Segurança da Informação na Escola Pública
Contents
1. Agir implementar e manter e melhorar o operacionalizar o SGSI SGSI Monitorizar e Reportar saber o que acontece analisar criticamente o SGSI Figura 14 Ciclo de gest o PDCA Na figura 14 est o identificadas as fases inerentes ao processo de gest o PDCA este um processo cont nuo n o um evento nico devendo ser repetido periodicamente para detetar novas necessidades O modelo gest o PDCA est harmonizado com a norma para a gest o da qualidade ISO 9001 e com a norma para a gest o do ambiente 14001 D Implementar um SGSI Para implementar um SGSI s o necess rias v rias tarefas que v o desde o estabelecer implementar manter e monitorizar a seguran a da informa o na organiza o tendo por base a gest o do risco Esta gest o contempla a estrutura organizacional pol ticas responsabilidades e pr ticas planeamento procedimentos processos e recursos ISO IEC 2005 A ado o de um SGSI uma decis o estrat gica da organiza o influenciada pelas suas necessidades e objetivos requisitos de seguranca processos aplicados tamanho e estrutura 44 5 2 ISO 27001 e ISO 27002 A primeira tarefa a executar pela organizac o que pretenda implementar um SGSI consiste em identificar os riscos decorrentes da aus ncia de seguranca Ap s este levantamento devem ser identificados os requisitos de seguranca Segundo a norma existem 3 tipos principais de requisitos e Requisit2. Instituto Superior de Engenharia do Porto Seguran a da Informa o na Escola P blica Rute Concei o Vieira Pereira Disserta o para obten o do Grau de Mestre em Engenharia Inform tica rea de Especializa o em Arquiteturas Sistemas e Redes Orientador Doutor Ant nio Cardoso da Costa J ri Presidente Doutor Jo o Jorge Pereira Instituto Superior de Engenharia do Porto Vogais Doutor Ant nio Cardoso da Costa Instituto Superior de Engenharia do Porto Doutor Nuno Magalh es Pereira Instituto Superior de Engenharia do Porto Porto Outubro de 2012 Resumo z A func o da escola promover a aprendizagem nos jovens e estimular o acesso ao conhecimento A utilizac o das Tl proporciona um acesso mais r pido ao conhecimento mas sem os mecanismos necess rios pode originar perdas e comprometer a seguranca da informa o A aus ncia de legisla o e de regulamenta o que ajude na manuten o da rede inform tica da escola coloca as numa posi o muito vulner vel obrigando as a agir individualmente de modo a suprimir esta car ncia A solu o passa n o s pela consciencializa o dos utilizadores para a necessidade de seguran a mas tamb m pela cria o de mecanismos que permitam acrescentar seguran a rede e pr pria informa o Os projetos desenvolvidos pelo programa Safer Internet e pela ISECOM atuam junto da comunidade escolar sensibilizando os utilizadores para a necessid
3. Controlo de acesso Criar perfis individuais de utilizador A utiliza o dos recursos inform ticos da escola s poss vel a utilizadores devidamente autenticados 61 6 Proposta de solu es A autenticac o pode ser implementada atrav s de mecanismos de controlo de acesso cada utilizador tendo um perfil individual composto por nome do utilizador e palavra passe Para poder aceder ao sistema o utilizador ter de inserir as suas credenciais de acesso tornando assim poss vel que v rios utilizadores utilizem o mesmo computador A criac o de perfis de utilizador traz grandes vantagens para a escola pois o utilizador tem um perfil obrigat rio e todas as alterac es que fizer na sua rea de trabalho ser o perdidas assim que este terminar a sess o Stanek 2012 Este tipo de configurac o feita no servidor devendo ser atribu do um perfil de utilizador obrigat rio a cada utilizador desta forma o perfil fica ativo assim que o utilizador iniciar sess o num computador da rede Apenas o administrador pode fazer altera es nesta configurac o As permiss es atribu das aos utilizadores dos computadores da escola passam pelo armazenamento de ficheiros configura o do conte do da rea de trabalho adi o de endere os nos favoritos configura es no Internet Explorer e nos locais na rede Registo do utilizador e No inicio do ano letivo s o registados todos os utilizadores e atribu da uma palav
4. entrega de servi os a terceiros Neste controlo s o verificados v rios itens o minimizar o risco de falhas nos sistemas o proteger a integridade do software e da informa o 46 10 11 5 2 ISO 27001 e ISO 27002 o garantir a integridade e a disponibilidade da informa o atrav s de c pias de seguran a o gerir a seguran a na rede o prevenir a divulga o n o autorizada o garantir a seguran a de servi os de com rcio eletr nico o implementar mecanismos de monitoriza o de eventos Controlo de acesso Pretende controlar o acesso informa o garantindo que apenas utilizadores autorizados t m acesso mesma e implementando mecanismos para que utilizadores n o autorizados n o consigam ter acesso aos recursos Os mecanismos implementados devem controlar o acesso rede ao sistema operativo e informa o de certas aplica es Aquisi o desenvolvimento e manuten o de sistemas de informa o garantir que a informa o produzida segura prevenindo a ocorr ncia de erros falhas modifica es n o autorizadas e vulnerabilidades Gest o de incidentes de seguran a da informa o os incidentes de seguran a devem ser reportados por todos os utilizadores e monitorizados para que posteriormente sejam corrigidos Gest o da continuidade do neg cio implementar mecanismos para que n o haja inaceit vel preju zo no caso de o neg cio ser interrompido assegurando uma retoma r
5. Obter a certifica o Para obter a certifica o a organiza o deve responder s 5 reas de controlo identificadas na ISO 27001 sendo cada uma delas sujeita a uma auditoria 48 5 3 Selo de seguranga digital para as escolas Sistema de gest o de seguranca da informac o define a necessidade de estabelecer implementar operacionalizar monitorizar analisar e melhorar o SGSI utilizando o ciclo de gest o PDCA Estas fases devem ser devidamente documentadas e devem incluir e Identifica o e analise da gest o de risco bem como metodologias de tratamento e reas de atua o e limites do SGSI e Quadro de gest o para medir objetivos e Identifica o de ativos e tecnologia etc Responsabilidade de gest o atribui o de responsabilidades gest o do SGSI como o compromisso da gest o Devem ser identificados os objetivos de seguran a da informa o os recursos adequados para os atingir e a toler ncia ao risco Auditorias internas necessidade de realizar auditorias internas do SGSI estas devem ser devidamente documentadas e devem incluir os crit rios frequ ncia metodologia e responsabilidades Gest o da revis o do SGSI periodicamente o desempenho do SGSI deve ser analisado e revisto bem como as suas entradas e sa das Melhorar o SGSI identifica o de ferramentas para melhorar o desempenho do SGSI bem como das a es corretivas 5 3 Selo de seguran a digital para as escolas A atribui o
6. Security Awareness Instructor SAI esta certifica o habilita o profissional para o ensino de Hacker High School ou smarter safer better Assegura que o profissional possui determinadas compet ncias tais como conhecimento tica e responsabilidade no ensino de seguran a B Bad People Project O projeto Bad People pretende desenvolver nos mais jovens a consci ncia de seguran a na Web e a necessidade de cria o de regras Neste projeto s o incentivadas crian as de qualquer parte do mundo a colaborar atrav s do envio de um desenho que demonstre qual a imagem que t m das pessoas m s e assustadoras Os desenhos devem ser submetidos no s tio Web da ISECOM C Hacker High School Atualmente os jovens est o expostos a um grande n mero de comunica es faltando lhes muitas vezes o conhecimento de como evitar fraudes roubo de identidades e outros tipos de ataques praticados atrav s da Internet HHS 2012 O projeto Hacker High School tem como principal finalidade promover a seguran a atrav s do desenvolvimento do pensamento cr tico nos jovens levando os a pensar como um Hacker 17 3 Seguran a da informa o nas escolas O HHS disponibiliza suportes materiais a professores e alunos com recomenda es sobre privacidade na Web e em chats informa o sobre malware v rus e trojans dicas sobre como reconhecer problemas no computador etc As fichas de trabalho est o dispon veis no s tio Web do HHS e qu
7. e verificar o software que est instalado nas m quinas e dar apoio a utilizadores etc Atualmente poucas s o as escolas que atribuem horas aos professores de inform tica para gest o do equipamento Esta manuten o necess ria e a longo prazo representa uma mais valia para a escola pois com uma configura o apropriada e uma manuten o regular o equipamento tem uma durabilidade maior e consegue se adicionar seguran a na utiliza o dos recursos 13 3 Seguranca da informac o nas escolas Existe ainda pouca sensibilidade por parte da gest o das escolas para esta problem tica As escolas s o dirigidas por professores que podem ser de qualquer rea curricular e que muitas vezes desconhecem os perigos da inexist ncia de uma pol tica de seguran a da informa o 3 3 1 O Futuro das TIC na Administra o P blica Os organismos p blicos s o dotados de autonomia para a aquisi o e gest o das suas infraestruturas tecnol gicas tendo liberdade para adquirir e contratar comunica es bem como para criar departamentos para a gest o e manuten o das TIC Vasconcelos 2011 A Ag ncia para a Moderniza o Administrativa I P disponibiliza as despesas que cada minist rio teve com as TIC durante o ano 2010 a saber Despesa TIC na Administra o P blica 600 500 7 2 5 400 9 4 W Educa o 300 6 4 m Sa de 200 E Administra o 100 5 1 Local Administrac o 0 Central 2005 2006 2007 200
8. o configurados para que sempre que seja iniciada sess o seja feito um scan r pido e as atualiza es sejam instaladas automaticamente N o permitir instala o de programas Os utilizadores n o devem ter permiss es para instalar software na sua rea pessoal Sempre que seja necess rio instalar algum programa no mbito de quaisquer disciplinas ter de ser o professor respons vel a solicitar a instala o ao coordenador de inform tica Neste pedido deve estar descrito qual o programa a instalar em que computadores o mesmo deve ser feito durante quanto tempo etc As permiss es atribu das ao grupo de utilizadores apenas possibilitam o armazenamento de ficheiros Desativar entradas USB do computador As entradas USB dos computadores dever o estar desativadas desta forma tornando se imposs vel a liga o de dispositivos USB dispositivos de reprodu o MP3 discos externos etc A escola deve incentivar os alunos a utilizarem solu es de cloud computing desta forma poss vel proceder ao armazenamento de ficheiros na web sem ter de ligar dispositivos externos ao sistema Esta medida visa prevenir a propaga o de v rus nos computadores da escola C pias de seguran a A informa o cr tica deve ser alvo de backups regulares Considera se cr tica toda a informa o que vital para o funcionamento das atividades da escola e que por norma resulta dos processos de gest o financeiros administrativos etc A infor
9. rio do projeto europeu EU Kids Online O inqu rito aos jovens investigou alguns riscos eminentes como bullying pornografia rece o de mensagens de cariz sexual contacto com pessoas desconhecidas encontros com pessoas que se conhece na Internet abuso de dados pessoais e acesso a conte dos nocivos Livingstone et al 2012 29 4 An lise do problema 4 3 1 An lise dos question rios Os resultados provenientes dos question rios aplicados aos professores ser o apresentados sob a forma de gr ficos tornando mais f cil a an lise das respostas Essencialmente o question rio permite perceber a opini o dos professores em relac o ao sistema inform tico que utilizam na escola em termos de seguran a quais as suas principais preocupa es e que cuidados t m na interac o di ria com o sistema Como podemos observar na figura 6 apenas 26 dos inquiridos considera seguro o sistema que utiliza na escola importante que os utilizadores tenham noc o das fragilidades que o sistema apresenta para que tomem alguns cuidados na sua utilizac o Considera seguro o sistema inform tico que utiliza na escola Sim 5 26 14 N o 14 74 Figura 6 Gr fico representativo da quest o n21 do question rio No entanto dos inquiridos apenas 32 tem conhecimento sobre quantos perfis contas de utilizador t m os computadores da escola de acordo com a figura 7 Este resultado demonstra desconhecimento num aspeto da seguranca que
10. N22 do question rio 30 Figura 8 Gr fico representativo da quest o N23 do question rio 31 Figura 9 Gr fico representativo da quest o n24 do question rio 31 Figura 10 Gr fico representativo da quest o n25 do question rio 32 Figura 11 Gr fico representativo da quest o n26 do question rio 32 Figura 12 Gr fico representativo da quest o n27 do question rio 33 Figura 13 Certifica o ISO 27007 0ooonccncnnccccononnnnnnnnnonononannnnnnnnnnonnnnannnnnnnnnnnonnnannnnnnnnnnennnaannnss 42 Figura 14 Ciclo de gest o PDCA cccccccssssssscceeccccsscessseeececccssaeaseceeecccessaaaseceneccessaaaasseeeees 44 Figura 15 Controlos do SGS espa asse ree 2 0er at ne re ee nern en 46 Figura 16 Certifica o eSafety ooooonnccnnnnccccnnonnnnnnnnnnnnnnnannnnnnnnnnnonnnnnnnnnnnnnnonnnannnnnnnnnnrnnaaanenss 50 Figura 17 Utiliza o de um servidor prOXY ooooocccnnnnncccnnnonnnnnnnnnnnonnnannnnnnnnnnnonnnnnnnnnnnnnnnnnannnss 60 xii Acr nimos e Simbolos Lista de Acr nimos APAV CD CE CSE CTA DGE DGIDC CRIE DOS eNACSO FCCN FCT FDTI HTTPS ICSEDB ICT IEC IMs INHOPE IPDJ ISECOM ISMS ISO ISP Associac o Portuguesa de Apoio a Vitima Compact Disc Comiss o Europeia Catalogo de Software do Estado Certified Trust Analyst Dire o Geral da Educa o do Minist rio da Educa o Dire o Geral de Inova o e Desenvolvimento Curricu
11. backdoor para que o atacante passe a ter acesso ao sistema ou para que possa praticar o ataque DoS nega o de servi os e um sistema infetado usado sempre como meio para atacar outros sistemas Utiliza o da rede wireless x As redes wi fi permitem uma maior portabilidade no acesso a Internet pois dispensam a utiliza o de cabos De modo a n o expor os equipamentos a poss veis ataques aconselha se os utilizadores da rede wireless e A ligarem se apenas a redes wireless que conhecem pois a liga o a redes desconhecidas pode trazer problemas de seguranca e Quando est a usar uma rede p blica ter cuidado ao transmitir dados privados verificando se o canal seguro por exemplo protocolo https e Quando n o precisar de usar a rede wireless desligar a placa de rede sem fios e Desativar o modo ad hoc da placa de rede isto faz com que se ligue apenas a pontos de acesso 72 6 2 Solu o 2 Recomenda es para o utilizador A comunica o wireless feita atrav s do espectro eletromagn tico se n o houver mecanismos de seguran a qualquer pessoa com a tecnologia apropriada consegue invadir uma rede usando a para fins indevidos e podendo causar interfer ncia de dados Assim para aumentar a seguran a neste tipo de rede deve se A ado o destas medidas pode trazer grandes benef cios para os utilizadores da rede wi fi pois previne certos problemas de seguran a garantido a integridade da in
12. computador ou nos itens eliminados na pasta da reciclagem tamb m frequente encontrar janelas de sistemas de comunica o instant nea abertas com conversas entre utilizadores etc Integridade estes sistemas n o garantem a integridade da informa o pois muitas vezes alunos e professores por distra o guardam os ficheiros no computador estando estes dispon veis para quem queira poder usufruir deles Torna se f cil alterar informa o de outrem e fazer dela o que bem entender Disponibilidade Qualquer pessoa tem acesso aos ficheiros guardados no computador se por acaso um utilizador se tiver esquecido de gravar um documento quando voltar ao computador para o fazer corre o risco de o mesmo j n o estar dispon vel A facilidade com que um v rus se pode propagar neste tipo de sistema tamb m pode colocar em causa a disponibilidade da informa o e do pr prio sistema A disponibilidade fica ainda mais comprometida por n o se realizarem outras c pias informa o Autenticidade ao n o ser exigido um login para cada utilizador que queira aceder ao sistema a garantia de autenticidade n o existe pois n o h forma de comprovar quem est a aceder ao sistema Ao utilizar a Internet frequente o pedido de autentica o em v rios s tios Web ficando muitas vezes estes dados armazenados no computador Muitos s tios Web perguntam ao utilizador se pretende que o browser memorize o utilizador e a palavra passe ou se quer
13. computadores da escola etc A avalia o do question rio gera um plano de a o e outros documentos de refer ncia que devem ser usados para melhorar a seguran a e o desempenho do sistema da escola 50 5 4 Objetivos da solu o 5 4 Objetivos da soluc o O principal objetivo eliminar as vulnerabilidades existentes na rede inform tica da escola atrav s da implementac o de mecanismos que garantam a protec o da informac o e a diminuic o do risco de perdas de informac o Perante as op es que foram apresentadas a implementa o de um SGSI parece a decis o acertada A ado o de um sistema de gest o da Seguran a da Informa o deve ser uma decis o estrat gica da Dire o da escola e deve refletir e As necessidades e Os objetivos e Os requisitos de seguran a e Os tipos de utilizadores e A dimens o e estrutura da organiza o Os objetivos da solu o a implementar devem passar por e Transmitir aos utilizadores quais os requisitos de seguran a da informa o e Implementar e operacionalizar controlos para gerir os riscos de seguran a e Monitorizar e analisar criticamente o desempenho do SGSI e Desenvolver um manual de procedimentos e Estimular a melhoria cont nua da organiza o e dos seus atores O manual desenvolvido pela escola para suporte do SGSI deve conter e a pol tica de seguran a da informa o da organiza o e ograu de prote o atribu do informa o que deve re
14. da rede inform tica foi encontrado um outro manual emitido pelo Minist rio da Educa o o Manual de C pias de Seguran a que alerta para a necessidade de realizar backups dos documentos informatizados Ramos 2011 Uma vez que este minist rio tem uma linha de apoio foi efetuado um contacto no sentido de apurar se existe legisla o relativa gest o e configura o das redes locais das escolas A informa o transmitida correspondeu aquilo que j se previa isto n o existe legisla o produzida sobre esta mat ria Quando h verbas dispon veis muitas vezes a pr pria escola recorre a empresas externas que possam assegurar a manuten o do equipamento 12 3 3 An lise da legislac o O PTE equipou as escolas com equipamento tecnol gico computadores v deo projetores quadros interativos equipamento ativo e passivo de rede e disponibilizou verbas para assegurar a instala o e a configura o inicial dos equipamentos Criou as condi es necess rias para que cada escola tenha uma rede local funcional no entanto a sua manuten o fica a cargo da pr pria escola Para cumprir os requisitos m nimos de seguran a necess rio gerir a rede e implementar mecanismos de autentica o cria o de diferentes controlos de acesso separa o de redes distintas etc Como as escolas n o t m pessoal t cnico que possa assegurar os requisitos de seguran a que uma rede desta dimens o exige sup e se que cada escola
15. de modo a atrair outras crian as para a sua rede e Oferecer demasiados dados pessoais Deve se evitar colocar dados como o local de resid ncia ou a escola que frequenta e Cyberbullying praticado atrav s da descrimina o insultos amea as etc e Aus ncia de controlo de idade embora muitas redes sociais exijam uma idade m nima para criar uma p gina isto pode ser facilmente contornado e Modera o fraca pois cada vez s o mais os utilizadores e n o existem pessoas suficientes para fazer a modera o de conte dos As recomenda es para evitar o tipo de abusos anteriormente mencionados passam por e Criar palavras passe seguras atrav s da combina o de v rios tipos de caracteres e nunca utilizar dados pessoais de refer ncia como datas nomes etc e Deve se aceitar apenas utilizadores que se conhe a pessoalmente 70 6 2 Solu o 2 Recomenda es para o utilizador Colocar o perfil como privado N o aceitar pedidos de amizade quando o conte do da p gina n o agradar N o responder a coment rios ofensivos N o divulgar dados pessoais como morada contacto telef nico etc Utilizar as defini es de seguran a do facebook como o caso de apenas permitir que amigos tenham acesso ao nosso perfil e editar as configura es das aplica es e das fotografias definindo quem as pode visualizar N o cair na tenta o de marcar encontros com amigos virtuais N o revelar pormenore
16. dos v rios tipos de amea as com o objetivo de minimizar o risco garantir a continuidade do neg cio e maximizar as oportunidades e o ROI A seguran a da informa o implementada atrav s de um conjunto de controlos que incluem as pol ticas processos procedimentos estrutura organizacional e fun es de hardware e software Os controlos precisam ser estabelecidos implementados monitorizados analisados e melhorados constantemente utilizando o ciclo de gest o PDCA ISO IEC 2005a Desta forma est o reunidas as condi es necess rias para criar um Sistema de Gest o de Seguran a da Informa o e s o disponibilizadas as ferramentas necess rias para a melhoria cont nua do sistema de gest o As ferramentas dever o ser analisadas medida que v o sendo detetados novos riscos e surgindo novas necessidades 42 5 2 ISO 27001 e ISO 27002 B Abordagem por processo A ISO utiliza a abordagem por processos em que cada atividade considerado um processo onde s o utilizados e geridos recursos tendo em vista a transforma o de entradas em sa das Por norma a sa da de um processo a entrada do processo seguinte A abordagem de processos implica a aplica o identifica o gest o e intera es dos processos existentes dentro de uma organiza o No mbito da gest o da seguran a da informa o a abordagem do processo salienta a import ncia de Entender os requisitos de seguran a da informa o den
17. e que possam diminuir o impacto de eventuais falhas de seguran a Fundamentalmente a norma um padr o reconhecido de gest o da informa o assenta no modelo de gest o PDCA apostando na melhoria cont nua atrav s da identifica o de riscos e incidentes de seguran a mudan as e objetivos de neg cio F Vantagens da certifica o Quando uma empresa certificada comprova se que possui um sistema de gest o da informa o onde est o implementados os mecanismos de prote o de dados adequados sua realidade O sistema procura garantir a confidencialidade a integridade e a continuidade do neg cio diminuindo o impacto que poss veis falhas possam ter sobre o sistema As principais vantagens da certifica o s o e Aumento da credibilidade comercial gt os intervenientes do sistema sentem se mais seguros ao saber que a organiza o tem implementado mecanismos de prote o da informa o e Redu o de custo dos incidentes gt muitas vezes o custo de uma perda de dados superior ao custo da implementa o da certifica o e Cumprimento de leis e regulamentos gt no que diz respeito ao ordenamento jur dico portugu s ou outros regulamentos e Diminui o dos riscos causados pelos incidentes de seguran a gt ao certificar se a organiza o est a conhecer melhor o seu sistema de informa o as suas vulnerabilidades e que mecanismos est o dispon veis para prote o de incidentes de seguran a G
18. es em que os jovens recebem material inapropriado para a sua idade fruto de uma pesquisa mal realizada Importa ainda referir a expectativa dos pais e alunos sobre o papel dos professores e da pr pria escola no aconselhamento sobre o uso da Internet Aos professores compete o acompanhamento dentro da sala de aula mas tamb m o aconselhamento aos encarregados de educa o sobre como estes devem controlar o acesso dos filhos Internet 36 4 3 Estudo de resultados As escolas cada vez mais desempenham um papel pr ativo no desenvolvimento destas quest es Ao promoverem a utilizac o da internet incrementada a literacia digital o que melhora as compet ncias em seguranca B Identifica o de padr es de problemas Com a an lise dos question rios foi possivel detetar padr es de problemas gt Utilizadores com poucas compet ncias digitais A pouca informa o que os utilizadores mais novos t m sobre como devem utilizar a Internet e os recursos inform ticos representa um grave problema n o s para as escolas mas para a sociedade em geral As crian as s o incentivadas a utilizar o computador desde o ensino prim rio no entanto n o lhes s o transmitidos os princ pios b sicos de seguran a o que faz com que esta utiliza o se torne cada vez mais intuitiva e menos racional gt Aus ncia da tem tica seguran a nas componentes letivas A disciplina de TIC introduzida muito tardiamente no curr culo escolar dos a
19. estiveram envolvidas neste projeto forneceram feedback at setembro de 2012 As escolas que pretendam participar neste processo de credita o devem registar se no site para que posteriormente possam e Rever as pr ticas eSafety da escola e Submeter evid ncias para o Laborat rio eSafety de modo a obter a credita o e Receber um plano de a o sugerido pela eSafety de modo a progredir para n veis mais elevados de credita o e Aceder a um elevado n mero de recursos e Aceder a links de escolas que tenham obtido a acredita o eSafety A candidatura realizada atrav s do envio de evid ncias das pr ticas correntes utilizadas na escola e do preenchimento do question rio online O question rio e as evid ncias ser o avaliados e comparados com os n veis apresentados por outras escolas e pelas m dias nacionais para que seja atribu do um n vel de seguran a eletr nica ouro prata ou bronze O question rio online deve ser preenchido pelo diretor da escola pelo respons vel pelas TIC e ainda por outros profissionais de ensino que ajudem a caracterizar o sistema Contempla quest es que definem a infraestrutura pol ticas e pr ticas da organiza o como por exemplo e Se os computadores est o protegidos com antivirus e Seos ambientes de aprendizagem e de administra o s o separados e Como s o geradas as palavras passe dos alunos e funcion rios e Se os alunos e professores podem utilizar dispositivos USB nos
20. etiain EEEE ESTE EEEN EE 1 O VOS aeternae a tale sie E tess TEE T Ea EE E A rO E ii ds 2 1 3 Organiza o da tese essen a ins bb 2 2 TODICOS LE SAM u 5 2 1 Exemplos de ataques seguran a ooococcncnoncnnnncncncnonononcncnnonono nono nononcnnnnnnononononones 6 3 Seguran a da informa o nas escolas oooccoocccccnonccocncccccnccacccnccccanoconoss 9 3 1 Formula o do problema oooooccocccoccnoncnoncnoncnono err erre rece racer cerne racer cesar caco 10 3 2 CONTEXTO es ERES ata 10 3 3 Analise da legislaca0 u netter 12 3 3 1 O Futuro das TIC na Administra o P blica oooooococcconcncncnnnnnncncnrncnononcnnnnnnos 14 3 4 Programas de apoio s escolas cccceccececeeeererrerer renan renan renan re rer re rer re rer serenas 15 3 41 Projetos SECOM ansich A a IR SST HERE nn 16 3 4 2 Safer Internet Programme ccecceeserrrrrrrsrernern cen cen cen cen cer core escorrer correr aS 18 3 9 CONCUUSAO ss nes Sew eua oiee saint dace os desea Sa Proa be a Eu le biel Siete a e Eta pass en He ooh 25 4 Analise do problema icons 0 27 4 1 Requisitos e crit rios iv ii A DEN BIS DAR Son ba es ik Pee Seen ewe 28 4 2 Defini o da recolha de infOrMacdo oooococcconcroncconnronnconononoronorono rana ronnronarononons 29 4 3 Estud de resultados nn seen nasse ee sae gceuseobesee ears 29 4 3 1 An lise dos question rios ccecesceceeeececenseeeeceeenseeeeseeeeseeeeseaeeseaeeseneesens 30 4 3 2 An lise do
21. monitoriza o Em Portugal 29 dos pais afirma utilizar a filtragem e 28 faz a monitoriza o de conte dos gt Media o no uso da Internet No que diz respeito media o do uso da Internet pertinente referir o papel desempenhado pelos professores no contexto portugu s Ser o apresentados os valores de Portugal em cada quest o e no final da quest o ser apresentado entre par ntesis o valor da m dia europeia Sim es 2011 e 28 dos pais disseram que o local onde obt m informa o e aconselhamento sobre utiliza o da Internet na escola do filho EU 27 e 65 dos pais responderam que o local onde desejariam obter mais informa es sobre utiliza o da Internet a escola do filho EU 43 e 77 dos alunos portugueses confessaram que os professores ajudaram nos quando estavam com dificuldade em encontrar algum conte do na Internet EU 58 e 73 dos alunos portugueses disseram que os professores explicaram porque que alguns sites s o bons e outros s o maus EU 58 e 68 dos alunos disseram que os professores sugerem medidas para utilizar a Internet de forma mais segura EU 58 e 61 dos alunos disseram que os professores sugeriram maneiras para o aluno se relacionar na Internet EU 48 e 51 dos jovens afirmou que os professores costumam falar com eles sobre o que devem fazer no caso de alguma coisa os incomodar na Internet EU 40 e 18 disseram que efetivamente os ajudaram quando alguma co
22. ncias digitais b sicas Deve se apostar na forma o dos utilizadores sobre seguran a na utiliza o de dispositivos de modo a estimular comportamentos corretos gt A escola desempenha um papel pouco ativo na forma o dos seus utilizadores devendo promover a es informativas direcionadas a professores alunos e encarregados de educa o 38 5 Estudo de solu es Com o objetivo de encontrar solu es foram estudadas algumas op es que contribuem para a seguran a da informa o dentro de uma organiza o A organiza o que pretenda garantir um n vel adequado de seguran a de informa o deve implementar um ISMS Information Security Management System em portugu s um SGSI Sistema de Gest o de Seguran a da Informa o Existem v rias op es para implementar um sistema de gest o da seguran a da informa o conforme as caracter sticas da organiza o e o n vel de prote o que se pretende implantar Independentemente do modelo de SGSI que se pretenda implementar ele refere se sempre ao conjunto de pol ticas de gest o de seguran a da informa o e identifica o dos riscos associados as Tl Na pr tica descreve o conjunto de pol ticas processos e sistemas implementados por uma organiza o com o objetivo de diminuir os riscos associados gest o da seguran a da informa o Como qualquer outro processo de gest o a manuten o do SGSI requer efici ncia e efic cia ao longo de todo o pro
23. necess rios Os utilizadores devem zelar pelo equipamento devendo reportar avarias ou alguma situa o an mala Cada utilizador respons vel pela informa o que produz devendo tomar as devidas precau es expl citas nesta pol tica ISO IEC 2005a Recursos humanos Pap is e responsabilidades Todos os utilizadores do sistema devem ter responsabilidades atribu das de acordo com o seu papel na organiza o Assim todo o utilizador respons vel por preservar o equipamento e a informa o devendo adotar uma postura correta e agir de acordo com a pol tica definida Sempre que um utilizador cause um dano gravoso deve ser responsabilizado pelos seus atos Os utilizadores t m o dever de preservar o equipamento f sico n o alterando as suas configura es iniciais e devem agir de acordo com as regras da escola Os utilizadores t m a obriga o de comunicar ocorr ncias Nas salas de inform tica devem ser disponibilizadas folha de ocorr ncias para que o professor registe o n do computador e a avaria detetada Sempre que um utilizador detete uma anomalia num computador deve comunicar pessoa respons vel na sala de aula para que esta possa tomar conta da ocorr ncia Sempre que seja contratado um novo funcion rio professor para a escola a dire o deve p r o funcion rio a par da pol tica de seguran a da informa o alertando para a necessidade de cumprimento e quais as consequ ncias no ca
24. o A ado o da norma visa criar padr es de seguran a atrav s da implementa o e divulga o de pr ticas de gest o com o objetivo de manter as caracter sticas informacionais dos recursos Antes de apresentarmos a proposta de implementa o de um SGSI referimos que a metodologia utilizada envolveu v rias etapas que passamos a explicar An lise da ISO 27001 e da ISO 27002 Perce o das diretrizes presentes na norma Defini o do SGSI Cria o do objetivo e mbito de aplica o do SGSI Identifica o da legisla o Identifica o dos requisitos de seguran a An lise das vulnerabilidades 80 ge 0 O Sele o dos controlos enunciados na ISO 27002 O documento com a pol tica de seguran a da informa o que se prop e deve ser aprovado pela dire o publicado e comunicado a todos os intervenientes do sistema 54 6 1 Solu o 1 Proposta de documento com a pol tica de seguran a da informa o 6 1 Solu o 1 Proposta de documento com a pol tica de seguran a da informa o Pol tica de seguran a A informa o um ativo dentro da escola e como tal devem ser aplicados os devidos mecanismos de prote o que possam fazer frente a amea as vulnerabilidades e falhas Para atingir este objetivo estamos a implementar um SGSI de acordo com a ISO 27001 e com a ISO 27002 constitu do pelo conjunto de pol ticas processos procedimentos e fun es de software hardware que visam as
25. o reconhecendo que est a ser alvo de um esquema fraudulento envia estes dados e a partir da muitos outros crimes podem ocorrer 2 1 Exemplos de ataques a seguranca O Cyberbullying um fen meno em constante desenvolvimento e refere se ao ato de ameacar ou humilhar uma crianca e ou adolescente atrav s do recurso s tecnologias da informac o email redes sociais telem vel etc O cyberbullying consiste em e amea ar e perseguir a v tima e roubar a identidade e palavras passe e criar p ginas de perfil falsas e usar blogues de forma abusiva e enviar imagens quer por email quer por telem vel e utilizar s tios de vota o com o objetivo de incomodar e humilhar a v tima e fazer inscri es em sites utilizando os dados da v tima O phishing outro tipo de ataque frequente tem como objetivo o roubo de identidade dos utilizadores mas tamb m pode infetar o computador com v rus e ou levar os utilizadores a participar em esquemas fraudulentos Neste tipo de ataque s o utilizados v rios m todos que levem o utilizador a revelar dados pessoais e confidenciais n mero de cart o de cr dito informa o sobre contas banc rias palavras passe etc Para o conseguir os atacantes fazem se passar por entidades fidedignas tais como o banco o ISP um servi o de pagamento ou mesmo organismos do governo e amea am o utilizador por exemplo com o cancelamento de conta no caso de n o atualizar os dados que est o
26. onde est definido o que se pode e o que n o se pode fazer e o ponto lll diz respeito a um conjunto de boas pr ticas que o utilizador deve adotar para garantir a seguran a na navega o Infraestrutura 1 A rede inform tica da escola est organizada da seguinte forma existem 3 tipos de perfis o de alunos o de professores e o de gest o administrativa secretaria e Direc o Cada um dos perfis tem privil gios distintos havendo uma separac o l gica entre a plataforma de aprendizagem e a plataforma administrativa 2 Todos os computadores t m antivirus instalado e as licen as s o legais o que permite que as atualizac es sejam instaladas automaticamente Os computadores est o configurados para que sempre que seja iniciada sess o seja feito um scan autom tico pelo antivirus 3 A escola disponibiliza internet gratuita a todos os alunos quer por cabo quer por wireless 4 A escola respons vel por toda a cablagem e gest o do equipamento assim sendo os utilizadores est o proibidos de manusear o equipamento desligar cabos alterar liga es etc 5 A escola disponibiliza uma impressora para que os alunos possam realizar impress es Est localizada na biblioteca e apenas a funcion ria tem autoriza o para colocar papel e retirar as impress es 6 Para al m dos computadores instalados nas salas de aula os alunos e professores podem requisitar um computador port til por um per odo de tempo normal
27. terceiros fa am uso inapropriado delas por isso importante que o bloguista seja respons vel pelos conte dos que insere no seu blogue As recomenda es de seguran a para a cria o de blogues passam por e fazer uma leitura da declara o de privacidade do fornecedor e saber se o blogue pago e informar se se existe algum email para onde seja poss vel reportar problemas e visitar outros blogues do mesmo servidor para verificar se os mesmos interessam As quest es relacionadas com a privacidade s o muito importantes tais como e nunca disponibilizar informa o privada e n o ceder a password a ningu m e usar um endere o de email gen rico e n o colocar imagens pessoais e definir regras como o tipo de coment rios que s o aceites e ter sempre um plano para o caso de algo correr mal e ter um moderador para menores de idade Redes sociais virtuais O grande objetivo das redes sociais promover a intera o entre os utilizadores facilitando a comunica o Ao facilitarem o contacto com outros indiv duos podem representar v rios perigos como o caso de e Roubo de identidades o atacante rouba as credenciais do utilizador e envia spam ou mensagens contendo phishing para os seus contactos na rede e Falsa identidade como t o f cil criar um perfil qualquer pessoa pode criar o perfil que bem entender isto acontecendo sobretudo com os ped filos que criam perfis falsos como se fossem uma crian a
28. um software de aux lio Como a implementa o de um SGSI um processo que pode levar meses ou at mesmo anos e deve contemplar todos os elementos da organiza o a nossa proposta seria as escolas adotarem o modelo proposto e tentarem corresponder aos requisitos da ISO 27001 para que num futuro pr ximo consigam obter a certifica o e assim refor ar o cumprimento da seguran a 77 78 3 Refer ncias APCER 2012 Beckert 2012 Arag o 2012 Atsec 2007 Costa 2009 Costa 2010 CPSI 2005 Calder 2012 DRE 2012 EC 2012a EC 2012b APCER ISO IEC 27001 Tecnologias da informa o http www apcer pt index php option com content amp view article amp id 138 3Ai soiec 27001 amp catid 8 amp ltemid 436 amp lang pt ltimo acesso Out 2012 Beckert I vsRisk v1 6 Standalone the Cybersecurity Risk Assessment Tool CD ROM www itgovernance co uk products 744 ultimo acesso Out 2012 Arag o F Proxies o que sdo htt Iware sapo pt informacao proxies o que sao ltimo acesso Set 2012 Atsec information security corporation ISMS Implementation Guide 2007 http www atsec com downloads documents ISMS Implementation Guide and Examples pdf ltimo acesso Set 2012 Costa A Monitorizac o de sistemas inform ticos Modulo 6 Departamento de Engenharia inform tica Instituto Superior de Engenharia Inform tica do Porto Costa F As metas de Aprendizagem e
29. uma constante identifica o e elimina o de vulnerabilidades sobretudo quando se utiliza a Internet pois esta d origem a in meras vulnerabilidades importante configurar corretamente o firewall e utilizar um software antiv rus que fa a atualiza es autom ticas O coordenador de inform tica o respons vel pela an lise dos logs e dos alertas lan ados pelo sistema de monitoriza o competindo ao coordenador detetar vulnerabilidade e decidir quais as san es a aplicar Gest o de incidentes de seguran a A gest o de incidentes de seguran a da informa o feita atrav s dos relat rios de eventos de seguran a e o sistema de dete o de intrus o na rede tendo em vista a anula o destes incidentes e a melhoria do SGSI O coordenador de inform tica o respons vel pela an lise regular destes relat rios devendo comunicar resultados Dire o sempre que se verifique alguma irregularidade 63 6 Proposta de solu es Gest o da continuidade do neg cio A presente pol tica foi implementada de modo a contribuir para a continuidade da atividade da escola em caso de falha na rede ou nos equipamentos importante manter um invent rio detalhado de todo o equipamento e software licencas c pias de seguranca bem como de todos os ativos da escola Em desenvolvimento Para que o SGSI seja adequado a realidade da escola necess rio desenvolver algumas tarefas que n o est o conte
30. 8 2009 2010 Fonte IDC 2010 Figura 1 Despesa com as TIC na Administrac o P blica durante o ano de 2010 Observando o gr fico da figura 1 pode se concluir que o Minist rio da Educac o foi o que apresentou uma despesa mais elevada com as TIC no ano de 2010 cerca de 520 milh es de euros De realcar ainda que todos os minist rios tiveram um acr scimo nesta rubrica at 2010 Numa altura em que a reduc o de despesas faz parte das medidas estrat gicas do Governo tamb m as TIC s o alvo deste ajustamento As medidas apresentadas em 2012 para racionalizar despesa no mbito das TIC s o DRE 2012 e Racionalizar a fun o inform tica sectorial consiste em centralizar as fun es de inform tica num nico organismo por minist rio de modo a proporcionar uma melhor articulac o com as pol ticas da sociedade de informac o e Avaliar projetos TIC Consiste em avaliar previamente custo benef cio antes de um investimento 14 3 4 Programas de apoio as escolas e Catalogar uniformizar e partilhar software ao ser criado um Cat logo de Software do Estado CSE poss vel disponibilizar e reutilizar software desenvolvido pelo Estado e Adotar software aberto nos sistemas de informa o do Estado sempre que o software apresente maturidade e um benef cio em termos de custo deve se apoiar a utiliza o de software aberto na administra o p blica e Racionalizar comunica es e interoperabilidade atrav s da
31. a Seguran a na Internet http www seguranet pt metas ltimo acesso Out 2012 Comunidade Portuguesa de Seguran a da Informa o Certifica o da seguran a para as organiza es http ismspt blogspot pt 2005 09 certificao de segurana para organizaes html ltimo acesso Set 2012 Calder A Information Security and ISO 27001 an Introduction http www itgovernance co uk iso27001 aspx ISOB ultimo acesso Out 2012 Di rio da Rep blica http dre pt pdfgratis 2012 06 11401 pdf ltimo acesso Out 2012 European Comission Safer Internet Programme Empowering and Protecting Children Online http ec europa eu information society activities sip projects ltimo acesso Out 2012 European Comission European Schoolnet Safer Internet Programme http www saferinternet eu web insafe inhope home ultimo acesso Set 2012 79 8 Refer ncias EC 2011 EUN 2011 Facebook 2012 Ferreira 2009 Google 2012 HHS 2012 inst inform tica 2007 Internetsegura 2012a Internetsegura 2012b ISACA 2012 ISECOM 2012 ISO IEC 2005a ISO IEC 2005b ITIL 2011 Livingstone et al 2011 Livingstone et al 2012 European Comission Coalition to make the internet a better place for Kids http ec europa eu information society activities sip docs ceo coalition state ment pdf ultimo acesso Out 2012 European School net esasetylabel Be an safe
32. a da seguran a inexist ncia de a es de forma o e sobretudo a inexist ncia de uma Dire o nas escolas que se comprometa com uma quest o t o importante mas ao mesmo tempo colocada de parte Ap s analisar os resultados extra dos do relat rio EU KIDS ONLINE podem se tirar algumas conclus es O question rio demostrou que os utilizadores com mais compet ncias digitais s o aqueles que utilizam a Internet com mais seguran a pois conseguem reconhecer perigos e adotar um comportamento correto perante eles Por norma estes utilizadores conseguem manter a privacidade nas redes sociais utilizam as ferramentas de reporte quando encontram algo que n o lhes agrada e conseguem reconhecer material inapropriado O mesmo se passa em rela o aos pais sendo que os pais que t m mais conhecimento sobre Internet e que s o utilizadores regulares s o os que mais utilizam a filtragem e monitoriza o de conte dos importante que os pais assumam o papel de mediadores no uso da Internet atrav s da realiza o de atividades conjuntas ou incentivando a crian a a aprender sozinha mas mantendo se vigiada Uma correta classifica o de conte dos tamb m um importante incentivo para tornar a Internet um local mais seguro para os jovens A classifica o pode ser feita atrav s da utiliza o de etiquetas e descri o de conte dos Se o material na Web estiver devidamente classificado provavelmente n o v o ocorrer tantas situa
33. a partilha de ficheiros de udio v deo programas e software 71 6 Proposta de solu es Os perigos associados a este tipo de partilha s o e a viola o dos direitos de autor e a propaga o de virus e a instala o de programas spyware e addware normalmente intr nseca instala o do programa para ter acesso ao P2P e download de ficheiros falsos que diz respeito a menores pode ser bastante perigoso pois estes podem pensar que est o a descarregar uma m sica mas afinal trata se de material pornogr fico O jovem deve e certificar se da qualidade do programa a instalar atrav s de pesquisa pr via na Internet e verificar o que cont m a pasta de partilha uma vez que esta est acess vel a todos os utilizadores e correr um bom antiv rus antes de abrir um ficheiro descarregado P2P e Se for um menor a utilizar este tipo de servi o deve ser sempre sob vigil ncia sobretudo no momento em que abre os ficheiros uma vez que pode conter material inapropriado Correio eletr nico O email permite o envio de mensagens instant neas pela Internet e amplamente utilizado por todo o tipo de utilizadores Os perigos associados utiliza o de email s o sobretudo a propaga o de v rus atrav s de phishing Os efeitos de um v rus podem ser e recolha de informa o por exemplo recolher a informa o dos contactos da caixa de email para depois enviar SPAM para estes e cria o de uma
34. a ser solicitados No momento em que o utilizador segue a hiperliga o para outra p gina aparentemente inofensiva passa a ser alvo de phishing O atacante consegue filtrar os dados que o utilizador digita para que posteriormente possa roubar a identidade debitar contas em nome do utilizador ou cometer outro tipo de crime O roubo de identidade consiste em obter de forma ilegal dados pessoais de outro utilizador como o nome e palavra passe informa es banc rias n mero de cart o de cr dito de forma a usurpar a identidade Engenharia social o conjunto de t cnicas usadas pelos atacantes com o objetivo de persuadir o utilizador a divulgar informa es pessoais a executar programas maliciosos etc 3 Seguranca da informac o nas escolas O n vel de tecnologia associado s escolas p blicas de Portugal era at h pouco tempo bastante obsoleto Sob a legislac o do antigo Governo em 2007 foi levado a cabo o maior programa de modernizac o tecnol gica das escolas portuguesas o PTE Com a finalidade de melhorar as compet ncias TIC em alunos e professores e preparar as gerac es futuras para os desafios da sociedade do conhecimento o PTE contribuiu para o enriquecimento da infraestrutura tecnol gica das escolas atrav s da ced ncia de conte dos e servicos em linha Esta restruturac o tecnol gica colocou nos entre os 5 pa ses com escolas tecnologicamente mais modernizadas a n vel europeu PTE 2009 Para al m de
35. acesso s o feitos pelo proxy e s depois devolvidos ao cliente Arag o 2012 Internet ma Switch Hub S Modem Servidor Proxy Rede Interna Figura 17 Utiliza o de um servidor proxy Ao configurar o browser para usar um servidor proxy para se conectar Internet criada uma barreira de seguran a entre a rede interna da escola e a Internet impedindo que pessoas que se encontrem algures na Internet consigam ter acesso a dados que est o localizados na rede da escola A utiliza o de um proxy traz amplas vantagens no mbito da seguran a at porque ajuda a filtrar conte dos podendo negar o acesso a certos recursos considerados inseguros pela escola e A utiliza o de um Proxy Web serve para garantir a seguran a da rede local pois vai funcionar como intermedi rio no acesso Internet e A utiliza o de um Proxy de filtro de conte do indicado para filtrar p ginas e assim negar o acesso a certos conte dos tais como Redes sociais Youtube Sites de jogos Sites de pornografia Etc OO Ol O 60 6 1 Solu o 1 Proposta de documento com a pol tica de seguran a da informa o Per metros de seguran a nas redes sem fios A rede wi fi da escola est colocada numa sub rede IP separada por uma firewall restritiva com a pot ncia do sinal no m nimo O protocolo utilizado o WPA2 ou melhores Monitoriza o O objetivo da monitoriza o de sistema
36. ade de seguran a na Internet e nas comunica es Por sua vez a ado o de pr ticas seguras um processo mais demorado mas exequ vel atrav s da implementa o de uma pol tica de seguran a da informa o adaptada realidade da escola de acordo com a norma ISO 27001 Da recolha de opini o aos intervenientes do sistema resultaram dois documentos com a pol tica de seguran a da informa o um direcionado s escolas e outro aos utilizadores Cr se que a ado o destas recomenda es pelas escolas pode trazer benef cios ao n vel da seguran a da informa o Palavras chave Escola Tecnologias da informa o Pol tica Seguran a da Informa o Abstract The school mission is to promote learning and access to knowledge to young people Using the Information Technologies can provide faster access to knowledge but without the necessary mechanisms it can also lead to loss and compromise the information security The absence of laws and regulations that help maintaining the schools network and allow them to work can be harmful because it forces them to act individually in order to remove this necessity The solution not only requires the users awareness of the security needs but it also demands the creation of mechanisms that can add security to the network and to the information itself The projects which were developed by the Safer Internet Programme and by the ISECOM are working along with the school community ma
37. alquer utilizador pode descarreg las no entanto para ter acesso ao laborat rio de testes e a um instrutor necess rio obter licen a Todos os trabalhos do HHS s o desenvolvidos para fins n o comerciais e destinam se a apoiar a forma o de alunos dos v rios tipos de ensino e As escolas t m licen a livre para uso de recursos e acesso total ao laborat rio HHS e Para o ensino individual de HHS fora das escolas poss vel obter a licen a por 150USD V lida por um ano a licen a d acesso aos recursos e ao laborat rio z 7 e Para uso pessoal apenas poss vel ter a licen a gratuita nos materiais sendo o acesso aos laborat rios proibido por quest es de seguran a D Safer Better A equipa ISECOM organiza diversos semin rios gratuitos que visam promover a seguran a atrav s da demonstra o com exemplos pr ticos das desvantagens decorrentes da aus ncia da seguran a nas escolas no trabalho e na vida T m a finalidade de educar informar e causar impacto nos participantes tentando passar uma mensagem forte e recorrendo s t cnicas de aprendizagem dos programas Os semin rios podem ser feitos em escolas universidades clubes ou comunidades e t m duas variantes semin rios acad micos e semin rios dirigidos comunidade em geral 3 4 2 Safer Internet Programme O programa Safer Internet desenvolvido pela Comiss o Europeia e presente em todos os Estados Membros assenta na promo o de v rios pro
38. am Service Set Identifier Tecnologias da Informac o Tecnologias da Informa o e Comunica o Universal Serial Bus Virtual Private Network Wired Equivalent Privacy Wireless Fidelity Wi Fi Protected Access Wi Fi Protected Access II xiv 1 Introdu o Este estudo visa aprofundar o n vel de seguran a da informa o nas escolas p blicas em Portugal Inicialmente ser feita uma abordagem da evolu o tecnol gica nas escolas para que depois se possa formular o problema qual o n vel de seguran a da informa o nas escolas O interesse nesta problem tica surgiu por estar inserida neste mercado de trabalho e por ao longo destes ltimos anos observar uma estagna o no que diz respeito disponibiliza o de recursos humanos e financeiros que tentem assegurar um n vel razo vel de seguran a A aus ncia de mecanismos de prote o da informa o deve se ao facto de a pr pria escola ainda n o reconhecer o valor que a informa o representa no exerc cio das suas fun es 1 1 Enquadramento tem tico A quest o da seguran a nas redes inform ticas uma problem tica atual e em constante desenvolvimento Ao longo da disserta o ser o apresentadas v rias solu es que implementam seguran a nos recursos no entanto necess rio o envolvimento e a atribui o de responsabilidades a todos os intervenientes Os projetos da ISECOM e do programa Safer Internet ajudam a criar comportamentos seguros nos uti
39. ante 40 5 2 ISO 27001 e ISO 27002 as melhores pr ticas nas Tl e tamb m a sua gest o financeira relacionando os servicos com as necessidades reais da organiza o Melhorias significativas e No relacionamento entre as Tl e a organiza o e Na utiliza o da infraestrutura de TI e Na utiliza o do pessoal das TI e Na reputa o das TI no seio da organiza o 5 1 2 Cobit Cobit uma framework para a gest o e controlo de TI atrav s da defini o implementa o monitoriza o e melhoria dos processos abrangendo todo o ciclo de vida das TI Serve de suporte para a organiza o e para o desenvolvimento de projetos facilita o trabalho dos gestores ao alinhar os objetivos da organiza o com os objetivos das TI o que permite uma gest o mais eficiente de processos auditorias e monitoriza o de TI ISACA 2012 O framework disponibilizado pelo Cobit para al m das ferramentas de implementa o possui alguns recursos tais como o controlo de objetivos mapas de auditoria e um guia com t cnicas de gest o O Cobit compreende 4 dom nios Planeamento e organiza o Aquisi o e implementa o Entrega e suporte LIA Monitorizac o O Cobit direciona se sobretudo ao neg cio e pode ser um auxiliar para e Gestores que queiram avaliar o risco e controlar investimentos em TI e Utilizadores que queiram garantias sobre os servi os de TI de que dependem os seus produtos e Auditores que utilizam as re
40. bre a origem das mensagens recebidas e Desconfiar sempre que vir algo que pare a suspeito Ex remetentes desconhecidos e Desconfiar de certas frases tais como Consulte a sua conta Clique na liga o abaixo para aceder sua conta etc Para evitar o cyberbullying necess rio que toda a comunidade escolar esteja informada sobre as pr ticas mais comuns neste tipo de crime e as armas dispon veis para o combater importante que o jovem se sinta vontade com os professores ou com os pr prios pais para dialogar sobre este tipo de problemas No caso de estar a ser alvo deste tipo de ataque deve mudar a conta de email e guardar as mensagens para que posteriormente possam servir de prova Compete ao educador e Ensinar como usar corretamente a Internet e N o permitir a partilha de dados pessoais e Instalar computadores em locais comuns da casa e Instalar software de preven o de cyberbullying Para evitar ser v tima de phishing o utilizador e n o deve enviar informa es pessoais ou financeiras por email e n o deve clicar em nenhum link lembrando se sempre que empresas leg timas n o pedem este tipo de informa o por este meios e deve regularmente ver os extratos do cart o de cr dito para verificar se h algum d bito indevido e deve ser cauteloso ao abrir um anexo de um email que receba seja quem for o remetente e Deve usar sempre um bom antiv rus O SPAM pode se tornar muito incomo
41. certificac o ao ser aplicada ajuda a organiza o a criar um SGSI atrav s da defini o de uma pol tica de seguran a adaptada s suas necessidades Por sua vez a ISO 27002 fornece um conjunto de controlos que garantem as melhores pr ticas para gerir a seguranca da informac o dentro da escola A soluc o indicada para o problema estudado passa pela criac o de uma pol tica de seguranca e atividades que reflitam os objetivos do neg cio Neste sentido consideramos a norma ISO 27001 n o com o intuito de obter a certifica o mas sim para perceber quais as recomenda es e requisitos necess rios para a cria o de um SGSI A solu o que propomos ponto 6 passa pela ado o de um modelo de gest o de seguran a da informa o elaborado de acordo com a ISO 27002 e oferece nos a aplica o das melhores pr ticas de seguran a Prop s se ainda a ado o de um manual para o utilizador direcionado aos alunos com quest es menos t cnicas e com algumas recomenda es de boas pr ticas na utiliza o da Internet A ado o desta pol tica ajudar a criar um standard na utiliza o de recursos a definir regras e a atribuir responsabilidades aos utilizadores Faz sentido come ar na escola esta atribui o de responsabilidades aos alunos que devem desde cedo ser sensibilizados para a import ncia que a informa o representa na sociedade do conhecimento Conclu mos que para implementar um sistema de gest o de seguran a da inf
42. cesso n o devendo ser encarado como um modelo r gido mas antes adaptar se s necessidades da empresa e ao ambiente externo Este sistema de gest o pode ser implementado em qualquer tipo de organiza o independentemente da dimens o ramo a que se dedica etc Existem v rios modelos para implementar um sistema de gest o da seguran a da informa o o mais conhecido e aconselhado a certifica o da ISO 27001 mas tamb m pode ser implementado atrav s das frameworks de gest o Cobit e ITIL 39 5 Estudo de solu es 5 1 Ferramentas de gest o O ITIL e o Cobit embora implementem algumas solu es relacionadas com a seguran a da informa o visam sobretudo gerir as Tecnologias da Informa o dentro da empresa ajudando no apoio decis o e na cria o de uma IT Governance IT Governance um componente de gest o que conduz as TI at gest o de topo ajudando a prever resultados com menor margem de erro e aumentando a efic cia dentro da organiza o Para que seja tirado o m ximo partido das TI necess ria uma altera o profunda na forma como estas s o encaradas no seio da organiza o s assim sendo poss vel trazer inova o para a empresa Pode se definir IT Governance como o conjunto de rela es e processos que dirige a organiza o de modo a atingir os objetivos sendo acrescentando valor ao neg cio atrav s da gest o balanceada do risco e do retorno do investimento das TI Ferre
43. cidade e integridade e A configura o da rede inform tica torna a bastante vulner vel a ataques externos 27 4 An lise do problema e Esta incipiente configurac o na rede faz com que ocorram falhas no sistema o que pode fazer com que software e hardware fiquem mais rapidamente alterados e Alunos possuem poucos conhecimentos sobre utiliza o dos recursos digitais e Aus ncia de seguran a na navega o na Internet os alunos conseguem aceder a todo o tipo de recursos atrav s dos computadores da escola e Professores com poucos instrumentos de apoio para promover aulas interativas com recurso Internet e Inexist ncia de uma pol tica de seguran a devidamente documentada para apoio de utilizadores e Pouco envolvimento das escolas na forma o dos utilizadores 4 1 Requisitos e crit rios O requisito principal sem d vida atribuir informa o a import ncia que ela merece no seio da organiza o A partir do momento em que a informa o encarada como um recurso valioso a ser salvaguardado devem ser tomadas iniciativas que melhorem a seguran a da informa o interna da escola e tamb m a forma o dos recursos humanos A seguran a deve ser analisada em duas vertentes gt A seguran a da informa o atrav s da implementa o de mecanismos que acrescentem seguran a informa o cria o de pol ticas etc gt A seguran a no acesso aos equipamentos e s salas onde estes se encon
44. comenda es do Cobit para avaliarem o n vel de gest o de TI 5 2 ISO 27001 e ISO 27002 A certifica o em gest o da seguran a da informa o poss vel atrav s da implementa o da norma ISO 27001 A ISO 27001 identifica os controlos que acrescentam seguran a e qualidade ao SGSI enquanto a ISO 27002 define como se pode implementar os controlos definidos e serve como base para construir um programa de seguran a de informa o ISO IEC 2005a 41 5 Estudo de solu es As empresas que pretendam garantir as melhores pr ticas de seguran a devem utilizar as duas normas e AISO 27001 define os requisitos audit veis e usada para auditorias e para certificar SGSI e ISO 27002 um guia de execu o que lista os controlos que uma organiza o deve considerar Figura 13 Certifica o ISO 27001 Uma organiza o pode se certificar atrav s da norma ISO 27001 mas n o pode obter certifica o na ISO 27002 Calder 2012 A certifica o corresponde a um controlo integrado da seguran a e pode ser aplicada em qualquer tipo de organiza o consistindo num conjunto de mecanismos de prote o tecnol gica processual estrutural e humana A Vis o A informa o um ativo t o importante na empresa como qualquer outro por isso precisa de ser adequadamente protegida do crescente n mero de amea as e vulnerabilidades que v o surgindo A seguran a da informa o consiste na prote o da informa o
45. criancas pais professores e escolas Os professores podem utilizar as fichas de trabalho nas aulas de seguranca e desenvolver exercicios praticos atrav s do acesso ao laborat rio caso ISECOM e da participa o em testes e atividades SeguraNet Conclu mos que uma correta articulac o entre as escolas e seus professores e as equipas de trabalho ISECOM SeguraNet e SaferPlus estimula a perce o e educa o dos utilizadores em seguran a da informa o No entanto o verdadeiro problema continua a existir o sistema inform tico da escola continua a ser vulner vel a um grande n mero de amea as e n o respeita os princ pios b sicos da seguran a da informa o nomeadamente disponibilidade integridade confidencialidade e autenticidade Compete escola a cria o de manuais de utiliza o e de apoio ao utilizador que transmitam a pol tica de seguran a definida e estimulem a seguran a na utiliza o dos recursos Seria ainda vantajoso que as escolas come assem a apostar na promo o de palestras e workshops interativos sobre as consequ ncias da falta de seguran a da informa o e na navega o na Web 25 26 4 An lise do problema A aus ncia de mecanismos que garantam a seguranca da informac o dentro da escola p blica assume se como o problema desta dissertac o Ao longo deste trabalho aborda se a seguranca da informac o e a seguranca inform tica Estes conceitos embora interligados representam objeto
46. dativo enchendo a caixa de email com assuntos sem interesse Para n o se tornar um spammer basta ter alguns cuidados tais como e Antes de enviar um email pensar se o mesmo de interesse para o remetente e Refletir antes de reenviar emails suspeitos como correntes lendas boatos etc e Respeitar os assuntos nos f runs e listas de discuss o e N o utilizar contactos de amigos presentes em listas para enviar propaganda 68 6 2 Solu o 2 Recomenda es para o utilizador e Seguir as normas de etiqueta netiqueta como por exemplo preencher o campo assunto do email para que o destinat rio decida se interessa abrir etc A forma mais comum de propaga o de um v rus inform tico atrav s da rece o de email mas tamb m pode ocorrer atrav s do download de programas que escondem dentro deles outros programas infetados ou clicando em certos recursos na Internet etc Tamb m pode ocorrer se o utilizador n o instalar as atualiza es do Sistema Operativo fazendo com que o mesmo v ficando desatualizado Para evitar a propaga o de v rus deve se e Ter um antiv rus instalado e a fazer atualiza es autom ticas e N o abrir ficheiros de origem desconhecida e Manter o Sistema Operativo atualizado e Ter uma firewall sempre ativa Depois de falarmos sobre as precau es para evitar os ataques mais comuns na internet parece oportuno sugerir algumas pr ticas corretas na utiliza o de algumas tecnolog
47. de abrir o ficheiro alter lo utiliz lo etc Sente se confort vel ao partilhar o mesmo perfil conta de utilizador com outros professores funcion rios da escola 114 Sim 8 42 Nao 11 58 Ja Figura 8 Gr fico representativo da quest o n 3 do question rio Considera correto que a password para iniciar sess o nos computadores da escola seja partilhada pela maioria da comunidade escolar N o 10 A Sim 9 47 N o 10 53 Figura 9 Gr fico representativo da quest o n24 do question rio As restantes perguntas do question rio visam abordar os h bitos que os professores t m na intera o com o sistema de modo a n o comprometerem a sua seguran a Como podemos observar na Figura 10 21 dos inquiridos afirma que quando acede a uma p gina onde necess rio autenticac o permite que o browser memorize as suas credenciais 31 4 An lise do problema de acesso password Esta permiss o pode trazer graves problemas de seguranca sobretudo quando feito em computadores p blicos como o caso dos computadores da escola No caso de o utilizador confirmar que quer que o computador guarde o identificador e palavra passe sempre que algu m aceda a p gina web em quest o estar o memorizadas estas informa es e qualquer outra pessoa pode entrar com as credenciais deste utilizador muito frequente ocorrer esta situac o nos computadores da escola por vezes dura at ao final do ano letivo
48. de cookies em computadores p blicos e partilhados por muitas pessoas tamb m uma rotina de seguranca muito importante Qualquer utilizador pode instalar um software de sniffing no computador e assim consegue ter acesso a nomes de utilizador e palavras passe armazenadas no computador Com estes dados o atacante consegue ter acesso total as contas do utilizador Tem por h bito fazer a remog o definitiva dos ficheiros Sim 4 21 N o 14 74 Figura 12 Gr fico representativo da quest o n27 do question rio 4 3 2 An lise do relat rio EU Kids Online O relat rio tenta analisar qual o xito das medidas implementadas pela Coalition para tornar a Internet um local mais seguro para os jovens Tendo em conta a realidade que se pretende analisar apresentar se do os resultados que caracterizam o contexto portugu s Tamb m ser o apresentados alguns resultados com a m dia europeia para se tirarem algumas conclus es comparativas Livingstone et al 2011 gt Disponibiliza o de ferramentas simples e robustas para reportar conte dos maliciosos Segundo o relat rio apenas 13 dos jovens inquiridos utilizaram as ferramentas que os sites disponibilizam para denunciar ilegalidades online sendo em Portugal este n mero ainda menos significativo 11 importante que os jovens utilizadores com menos experi ncia sejam estimulados a usar estas ferramentas devendo estas ser desenhadas de forma a serem f ceis de usar po
49. deste estudo ser o apresentados e considerados para a soluc o a implementar A realidade dos alunos foi tamb m considerada tendo sido analisado o relat rio do projeto EUKidsOnline com o objetivo de conhecer os perigos que os jovens enfrentam ao utilizarem a Internet e as novas tecnologias Ap s analisar estes resultados apresentada uma proposta de implementac o de uma pol tica de seguranca da informac o atrav s de um modelo de gest o e de um conjunto de recomenda es direcionadas aos alunos A metodologia seguida responde aos requisitos da ISO 27001 para implementar um sistema de gest o da seguran a da informa o e na sele o de controlos de seguran a da ISO 27002 1 3 Organiza o da tese Este documento est organizado em 8 cap tulos e O cap tulo 1 a introdu o onde se pretende fornecer uma ideia geral da disserta o e No cap tulo 2 s o apresentados t picos fundamentais de seguran a que ser o utilizados ao longo do trabalho e O cap tulo 3 pretende contextualizar sobre o estado geral da seguran a da informa o nas escolas sendo feita uma an lise legisla o por fim apresentamos projetos que interagem com as escolas na promo o da seguran a da informa o e No cap tulo 4 feita a an lise do problema tendo em conta a recolha de informa o dos intervenientes do sistema e No cap tulo 5 s o apresentadas algumas solu es de gest o da seguran a da informa o 1 3 Organ
50. dimentos a implementar este organismo deveria usar uma correta articula o com as escolas e promover palestras de sensibiliza o dos utilizadores para esta tem tica 3 4 Programas de apoio s escolas Esta massifica o na utiliza o das TIC veio modificar profundamente a forma como as pessoas aprendem trabalham e pesquisam informa o Desde o aparecimento da Internet t m sido estudadas as mais variadas formas que possam fazer frente aos ataques seguran a atrav s da cria o de mecanismos eficazes de preven o de ataques 2 http www inst informatica pt o instituto 15 3 Seguran a da informa o nas escolas Por um lado as escolas nestes ltimos anos foram equipadas com equipamento tecnol gico computadores etc por outro lado a FCCN garante a liga o Internet nas institui es de ensino p blico e superior A escola passa a ser um meio privilegiado para a dissemina o dos mais variados perigos pois alia uma rede interna insegura s possibilidades de ataque existentes na Internet A quest o da seguran a na Internet sobretudo no que concerne aos mais jovens tem sido amplamente discutida tendo j surgido programas que tentam consciencializar as pessoas para a necessidade de implementar mecanismos online mais seguros Atenta a este problema a Comiss o Europeia lan ou em 1999 o Safer Internet Programme que tem como foco a dinamiza o de projetos nos Estados Membros no mbito da promo o de
51. do selo de seguran a digital para as escolas uma iniciativa da European Schoolnet um servi o de apoio e de acredita o a n vel europeu para as escolas e representa um importante incentivo para tornar a Internet um local mais seguro para as crian as e jovens Esta iniciativa foi divulgada no dia da Internet Segura a 7 de Fevereiro de 2012 um projeto que nasceu devido necessidade de apoio que as escolas sentiram nesta rea e re ne v rios parceiros como o caso dos Minist rios da Educa o europeus Portugal It lia B lgica ustria Dinamarca Holanda organiza es ligadas educa o Espanha Est nia e ustria empresas do setor Microsoft Kapersky Lab Liberty Global Telefonica e a European Schoolnet EUN 2011 Os elementos deste projeto incluem e Um portal onde disponibilizada uma base de dados com recursos educativos sobre seguran a digital Aqui est o dispon veis diversos materiais desde planos de aulas at pol ticas a implementar nas escolas 49 5 Estudo de solu es e Uma ferramenta de avalia o que pode ser utilizada pela escola para testar as suas pr ticas de seguran a digital Posteriormente serve para comparar com os padr es definidos internacionalmente e Uma comunidade de especialistas na rea Figura 16 Certifica o eSafety De Fevereiro at Julho de 2012 arrancou o projeto piloto tendo este sido implementado em 4 ou 6 escolas de cada pa s As escolas que
52. dos A autenticidade obtida quando o sistema tem condi es para verificar a identidade dos atores e entidades do sistema Segundo a ISO 27001 um Ativo qualquer coisa que tenha valor para a organiza o por isso a Informa o um ativo t o importante no seio da empresa como qualquer outro devendo ser usados mecanismos para a proteger Alguns fatores podem alterar as caracter sticas da seguran a tais como as amea as as vulnerabilidades o risco e os ataques 2 T picos de seguranca gt A amea a pode ser qualquer evento que provoque um impacto negativo sobre a confidencialidade integridade ou disponibilidade da informa o ou do sistema causando preju zos nos ativos da empresa As ameacas podem ser naturais causadas pela natureza ou intencionais v rus de computador espionagem fraude vandalismo etc gt Vulnerabilidade uma falha um erro na aplica o que origina uma viola o da pol tica de seguran a e que pode ser explorada propositadamente As vulnerabilidades do sistema podem ser de diversos tipos tais como condi es f sicas humanas hardware software meios de armazenamento e meios de comunica o gt O risco est relacionado com a possibilidade de uma amea a corromper a informa o atrav s da explora o de uma vulnerabilidade que o sistema possui Para se poder determinar o risco necess rio identificar as vulnerabilidades gt Um ataque consiste na explora o de
53. em seguran a Sempre que se detetar um comportamento estranho por parte de um aluno como por exemplo pr tica de cyberbulling ou outro tipo de crimes o aluno ser encaminhado de imediato para o servi o de acompanhamento psicol gico da escola ou agrupamento e ser chamado o encarregado de educa o para ser colocado a par da situa o 66 6 2 Solu o 2 Recomenda es para o utilizador 21 A escola encoraja todos os alunos a utilizarem as ferramentas de reporte de conte dos maliciosos sempre que seja detetado material suspeito 22 A escola compromete se a contribuir de forma positiva na forma o dos seus utilizadores no que diz respeito a pr ticas seguras na internet Desta forma ser o realizadas palestras e semin rio gratuitos sobre esta tem tica ao longo do ano letivo III Boas Pr ticas Nesta sec o disponibilizamos alguns conselhos de boas pr ticas que o utilizador deve adotar na intera o com o sistema Manuseamento do equipamento e Quando est a utilizar o computador deve se ter o cuidado de n o tapar as aberturas do monitor e da caixa pois estas servem para que exista uma correta circula o de ar e Evitar quedas e pancadas fortes com o equipamento inform tico e N o introduzir quaisquer objetos nos orif cios do computador sob o risco de choque el trico e N o desligar o computador sem antes encerrar corretamente o sistema operativo e Uma vez que cada aluno tem
54. ema atrav s de testes de penetrac o e explora o de vulnerabilidades Especialmente direcionado a auditores consultores e 16 3 4 Programas de apoio as escolas profissionais de seguranca tem a vantagem de ser gratuito no entanto o facto de estar em constante desenvolvimento faz com que n o haja uma vers o final A ISECOM promove certificac es em profissionais em que as compet ncias s o validadas atrav s do programa de treino e do exame final As certifica es dispon veis s o gt Professional Security Tester OPST certifica o para auditores de rede e para profissionais respons veis por realizar testes de seguran a em aplica es locais e aplica es web e testes de intrus o na intranet gt Professional Security Analyst OPSA certifica o destinada a analistas de seguran a da informa o analisam dados de seguran a de rede avaliam a seguran a e tomam decis es em reas cr ticas da gest o gt Wireless Security Expert OWSE certifica o para auditores de seguran a em comunica o wireless atrav s do protocolo 802 11 gt Certified Trust Analyst CTA certifica o profissional e a organiza o que demonstra ter a capacidade de tomar decis es r pidas com base em evid ncias e gest o do risco gt Professional Security Expert OPSE certifica o oficial em OSSTMM oferece uma metodologia completa sobre a realiza o de testes de seguran a de fora para dentro da rede gt
55. er dizer que uma organiza o que utilize a ISO 27002 entra em conformidade com o guia de boas pr ticas mas n o oferece uma estrutura que possibilite a verifica o de cumprimento com o standard Calder 2012 A solu o que passamos a apresentar passa por implementar um Sistema de Gest o da Seguran a da Informa o atrav s da defini o de uma pol tica de seguran a da informa o adaptada realidade da escola Para ser eficaz e eficiente este documento deve ser desenvolvido por cada escola refletindo as suas reais necessidades vulnerabilidades mecanismos etc O modelo que propomos gen rico e pode ser implementado pela maior parte das escolas no entanto n o reflete as necessidades individuais de cada institui o de ensino Ser o apresentadas duas solu es gt Uma proposta para implementar um modelo de gest o de seguran a da informa o na escola gt Um documento com a pol tica de gest o da informa o direcionada aos utilizadores 53 6 Proposta de solu es A proposta de implementa o foi elaborada com base nos controlos da ISO 27002 ressalvando a necessidade de an lise monitoriza o e implementa o de novos controlos de modo a atingir a melhoria continua A utiliza o destes controlos ajuda a criar uma pol tica de gest o da seguran a da informa o e um meio para se conseguir responder aos requisitos definidos na ISO 27001 para obter a certifica o em seguran a da informa
56. eracionalizada pela FDTI presta apoio telef nico a crian as professores pais e encarregados de educa o no sentido de promover a seguran a na Internet A linha Alerta formou uma parceria com a APAV sendo um projeto combinado linha de den ncia e de consciencializa o Este servi o tem como miss o o bloqueio de conte dos ilegais na Internet e a acusa o criminal dos seus autores Para que isto aconte a feita a comunica o s autoridades policiais portuguesas e tamb m feita uma comunica o ao ISP para que os conte dos sejam automaticamente removidos A linha alerta compreende como conte dos ilegais e Pornografia infantil e Apologia do racismo e Apologia da viol ncia 24 3 5 Conclus o 3 5 Conclus o Ao longo deste cap tulo contextualizou se a problem tica da aus ncia de mecanismos de seguranca da informac o nas escolas ap s a modernizac o tecnol gica na educac o ocorrida nos anos mais recentes As escolas passaram a ter equipamento que facilita um acesso r pido ao conhecimento tornando se agora urgente a cria o de mecanismos que implementem seguran a na rede A aus ncia de regulamentac o na rea da seguranca da informac o talvez seja o principal motivo para o estado atual de falta de seguranca nas escolas Os projetos desenvolvidos pela ISECOM e pelo programa da Comiss o Europeia na rea da seguranca da informac o disponibilizam material te rico e promovem projetos ativos junto das
57. este contexto a participa o das escolas nos projetos da ISECOM e SeguraNet possui v rias vantagens e Para o professor que tem um suporte material para desenvolver as suas aulas num tema atual e emergente como o da seguran a em sistemas inform ticos e Para o aluno que passa a ter a possibilidade de aprender diversos assuntos relacionados com a seguran a atrav s da an lise do problema e a sua experimenta o pr tica em laborat rio e Para a escola pois os alunos ao estarem informados dos perigos que correm no mundo virtual provavelmente ter o uma atitude mais cuidadosa e correta na utiliza o dos recursos inform ticos Conclu mos que a solu o n o passa apenas pela sensibiliza o dos utilizadores para os problemas de seguran a mas sim pela cria o de um sistema que proteja a informa o O crescimento na produ o de informa o dentro das escolas obriga as a tomar medidas eficazes para protegerem os seus conte dos sendo necess rio recorrer a ferramentas e normas auxiliares As metodologias do tipo ITIL Cobit e ISO 27001 oferecem vantagens na gest o das Tl e proporcionam a certifica o em seguran a da informa o Mas uma vez que a implementa o de um processo desta natureza moroso e nem sempre se v m resultados a curto prazo s organiza es robustas e de maior complexidade costumam apostar neste tipo de solu es 15 7 Conclus es A ISO 27001 n o usada apenas para o processo de
58. evitar este tipo de ataques O Facebook identifica a sua integrac o na Coalition como a sua mais recente iniciativa de participac o na Europa tendo sido assinado o European Safer Social Networking Principles e criadas ferramentas de tecnologias da informac o e comunicac o bem como servicos que ajudem a promover a utiliza o segura dos servi os online disponibilizando liga es para os seguintes recursos Facebook 2012 Padr es de comunidade do Facebook Aqui o utilizador tem acesso aos padr es aceit veis de liberdade de express o definidos pelo Facebook O Facebook identifica como principal prioridade a seguran a No caso de esta ser amea ada sob alguma forma para al m da remo o conte dos formalizada uma comunica o s autoridades O Facebook considera como fora do padr o estabelecido e A viol ncia as amea as e condi es que coloquem em causa a integridade e a seguran a p blica e Amea as de automutilac o e Bullying e ass dio e Conte do que incentive o dio e Conte do gr fico para fins de prazer s dico e Nudez e pornografia e Identidade e privacidade proibida a cria o de perfis falsos e a divulga o de informa o que seja falsa Tamb m n o permitido revelar informa o privada de outra pessoa e Propriedade intelectual respeitar direitos de autor marcas comerciais e direitos legais e Phishing e spam Centro de seguranga familiar nesta p gina fornecida in
59. forma o Usar liga es encriptadas para o ponto de acesso dando prefer ncia a protocolos seguros Quando estiver dispon vel deve optar pelo WPA2 sen o opte pelo WPA em ltimo caso opte pelo WEP evitando ligar se rede wireless sem qualquer tipo de encripta o Assegure se que o computador tem mecanismos de prote o ativos antes de aceder Internet antiv rus e firewall Mudar o nome de utilizador e a palavra passe do equipamento de acesso ao meio Esconder o SSID faz com que a rede n o seja anunciada pelo ponto de acesso Quando n o der para esconder o SSID deve se alterar o que veio de origem Filtrar endere os MAC poss vel configurar o ponto de acesso para permitir apenas o acesso a determinados endere os MAC Alterar regularmente a chave de acesso rede Desligar os pontos de acesso quando n o estiverem a ser utilizados 73 74 7 Conclus es Com a realiza o desta disserta o foi poss vel tirar v rias conclus es A aus ncia de legisla o e de um minist rio da educa o que intervenha nas quest es referentes seguran a da informa o obriga as escolas a desempenharem um papel proactivo na defini o de uma pol tica de seguran a da informa o importante consolidar junto das escolas dos alunos dos diretores dos professores e de toda a comunidade escolar o desenvolvimento de compet ncias TIC nomeadamente no que diz respeito cria o de h bitos seguros N
60. formac o ferramentas e recursos que ajudem a implementar seguran a no Facebook Tem ainda informa o direcionada a pais professores e adolescentes Denunciar abuso ou viola es da pol tica nesta p gina fornecida informa o sobre o tipo de ferramentas que o Facebook disponibiliza para os utilizadores denunciarem conte dos A forma mais r pida clicar em denunciar em qualquer publica o 21 3 Seguran a da informa o nas escolas Informa o de defini es de privacidade ensina a implementar privacidade na conta do Facebook atrav s das publica es identifica es e adi o de localiza o O Google compromete se a acompanhar e estimular o desenvolvimento da Web organizando campanhas de alfabetiza o digital a mais recente foi a Bom Saber organizada em parceria com outras organiza es Disponibiliza ainda a ferramenta SafeSearch Lock que d a possibilidade aos pais de bloquear conte do ofensivo e por fim os Safety Center centros de seguran a dispon veis no youtube permitem reportar ilegalidades de uma forma mais c lere Google 2012 B SeguraNet O projeto SeguraNet foi criado em 2004 pela DGIDC CRIE do Minist rio da Educa o com a finalidade de promover uma utiliza o mais segura da Internet junto dos estudantes do ensino b sico e do ensino secund rio Este projeto direcionado comunidade escolar alunos pais escolas e encarregados de educa o disponibiliza info
61. ias mais populares entre jovens como o caso dos telem veis blogues redes sociais IMS e Chats tecnologia P2P correio eletr nico e por fim a utiliza o da rede wireless Telem veis Os telem veis mais recentes ao permitirem acesso Internet e partilha de dados quer atrav s do Bluetooth quer atrav s de videochamada podem facilitar alguns ataques seguran a como o caso de e cyberbullying atrav s do envio de SMS ou MMS com fotos cujo objetivo seja intimidar quem est a receber ou atrav s do envio de fotos de outros jovens sem que estes tenham dado autoriza o e Rece o de Spam com t cnicas de phishing e Propaga o de v rus que pode permitir o acesso a conte dos no telem vel atrav s do Bluetooth As recomenda es para evitar este tipo de perigos passam por e n o dar o n mero de telem vel a desconhecidos e n o responder a SMS quando desconhecemos quem o remetente e n o atender chamadas com n mero oculto e ter sempre saldo no telem vel para fazer uma chamada de emerg ncia caso seja necess rio Blogues Os blogues servem para partilhar informa o variada sob a forma de not cias funcionando como um di rio online Ao permitir a inser o de coment rios por parte de outros utilizadores pode se dar origem a diversas amea as como o caso do SPAM do phishing e 69 6 Proposta de solu es do cyberbullying A coloca o de imagens pessoais pode levar a que
62. ira 2009 5 1 1 ITIL ITIL um conjunto de boas pr ticas para a gest o de servi os de TI descreve a estrutura dos processos de gest o em TI sem detalhar como um processo em particular deve ser implementado Tem como objetivo ajudar na defini o das melhores pr ticas e crit rios nas opera es de gest o incidindo sobretudo na defini o do que funcional destaque para as fases 1 e 2 Suporte e entrega de servi os ITIL 2011 Pode ser implementado atrav s de 8 m dulos Suporte a Servicos ae Ess ncia do ITIL Entrega de Servicos Perspetiva de Neg cio Gest o de Infraestruturas Tl Gest o de Aplica es Gest o de Seguran a Planifica o e Implementa o COS SO GL A Gest o de Recursos de Software A implementac o do ITIL pode ser um processo dif cil e moroso Muitas vezes s ap s alguns anos de implementa o que as organiza es conseguem resultados tornando se mais eficiente quando acompanhado das ferramentas corretas que suportem os processos e a troca de dados entre estes A longo prazo a implementa o do ITIL bem como a ado o de boas pr ticas oferece um retorno positivo do investimento ROI Miranda 2006 O ITIL visa ajudar a construir uma organiza o forte relacionando os servi os fornecidos com as necessidades presentes e futuras e tornando o servi o cada vez mais eficiente em termos de custo Tem ainda a vantagem de ser uma boa prepara o para a certifica o pois gar
63. irem em 5 dom nios EC 2011 gt Cria o de ferramentas simples e robustas para que os utilizadores possam reportar contactos e conte dos perigosos Permitir configura es privadas apropriadas idade Classifica o do conte do mais eficaz Possibilitar mais disponibilidade e controlo paternal Vv Vv V WV Mitigar material de abuso infantil z Na declarac o de miss o da Coalition cujo t tulo A Better Place for Kids poss vel verificar quais os prop sitos desta coligac o podendo se resumir ao pr prio t tulo tornar a Internet um local mais seguro para as crian as As empresas que formam esta Coalition comprometem se a lutar por este objetivo trabalhando em conjunto mas tomando iniciativas individuais que proporcionem o progresso nesta rea e ajudem a alcancar os 5 dominios identificados Financiado pelo Programa Safer Internet a Coalition apela a colaborac o dos pais familiares professores educadores e toda a sociedade para alcancar as metas identificadas com maior efic cia 20 3 4 Programas de apoio as escolas Uma vez que seria demasiado exaustivo enunciar quais as empresas e que medidas levaram a cabo no mbito do seu envolvimento na Coalition a t tulo de exemplo ser o apresentados o Google e o Facebook De referir que todas elas disponibilizam no seu s tio Web informa o relativa a seguranca na Internet tipos de ataques mais comuns e que medidas as pessoas podem tomar de forma a
64. isa os incomodou EU 24 e 64 dos jovens afirmou que o professor estabelece regras sobre o que se pode fazer na Internet EU 62 e 78 dos professores falaram com os alunos sobre o que fazem na Internet EU 53 De real ar os valores de Portugal em rela o m dia europeia e tamb m que os professores t m um papel bem mais proeminente na media o do acesso Internet em Portugal relativamente aos outros pa ses 35 4 An lise do problema A Levantamento de problemas de seguranca De acordo com os dados extra dos do question rio e do relat rio ser o apresentados alguns problemas de seguran a relacionados com a utiliza o do sistema n o s pelos mais jovens mas tamb m pelos professores Com a aplicac o deste question rio podemos concluir que embora a maioria dos professores reconheca que o sistema inform tico que utilizam na escola apresenta graves falhas de seguranca n o t m os cuidados para salvaguardar uma certa dose de privacidade Embora a maior parte dos professores saiba que os computadores s o partilhados por v rios utilizadores mesmo assim n o t m h bitos que assegurem seguranca tais como eliminar cookies e o hist rico da Web no browser e eliminar os ficheiros de forma definitiva atrav s da utiliza o de um software de limpeza ou esvaziando a reciclagem Isto nota falta de h bitos de seguranca da informac o o que se deve em grande parte a falta de formac o que os professores t m na re
65. izac o da tese J no cap tulo 6 feita a proposta de soluc o para os problemas de seguranca da informa o detetados nas escolas No cap tulo 7 s o apresentadas as conclus es e no cap tulo 8 as refer ncias consultadas 2 T picos de seguranca Antes de iniciarmos o desenvolvimento do trabalho ser o apresentados alguns conceitos chave de seguranca que ser o amplamente utilizados ao longo da dissertac o A seguran a da informa o consiste na preserva o dos dados iniciais incluindo os mecanismos que garantam a sua prote o e assegurem as caracter sticas da seguran a da informac o a disponibilidade a integridade a confidencialidade e a autenticidade entre outras gt A disponibilidade garante que a informac o est dispon vel para a pessoa certa no momento em que ela precisar prevenindo a perturbac o A disponibilidade pode ser garantida atrav s da implementac o de mecanismos de redund ncia e de salvaguarda da informa o A integridade consiste em prevenir a altera o n o autorizada de dados mantendo as caracter sticas que o propriet rio da informa o estabeleceu Pode ser obtida atrav s de mecanismos de dete o de intrus o e controlos de acesso A confidencialidade garante que existe o n vel adequado de secretismo em cada n de processamento prevenindo as fugas de informa o Pode ser obtida atrav s de comunica es seguras e encripta o de dados guardados e transmiti
66. jetos com o objetivo de proteger crian as e jovens dos perigos da Internet Para alcan ar este objetivo o programa definiu uma pol tica robusta que consiste essencialmente em tornar a Internet um local mais seguro para os jovens ativando v rios mecanismos que permitem lutar contra conte dos e condutas ilegais O programa financia a cria o de plataformas seguras para os mais jovens portal Insafe e o portal Inhope patrocina o evento anual o safer internet day e organiza o safer internet f rum EC 2012a Os projetos levados a cabo pelo programa Safer Internet passam entre outros pela cria o de Safer Internet Centres Presentes em 30 pa ses Europeus os Centros de Internet Segura t m a finalidade de produzir informa o sobre seguran a na utiliza o da Internet facultando material a crian as professores e pais Para garantir que a pol tica de luta contra conte dos ilegais levada a cabo cada centro possui uma linha de apoio que os utilizadores devem contactar para denunciar conte do ilegal 18 3 4 Programas de apoio as escolas Com o objetivo de prevenir abusos sexuais a menores existe uma cooperac o com a INTERPOL nomeadamente ao n vel do acesso Base de Dados Internacional de Imagens de Crian as Abusadas Sexualmente ICSEBD A base de dados pode ser acedida por investigadores credenciados independentemente da sua localizac o geogr fica os quais podem contribuir na identifica o das v timas e na red
67. king users aware ofthe need of the Internet and the importance of communication security Although being a long process the adoption of safe practices is also achievable through the implementation of an information security policy adapted to the school reality according to ISO 27001 By collecting opinion from the system stakeholders it was possible to create two documents with a information security policy one directed to schools and the other addressed to users It is believed that the adoption of these recommendations by schools can allow benefits in terms of information security Keywords School Information Technologies Policy Information Security vi Agradecimentos Gostaria de agradecer ao meu orientador Doutor Ant nio Costa n o s pela sua orientac o cient fica mas sobretudo pela disponibilidade com que me acompanhou ao longo desta fase de investigac o Aos meus colegas de curso em especial a Ana Cerqueira e ao Pedro Costa pelo contributo na execuc o dos trabalhos e por tantas vezes terem conseguido motivar me nos momentos de maior pressdo A minha fam lia por perceberem as minhas constantes aus ncias ao longo destes dois anos de dedicac o ao mestrado E por ltimo agradeco a oportunidade que me foi dada de concretizar este sonho com grande prazer que me torno diplomada numa instituic o de m rito como o ISEP vii viii ndice IntrodLi O iii A AR 1 1 1 Enquadramento tem tico seereis siir
68. lar Equipa de Computadores Redes e Internet na Escola Denial Of Service European NGO Alliance for Child Safety Online Funda o Cientifica para a Computa o Nacional Funda o para a Ci ncia e Tecnologia Funda o para a Divulga o das Tecnologias da Informa o HyperText Transfer Protocol Secure International Child Sexual Exploitation Image Database Information and Communication Technology International Electrotechnical Commission Instant Messaging Internet Hotlines All Over the World Instituto Portugu s do Desporto e Juventude Institute for Security and Open Methodologies Information Security Management System International Organization for Standardization Internet Service Provider xiii ITIL MAC MP3 NIDS ONG OPSA OPSE OPST OSSTMM OWSE POG PTE ROI SAI SGSI SIP BENCH II SPAM SSID Tl TIC USB VPN WEP Wi Fi WPA WPA2 Information Technology Infrastructure Library Media Access Control MPEG 1 2 Audio Layer 3 Network Intrusion Detection System Organiza o N o Governamental Professional Security Analyst Professional Security Expert Professional Security Tester Open Source Security Testing Methodology Wireless Security Expert European Online Grooming Project Plano Tecnol gico da Educa o Return On Investment Security Awareness Instructor Sistema de Gest o de Seguran a da Informa o Safer Internet Programme Benchmarking spiced h
69. lizadores atrav s da consciencializa o para as necessidades de seguran a S o disponibilizados materiais e exerc cios pr ticos que podem ser aplicados durante as aulas estimulando o desenvolvimento do pensamento cr tico nos alunos Mas estas iniciativas apenas ajudam a tornar os utilizadores mais conscientes para a necessidade de seguran a contudo a rede continua exposta aos mais diversos perigos A solu o passa por implementar um sistema de gest o de seguran a da informa o que seja capaz de diminuir os riscos associados utiliza o das TI As ferramentas de gest o ITIL e Cobit s o uma alternativa para implementar um sistema caracterizado pelas melhores 1 Introdu o pr ticas no entanto parece um pouco desajustado para a realidade que as escolas p blicas enfrentam no nosso pa s A Norma ISO 27001 o standard para a seguranca da informac o e pode ser implementada por qualquer organizac o que pretenda garantir elevados n veis de seguranca atrav s da protec o da informac o Ser o apresentados os principais componentes da norma e de que forma as escolas podem inseri la no seu quotidiano A certifica o no Esafety School outra alternativa que as escolas devem considerar sendo apresentada uma breve descric o sobre este projeto 1 2 Objetivos De modo a oferecer uma soluc o adequada realidade das escolas foi feito um estudo atrav s da aplicac o de um question rio a professores Os dados provenientes
70. lunos Atualmente s no 8 ano que os alunos t m oficialmente uma disciplina de inform tica no entanto a pr pria disciplina de TIC n o aborda a tem tica da seguran a da informa o gt Fraco acompanhamento dos pais Os pais nem sempre t m disponibilidade para acompanhar os filhos quando estes precisam de utilizar o computador e a Internet para realizar pesquisas sendo que muitas vezes as crian as ficam sozinhas nas suas primeiras intera es Ao utilizarem de forma aut noma a Internet as crian as ficam sujeitas a muitos perigos que j foram mencionados anteriormente possuindo poucos conhecimentos para lidar com eles gt Aus ncia de h bitos de seguran a da informa o Tamb m a utiliza o por parte dos professores reflete falta de conhecimentos digitais e de pr ticas de seguran a Na maior parte das vezes os professores s o obrigados a utilizar os computadores da escola para a realiza o e prepara o das atividades letivas como o caso das planifica es anuais das disciplinas que lecionam as atas resultantes das v rias reuni es o lan amento de faltas dos alunos a comunica o aos encarregados de educa o os relat rios das atividades que desenvolvem a avalia o de desempenho etc Como a maior parte dos professores n o tem a devida forma o na utiliza o de recursos inform ticos isto verifica se sobretudo nos professores com mais idade sendo compreens vel que cometam descuidos
71. ma o proveniente da secretaria da Dire o e dos professores sobretudo a proveniente da aplica o alunos e outras de carater administrativo enquadram se nos requisitos de informa o cr tica para a escola Conforme o manual emitido pelo Minist rio da Educa o importante criar uma pol tica de c pias de seguran a definindo dias horas e quem vai realizar estas c pias A c pia de seguran a pode ser agendada para o fim de semana e pode ser armazenada no disco do servidor de ficheiros na rede Posteriormente pode se gravar os backups para um DVD pois o suporte que apresenta um valor mais reduzido por MB Ramos 2011 Gest o da seguran a na rede Separa o f sica e l gica Na escola existem 4 grupos de utilizadores havendo uma separa o f sica e l gica entre este com diferentes n veis de acesso e atribui o de privil gios distintos e Secretaria e Dire o e Professores e Alunos 59 6 Proposta de solu es Utilizac o de Proxy para aceder web Um proxy funciona como um agente procurador encarregando se da tradu o de a es e de protocolos entre ambientes diferentes Ao utilizar um servidor proxy para aceder a Internet O proxy vai atuar como um intermedi rio entre o cliente e o pedido que est a ser feito ao servidor na Web como poss vel verificar na figura 17 A vantagem que o acesso tem de seguir as regras definidas pois todos os pedidos de
72. manter a sess o iniciada sendo que os utilizadores respondem frequentemente que sim Isto d origem a que muitas vezes ao abrir uma p gina de um servidor de email ou de uma rede social esta seja aberta com a conta de outro utilizador que esteve com sess o iniciada Nestas situa es todos os princ pios da seguran a podem ser violados Para evitar estas falhas a escola deve gerir a seguran a atrav s de atividades adequadas que come am por uma avalia o do risco e devem resultar numa pol tica de informa o e procedimentos de seguran a da informa o 11 3 Seguran a da informa o nas escolas 3 3 An lise da legisla o Neste ponto pretende se analisar a legisla o produzida que regulamenta a seguran a da informa o e a rede local da escola Ap s pesquisa da legisla o dispon vel no s tio Web do Minist rio da Educa o rapidamente se chegou conclus o que a legisla o produzida apenas contempla o programa PTE nas escolas o ensino das TIC e a atribui o de certifica es a professores Min edu 2010 No entanto analisando a legisla o com mais pormenor foram recolhidos elementos importantes e que podem ajudar a compreender o estado atual de seguran a da informa o O PTE ficou aprovado pela Resolu o de Ministros n 137 2007 em que o Governo se prop s a contribuir para a escola do futuro atrav s da cria o de condi es de ensino e de aprendizagem apoiando a utiliza o das Tecnol
73. mente 1 aula de 90 minutos sendo necess rio preencher o formul rio de pedido com 24 horas de anteced ncia 65 6 Proposta de solu es Il Politica 7 10 11 12 13 14 15 16 17 18 19 20 A atribui o de palavras passe feita de forma autom tica no in cio de cada ano letivo Cada utilizador tem uma palavra passe e um nome de utilizador para aceder ao sistema Os computadores da escola s conseguem arrancar pelo disco r gido Com esta medida pretende se evitar situa es em que os alunos tentam arrancar com outro Sistema Operativo atrav s de um dispositivo amov vel O aluno n o tem permiss es para instalar programas nos computadores da escola Sempre que seja necess rio instalar algum programa no mbito de quaisquer disciplinas ter de ser o professor respons vel a solicitar a instala o ao coordenador de inform tica As portas USB dos computadores est o desativadas desta forma torna se imposs vel a liga o de dispositivos USB MP3 discos externos etc Esta medida visa prevenir a propaga o de v rus Por outro lado a escola incentiva os seus utilizadores a recorrerem a solu es de cloud computing para armazenamento de ficheiros Sempre que um aluno queira utilizar um computador por exemplo na biblioteca necess rio que preencha uma folha com o nome n mero de aluno e hora de entrada e sa da Este registo feito com o objetivo de controlar os equi
74. mpladas nesta proposta tais como e Gest o dos ativos e An lise de risco requisitos de seguran a e aceita o de risco Esta an lise que caracteriza a organiza o e consequentemente o SGSI Existem v rios softwares dispon veis que oferecem as ferramentas necess rias para fazer uma correta gest o de riscos como o caso do vsRisk v1 6 que est alinhado com a ISO 27001 e com a ISO 27002 Beckert 2012 64 6 2 Solu o 2 Recomenda es para o utilizador mbito Este manual serve como documento de apoio a todos os utilizadores do sistema inform tico da escola e tem como objetivo assegurar a correta difus o da pol tica de seguranca da informac o fornecendo aos utilizadores a informac o necess ria de como devem interagir com o sistema de modo a n o comprometer a seguranca do mesmo Atrav s deste manual pretende se que toda a comunidade escolar saiba adotar uma postura correta perante o sistema percebendo porque foram tomadas certas op es e quais os mecanismos escolhidos para tentar implementar um sistema mais seguro Para elaborar este documento foi considerada a norma ISO 27002 as delibera es do esafetyLabel e as recomenda es de seguran a da Internet Segura Este documento est organizado ao longo de 3 sec es principais e A sec o infraestrutura tem a informa o relativa infraestrutura f sica do sistema e o ponto Il diz respeito pol tica implementada pela escola
75. nta os resultados obtidos 12 dos jovens confessaram j ter visto na Internet algo que os incomodou Em Portugal e 14 dos jovens tiveram acesso a imagens sexuais em sites e 6 viram mensagens que incentivam o dio e a descrimina o por grupos e 8 tiveram contacto com sites que incitam a magreza excessiva bulimia e anorexia e 5 viram imagens que incentivam a mutila o e 4 tiveram acesso a material sobre a experi ncia em drogas e 1 acedeu a material que incentiva o suic dio gt Maior disponibilidade no controlo paternal muito importante que os pais controlem o acesso Internet atrav s da utiliza o de software de monitoriza o e filtragem de conte dos O relat rio demonstra que as principais preocupa es dos pais dizem respeito ao risco dos filhos serem contactados por estranhos 33 ou que vejam material inapropriado 32 34 4 3 Estudo de resultados De realcar que dos 25 pa ses Portugal o que apresenta uma percentagem mais elevada no que diz respeito a preocupac o dos pais com o que os filhos fazem na Internet Neste documento poss vel observar que 61 dos pais portugueses preocupa se com o facto de os filhos verem material inapropriado e 65 preocupa se com o facto de poderem ser contactados por estranhos Dos pais inquiridos na Europa 33 afirma utilizar a filtragem de conte dos na Internet de modo a limitar os conte dos a que o filho pode aceder e apenas 27 afirma usar software de
76. o Para conseguir levar a cabo uma pol tica de prote o da informa o foram implementados controlos de acordo com a ISO 27002 que garantam uma correta gest o da informa o 55 6 Proposta de solu es Conformidade A escola compromete se a cumprir com a legislac o aplic vel atrav s do respeito pela propriedade intelectual aplicando os devidos mecanismos de protec o aos documentos organizacionais e aos documentos que cont m dados pessoais Os direitos de propriedade intelectual devem ser respeitados e proibido a instala o de software que n o seja legal bem como a utiliza o de material sem a devida atribuic o de cr ditos de propriedade intelectual e Sempre que seja necess rio adquirir software deve se adquirir atrav s da compra ou ent o atrav s da utilizac o de software livre e As licen as discos e manuais que comprovem a propriedade de licen as devem ser guardados e mantidos sob a responsabilidade do coordenador de inform tica e proibido copiar livros artigos ou outros documentos que n o estejam inclu dos na lei de direito autoral Os documentos organizacionais que comprovem a atividade da escola devem ser protegidos de perda destrui o e falsifica o documenta o com este carater deve ser aplicada t cnica de cifragem sendo necess rio armazenar as chaves pelo per odo de tempo que a informa o tenha de permanecer armazenada A escola aprova a pol tica de
77. o como por exemplo ligar e desligar o computador e No final do 12 ciclo para al m de saber manusear o equipamento com o devido cuidado o aluno deve saber o que s o os direitos de autor e como os respeitar bem como as regras de etiqueta on line Netiqueta e Ao concluir o 2 ciclo o aluno ja deve conhecer procedimentos de seguran a tais como instalar um antiv rus e um firewall respeitar os direitos de autor e saber utilizar ambientes digitais de acordo com as normas e No final do 3 ciclo o aluno j deve reconhecer a exist ncia dos diversos perigos adotando comportamentos seguros e de boa conduta na WEB C Internet Segura Fruto do programa LigarPortugal resultou a orienta o estrat gica Assegurar a Seguran a e a Privacidade no Uso da Internet Para conseguir cumprir esta estrat gia necess rio garantir que todos e em particular as fam lias disp em de instrumentos para protec o de riscos que possam ocorrer no uso da Internet e t m informa o sobre como os utilizar MCTES 2005 Para poder realizar esta orienta o nasceu o projeto Internet Segura em 2007 atrav s de um cons rcio coordenado pela FCT Funda o para a Ci ncia e Tecnologia onde est o envolvidas a DGE Dire o Geral da Educa o do Minist rio da Educa o a FCCN Funda o para a Computa o Cient fica Nacional o IPDJ Instituto Portugu s do Desporto e Juventude e a Microsoft Portugal Internetsegura 2012a O p
78. o da recolha de informa o Para efetuar uma recolha de informa o mais precisa foi elaborado um question rio no GoogleDocs e distribu do a um universo de 50 professores sem distin o de grupo disciplinar e n vel de ensino dos quais foram respondidos 19 O question rio an nimo n o havendo nada que identifique nem caracterize quem o respondeu Optou se por um question rio de resposta r pida com poucas quest es de modo a conseguir obter o m ximo de respostas poss vel num intervalo de tempo curto Foi feita uma outra recolha de informa o usando os dados do relat rio do projeto europeu EUKIDS Online que visa retratar o comportamento dos jovens perante certos perigos online O relat rio com o t tulo Towards a better internet for children financiado pelo programa Safer Internet analisa o xito das estrat gias implementadas pela Coalition para proteger os jovens dos perigos online O principal objetivo deste relat rio promover uma navega o mais segura na Internet melhorando o conhecimento das crian as bem como a experi ncia dos pais Este relat rio tem por base a aplica o de inqu ritos a 25000 crian as entre os 9 e os 16 anos e a um dos seus pais tendo sido realizado em 2010 e aplicado em 25 pa ses europeus entre estes Portugal 4 3 Estudo de resultados Ser o analisados dois tipos de resultados o proveniente dos question rios aplicados aos professores e os resultados extra dos do relat
79. ogias da Informa o e Comunica o nos processos de ensino e aprendizagem bem como a gest o e seguran a escolar Os equipamentos oriundos do programa PTE foram distribu dos pelas escolas tal como se pode verificar na Resolu o do Conselho de Ministros n 118 2009 em que ficou autorizada a entrega de 250 000 computadores port teis bem como a instala o de servi os conexos A Portaria n 732 2008 determina a aquisi o por parte do Minist rio de Educa o de bens e servi os que assegurem nas escolas p blicas 2 e 3 ciclo e secund rias a instala o manuten o suporte e gest o de redes locais J a Resolu o do Conselho de Ministros n 35 2009 determina a atribui o de verbas para a celebra o de acordos que permitam a constru o do Sistema de Informa o da Educa o nomeadamente para servi os de consultoria e desenvolvimento de tecnologias da informa o e de servi os de suporte t cnico e gest o operacional Foi ainda analisado o manual de utiliza o manuten o e seguran a nas escolas documento emitido pelo Minist rio da Educa o com um breve cap tulo dedicado aos equipamentos audiovisuais e inform ticos mas n o contemplando qualquer aspeto relacionado com a seguran a inform tica Apenas emana diretrizes sobre o controlo e verifica o de cabos fichas instala es el tricas quest es climat ricas etc Min edu 2003 Visando consultar um documento de apoio gest o
80. ograma disponibiliza 2 portais referentes aos projetos em quest o O INHOPE permite ao utilizador fazer anonimamente o reporte de conte dos ilegais na Internet como o caso de material de abuso sexual infantil Cada pa s tem o seu pr prio portal INHOPE que em Portugal corresponde Linha Alerta Figura 3 Projeto INHOPE 19 3 Seguran a da informa o nas escolas Insafe a rede europeia que financia a cria o de centros que promovem a seguran a no uso da Internet e na utiliza o de dispositivos m veis em todos os Estados Membros O portal Insafe providencia um acesso r pido aos servi os da rede e aos centros dispon veis em cada pa s Insafe INHOPE e o painel de jovens EC 2012b ins fe Figura 4 Projeto Insafe Por exemplo ao escolher Portugal nos devolvida a indica o e respetivas hiperliga es dos Centros de Internet Segura a atuar no nosso pa s sendo estes e SeguraNet direcionado comunidade escolar e Internet segura direcionado ao p blico em geral e Inhope Hotline linha alerta utilizada para reportar conte dos ilegais A Coalition A 1 de Dezembro de 2011 em Bruxelas foi criada uma Coalition uma alianca entre a CE e 28 empresas em que est o inclu das varias empresas ligadas a tecnologia Google Apple e Facebook com o objetivo comum de tornar a Internet um local mais seguro para as criancas As empresas que formam a Coalition assumiriam o compromisso de ao longo de 2012 ag
81. organizacional implementa seguran a na rede tornando a inacess vel para quem n o faca parte dela e por fim permite partilha de tr fego Microsoft 2012 Ao utilizarem a VPN os utilizadores conseguem se conectar ao seu local de trabalho e podem aceder a recursos remotos na rede A utiliza o de VPNs garante o cumprimento de alguns requisitos de seguranca tais como e Autentica o por acesso remoto prevenindo acessos n o autorizados a rede e Confidencialidade um atacante que tente aceder a rede n o consegue ter acesso aos dados pois s o usadas t cnicas de encriptac o para prevenir acesso a informac o privada e Integridade as mensagens s o transmitidas atrav s de tuneis virtuais cifrados o que garante a integridade das mensagens transmitidas A VPN pode ser configurada apenas para permitir o acesso a professores e funcion rios da escola Manutenc o de sistemas de informag o Processamento correto nas aplicac es As aplica es de gest o devem garantir um correto processamento de dados Sempre que seja utilizada uma aplica o de gest o deve se permitir a valida o dos dados de entrada atrav s da verifica o do tipo de dados tamanho do campo entrada duplicada de caracteres etc o caso da aplica o alunos onde os professores registam as notas faltas etc e onde um simples erro de digita o pode trazer consequ ncias graves Gest o de vulnerabilidades t cnicas Deve se fazer
82. orma o n o basta definir uma pol tica necess rio analisar as pr ticas procedimentos quest es t cnicas e regulamentares da escola A ado o de um SGSI uma decis o estrat gica que deve partir da Dire o mas que requer um constante di logo com o respons vel pelas TI sendo necess rio a defini o de uma equipa t cnica que possa fazer a an lise e implementa o de controlos A solu o apresentada n o elimina definitivamente os problemas de seguran a pois novas amea as surgem quase diariamente Para poder detetar novas vulnerabilidades e amea as que v o surgindo importante que seja assumida uma atitude din mica e que periodicamente seja repetido o ciclo de gest o PDCA 7 1 Trabalho futuro A ado o da ISO 27002 ajuda a criar um sistema que protege a seguran a da informa o e um forte contributo para obter a certifica o da ISO 27001 A certifica o s conseguida atrav s da realiza o de auditorias e respetiva documenta o dos 5 controlos obrigat rios SGSI Responsabilidade de gest o Auditorias do SGSI Gest o e revis o do SGSI Melhoria do SGSI acompanhada do plano de a o O modelo proposto aborda algumas quest es relacionadas com o SGSI e com a responsabilidade de gest o e poder servir como base para o processo de certifica o sendo 76 7 1 Trabalho futuro necess rio desenvolver e documentar as restantes fases Este processo pode ser facilitado com a aquisi o de
83. os legais regulamentares e contratuais que devem ser respeitados pela organizac o e pelos seus parceiros e Princ pios objetivos e requisitos do neg cio que a empresa desenvolve para apoiar as suas decis es e Avalia o do risco da organiza o deve ser feita de acordo com a estrat gia de neg cio e os objetivos da organiza o deve se identificar as amea as e vulnerabilidades qual a probabilidade de ocorreram e quais os impactos que podem causar Ap s identificados os riscos e os requisitos de seguran a devem se selecionar os controlos apropriados tentando reduzir os riscos para um n vel aceit vel Com base nos crit rios de aceita o de risco que devem estar de acordo com a regulamenta o e legisla o nacional e internacional compete organiza o decidir quais os controlos de seguran a que devem ser ativados dando prioridade queles que possam melhorar o desempenho do neg cio O custo de implementar certos controlos deve ser equilibrado com o risco que a falha representa para o neg cio A avalia o de risco deve ser repetida periodicamente para conseguir identificar novas amea as ou amea as que mudam E Controlos Na ISO 27002 s o contemplados 11 controlos principais de seguran a De acordo com a figura 15 dentro de cada controlo existem v rias categorias principais de seguran a A ordem dos controlos aleat ria por isso n o obrigat rio seguir a ordem apresentada na norma podendo se aju
84. ou at haver alguma alterac o no computador Quando acede a uma p gina onde necessita autenticac o como por exemplo a conta de email e lhe perguntado se pretende que o browser Internet Explorer Mozzila etc guarde as credenciais nome de utilizador password etc para que na pr xima vez que visite o site n o seja necess rio costuma dizer Sim 4 21 N o 13 Nao 13 68 Figura 10 Gr fico representativo da quest o n25 do question rio As rotinas de privacidade no acesso a web s o esquecidas ou desconhecidas pela grande parte dos utilizadores como podemos verificar na figura 11 apenas 26 tem por h bito fazer a eliminac o de cookies e do hist rico da Web no browser e apenas 21 afirma ter por h bito fazer a remo o definitiva dos ficheiros atrav s da utiliza o de um software de limpeza ou esvaziando a reciclagem figura 12 Isto quer dizer que estes utilizadores ao acederem Internet nos computadores da escola em que a conta partilhada n o t m o cuidado de eliminar os ficheiros definitivamente podendo outros utilizadores ter acesso a eles Tamb m facilmente se pode consultar o hist rico da Web e ver que sites um utilizador consultou Quando utiliza a Internet tem por rotina fazer a elimina o de cookies e do hist rico da Web no browser Sim 5 26 N o 1 N o 13 68 Figura 11 Gr fico representativo da quest o n26 do question rio 32 4 3 Estudo de resultados A eliminac o
85. pamentos pois sempre que se verifique uma avaria roubo danifica o propositada o aluno ter que ser responsabilizado pelos danos causados O ponto anterior aplica se tamb m aos computadores da sala de aula Pretende se com esta medida diminuir o n mero de roubos e de material danificado O aluno est expressamente proibido de ligar ou desligar hardware ou cabos dos computadores como o caso do rato cabos de rede etc N o se pode comer ou beber enquanto se utiliza os computadores da escola O aluno n o tem permiss es de acesso a partir dos computadores da escola para aceder a conte do impr prio ou que se considere que pode afetar a sua concentra o e desempenho Ser o criadas listas negras com endere os de sites e com termos de pesquisa Exemplo de sites a que n o t m acesso a Redes sociais b Youtube c Sites de pornografia O aluno tem Internet gratuita a partir de qualquer ponto no interior do recinto da escola podendo utilizar dois tipos de liga o por cabo ou wireless A liga o por cabo nos computadores pessoais s permitida se o aluno trouxer um cabo de rede e se houver tomadas dispon veis nas salas de aula Com esta medida pretende se verificar um menor n mero de tomadas partidas e cabos danificados A liga o via wireless permitida a partir de todos os computadores para tal necess rio fazer a configura o da rede No final deste manual poss vel verificar como aceder rede wireless
86. pida Conformidade representa a conformidade com aspetos legais legisla o estatutos regulamenta es certifica o em seguran a da informa o e conformidade com auditorias Embora a aplica o dos controlos seja feita de acordo com a necessidade da organiza o alguns deles s o considerados boa pr tica para a seguran a da informa o em qualquer tipo de empresa como por exemplo Elabora o de documento com a politica da seguran a da informa o Atribui o de responsabilidades de seguran a da informa o Educa o e pr tica de seguran a da informa o Processamento correto em aplica es Gest o t cnica das vulnerabilidades Gest o cont nua do neg cio Gest o dos incidentes de seguran a e melhoria 47 5 Estudo de solu es Os controlos considerados essenciais s o e Prote o de dados privacidade e Prote o dos documentos da organiza o M dulo Conformidade e Direitos de propriedade intelectual Nem todos os controlos presentes na norma podem ser aplicados por uma organiza o assim como pode ser necess rio implementar outros controlos que n o estejam contemplados na norma Deste modo cada empresa deve desenvolver o seu pr prio manual com a pol tica de seguran a da organiza o em que devem estar identificadas todas as quest es pr ticas implementadas A norma recomenda que cada organiza o apenas implemente os mecanismos de prote o adequados sua realidade
87. privacidade e prote o de dados pessoais aplicando a devida prote o aos dados que s o disponibilizados por alunos e funcion rios da escola Dados pessoais s o qualquer informa o em qualquer suporte relativa a uma pessoa singular identificada ou identific vel atrav s de algum n mero de identifica o z A escola respons vel pelo tratamento de dados aplicando os devidos mecanismos que garantam a correta protec o destes e a n o publicitac o ISO IEC 2005a Gest o de ativos A escola deve iniciar um processo de inventariac o de todos os ativos devendo atribuir um propriet rio respons vel e tamb m o m todo de protec o adequado e Ativos de informa o e Ativos de software e Ativos f sicos equipamento tecnol gico hardware e Servi os e Pessoas e suas qualifica es ISO IEC 2005a 56 6 1 Solu o 1 Proposta de documento com a pol tica de seguran a da informa o Responsabilidades Todos os utilizadores do sistema t m a obriga o de agir em conformidade com a pol tica de seguran a da informa o Compete ao coordenador de inform tica a an lise de vulnerabilidades e a escolha de controlos adequados para salvaguardar a seguran a da informa o A equipa t cnica deve ajudar na implementa o das solu es escolhidas pelo coordenador e pela Dire o A Dire o deve apoiar o desenvolvimento da pol tica de seguran a disponibilizando os recursos
88. promover a ligac o a Internet em banda larga de alta velocidade o programa tentou diminuir o n mero de alunos por computador com ligac o Internet e por fim aumentar o n mero de docentes com certificac o TIC De referir que com este programa as escolas passaram a ter e 2 alunos por computador nas salas de inform tica e 1 computador para o professor em cada sala de aula e 1 v deo projetor por sala de aula e 1 quadro interativo por cada 3 salas de aula O projeto Internet na sala de aula do programa PTE foi criado com vista a disponibilizar acesso a Internet em todas as salas de aula e em todos os espacos escolares atrav s de uma infraestrutura de redes locais estruturadas e certificadas O Minist rio da Educac o forneceu os componentes ativos de rede e todo o sistema de cablagem estruturada cabos bastidores calhas etc bem como o servico de instalac o e de configurac o inicial dos equipamentos 3 Seguran a da informa o nas escolas 3 1 Formula o do problema Houve uma grande preocupa o da parte do anterior Governo em equipar as escolas com equipamentos que permitissem a alunos e professores acesso s novas Tecnologias da Informa o e Comunica o dentro e fora da sala de aula Os professores passaram a ter na sala de aula um computador e um v deo projetor para lecionar os conte dos J os alunos passaram a ter acesso a estes equipamentos nas salas de inform tica e na biblioteca para realizar t
89. que podem causar graves problemas de seguran a Nos question rios aplicados pode se verificar que embora a maior parte dos inquiridos considere que o sistema que utilizam n o seguro tamb m n o tomam medidas para que o mesmo se torne mais seguro como o caso dos que responderam que n o costumam fazer a 37 4 An lise do problema eliminac o de cookies e do hist rico de navegac o nem tampouco a eliminac o definitiva dos ficheiros criados gt Rede da escola vulner vel Por outro lado e como j foi referido anteriormente o problema deve se a configurac o das redes instaladas nas escolas p blicas que por si s j s o um incentivo para as mais variadas falhas de seguranca C Detec o de casos cr ticos Com este estudo detetaram se os seguintes casos cr ticos gt Pouca import ncia atribu da pela Dire o da escola gest o e manuten o da rede inform tica gt Inexist ncia de um documento com a pol tica de gest o da informa o da escola que sirva para definir boas pr ticas e para apoiar utilizadores com menos experi ncia gt Os utilizadores do sistema devem ter responsabilidades atribu das e devem ser responsabilizados pelos seus atos gt A comunidade escolar n o est devidamente consciencializada para a necessidade de seguran a na utiliza o da internet e do sistema inform tico importante que os utilizadores saibam agir com seguran a gt Os utilizadores manifestam compet
90. r utilizadores pouco experientes Livingstone et al 2011 gt Defini es privadas apropriadas idade muito comum para os jovens que t m acesso Internet criarem um perfil numa rede social Numa amostra de jovens dos 9 aos 16 anos 59 dos jovens europeus t m o seu perfil criado numa rede social Destes apenas 43 t m o seu perfil privado permitindo apenas aos seus 33 4 An lise do problema amigos ter acesso as suas informa es pessoais 28 t m semiprivado ou seja os amigos dos amigos podem ter acesso as suas informa es e 26 t m no p blico A utiliza o de redes sociais pode trazer perigos pelo que importante que os jovens sejam devidamente informados dos perigos que correm ao ter o seu perfil p blico devendo ser encorajados a torn lo privado e a n o divulgar informa o privada como o n mero de telefone e a morada Em Portugal e 78 dos jovens entre os 13 e os 16 anos t m um perfil criado numa rede social e 38 dos jovens entre os 9 e os 12 anos e 25 das crian as t m o seu perfil p blico e 7 dos jovens confessou disponibilizar o seu n mero de telefone ou endere o nas redes sociais e 25 dos jovens exibe na rede social uma idade diferente da que t m gt Classifica o do conte do Mitigar material de abuso infantil A cria o de medidas que incentivem a implementa o de uma pol tica eficaz de classifica o de conte dos na Internet muito importante tendo em co
91. ra passe e Sempre que entre um novo aluno ou funcion rio professor para a escola ap s o in cio do ano letivo a secretaria deve comunicar esse facto ao coordenador de inform tica para que este possa fazer o registo do utilizador Gest o de privil gios gt Atribuir cotas no disco a cada grupo de utilizadores Devem ser atribu das cotas em disco a cada utilizador ou grupo de utilizadores para armazenamento de ficheiros limitando assim a utilizac o do disco As cotas de disco servem para monitorizar e gerir o espaco em disco impedindo que o utilizador exceda o limite de cota que lhe foi atribu da Sempre que o utilizador esteja perto do limite imposto pelo administrador da rede apresentada uma mensagem de aviso com a informa o de quantos MB faltam para atingir o limite Garantir que o computador arranca apenas pelo disco Os computadores devem estar configurados de forma a arrancar apenas pelo disco r gido desta forma conseguindo se prevenir situa es em que os utilizadores tentam adulterar o sistema introduzindo um Sistema Operativo atrav s de CD ou Pendrive Controlo de acesso rede Cria o de VPN Numa rede local como o caso da rede da escola podem se implementar redes virtuais que na pr tica funcionam como se fossem v rias redes independentes 62 6 1 Solu o 1 Proposta de documento com a pol tica de seguran a da informa o A utiliza o de VPN oferece vantagens ao nivel
92. rabalhos mas tamb m para fazer outro tipo de pesquisas Antes de este programa ser levado a cabo muitas escolas funcionavam de forma muito primitiva existindo situa es caricatas como por exemplo professores que tinham a seu cargo disciplinas de inform tica mas em que as mesmas s podiam ser ensinadas na teoria devido inexist ncia de equipamento Esta reestrutura o veio facilitar por um lado o trabalho do professor dando lhe a possibilidade de fazer o seu trabalho tendo meios dispon veis para lecionar devidamente os conte dos e promover a intera o na sala de aula Por outro lado os alunos passaram a ter sua disposi o meios que facilitam a aprendizagem Estas crian as e jovens passaram a ter acesso nas escolas a computadores e Internet uma realidade a que muitos s t m acesso dentro da pr pria escola A escola passou a ter a miss o de formar os seus alunos utilizando t cnicas que fomentem a utiliza o das TIC e estimulem a literacia digital 3 2 Contexto Uma vez resolvido o problema da falta de equipamento surge agora uma nova quest o como gerir estes recursos Na pr tica nas escolas p blicas o acesso aos computadores feito da seguinte forma Os computadores est o dispon veis nas salas de aula biblioteca ludoteca e clubes Para aceder ao sistema necess rio autentica o havendo duas contas alunos e professor O perfil de utilizador partilhado por todos os utilizadores que fazem par
93. recorra a uma empresa que assegure a manuten o do sistema Esta despesa deve ser suportada pela pr pria escola que atrav s das fontes de receita pr prias verbas do refeit rio reprografia aluguer de equipamento etc deve financiar a manuten o destes servi os Min edu 2008 Raramente isto acontece as verbas que sobram s o muito reduzidas e servem para cumprir outras prioridades identificadas pelos rg os de gest o que passam por e aquisi o de livros pela biblioteca e compra de livros e dicion rios para que os diferentes departamentos possam acompanhar as reformas curriculares e aquisi o de material necess rio para o desenvolvimentos da atividade da escola etc As quest es relacionadas com a manuten o e seguran a da rede inform tica muito raramente s o encaradas como uma prioridade pela gest o da escola Para colmatar esta lacuna as escolas atribuem estas fun es aos professores de inform tica para que durante as horas que t m de trabalho na escola tentem efetuar as tarefas de gest o de equipamento As escolas podem ainda nomear um professor diretor de instala es com a fun o de coordenar a gest o inform tica do equipamento e podem ainda designar uma equipa t cnica de professores de inform tica com horas dedicadas ao gabinete e que tenham como fun es e verificar o material e inventariar o hardware que est dispon vel e assegurar a sua manuten o e repara o de material
94. relat rio EU Kids Online oooooocccccncncncncncncnncncncnononononcncnccnnnonono 33 5 Estudo de SOLU ES u nenne 39 5 1 Ferramentas de gest o sicrie ii erer eniten erre enr ELLEN EEEN ELTEK EEEN K EERTE ER ear esa 40 Sl IT seen nahen ne 40 551 2 CODIt anne sans nee 41 5 2 150 27001 150 27002 au ea la AA A AAA ARIAS 41 5 3 Selo de seguran a digital para as escolas u22essessesenssnssnnsnnsnnsnnsnnsnnennnnnennnnn nenn 49 5 4 Objetivos da SOLU O ernennen sn san usa EIES Dea vane ehr ande 51 6 Proposta de SOLU ES au 53 6 1 Soluc o 1 Proposta de documento com a politica de seguranca da informac o 55 6 2 Solu o 2 Recomenda es para O utilizador ooococcccccccncnnncncccncncccnccnncnncnnannons 65 TRONCIUSGCS src eco 75 Ti Trabalh futuro nen pe 76 8 Refereneias ser en 79 Lista de Figuras Figura 1 Despesa com as TIC na Administra o P blica durante o ano de 2010 14 Figura 2 S mbolo ISECOM occccnncccnnnooncnnnnnnononononnnnnnnnnnnnnnnnnnnnnnnnnonnnnnnnnnnnnnnnonnnannnnnnnnnnnnnnnaannnss 16 Figura 3 Projeto INHOPE reines re esante naar eean ELLE ein Eeo Ea EE EEEE Sa a Nie asas sal ou eee 19 Fig ra 4 Projeto Mii ac 20 Figura 5 Linhas de atua o do projeto Internet Segura uueeesssnnnesssnnneeeennnnnnnnnnnnnenennnnennnn 24 Figura 6 Gr fico representativo da quest o N21 do question rio 30 Figura 7 Gr fico representativo da quest o
95. rma es adaptadas a cada tipo de utilizador No s tio Web poss vel ter acesso a material did tico e os professores s o incentivados a participar nas in meras atividades promovidas pela SeguraNet ao longo de todo o ano letivo O painel de Jovens um dos projetos seguraNet e tem como objetivo escutar a opini o dos jovens saber como a tecnologia e a Internet s o usadas quais os problemas que surgem e como estes conseguem ser ultrapassados O objetivo que a opini o dos jovens seja ouvida e levada em conta aquando o momento de tomada de decis o e programa o de novas a es No painel nacional est o 40 jovens de 4 escolas e Escola B sica Integrada Quinta de Marrocos e Col gio St Peters Schooll e Escola B sica de S Juli o da Barra e Agrupamento de Escolas de Vagos Para al m das reuni es realizadas nas escolas 3 por ano letivo esperada a interven o dos alunos atrav s da plataforma moodle no envio de sugest es De modo a quantificar e avaliar os saberes adquiridos pelos alunos em mat ria de seguran a a SeguraNet define metas de aprendizagem que servem como referencial de objetivos e devem ser verific veis em todos os n veis de ensino Costa 2010 22 3 4 Programas de apoio as escolas As metas est o definidas por grau escolar e No final do pr escolar espera se que a crian a respeite as regras a adotar face aos equipamentos e ferramentas digitais responsabilizando se pela sua utilizac
96. rojeto Internet Segura surgiu como resposta necessidade de implementar estrat gias que possam minimizar os riscos associados utiliza o das novas tecnologias da informa o promovendo uma utiliza o segura da Internet junto da popula o em geral InternetSegura 2012a A par das iniciativas europeias os objetivos estrat gicos da Internet Segura s o o combate aos conte dos ilegais minimizar o efeito que estes conte dos possam ter nos cidad os promover a utiliza o segura da Internet e por fim consciencializar atrav s do fornecimento de informac o aos cidad os dos perigos da aus ncia de seguranca na Internet 23 3 Seguran a da informa o nas escolas Projeto Internet Segura az AN Sensibilizar Informar Formar Denunciar Figura 5 Linhas de atuac o do projeto Internet Segura De acordo com o que podemos observar na figura 5 as linhas de atuac o do projeto Internet Segura s o e Sensibilizar a populac o para a necessidade de seguranca na inform tica e Informar sobre os perigos decorrentes da utiliza o da Internet e de que forma as pessoas se podem proteger e Formar os cidad os em geral e Denunciar atrav s da disponibiliza o de uma linha de atendimento para onde devem ser feitas as den ncias de conte dos ilegais na Internet Entre os v rios apoios e projetos desenvolvidos pela equipa Internet Segura destacamos a Linha Alerta Esta corresponde ao centro INHOPE em Portugal op
97. s detetar atividades de processamento da informa o O logging consiste no registo de eventos em servidores bases de dados e redes enquanto a monitoriza o consiste na an lise dos eventos com o objetivo de detetar anomalias e tend ncias Costa 2010 O registo de ocorr ncias permite mais tarde responsabilizar os utilizadores pelas suas a es tornando se poss vel e Estudar padr es de comportamento de utilizadores dos objetos e das redes e Estudar poss veis quebras de seguran a e Avaliar a efic cia de elementos de seguran a e Analisar ataques Os eventos que se pretende monitorizar na rede da escola s o e Eventos relativos a gest o de contas de utilizadores altera o nos atributos de seguran a e Eventos relativos a controlo de acesso logins e logoffs mal sucedidos acessos negados conta e Altera o de configura es e Tentativas de acesso a aplica es e a recursos do sistema e Comandos introduzidos pelo utilizador e Desempenho do sistema e da rede e Tr fego de rede tr fego que entra e sai da rede Os logs devem ser automaticamente analisados e gerados alertas para informar irregularidades Para al m do registo de logs sugere se o uso da ferramenta Snort para auscultar a rede O snort uma ferramenta open source de dete o de intrus o na rede NIDS baseada na implementa o de regras e gera o de alarmes e tem a vantagem de interagir com a Firewall Snort 2010
98. s distintos A seguranca inform tica refere se sobretudo a seguran a dos equipamentos e da informa o digital j a seguran a da informa o contempla toda a informa o que vital para a organiza o e para o desenvolvimento do neg cio seja em formato digital ou em documento f sico APCER 2012 Como atualmente quase toda a documenta o produzida em formato digital cada vez mais estes termos est o interligados tornando se urgente a ado o de medidas que permitam manter o valor original dos documentos para que sempre que a organiza o necessite deles no desenvolvimento das suas atividades eles estejam dispon veis Garantir que o documento ntegro e que s tem acesso a ele quem realmente possui permiss o para o aceder s o outros requisitos fundamentais Numa rede inform tica onde as barreiras f sicas muitas vezes n o existem vulnerabilidades podem ser exploradas de modo a quebrar barreiras l gicas e assim conseguir ter acesso aos mais variados recursos A informa o continua a ser o bem mais valioso que qualquer organiza o possui pois ela que sustenta o neg cio ajuda no apoio decis o e fundamenta as op es tomadas Decomp s se o problema da seguran a da informa o para que seja mais f cil encontrar as devidas solu es e Na rede inform tica das escolas n o est o implementados mecanismos que permitam assegurar a seguran a da informa o confidencialidade disponibilidade autenti
99. s reveladores atrav s de fotografias tais como s tios que costuma frequentar N o colocar informa es sobre terceiros que possam comprometer a integridade dos mesmos Pedir permiss o a outras pessoas antes de publicar fotos delas Falar com os pais sendo estes adicionados lista de amigos para que o controlo parental seja mais eficiente No Facebook existe uma op o denunciar foto que serve para denunciar conte do ilegal sendo esta den ncia an nima Isto tamb m v lido para os casos de cyberbullying em que o jovem aconselhado a remover o coment rio mas antes deve clicar em denunciar Chats e IMs Como permitem a comunica o em tempo real podem representar diversos perigos para os mais novos pois nunca se sabe quem est do outro lado Este um dos s tios preferidos pelos molestadores de crian as para a pr tica de cyberbulying para o roubo de identidade e para a fraude atrav s de phishing Para prevenir este tipo de ataques deve se Ter aten o aos temas explorados nos chats Utilizar um nickname que n o revele aspetos da nossa verdadeira identidade Evitar preencher dados do perfil N o divulgar informa o privada a desconhecidos N o aceitar encontrar se com estranhos Registar todas as conversas N o abrir ficheiros ou links enviados por estranhos Peer to peer Tipo de comunica o que consiste na partilha direta de ficheiros entre utilizadores muito utilizado para
100. segurar a prote o da informa o do maior n mero de amea as poss vel A seguran a da informa o assegurada atrav s da implementa o de um conjunto de controlos que devem ser estabelecidos implementados monitorizados e revistos sempre que necess rio de modo a detetar novas necessidades A escola atrav s da sua pol tica de seguran a da informa o deve contribuir para a forma o dos seus utilizadores fornecendo diretrizes apropriadas que incentivem a forma o individual preparando os para utilizar com profici ncia as Tecnologias da Informa o A gest o da seguran a da informa o uma decis o estrat gica da Dire o da escola como tal inteiramente apoiada e acompanhado pela equipa da Dire o A escola nomeou um coordenador de inform tica que o respons vel pela an lise da seguran a e desenho e implementa o de solu es Este coordenador deve gerir uma equipa t cnica que o deve apoiar na implementa o de solu es Objetivos da pol tica Atsec 2007 e Obrigatoriedade de autentica o para aceder ao sistema e Confidencialidade na comunica o e Integridade da documenta o criada e Cumprimento da legisla o e Forma o de uma equipa t cnica que seja respons vel pela manuten o do sistema e Forma o dos utilizadores e Aprova o da pol tica pela Dire o e Transmiss o da pol tica do SGSI a todos os utilizadores e Publicitac o da pol tica de seguran a da informa
101. so de viola o da pol tica O mesmo se aplica aos alunos Consciencializa o educa o e treino em seguran a da informa o A escola interv m no processo de consciencializa o dos seus utilizadores para a necessidade de seguran a atrav s da promo o de palestras e workshops direcionados a toda a comunidade escolar 57 6 Proposta de solu es e A Dire o financia a es de forma o na rea da gest o da seguran a para o coordenador de inform tica bem como para a equipa t cnica respons vel pela manuten o do sistema de informa o e Os professores de inform tica devem participar nos projetos da Isecom e Seguranet estimulando a consciencializa o para a necessidade de seguran a pelos alunos Seguran a f sica e do ambiente Per metros de seguran a A cria o de per metros de seguran a tem por objetivo prevenir que pessoas n o autorizadas tenham acesso f sico ao equipamento A informa o critica e sens vel deve ser mantida em reas seguras com barreiras implementadas de controlo de acesso Todo o equipamento cr tico como o caso de servidores e equipamento de interconex o respons veis pelo funcionamento da rede devem ser mantidos longe do alcance dos utilizadores Os servidores devem ser usados somente para este fim n o devendo ser aproveitados para posto de trabalho pois no caso de haver um erro as consequ ncias podem ser muito graves para a rede Servidores h
102. star de acordo com as necessidades da organiza o 45 5 Estudo de solu es Figura 15 Controlos do SGSI A organizac o que pretenda obter a certificac o deve analisar criteriosamente estes controlos implementando aqueles que considere ser adaptados as suas necessidades Ser brevemente explicado o que cada controlo pretende implementar 1 Pol tica de seguranca a direc o deve fornecer orientac es para a seguranca da informac o de acordo com os requisitos do neg cio leis e regulamentac o 2 Organizac o da seguranca da informac o fornecer diretrizes para gerir a seguranca da informac o dentro da organizac o e nas partes externas 3 Gest o de ativos atribuir responsabilidades aos ativos dentro da organiza o implementando formas de proteg los num n vel adequado 4 Seguran a dos recursos humanos atribuir responsabilidades aos recursos humanos de modo a evitar o roubo fraude danos etc o As consequ ncias destas a es devem ser claramente transmitidas o necess rio o envolvimento de toda a equipa para assegurar a seguran a da informa o e evitar o aparecimento de amea as 5 Seguran a f sica e ambiental implementar medidas para que pessoas n o autorizadas acedam ao sistema causando interfer ncias nas instala es e na informa o 6 Gest o de opera es e comunica es garantir que os recursos de processamento da informa o s o corretamente utilizados isto aplica se tamb m
103. sultar de uma an lise o dos mecanismos que protegem a informa o de terceiros e que garantem a confidencialidade o da integridade e que at que ponto est o implementados mecanismos que garantem a veracidade da informa o o da disponibilidade da informa o prevenindo que o sistema tenha interrup es quer em hardware quer em software e conselhos de utiliza o dos recursos inform ticos equipamentos e regras e procedimentos que acrescentem seguran a aos recursos de informa o ISO IEC 2005 51 52 6 Proposta de soluc es Muita coisa pode ser feita para melhorar o sistema inform tico utilizado nas escolas umas mais facilmente exequ veis outras de implementac o mais lenta A candidatura certifica o do esafetyschool traz vantagens para as escolas at porque obriga a analisar as pr ticas e pol ticas implementadas Com esta recolha efetuada e o servico de informac o caracterizado torna se mais simples implementar um SGSI esta a soluc o que pode fazer frente aos problemas detetados nas escolas As escolas podem desenvolver um SGSI de acordo com a ISO 27002 uma vez que as boas pr ticas enunciadas neste c digo de pr ticas s o reconhecidas internacionalmente Como esta norma n o foi desenhada para aplicar a certificac o n o especifica quais os requisitos que o SGSI deve satisfazer para obter a certifica o enquanto a ISO 27001 j inclui estas especifica es Em termos t cnicos isto qu
104. t o importante a autenticac o e que pode comprometer os restantes aspetos da seguranca Sabe quantos perfis contas de utilizadores t m os computadores da sua escola Sim 6 32 N o 13 68 J Figura 7 Gr fico representativo da quest o n22 do question rio Por outro lado como podemos observar na Figura 8 grande parte dos inquiridos 58 afirma n o se sentir confort vel ao partilhar a mesma conta de utilizador com os restantes professores da escola Os restantes 42 parecem n o se importar com esta aus ncia de privacidade 30 4 3 Estudo de resultados Ainda na mesmo segmento tal como se pode observar na figura 9 47 dos inquiridos considera correto que a palavra passe para iniciar sess o nos computadores da escola seja partilhada pela maioria da comunidade escolar importante que os professores percebam que o facto de partilharem a mesma conta de utilizador e consequentemente a mesma palavra passe com outros professores implica um cuidado redobrado na utiliza o dos computadores Num sistema com estas caracter sticas importante que o utilizador tenha sempre a aten o de guardar os documentos que criou ou que descarregou num suporte pr prio de apagar os ficheiros que criou para que outros utilizadores n o tenham acesso a eles etc Como os computadores s o partilhados por todos os utilizadores se por acaso o autor do ficheiro n o o apagar qualquer outra pessoa que v utilizar o computador po
105. te do mesmo grupo aluno ou professor sendo o nome e a palavra passe comum Esta configura o faz com que todos os utilizadores tenham acesso informa o guardada no computador por exemplo ficheiros hist rico da web palavras passe para aceder a s tios Web ficheiros na reciclagem etc Por norma os programas antiv rus est o desatualizados e n o existem restri es para o armazenamento de ficheiros muito f cil para um aluno fazer a propaga o de v rus eliminar um ficheiro que outro aluno acabou de criar e que por lapso n o gravou utilizar ficheiros e dados de outro utilizador entre outras possibilidades 1 x z a TA Nesta pesquisa nao sera considerado a vertente administrativa OU seja O acesso dos funcion rios da secretaria 10 Estas caracter sticas aliadas falta de compet ncias na rea da seguranca que os alunos manifestam tornam o sistema ainda mais vulner vel e comprometem os princ pios da seguranca da informac o a confidencialidade a integridade a disponibilidade e a autenticidade A t tulo de exemplo passamos a explicar de que forma que estes princ pios relacionados com a seguran a da informa o podem ser violados Confidencialidade imposs vel garantir a confidencialidade da comunica o informa o num sistema com estas caracter sticas Um utilizador pode ter acesso aos ficheiros descarregados por outro utilizador e que ficaram armazenados nos ficheiros tempor rios do
106. techniques information security management systems Requirements First edition 2005 10 15 Information Technology Infrastructure Library What is ITIL http www itil officialsite com AboutITIL WhatisITIL aspx ltimo acesso Set 2012 Livingstone S Haddon L G rzig A and lafsson 2011 EU Kids Online Final Report http eprints Ise ac uk 39351 ltimo acesso Out 2012 Livingstone S lafsson K O Neill B Donoso V Towards a better internet for children Junho 2012 80 MCTEP 2005 Microsoft 2012 Min edu 2010 Min edu 2003 Min edu 2008 Miranda 2006 PTE 2009 Ramos 2011 Sim es 2011 Stanek 2012 Snort 2010 Vasconcelos 2011 Wikipedia 2012 7 1 Trabalho futuro Minist rio da Ci ncia Tecnologia e Ensino Superior LigarPortugal Um programa de ac o integrado no PLANO TECNOL GICO do XVII Governo Mobilizar a Sociedade de Informa o e do Conhecimento http www ligarportugal pt pdf ligarportugal pdf ltimo acesso Set 2012 Microsoft Virtual Private Networks http msdn microsoft com en us library aa503420 aspx ltimo acesso Set 2012 Minist rio da educa o http legislacao min edu pt np4 133 ltimo acesso Out 2012 Minist rio da Educa o http www drelvt min edu pt seg esc normativos manual utilizacao pdf ltimo acesso Out 2012 Minist rio da Educa o Internet na Sala de Aula Redes de rea Local Es
107. tram atrav s da cria o de regras atribui o de responsabilidades etc Na rede interna de uma escola circula informa o muito variada e a sua import ncia depende de quem a criou e com que finalidade Deve se proceder a uma an lise do carater da informa o fazendo sempre que poss vel uma divis o f sica e l gica mediante o tipo de utilizador que a produziu e A informa o com carater de gest o e administrativo como o caso dos documentos gerados pela secretaria devem ser salvaguardados de acessos indevidos e Tamb m a documenta o que produzida pelos professores como o caso de documenta o de gest o de alunos e as atas resultantes de reuni es devem ter um n vel de prote o adequado e A documenta o produzida pelos alunos possui um valor menos significativo em termos legais 28 4 2 Defini o da recolha de informa o Importa caracterizar a informa o que cada organiza o produz no decorrer das suas atividades pois s assim se conseguem perceber quais os fluxos de informa o Depois de analisar a informa o que circula dentro de uma escola importante identificar prioridades para que se comece a agir em primeiro lugar na informa o que foi identificada como vital para o desenvolvimento das atividades da organiza o Para implementar um plano de a o adequado conv m ainda perceber quais os h bitos que os utilizadores t m na sua intera o com o sistema 4 2 Defini
108. tro de uma organiza o e a necessidade de estabelecer uma pol tica para a seguran a da informa o Implementar controlos para gerir os riscos de seguran a da informa o Monitorizar e analisar criticamente o desempenho e efic cia do SGSI Melhoria cont nua com base nas medi es C Modelo de gest o PDCA Para que o sistema esteja sempre atualizado deve se utilizar o ciclo de gest o PDCA Plan Do Check Act um ciclo de desenvolvimento que tem como objetivo a melhoria cont nua As etapas deste ciclo de gest o ver figura 14 s o ISO IEC 2005 Plan corresponde fase de planeamento Nesta fase avaliam se os riscos associados aus ncia de seguran a da informa o e escolhem se os meios de controlo apropriados corresponde defini o da pol tica objetivos processos e procedimentos capazes de diminuir os riscos e de proporcionar a melhoria da seguran a da informa o Do esta a fase de implementa o dos controlos escolhidos pol ticas e procedimentos do SGSI Check nesta fase monitorizado e avaliado o desempenho do SGSI em termos de efici ncia e efic cia os resultados devem ser comunicados Dire o para que possam ser analisados criticamente Act nesta fase s o feitas as mudan as necess rias para que o SGSI recupere a sua performance e alcance a melhoria cont nua 43 5 Estudo de solu es Planear o que quando quanto Estabelecer o SGSI Fazer
109. tudo de Implementa o http www pte gov pt pte pt Projectos Projecto Documentos index htm proj 27 ltimo acesso Set 2012 Miranda L ITIL Information Technology Infrastructure Library http www sinfic pt SinficNewsletter sinfic Newsletter88 Dossier1 html ltimo acesso Out 2012 Plano Tecnol gico da Educa o http www pte gov pt ltimo acesso Out 2012 RAMOS A Manual de C pias de Seguran a para Documentos Informatizados http www sg min edu pt pt manuais ltimo acesso Out 2012 Sim es J Media es dos usos da internet Resultados do projecto EU Kids Online Confer ncia nacional 4 2 2011 FCSH UNL Stanek W Microsoft TechNet Managing User Profiles http technet microsoft com en us library bb726990 aspx ltimo acesso Set 2012 Snort About Snort http www snort org snort ltimo acesso Out 2012 Vasconcelos A As TIC na Administra o Publica que futuro http www itsmf pt LinkClick aspx link Eventos 2f13 Workshop 2fApresenta cao_Governance_TIC AMA pdf amp tabid 170 amp mid 700 amp language pt PT ltimo acesso Out 2012 Wikipedia Information Security Management System http en wikipedia org wiki Information security management system 81
110. ty school http www esafetylabel eu web guest esafetyschool ltimo acesso Set 2012 Facebook Centro de Seguranca Familiar https www facebook com safet ultimo acesso Set 2012 Ferreira C Gest o de TI Profissionalizada Casa dos Bits Semana n 915 de 13 a 19 de Fevereiro de 2009 http www semanainformatica xl pt 915 est 100 shtml ltimo acesso Set 2012 Google Ferramentas de Seguranca do Google http www google com goodtoknow familysafety tools ltimo acesso Ago 2012 Hacker High School Cyber Security Skills for the Real World http www hackerhighschool org ultimo acesso Out 2012 Instituto de inform tica do minist rio das finan as O Instituto de Inform tica http www inst informatica pt o instituto ltimo acesso Out 2012 Internet Segura Sobre o projeto Internet Segura http www internetsegura pt ltimo acesso Set 2012 Internet Segura Riscos e Preven o http www internetsegura pt ltimo acesso Set 2012 ISACA Cobit 5 A Business Framework for the Governance and Management of Enterprise IT http www isaca org COBIT Pages default aspx ltimo acesso Set 2012 Institute for Security and Open Methodologies http www isecom org ltimo acesso Out 2012 ISO IEC 17799 2005 E Information technology Security techniques Code of practice for information security management Second edition 2005 06 15 ISO IEC 27001 Information technology Security
111. u o de investiga es redundantes o que contribui para uma partilha de informa o mais eficaz O programa financia projetos de benchmarking que permitem a cria o de ferramentas de filtragem e etiquetas de conte do como o caso do SIP BENCH Il Pais e professores passam a ter acesso a uma pan plia de ferramentas de controlo que permitem limitar o acesso a conte dos online n o apropriados Outra medida consiste em providenciar o conhecimento atrav s do financiamento de dois projetos com a finalidade de criar uma base de conhecimento que identifique riscos e perigos online para crian as e EU Kids Online um projeto dispon vel em 21 pa ses que visa conhecer padr es de utiliza o das crian as europeias identificando riscos e quantificando a seguran a online e O POG European Online Grooming Project tem como finalidade compreender o comportamento de pessoas que tentam aliciar jovens atrav s da utiliza o das TI O envolvimento da sociedade civil fundamental para que o programa responda adequadamente aos desafios e assegurado atrav s da recolha de opini o dos diversos intervenientes A sociedade civil representada pelos jovens que integram os Centros de Internet Segura de cada pa s Foi ainda criada a eNACSO European NGO Alliance for Child Safety Online uma ONG que tem como miss o defender os direitos das crian as em mat ria de seguran a na Internet em toda a Uni o Europeia Por ltimo o pr
112. ubs e switches devem estar localizados numa sala a que ningu m tenha acesso localizado preferencialmente ao lado da Dire o Apenas poder ter acesso a esta sala o diretor da escola o coordenador de inform tica ou qualquer outra pessoa nomeada por estes Seguran a na sala de aula Para garantir a seguran a dos equipamentos as salas de inform tica devem estar fechadas chave e s o funcion rio pode abrir O acesso a estas salas s permitido com o professor respons vel Seguran a dos equipamentos Os servidores devem ser protegidos contra a falta de energia el trica atrav s da utiliza o de UPS Gest o das opera es e comunica es Prote o contra c digos maliciosos Este controlo visa proteger a integridade de software e da informa o prevenindo a introdu o de c digo malicioso como v rus cavalos de troia etc Na escola s permitido instala o de software legal Para que os computadores funcionem sem erros de software necess rio que quer o sistema operativo quer os programas instalados sejam legais com licen as v lidas A escola pode sempre optar por instalar programas com licen a livre evitando assim grandes despesas de aquisi o 58 6 1 Solu o 1 Proposta de documento com a pol tica de seguran a da informa o No que diz respeito preven o de v rus todos os computadores devem ter software antiv rus instalado e firewall ativo Os computadores est
113. uma falha no sistema inform tico normalmente com a inten o de o prejudicar 2 1 Exemplos de ataques seguran a Um v rus um programa que tem como finalidade infetar o computador e corromper o sistema operativo Os v rus costumam agregar se a um programa instalado no computador e t m como caracter stica a r pida replica o O cavalo de troia ou trojan um programa malicioso malware no computador com a fun o de o destruir Difere do v rus no sentido em que este n o se replica tendo como fun o invadir o computador do utilizador para roubar informa o como por exemplo senhas de acesso O SPAM diz respeito rece o de correio eletr nico n o solicitado por norma enviado a um grande n mero de pessoas e costuma abordar temas socialmente relevantes O SPAM usado habitualmente como ve culo para lan ar ataques seguran a Esquemas fraudulentos s o praticados na maioria da vezes por email sendo o principal alvo os utilizadores que utilizam sites de institui es financeiras O atacante recorre a listas de endere os de correio eletr nico para enviar SPAM em grande escala com ficheiros execut veis anexados s mensagens e servi os de hosting gratuitos O utilizador envia mensagens de correio eletr nico a outros utilizadores fazendo se passar por bancos ou outras institui es financeiras solicitando dados pessoais como n mero de conta n mero de cart o banc rio e palavras passe A v tima n
114. uma senha pr pria aconselha se a terminar sess o sempre que abandone o computador e N o sobrecarregar o computador com ficheiros in teis e Cada utilizador tem um volume em disco para gravar os seus ficheiros no entanto aconselha se os alunos a efetuar c pia de seguran a dos ficheiros mais importantes como o caso dos trabalhos de avalia o Internet e Sempre que inserir uma palavra passe salvaguarde a sua privacidade isto verifique se n o tem uma c mara direcionada ou algu m a tentar espreitar para a mesma e Confirmar a identidade do sistema de autentica o verificar sempre o endere o existente na barra de endere os bem como o certificado do servidor e Quando s o transmitidos dados privados como dados de autentica o verificar se esta transmiss o feita por um canal seguro A comunica o segura quando aparece um cadeado fechado no browser e Fazer sempre o t rmino de sess o Fechar na cruz apenas fecha a janela mantendo a sess o iniciada do utilizador e N o permitir o armazenamento de credenciais de acesso principalmente em computadores p blicos 67 6 Proposta de solu es e Fazer sempre as atualiza es quer do antiv rus quer do sistema operativo ou de qualquer programa instalado no computador pois isto ajuda a mant lo em seguran a Ataques mais comuns na Internet Para evitar um esquema fraudulento deve se e Procurar o m ximo de informa es so
115. uma utiliza o mais segura da Internet pelos mais jovens A ISECOM uma organiza o internacional sem fins lucrativos com projetos dedicados a metodologias de utiliza o Open Source e seguran a que tem como miss o Make sense of security promovendo a seguran a atrav s de certifica es programas de treino e suporte a projetos Os projetos levados a cabo no que diz respeito seguran a online pela ISECOM e pela Comiss o Europeia ser o brevemente descritos 3 4 1 Projetos ISECOM O Institute for Security and Open Methodologies criado em 2001 e presente nos EUA e em Espanha representa uma comunidade colaborativa com milhares de membros volunt rios em todo o mundo Consciente dos problemas adjacentes falta de seguran a nos recursos inform ticos a equipa ISECOM tem em curso v rios projetos de apoio a escolas professores alunos e quaisquer interessados neste tema ISECOM 2012 SECOM INSTITUTE FOR SECURITY AND OPEN METHODOLOGIES Figura 2 Simbolo ISECOM Os projetos levados a cabo pela equipa ISECOM que se apresentam de seguida s o A OSSTMM Open Source Security Testing Methodology Manual Standard em metodologia e testes de seguranca que consiste em verificar factos e em medir o nivel de seguranca do sistema O teste a seguranca feito com base nas decis es tomadas por cada organizac o sendo implementada uma metodologia formal que comprova se as ferramentas usadas realmente protegem o sist
116. utiliza o da plataforma de interoperabilidade desenvolvida pela AMA e Racionalizar centros de dados atrav s da implementa o de solu es de cloud computing De acordo com o exposto conclu mos que seria vantajoso que o Minist rio da Educac o a semelhanca de outros minist rios tivesse um organismo onde estivessem centralizadas compet ncias de regulamentac o e de apoio no mbito das novas Tecnologias da Informac o Como exemplo podemos referir o Instituto de Inform tica do Minist rio das Financas cujas compet ncias passam por definir estrat gias e pol ticas no mbito das Tecnologias da Informa o e Comunica o Achamos oportuno transcrever a declara o de miss o deste instituto O Instituto de Inform tica tem por miss o apoiar a defini o das pol ticas e estrat gias das tecnologias de informa o e comunica o TIC do Minist rio das Finan as e da Administra o P blica MFAP e garantir o planeamento concep o execu o e avalia o das iniciativas de informatiza o e actualiza o tecnol gica dos respectivos servi os e organismos assegurando uma gest o eficaz e racional dos recursos dispon veis inst inform tica 2007 As escolas veriam muitos dos seus problemas de gest o inform tica resolvidos se fosse criado um organismo pelo Minist rio de Educa o com fun es de planeamento e defini o de pol ticas de seguran a da informa o Para al m de definir regras e proce
Download Pdf Manuals
Related Search