aceites pelas pessoas implicadas 6 3 4 Sistemas de Gest o de Seguran a da Informa o Os sistemas de gest o da seguran a da informa o s o colocados em pr tica atrav s do ja especificado Plan Do Check Act Estabelecimento e gest o do SGSI 1 a Estabelecendo o SGSI O primeiro passo sem d vida a implementa o do Sistema de Gest o de Seguran a da Informa o Para isso a organiza o deve proceder realiza o de algumas etapas a saber a DEFINIR A COBERTURA E AS DELIMITA ES DO SISTEMA DE GEST O DE SEGURAN A DA INFORMA O no que respeita caracteriza o do neg cio organiza o sua localiza o tecnologia acessos informa o eventuais detalhes considerados relevantes e se for caso disso as exclus es feitas cobertura da Norma acompanhadas da respectiva justifica o b DEFINIR UMA POL TICA DE SISTEMAS DE GEST O DA INFORMA O com nfase em pontos como caracter sticas do neg cio da organiza o sua localiza
137. ultima 13 Faculdade geleiras Universidade do Porto FLUP Seguran a da Informa o dimens o mas nem por isso a menos importante diz respeito ao conte do da mensagem ao c digo e aos caracteres utilizados uma vez que tem como meta determinar avaliar a relev ncia da mensagem para verificar se justific vel a sua preserva o Por exemplo que tipo de informa o ser mais importante preservar uma conversa de circunst ncia no msn ou um ficheiro recebido com o nosso extracto banc rio Em qual destes casos seria mais prejudicial a deteriora o ou at mesmo viola o da informa o Como se relacionam entre si as varias dimens es Todas as dimens es que comp em o objecto digital est o intimamente relacionadas sen o vejamos embora o c digo utilizado na dimens o l gica n o esteja necessariamente vinculado a um suporte f sico espec fico est dependente do tipo de suporte utilizado Por sua vez o conte do significado da informa o dimens o conceptual tem uma rela o directa com os caracteres ou c digo utilizado e por ltimo a dimens o essencial como j foi previamente referido est intimamente relacionada com todas as outras dimens es Sob o ponto de vista da Ci ncia da Informa o a Preserva o da Informa o em formato digital feita em dois n veis a n vel estrat gico e de gest o e a n vel operacional O n vel estrat gico e de gest o compreende a Introdu o de p
138. uma protec o adequada Os propriet rios devem ser identificados para todos os bens importantes e a responsabilidade pela manuten o dos controlos apropriados deve ser atribu da A responsabilidade pela implementa o dos controlos pode ser delegada A responsabilidade final deve permanecer com o propriet rio do bem Um invent rio dos bens ajuda a assegurar que ocorra uma protec o efectiva dos bens e tamb m pode ser exigido para outros fins do neg cio tais como raz es de higiene e seguran a seguros ou motivos financeiros O processo de compilar um invent rio de bens um aspecto importante da administra o de riscos Uma organiza o deve ser capaz de identificar os seus bens bem como a import ncia e o valor relativos desses bens Baseada nessas informa es uma organiza o pode ent o prover n veis de protec o proporcionais ao valor e import ncia dos bens Classifica o da informa o O objectivo garantir que os bens de informa o recebam um n vel de protec o adequado As informa es devem ser classificadas para indicar a necessidade as prioridades e o grau de protec o As informa es apresentam graus vari veis de susceptibilidade e de cr tica Alguns itens podem exigir um n vel adicional de protec o ou tratamento especial Um sistema de classifica o da informa o deve ser usado para definir um conjunto apropriado de n veis de protec o e comunicar a necessidade de medidas de tratame
139. ureza do plano de recupera o espec fico Os planos para continuidade do neg cio devem passar por revis es e actualiza es regulares para garantir uma efic cia continuada Devem ser inclu dos procedimentos dentro do programa de gest o de mudan as da organiza o para garantir que as quest es relacionadas com a continuidade do neg cio s o tratadas adequadamente Deve ser atribu da responsabilidade pelas revis es regulares de cada plano para continuidade do neg cio a identifica o de mudan as nos arranjos comerciais ainda n o 50 Faculdade de Letras Universidade do Porto FLUP Seguran a da Informa o reflectidas nos planos para continuidade do neg cio deve ser seguida por uma actualiza o adequada do plano 6 1 10 Obedi ncia a exig ncias Obedi ncia s exig ncias legais O objectivo evitar a infrac o de qualquer lei civil e criminal estatut ria regulamentadora ou de obriga es contratuais e de quaisquer requisitos de seguran a O projecto opera o uso e gest o de sistemas de informa o podem estar sujeitos a exig ncias de seguran a estatut rias regulamentadoras e contratuais Deve ser procurado aconselhamento sobre exig ncias legais espec ficas com os consultores jur dicos da organiza o ou profissionais adequadamente qualificados As exig ncias da legisla o variam de pa s para pa s e de acordo com a informa o gerada num pa s e transmitida para outro pa s
140. vitar a penetra o de programas espi es como programas de Spyware e de Adware 3 2 5 Controlo de acesso pelos servidores Basicamente o controlo de acesso informa o privada garantido pelo servidor de rede 3 2 6 Detec o de Intrus es sistema IDS Um sistema IDS um sistema que tem como objectivo localizar e detectar intrus es muito importante ter um sistema de Detec o de Intrus es seguro uma vez que se algum hacker detectar um sistema de IDS numa determinada rede este ser o seu primeiro alvo de ataque Para isso devem ser estudadas todas as possibilidades para a sua escolha instala o e configura o 3 2 7 Cifra A cifra um algoritmo utilizado para a encripta o de dados permitindo codific los tornando os assim inacess veis para a maioria das pessoas e leg veis apenas para as pessoas que 27 Spee r 3 s 5 conhe am a chave A certifica o digital que se ver mais frente serve se da tecnologia de criptografia assim trica 3 2 8 Wireless espec fico A utiliza o de wireless espec fico torna mais segura a transfer ncia de informa o entre computadores pertencentes mesma rede 3 2 9 Biometria inform tica No combate fuga da informa o muito importante conseguir identifica es fi veis dos colaboradores das organiza es ou das pessoas que t m acesso a determinados tipos de servi os Para isso existem j tecnologias de informa o muito desenvolvida
141. vo proteger a integridade de softwares e informa o Essas precau es s o necess rias para impedir e detectar a introdu o de softwares maliciosos Os utilizadores devem ser consciencializados dos perigos relacionados com software malicioso ou n o autorizado e os gestores devem quando necess rio implementar controlos especiais para detectar ou impedir a sua introdu o Devem ser implementados controlos para detec o e preven o contra softwares maliciosos e procedimentos apropriados para consciencializar os utilizadores A protec o contra software malicioso deve ser baseada na consciencializa o sobre seguran a acesso apropriado ao sistema e controlos para gest o de altera es Housekeeping O objectivo manter a integridade e a disponibilidade dos servi os de processamento de informa o e comunica es Devem ser executadas regularmente c pias backup dos softwares e das informa es essenciais para o neg cio Gest o de redes O objectivo assegurar a salvaguarda de informa o em redes de computadores e a protec o da infra estrutura de apoio A gest o da seguran a em redes que pode ultrapassar as fronteiras da organiza o exige aten o Diversos controlos s o necess rios para obter e manter a seguran a em redes de computadores Os gestores de redes devem implementar controlos para garantir a seguran a dos dados nas redes e a protec o de servi os que se utilizam nas redes contra acesso
142. volvida Esse c digo permitir provar a identidade dos envolvidos de uma forma segura No que consiste Integridade da informa o um bom certificado digital deve permitir a detec o de eventuais altera es da informa o por parte de terceiros Quanto ao reconhecimento da origem atrav s de um certificado digital dever ser poss vel determinar a autenticidade da origem da mensagem Quanto aceita o das mensagens deve ser poss vel rejeitar automaticamente as mensagens fraudulentas e aceitar as mensagens aut nticas De uma forma geral a certifica o digital utilizada para transmitir documentos electr nicos atrav s de uma rede tendo a garantia de que s o cumpridos todos os crit rios de seguran a 4 2 PKI como funciona S o atribu dos dois c digos chaves a cada utilizador uma chave privada e uma chave p blica Essas duas chaves est o associadas entre si atrav s de uma fun o matem tica n o sendo poss vel a obten o de uma chave p blica atrav s de uma chave privada ou vice versa Enquanto a chave p blica disponibilizada a todos apenas o pr prio utilizador conhece a sua chave privada Os dados codificados na chave p blica est o descodificados na chave privada e vice versa 4 2 1 Como tudo se processa Atrav s de uma sequ ncia de bytes o ficheiro emitido e assinado digitalmente pela entidade de certifica o estabelecendo uma liga o chave p blica de modo a que a identidade do
143. zenamento dos dados inform ticos tal como dos dispositivos que a respectiva leitura requer realiza o de uma c pia dos dados anexada posteriormente ao processo apenas a preserva o tecnol gica da integridade dos dados e elimina o irrevers vel ou bloqueio de dados Deten o do correio electr nico e registo das comunica es de natureza similar Pode ser autorizada ou ordenada pelo juiz a apreens o de emails ou comunica es de natureza similar que possam ser importantes para o apuramento da verdade ou para a produ o de prova Interceptar as comunica es Podem ser interceptadas as comunica es em crimes previstos na lei Cometidos atrav s de um sistema inform tico ou quando se verifica a necessidade de recolher prova em suporte electr nico Ac es dissimuladas Em alguns casos poss vel o recurso a ac es dissimuladas seguem se alguns desses casos crimes cometidos atrav s de um sistema inform tico pun veis com pena de pris o superior a cinco anos ou que atentem contra a liberdade e auto determina o sexual no caso de menores ou incapazes burla qualificada burla inform tica e nas telecomunica es descrimina o fraudes econ mico financeiras e crimes constantes do C digo de Direitos de Autor e Direitos Conexos Coopera o internacional A coopera o internacional tem o objectivo de realizar investiga es ou procedimentos associados a crimes associados a sistemas ou dados inform t
Download Pdf Manuals
Related Search