Professional Documents
Culture Documents
DE TECNOLOGIAS
Campinas, 2004
PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS
GRÃO-CHANCELER
Dom Bruno Gamberini
MAGNÍFICO REITOR
Prof. Pe. José Benedito de Almeida David
VICE-REITOR
Prof. Pe. Wilson Denadai
v
SUMÁRIO
Índice dos capítulos
1. Introdução ...............................................................................……….....................008
5. Conclusão.............................................................................................................................023
6. Referências bibliográficas..................................................................................................024
vi
Lista de Figuras
Figura 1 - Conceitos Básicos da Segurança da Informação.................................................012
vii
1
Introdução
Com o avanço da tecnologia e o custo cada vez menor do acesso a Internet, é realidade
dizer que existem mais usuários conectados a rede, e por esse motivo é maior a exposição
das organizações, tornando necessário que seja investido em tecnologias como
equipamentos que garantam a segurança dos negócios, porém mesmo com esses
equipamentos ainda não é eficaz a segurança da informação.
Invasão de hacker, espionagem industrial, é cada vez mais fácil enviar as informações
ou mesmo torná-las indisponível. Sempre houve a preocupação em adquirir novos
equipamentos de segurança, mas não se imaginava que o ser humano é um sistema de
informação e que pode transportar essas informações. Por esse motivo é necessária uma
norma que possa implementar a partir da alta direção, uma política de segurança na
organização. Mas como fazer isso?
É possível ter uma rede de computadores totalmente segura em uma organização?
Serão abordados neste trabalho quais são as melhores práticas de segurança da
informação em redes de computadores aplicando a NBR ISO/IEC 17799:2001.
A metodologia utilizada é através da interpretação e utilização das diretrizes da NBR
ISO/IEC 17799:2001 e pesquisa de livros de Gerenciamento de Tecnologia da Informação
e Gestão de Segurança.
O tema gerenciamento da segurança de informação em redes de computadores é de
extrema importância na atualidade, com o aumento expressivo de negócios realizados por
meios de comunicação e os altos investimentos e lucros obtidos é obrigatório que as
organizações mantenham a comunicação entre seus clientes e fornecedores, sempre
disponibilizadas, integras e confiáveis.
Este trabalho está organizado em 6 capítulos fornecendo todo o conteúdo teórico para
a utilização das diretrizes de segurança.
O capitulo dois apresenta as informações teóricas para o entendimento das diretrizes, é
neste capítulo que está definido o que é informação, o porque da segurança da informação
e quais os seus controles de segurança.
O capitulo três apresenta as conformidades da NBR ISO/IEC 17799:2001, o
framework da Norma Britânica BS7779 e como criar a política de segurança da
informação na organização.
O capitulo quatro apresenta as diretrizes da NBR ISO/IEC 17799:2001 relativo à
segurança da informação nas redes de computadores, os controles de acesso e os controles
criptográficos.
O capitulo cinco apresenta a conclusão do trabalho e o porque de utilizar a política e
as diretrizes de segurança.
8
O capitulo seis apresenta as referencias bibliográficas de onde foram baseadas e
retiradas às informações deste trabalho.
9
2
Gestão de Tecnologia da Informação e
Segurança da Informação
10
Integridade – Toda a Informação deve ser mantida na mesma condição em que
foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações
indevidas, intencionais ou acidentais.
Confiabilidade
Integridade
Disponibilidade
Segurança da Informação
Ativo
O termo “ativo” possui esta denominação, oriunda da área financeira, por ser
considerado em elemento de valor para o individuo ou organização, e que, por
esse motivo, necessita de proteção adequada.
11
2.2. Por que é necessária a segurança da informação
A informação e os processos de apoio, sistemas e redes são importantes ativos e
também, estratégicos para os negócios. Confiabilidade, integridade e disponibilidade, são
características chave para a segurança da informação, é através dessas características que é
possível preservar a competitividade, o faturamento, a lucratividade, o atendimento aos
requisitos legais e a imagem da organização no mercado.
As organizações estão extremamente preocupadas com a segurança nos sistemas de
informação e redes de computadores, esses tipos de ameaças à segurança podem acarretar
em enormes prejuízos aos negócios, são utilizadas variedades de fontes como, fraudes
eletrônicas, espionagem, sabotagem, entre outras.
É necessário garantir a confiabilidade e segurança de suas transações e combater os
ataques causados por vírus, hackers, e ataques de “denial of service1”, que estão se
tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados.
A dependência nos sistemas de informação e serviços significa que as
organizações estão cada vez mais vulneráveis às ameaças de segurança. A
interconexão de redes públicas e privadas e o compartilhamento de recursos de
informação aumentam a dificuldade de se controlar o acesso. A tendência da
computação distribuída dificulta a implementação de um controle de acesso
centralizado realmente eficiente.(ISO/IEC 17799, 2001, p. 2).
Muitos sistemas de informação não foram projetados para garantir a segurança, pelo
motivo que esses sistemas foram desenvolvidos em uma época em que não existia a
interconexão das redes de computadores. A segurança que pode ser alcançada por meios
técnicos é limitada e convém que seja apoiada por uma gestão e procedimentos
apropriados. É necessário escolher controles que permitam a implantação da segurança,
mas para que os resultados sejam alcançados é necessária à participação de todos os
funcionários da organização, e possivelmente a participação dos fornecedores, clientes e
acionistas.
Os controles de segurança da informação são consideravelmente mais baratos e mais
eficientes se forem incorporados nos estágios do projeto e da especificação dos requisitos.
1
Denial of Service: ou DoS é uma técnica que consiste em dificultar ou impedir o bom funcionamento de um
serviço de Internet, através de um grande volume de requisições de serviço para esse servidor.
12
A terceira fonte são as particularidades da organização, objetivos e requisitos
para o processamento da informação que uma organização tem que se
desenvolver para apoiar suas operações.(ISO/IEC 17799, 2001, p. 2).
13
CobiT2, o Technical Report 13335 ou, ainda, normas específicas como a de cabeamento
estruturado EIA/TIA586A.
O universo de controles aplicáveis é enorme, pois estamos falando de mecanismos
destinados à segurança física, tecnológica e humana. Se pensarmos no “peopleware”, ou
seja, no capital humano como um dos elos mais críticos e relevantes para a redução dos
riscos, temos alguns controles como: Seminários de sensibilização, Cursos de capacitação,
Campanhas de divulgação da política de segurança, Crachás de identificação,
Procedimentos específicos para demissão e admissão de funcionários, Termo de
responsabilidade, Termo de confiabilidade, Softwares de auditoria de acessos, Softwares
de monitoramento e filtragem de conteúdo etc...
Muitos controles humanos citados interferem direta ou indiretamente no ambiente
físico, mas este deve receber a implementação de um outro conjunto de mecanismos
voltados a controlar o acesso e as condições de ambientes físicos, sinalizando registrando,
impedindo e autorizando acessos e estados, dentre os quais podem ser utilizados: Roletas
de controle de acesso físico, Climatizadores de ambiente, Detectores de fumaça,
Acionadores de água para combater o incêndio, Extintores de incêndio, Cabeamento
estruturado, Salas-cofre, Dispositivos biométricos, Smartcards, Certificados Digitais de
Token, Circuitos internos de televisão, Alarmes e sirenes, Dispositivos de proteção física
de equipamentos, Nobreaks, Dispositivos de armazenamento de mídia magnética,
Fragmentadores de papel, Etc.
Assim como ocorre com os controles físicos e humanos, a lista dos dispositivos
aplicáveis aos ativos tecnológicos é extensa; afinal, além da diversidade e heterogeneidade
de tecnologias, ainda temos que considerar a velocidade criativa do setor que nos apresenta
uma nova ferramenta ou equipamento praticamente a cada dia.Os instrumentos aplicáveis
aos ativos tecnológicos podem ser divididos em três famílias.
Autenticação e autorização
Destinados a suprir os processos de identificação de pessoas, equipamentos, sistemas e
agentes em geral, os mecanismos de autenticação mostram-se fundamentais para os atuais
padrões de informação, automação e compartilhamento de informações. Sem identificar a
origem de um acesso e seu agente, torna-se praticamente inviável realizar autorizações
condizentes com os direitos de acesso, podendo levar a empresa a compartilhar
informações valiosas sem controle.
Combate a ataques e invasões
Destinados a suprir a infra-estrutura tecnológica com os dispositivos de software e
hardware de proteção, controle de acesso e conseqüente combate a ataques e invasões, esta
família de mecanismos tem papel importante no modelo de gestão de segurança, à medida
que as conexões eletrônicas e tentativas de acesso indevido crescem exponencialmente.
Privacidade das comunicações
É inevitável falar de criptografia quando o assunto é privacidade das comunicações. A
criptografia é uma ciência que estuda os princípios, meios e métodos para proteger a
confiabilidade das informações através da codificação ou processo de cifração e que
2
CobiT (Control Objectives for Information and related Tecnhology), modelo utilizado para verificar a
governança de Tecnologia da Informação em uma organização.
14
permite a restauração da informação original através do processo de
decifração.Largamente aplicada na comunicação de dados, esta ciência utiliza algoritmos
matemáticos e da criptoanálise, para conferir maior ou menor proteção de acordo com a
sua complexidade e estrutura de desenvolvimento. Quando vemos software de criptografia
de mensagem ou, por exemplo, aplicações que adotam criptografia, estamos diante de
situações em que a ciência foi empregada e materializada em forma de programas de
computador.
15
b) um enfoque para a implementação da segurança que seja consistente com a cultura
organizacional;
c) comprometimento e apoio visível da direção;
d) um bom entendimento dos requisitos de segurança, avaliação de risco e
gerenciamento de risco;
e) divulgação eficiente da segurança para todos os gestores e funcionários;
f) distribuição das diretrizes sobre as normas e política de segurança da informação
para todos os funcionários e fornecedores;
g) proporcionar educação e treinamento adequados;
h) um abrangente e balanceado sistema de medição, que é usado para avaliar o
desempenho da gestão de segurança da informação e obtenção de sugestões para a
melhoria.
16
3
Conformidade com a Norma ISO/IEC 17799:2001
3
É a primeira parte da norma, já homologada. Contém uma introdução, definição de extensão e condições
principais de uso da norma. Disponibiliza 148 controles divididos em dez partes distintas. É planejado como
um documento de referência para implementar "boas práticas" de segurança na empresa.
17
Pessoas, a Segurança Física e do Ambiente, o Gerenciamento das Operações e
Comunicações, o Controle de Acesso, o Desenvolvimento e Manutenção de Sistemas, a
Gestão da Continuidade do Negócio e a Conformidade.
As seis fases principais para que se possa alcançar a certificação, se iniciam na:
19
4
Gerenciamento de Segurança de Redes de
Computadores
5
Interconexão de Redes Locais em regiões demográficas diferentes.
6
Comércio, venda e compra de produtos e serviços utilizando a Internet como meio.
20
d) Deve ser cuidadosamente gerenciada as atividades para otimizar os serviços
prestados, e garantir que os controles sejam aplicados de forma consistente por toda a
infra-estrutura de processamento de informação.
22
5
Conclusão
23
6
Referências Bibliográficas
SÊMOLA, M. Gestão da Segurança da Informação – Uma visão executiva. 3. Ed. Rio
de Janeiro: Elsevier, 2003. 160p.
DE SORDI, J.O. Tecnologia da Informação Aplicada aos Negócios. 1. Ed. São Paulo:
Atlas, 2003. 185p.
NICCOLAI, M.; BEZERRA, M.; VERAS, F. Tudo pela Segurança da Informação. São
Paulo, Junho. 2004. Disponível em: <http://www.nextgenerationcenter.com/br/>. Acesso
em: 02 Jun. 2004.
VIEIRA, S. Segurança da Informação com selo de qualidade. São Paulo, Junho. 2004.
Disponível em: <http://www.nextgenerationcenter.com/br/>. Acesso em: 02 Jun. 2004.
24