FACULDADE DE TECNOLOGIA DO NORDESTE SEGURANA DE SISTEMAS ADS-04 Professor Izequiel

CSC AUDITORIA

Auditores: FRANCISCO WAGNER COSTA KLAUS FISCHER GOMES SANTANA RAFAEL ARAUJO DE FREITAS MARCOS MEIRELES SERGIO ANDRADE

Fortaleza, novembro de 2011

SUMRIO
1. APRESENTAO ............................................................................................................. 3 2. INTRODUO................................................................................................................... 3 2.1 O que Informao ..................................................................................................... 3 2.2 O que Segurana ...................................................................................................... 3 2.3 O que Segurana da Informao .............................................................................. 4 2.4 Como Garantir a Segurana das Informaes ............................................................. 4 3. OBJETIVOS....................................................................................................................... 5 4. ABRANGNCIA................................................................................................................. 5 4.1 Identificao das necessidades de segurana da Organizao ................................... 5 4.2 Recomendao de controles e medidas de proteo emergenciais adequados .......... 6 5. METODOLOGIA ................................................................................................................ 6 6. EQUIPE DE AUDITORIA ................................................................................................... 6 7. ANLISE GERAL DE SEGURANA ................................................................................. 7 7.1 Segurana Tecnolgica ............................................................................................... 7 7.1.1 Sistema de Anti-Vrus ............................................................................................ 7 7.1.2 Controle da Internet............................................................................................... 7 7.1.3 Controle dos Notebooks ........................................................................................ 8 7.1.4 Atualizao Peridica dos Softwares..................................................................... 8 7.1.5 Checagem Peridica de Vulnerabilidades ............................................................. 8 7.1.6 Equipe ou Profissional Responsvel pela Segurana............................................ 8 7.1.7 Teste de Invaso Interno e Externo Peridico ....................................................... 8 7.1.8 Anlise de Senhas para a Rede e de Senhas Pessoais ........................................ 8 7.2 Segurana Organizacional ........................................................................................... 8 7.2.1 Anlise das Necessidades e Procedimentos Utilizados pela Organizao ............ 9 7.2.2 Identificao dos Processos Crticos ..................................................................... 9 7.2.3 Classificao da Informao ................................................................................. 9 7.2.4 Existncia e conformidade de normas, prticas, polticas e procedimentos para tcnicos e usurios ...................................................................................................... 10 7.2.4.1 Definio de um plano de testes de recuperao a desastres ou teste do plano de contingncia .............................................................................................. 10 7.3 Segurana Fsica ....................................................................................................... 10 7.3.1 Controle de Acesso Fsico ................................................................................... 10 7.3.2 Energia Eltrica ................................................................................................... 10 7.3.3 Deteco e Combate a Incndios........................................................................ 11 7.3.4 Backup e armazenamento de mdias .................................................................. 11 7.4 Resumo das Ameaas e Riscos Atuais ...................................................................... 11 7.4.1 Principais Riscos Identificados ............................................................................ 11 7.4.2 Principais Falhas Encontradas ............................................................................ 11 8. CONCLUSO .................................................................................................................. 12 9. RECOMENDAES ....................................................................................................... 12 9.1 Implantao do Plano de Ao Emergencial .............................................................. 12 9.2 Regularizao da Instalao Eltrica ......................................................................... 13 9.3 Instalao de Cabeamento Estruturado ..................................................................... 13 9.4 Normatizao dos Equipamentos de Informtica ....................................................... 13 9.5 Estruturao da Rede Local ....................................................................................... 13 10. CONSIDERAES FINAIS ........................................................................................... 13 11. ANEXO Checklist ........................................................................................................ 15

CSC Auditoria

1. APRESENTAO

A presente auditoria, realizada pela Empresa CSC Auditoria, formada por alunos do Curso Superior de Tecnologia em Anlise e Desenvolvimento de Sistemas, disciplina de Segurana de Sistemas, da Faculdade de Tecnologia do Nordeste FATENE, tem a finalidade de aplicar os conhecimentos e conceitos adquiridos para estudar e analisar os processos relativos Tecnologia da Informao da Empresa R&L Extintores Ltda, e ao seu trmino sugerir por meio deste relatrio, conforme diagnstico obtido, melhorias nos processos gerenciais e operacionais da Empresa auditada no tocante a Tecnologia da Informao, doravante denominada TI.

2. INTRODUO

Para a correta evoluo no entendimento do trabalho, enfatizamos aqui alguns conceitos bsicos:

2.1 O que Informao

Existem diversas definies para informao, a que melhor se adapta ao caso, a definio do British Standards Institute, descrita abaixo: Informao um recurso que, como outros importantes recursos de negcios, tem valor a uma organizao e por conseguinte precisa ser protegido adequadamente [BS 7799 -1: 1999, British Standards Institute].

2.2 O que Segurana

A melhor definio para segurana pode ser obtida atravs do Dicionrio Aurlio, conforme descrito abaixo:

CSC Auditoria

segurana. S. f. 2. Estado, qualidade ou condio de seguro. 3. Condio daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convico. seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, garantido. 8. Em quem se pode confiar. 9. Certo, indubitvel, incontestvel. 10. Eficaz, eficiente. [Dicionrio Aurlio]

2.3 O que Segurana da Informao

A Segurana da Informao protege a informao de uma gama extensiva de ameaas para assegurar a continuidade dos negcios, minimizar os danos organizacionais e maximizar o retorno em investimentos e oportunidades. A Segurana da Informao caracterizada pela preservao da confidencialidade, integridade e disponibilidade. [BS 7799 -1: 1999, British Standards Institute] Para garantir a Segurana da Informao, necessrio que os seguintes princpios bsicos sejam respeitados: Confidencialidade: assegurar que a informao ser acessvel somente por quem tem autorizao de acesso; Integridade: assegurar que a informao no foi alterada durante o processo de transporte da informao; Disponibilidade: assegurar que usurios autorizados tenham acesso a informaes e a recursos associados quando requeridos. Recentemente, esto sendo abordados mais dois conceitos:

Autenticidade e Legalidade.

2.4 Como Garantir a Segurana das Informaes

Foram criados diversos mecanismos de proteo, que somente tornam-se efetivos, se forem devidamente conjugados de acordo com a necessidade e infraestrutura tecnolgica de cada organizao. Para garantir a segurana a nveis aceitveis, necessrio conhecer e corrigir as vulnerabilidades presentes tanto no ambiente tecnolgico, como no
4

CSC Auditoria

organizacional. Alm disso, deve-se implementar uma poltica de segurana eficiente, que discipline os acessos aos recursos, possua atualizao constante e gerenciamento sistmico, pois solues isoladas apenas criam um falso ar de segurana. O processo necessrio para salvaguardar informaes composto de trs etapas: anlise das vulnerabilidades, implantao e manuteno contnua de segurana. O presente instrumento enquadra-se na primeira etapa.

3. OBJETIVOS

Dentro do escopo da inspeo tcnica em segurana da informao no que tange a Empresa auditada, foram estabelecidos os seguintes objetivos: Anlise da atual estrutura de TI (parque tecnolgico); Anlise dos processos realizados pela Empresa com recursos de TI; Anlise dos sistemas de TI utilizados pela a Empresa.

4. ABRANGNCIA

4.1 Identificao das necessidades de segurana da Organizao

Verificao dos riscos da organizao, onde as ameaas aos patrimnios so identificadas, vulnerabilidades e ameaas so avaliadas. Verificao do conjunto de princpios, objetivos e necessidades para o processamento de informaes. Identificao das necessidades bsicas contratuais, de polticas definidas, processos documentados e regulamentos entre a organizao, seus parceiros, colaboradores, contratados e provedores de servio.

CSC Auditoria

4.2 Recomendao de controles e medidas de proteo emergenciais adequados

Um ou mais mecanismos de controle ou de proteo adequados so associados cada ameaa grave, identificada na fase de anlise de segurana e processos, para garantir que os riscos sero reduzidos a um nvel aceitvel. Esta seleo baseada na criticidade da vulnerabilidade, em relao reduo dos riscos, e levando-se em considerao as perdas potenciais.

5. METODOLOGIA

Para o trabalho em questo, foi aplicada uma metodologia, centrada na anlise de vulnerabilidades, para atender os requisitos de eficincia e tempo. Baseando-se na norma ISO/IEC 27001, dentre todos, foram escolhidos os seguintes pontos de controle: Segurana fsica; Confidencialidade; Obedincia legislao em vigor; Eficincia e eficcia; Fidelidade e integridade da informao em relao ao dado.

6. EQUIPE DE AUDITORIA

Francisco Wagner Costa Moreira; Klaus Fischer Gomes Santana; Rafael Arajo de Freitas; Srgio Andrade Silva; Marcos da Silva Meireles.

CSC Auditoria

7. ANLISE GERAL DE SEGURANA

7.1 Segurana Tecnolgica

Verificar nvel de segurana das estaes de trabalho, dispositivos mveis e servios disponveis, que esto diretamente relacionados com os sistemas de misso crtica, checando vulnerabilidades e configuraes dos mesmos. Outros equipamentos como modem, roteador, firewall, testados, que tambm podem causar srio impacto na continuidade das operaes, no foram checados devido ao curto perodo de tempo disponvel. Com os procedimentos adotados, ficou constatado que a ausncia de profissionais especialistas em segurana da informao, bem como a falta de dispositivos tecnolgicos adequados, e principalmente normas de trabalho seguras, culminou no quadro que vamos desenhar: Todos os equipamentos analisados apresentaram mltiplas vulnerabilidades consideradas crticas no mais alto nvel; Em todas as mquinas, tinha pelo menos uma vulnerabilidade que habilitava o invasor a ter acesso irrestrito ao equipamento; As vulnerabilidades encontradas so consideradas primrias para qualquer especialista em segurana; Em sumo, a integridade, disponibilidade e confidencialidade das informaes de todos os sistemas do ambiente, esto atualmente seriamente comprometidas.

7.1.1 Sistema de Anti-Vrus O sistema de anti-vrus atual o NOD32 licenciado para todas as estaes de trabalho e atualizado.

7.1.2 Controle da Internet No existe profissional responsvel capacitado para esse trabalho.

CSC Auditoria

7.1.3 Controle dos Notebooks Existem notebooks a disposio dos gerentes. A despeito disso, no h controle sobre eles, e so conectados na rede interna sem qualquer reserva.

7.1.4 Atualizao Peridica dos Softwares Somente os navegadores de internet e o antivrus so atualizados periodicamente.

7.1.5 Checagem Peridica de Vulnerabilidades No aplicada.

7.1.6 Equipe ou Profissional Responsvel pela Segurana No identificamos equipe ou profissional responsvel pela segurana da informao.

7.1.7 Teste de Invaso Interno e Externo Peridico Como no caso do controle da Internet, no existe profissional responsvel capacitado para esse trabalho.

7.1.8 Anlise de Senhas para a Rede e de Senhas Pessoais No existe uma poltica de controle de senhas para a rede e quanto ao acesso as estaes de trabalho, esta senha compartilhada por todos usurios.

7.2 Segurana Organizacional

Trata de questes como procedimentos envolvendo informaes proprietrias, classificao das informaes, entendimento do perfil da organizao, funcionamento da organizao, fluxo que a informao possui da sua origem ao seu destino no Workflow organizacional, dentre outros relacionados ao contexto organizacional, entendimento de quem manipula as principais informaes do rgo
8

CSC Auditoria

e qual segurana e responsabilidade destes usurios, quais setores precisam acessar quais informaes segundo o princpio Need to Know(quem realmente necessita saber da informao).

7.2.1 Anlise das Necessidades e Procedimentos Utilizados pela Organizao Nessa etapa so confrontados os procedimentos executados na organizao, que tenham relevncia para o sistema focado, com a atual realidade da execuo dos processos. Levando-se em considerao todos os processos informatizados ou no, que possam afetar direta ou indiretamente a segurana. Aps anlise, verificou-se que poucos processos esto definidos na empresa.

7.2.2 Identificao dos Processos Crticos Aps a checagem dos procedimentos, devem ser identificados os processos considerados crticos organizao, ou seja, aqueles que contm informaes sensveis aos negcios da organizao. Sistema de cobrana bancria (Bancos Itau e Bradesco); Sistema de folha de pagamento; Controle de fornecedores, clientes e funcionrios.

7.2.3 Classificao da Informao No existe hoje na organizao, uma hierarquia de confidencialidade definida para as informaes. Sendo assim no possvel assegurar que as informaes recebam um nvel apropriado de proteo, pois as informaes so classificadas para indicar a necessidade, as prioridades e o grau de proteo. Tais como: Uso Confidencial - aplicada s informaes de grande valor a organizao, se divulgadas indevidamente podem causar danos e prejuzos a organizao ou a seus parceiros. Seu uso e disseminao devem ser restritos e controlados.
9

CSC Auditoria

Uso Interno - aplicada s informaes restritas aos funcionrios e a terceiros. Uso Pblico - Informaes que podem ser divulgadas para o pblico em geral, incluindo clientes, fornecedores, imprensa, etc.

7.2.4 Existncia e conformidade de normas, prticas, polticas e procedimentos para tcnicos e usurios As normas, polticas e procedimentos que devem ser seguidos pelos funcionrios da organizao, no esto completas ou no foram especificadas. Com base no check-list (em anexo) efetuado com a gestora da clula de TI, devemos salientar os seguintes pontos:

7.2.4.1 Definio de um plano de testes de recuperao a desastres ou teste do plano de contingncia

O plano de contingncia ou plano de recuperao um plano que contm as diretrizes que a organizao deve seguir em caso de parada no processamento, decorrente de desastre ou falhas. Este tem como objetivo auxiliar na recuperao imediata do processamento das informaes, levando em considerao a criticidade, de modo que minimize eventuais prejuzos organizao. No h um plano de contingncia englobando todas as possibilidades de falhas possveis, e tambm inexiste rotina de teste peridica.

7.3 Segurana Fsica

A estrutura de segurana fsica est configura de forma muito primria e ineficiente. 7.3.1 Controle de Acesso Fsico A atual configurao no contempla nveis de acesso, e os respectivos e adequados controles. 7.3.2 Energia Eltrica No existe controle de preveno quanto a quedas de energia.

10

CSC Auditoria

7.3.3 Deteco e Combate a Incndios Os controles de deteco foram identificados de acordo com as normas vigentes. 7.3.4 Backup e armazenamento de mdias O controle de backup manual feito por meio de HDs externos, que muitas vezes ficam na prpria empresa.

7.4 Resumo das Ameaas e Riscos Atuais

7.4.1 Principais Riscos Identificados

Acesso e/ou cpia indesejada de dados; Alterao e/ou fabricao de dados; Deleo indesejada de dados; Extravio de documentos; Roubo de ativos importantes; Fragilidade a engenharia social; Fraude.

7.4.2 Principais Falhas Encontradas

Intolerncia a acidentes e falhas em ativos, sistemas, processos e infraestrutura; Conectividade externa e interna sem a devida segurana; Poltica de senhas no aplicada; Falta de controle sistmico dos processos; No identificao dos invasores externos e internos; Falta de controle de acesso e insegurana fsica nas instalaes; Inexistncia de controle das impresses.

11

CSC Auditoria

8. CONCLUSO

Conforme constatamos, a Empresa auditada no tem uma Poltica de Segurana da Informao definida, bem assim, no tem um parque tecnolgico adequado para suas atividades atuais.

9. RECOMENDAES

9.1 Implantao do Plano de Ao Emergencial

a) Definio da equipe interna responsvel pela implantao e manuteno da segurana desvinculada das outras atividades operacionais a. Treinamento bsico de segurana da informao para a equipe. b) Implementao das medidas de segurana bsicas a. Anlise de compartilhamentos desprotegidos; b. Troca do sistema de Firewall; c. Desativao do servio de acesso remoto; d. Redefinio e aplicao das regras de conexes internas e permisses; e. Implantao de autenticao forte, e login nico de usurios e objetos; f. Atualizao do sistema de Backup e restaurao de dados, e aquisio de novas licenas; g. Definio da poltica de segurana de notebooks; h. Criao de uma poltica segura de acesso Internet;

c) Remodelao da clula de informtica d) Construo do regimento interno e) Implantao das novas rotinas de auditoria interna e externa f) Implantao dos sistemas pendentes
12

CSC Auditoria

a. Levantamento das customizaes indispensveis; b. Coordenao do treinamento dos usurios;

9.2 Regularizao da Instalao Eltrica

Aterramento unificado para todos os equipamentos de informtica; Troca de tomadas de baixa qualidade; Instalao de No-Break inteligente;

9.3 Instalao de Cabeamento Estruturado

Substituio do cabeamento atual;

9.4 Normatizao dos Equipamentos de Informtica

Aquisio de pelo menos um servidor, novas estaes e perifricos necessrios; Inventrio geral de equipamentos com selagem destes e instalao de travas nos gabinetes; Implementao de controle geral de ativos de informtica, hardware e software, com ocorrncias e histrico.

9.5 Estruturao da Rede Local

Migrao dos dados, aplicativos e de pastas pessoais das estaes para o servidor; Implantao de permisses e poltica de uso local nas estaes; Criao de CDs de imagem dos perfis das estaes;

10. CONSIDERAES FINAIS

Em sumo do que foi analisado e evidenciado nesse trabalho, definir nveis e controles de segurana como receitar um medicamento. Se muito fraco ou em doses mnimas (abaixo do necessrio para prover segurana), o problema persistir ou ser reduzido a um nvel insatisfatrio. Por outro lado, comprar um remdio

13

CSC Auditoria

carssimo para combater uma gripe simples certamente reduzir seu potencial de investimento destinado a prevenir ou combater doenas mais graves. Outro ponto importante a ser considerado o impacto dos controles sobre os servios da organizao, pois um processo "engessado" demais pode ser traduzido em prejuzos para a administrao.

14

CSC Auditoria

11. ANEXO Checklist

15