Albertina Duarte - Biblioteca digital da UniPiaget
Contents
1. ii rereerereeeeeeaceeeea 88 61 6 Aplicabiidade sarna sisiadipas ias aa 0 grs qua 89 GLT Sangh geun drag a ai E Ida aa Aa a icon dos SACA TIA COGU EIA AS A ida caps 90 CONCIUSAOs ua rama lis cima E raia non E O de ari AR Mi o and dE a ide a aS 91 A AE O ERON RNA RREO DP RECO e e MRS AND PRP DS ER RODE TRE E AE ERR UR RR 96 A l Checklist seguran a inform tica das escolas secund rias is 96 A l 1 Infra estrutura tecnol gica das escolas ii eereeeerereerereanaa 99 7199 Seguran a Inform tica Tabelas Tabela 1 Infra estrutura das TIC 8 99 Seguran a Inform tica Gr ficos Gr fico 1 Monitoriza o das condi es ambientais rr 70 Gr fico 2 Realiza o de testes nos equipamentos de emerg ncia 71 Gr fico 3 Exist ncia de geradores sessseessseessessseesseressetssstessresseessetessstesseesseessereseeesssees 71 Gr fico 4 Exist ncia de sistema UPS seeeeeeeseeeseeresseseresresstserestesstseresressessrssressesseesreeseeee 71 Gr fico 5 Exist ncia de um centro Help Desck uai de pivaaa pias dan ava a dad edad 72 Gr fico 6 Defini o das exig ncias de controlo de acesso l gico T3 Gr fico 7 Estas exig ncias encontram se documentadas sssseessseesseesseeeseesseetsseessersse 13 Gr fico 8 Exist ncia requisitos de seguran a em casos de utiliza o de sistemas novos 73 Gr2. Existe monitoriza o das condi es ambientais para todos os equipamentos da organiza o proteger os equipamentos do calor humidade poeira Os bastidores est o localizados fora de acesso p blico Os outros equipamentos est o localizados em locais seguros H um controlo adicional de seguran a nos locais onde est o os equipamentos cr ticos controlos que possam minimizar os riscos tais como roubo inunda o inc ndio S o efectuados testes nos equipamentos de emerg ncia regularmente Existem geradores e sistemas UPS para equipamentos cr ticos O cabeamento encontra se estruturado Existe stock de equipamentos 96 99 Seguran a Inform tica Existem equipamentos para casos de emerg ncia protec o contra inc ndio como extintores detec o de fuma a A manuten o dos equipamentos feita por t cnicos especializados Existem formas de registar as falhas dos equipamentos Existe um centro Help Desck Seguran a L gica Existem exig ncias definidas e documentadas de controlo de acesso l gico restri es e permiss es de acesso e a servi os utiliza o segura de password Existem requisitos de seguran a para a utiliza o de sistemas novos Existem oportunidades de teste isolado dos procedimentos operacionais Os softwares utilizados s o licenciados Existe proibi o para a utiliza o de software desau
3. 64 99 Seguran a Inform tica pr tica feita tendo por base v rios padr es internacionais os quais foram destacados neste estudo tr s desses padr es a saber CobiT COSO e ISO 65 99 Seguran a Inform tica Cap tulo 3 Seguran a Inform tica nas escolas secund rias da cidade da Praia 1 Enquadramento Este cap tulo o resultado daquilo que foi a parte emp rica realizada nas escolas secund rias da cidade da Praia tendo como prop sito conhecer a realidade da seguran a inform tica nestas escolas ou seja analisar e fazer uma avalia o das pr ticas da seguran a inform tica levada a cabo nas mesmas No intuito de associar os conceitos sobre a seguran a e auditoria inform tica e a sua aplica o pr tica foi desenvolvida uma lista de aspectos a serem verificados junto das escolas secund rias da cidade da Praia De ressaltar ainda que teve se como suporte por um lado os v rios aspectos que se devem ter em conta numa auditoria como j foi aqui referido no cap tulo anterior e por outro baseia se num modelo apresentado pela ISO 177799 do qual seleccionou se as que podem ser aplicadas a realidade das escolas secund rias Cumpre sublinhar ainda que perante esse prop sito continua se com a firme convic o de que a metodologia que tinha se delineado na parte introdut ria deste trabalho sobretudo no que toca aos m todos e t cnicas de recolha de dados capaz de permitir obter dados
4. entendimento por parte do auditado podendo assim obter as respostas que se pretende Gil 1999 afirma ainda que o facto dos question rios poderem ser aplicados a dist ncia podem estar sujeitos a interpreta es subjectivas contudo este tipo de estrat gia possibilita um diagn stico para depois obter maiores n veis de detalhes quando a sua aplica o se faz juntamente com outras t cnicas como a entrevista 3 2 Entrevista A entrevista constitui um outro instrumento de recolha de informa o e baseia em quest es previamente preparadas em que o entrevistado na presen a do entrevistador responde podendo ser entrevistas abertas ou fechadas Conforme afirma Carneiro 2004 as entrevistas assumem de duas formas uma em que o entrevistador utiliza um m todo pr estabelecido as quest es est o estruturadas e com finalidades bem definidas e outra em que o entrevistado fornece todas as informa es mediante um tema proposto pelo entrevistador a entrevista semi dirigida em que o entrevistado tem liberdade para expor as suas ideias Segundo Ferreira et al 2001 as modalidades de entrevistas podem ser contacto pelo correio contacto telef nico e contacto directo A remessa de carta via correio normalmente n o propriamente considerada uma entrevista mas faz se necess rio quando o universo muito grande e disperso geograficamente reduzindo custos mas o n mero de respostas muito baixo dificultando a an lise dos re
5. o global dos resultados pode se dizer que se por um lado j se pode falar em algumas exig ncias relativamente a quest es de seguran a inform tica nas escolas tais como o controlo de acesso f sico controlo de acesso l gico actualiza o dos sistemas exist ncia de um sistema antiv rus por outro depara se com aspectos importantes de seguran a que ainda n o se encontram definidos Est se a referir particularmente a seguran a dos recursos humanos e a defini o de plano e pol tica de seguran a ou qualquer outro documento formal onde constam as regras de seguran a Especificamente a seguran a dos recursos humanos os resultados mostram que nenhuma escola em estudo definiu ainda os princ pios de seguran a Relembra se aqui que os recursos humanos assumem um papel importante na defini o e implementa o da seguran a numa organiza o considerando que grande parte dos danos nos sistemas prov m de erros humanos causados muitas vezes por falta de uma forma o espec fica em mat ria de seguran a esta deveria ser um aspecto a ser tido em conta De igual modo a defini o de um plano de seguran a reveste se de grande import ncia por permitir organiza o a continuidade dos seus servi os face a situa es de desastre 79 99 Seguran a Inform tica Um outro aspecto igualmente importante e que ainda n o uma realidade em nenhuma das escolas a defini o de uma pol tica de seguran a Assim
6. o sempre que uma pessoa deseja ter acesso organiza o e que esta pessoa seja acompanhada dentro da organiza o por algu m respons vel por este servi o Referente a seguran a dos equipamentos a totalidade das escolas defende que estes est o localizados em zonas seguras ou seja as salas dos computadores e demais equipamentos s o de acesso apenas a pessoas autorizadas e quando n o est o sendo utilizadas as portas destas instala es s o sempre fechadas em seguran a Entretanto perguntado se est o definidos os requisitos de seguran a das condi es ambientais ou seja se existe monitoriza o das condi es ambientais para proteger os equipamentos do calor humidade poeira entre outros aspectos que possam prejudicar o bom funcionamento dos equipamentos apenas 25 afirmam que existem essas condi es enquanto que 75 afirmam que n o como se pode ver no gr fico que se segue 69 99 Seguran a Inform tica Gr fico 1 Monitoriza o das condi es ambientais O que se pode notar que a instala o dos equipamentos muitas vezes feita de acordo com as condi es f sicas de cada institui o relegando as quest es de seguran a para o segundo plano Contudo as salas onde est o alojados os equipamentos devem estar climatizadas com ar condicionado arejamento existindo assim condi es para impedir a poeira a humidade ou outro factor que possa causar algum dano nos equipamentos
7. 4 4 Pol tica e plano de seguran a Questionado sobre a exist ncia de um plano de seguran a a totalidade das escolas afirma que n o existe nenhum plano de seguran a definido Igualmente em nenhuma das escolas existe uma pol tica de seguran a ou qualquer outro documento escrito que contenha normas e regras respeitantes s pr ticas de seguran a existentes 78 99 Seguran a Inform tica Neste contexto pode se dizer que necess rio que sejam introduzidas melhorias a defini o de uma pol tica e de um plano de seguran a s o documentos fundamentais para a implementa o da seguran a nas organiza es A pol tica de seguran a como documento que contem todas as regras normas e princ pios que visam manter a seguran a numa organiza o bem como as respectivas san es em caso de viola o dos mesmos permite clarificar os objectivos da organiza o e orienta a sua actua o em mat ria de seguran a O plano de seguran a por seu lado tamb m importante porque permite uma organiza o estar capacitada para reagir perante situa es imprevis veis que podem ocorrer e que podem interromper o normal funcionamento desta Uma organiza o com um plano de seguran a definido funciona num ambiente de maior confian a isto est o criadas as condi es para o exerc cio das suas actividades cr ticas face a ocorr ncias de situa es de desastre 5 S ntese aprecia o global dos resultados Da aprecia
8. Seguran a Inform tica Conclus o Chegado a esta parte est se em condi es de tecer algumas conclus es sobre este trabalho Os resultados deste trabalho permitem compreender os principais conceitos e t cnicas de seguran a e auditoria inform tica e conhecer a realidade da seguran a inform tica nas escolas secund rias da cidade a Praia Quanto a isso pode se afirmar que apesar de ainda faltar muito para se fazer existe j uma consci ncia por parte dos respons veis pela rea que investir em seguran a passou a ser uma necessidade para qualquer organiza o que nas suas actividades do dia a dia lida com tecnologias de informa o O sistema inform tico das escolas em estudo como qualquer outro tem as suas vulnerabilidades mas n o obstante alegarem falta de recurso que leva a limitar a potencialidade t cnica para detectar e explorar vulnerabilidades defendem que a seguran a deve constar entre as quest es priorit rias da defini o de pol ticas e funcionamento de uma organiza o Quanto a isso pode se afirmar que apesar de n o ser poss vel ter um sistema completamente seguro muito se pode fazer para reduzir ao m nimo a ocorr ncia de ataques Para que isso aconte a uma atitude coerente seria apostar em medidas preventivas ou seja criar as condi es para conhecer as pr prias vulnerabilidades e corrigi las antes de serem exploradas por utilizadores n o autorizados pois as amea as s acontecem peran
9. computadores Seguran a n o mais do que a gest o de tal restri o A seguran a dos sistemas de informa o se define de acordo com Carneiro 2002 2 como um conjunto de medidas e procedimentos que t m por finalidade evitar que a informa o seja destru da alterada ou acedida incidental ou intencionalmente de uma forma n o autorizada 2 Segundo Il Tec 1993 a seguran a do sistema inform tico um conjunto de medidas t cnicas e administrativas aplicadas a um sistema de processamento de dados para proteger o equipamento o suporte l gico e os dados contra modifica es destrui o ou divulga o quer acidental quer intencional Partindo dos conceitos acima apresentados pode se perfeitamente concluir que todos t m a sua raz o de ser contudo o conceito apresentado por Sim es 2004 para n s o mais pertinente pois entende se que para se proteger os recursos das TI da organiza o necess rio ter j definido um conjunto de medidas com base numa an lise dos riscos ou seja identificar todas as vulnerabilidades e amea as e consequentemente as formas de ultrapass las antes de serem exploradas pelos atacantes A seguran a inform tica implica ter capacidade de antecipar ou pelo menos minimizar ocorr ncias indesejadas ou ac es n o autorizadas garantindo que os sistemas sejam confi veis ntegros e dispon veis Existem alguns requisitos a que um sistema inform
10. es de ensino deve se levar em conta que existe a particularidade de ser constitu da n o s pelos funcion rios que trabalham na organiza o como tamb m pelos alunos que assistem a aulas e que de certa forma utilizam os recursos tecnol gicos da organiza o e t m acesso a informa es da organiza o e que por isso tamb m devem estar cientes das suas responsabilidades e da import ncia da seguran a inform tica 6 Proposta de melhoramento Dada a inexist ncia de uma pol tica de seguran a nas escolas em estudo e como forma de definir a seguran a inform tica nas mesmas a proposta vai no sentido de apresentar uma pol tica de seguran a baseada na norma da ISO IEC 177799 80 99 Seguran a Inform tica 6 1 Proposta de Pol tica de Seguran a para as escolas secund rias da cidade da Praia 6 1 1 Enquadramento A pol tica de seguran a a express o que formaliza todas as regras normas e procedimentos relacionados com todos os aspectos que envolvem a seguran a inform tica de uma organiza o Para al m de garantir que existam controlos apropriados de seguran a permite igualmente definir as ac es previstas em caso de viola o da pol tica 6 1 2 Objectivos da Pol tica de Seguran a Pretende se com esta pol tica definir as responsabilidades e direitos dos utilizadores definindo as atribui es de cada um ou seja o que pode ou n o ser feito em rela o aos requisitos de seguran a inform tica d
11. o ser compartilhadas visando proteger as informa es do acesso de pessoas n o autorizadas 84 99 Seguran a Inform tica 6 1 4 3 Regras Pol tica de utiliza o da rede gerais Por uma quest o de seguran a dever o existir dois dom nios o dom nio GERAL que deve constar as contas dos professores e alunos estes utilizam servi os como aulas e internet e o dom nio SERVI OS onde constam as contas dos demais funcion rios estes utilizam as aplica es definidas pela empresa e prestam servi os internos organiza o tais como contabilidade gest o de recursos humanos entre outros O acesso ao sistema inform tico da organiza o deve ser controlado pela identifica o do utilizador ou seja cada utilizador deve estar devidamente autenticado atrav s da utiliza o de uma password Durante a aus ncia do utilizador o computador deve permanecer bloqueado ou seja ap s algum tempo de inactividade ou ao se ausentar do local de trabalho o utilizador deve fazer o logoff ou bloquear o computador protegendo a rede contra acessos n o autorizados A utiliza o de equipamentos de inform tica particulares tais como port teis com acesso a rede deve ser do consentimento do departamento da tecnologia estes equipamentos devem estar registados no dom nio GERAL e configurados de acordo com os requisitos de seguran a vigentes na organiza o Os direitos de acesso dentro da rede devem ser definidos em
12. tica de seguran a e Seguran a organizacional e Controlo e classifica o de bens e Seguran a do pessoal e Seguran a f sica e ambiental e Gest o das comunica es e das opera es e Controlo de acessos e Desenvolvimento e manuten o de sistemas e Gest o da continuidade do neg cio e Conformidade Esta estrutura mostra a abrang ncia desta norma o que significa que ela possui implica es na organiza o como um todo Nota se ainda que o ISO n o aponta medidas espec ficas para cumprir os requisitos espec ficos de seguran a mas fornece uma base comum ou seja 63 99 Seguran a Inform tica oferece sugest es de seguran a que apontam para n veis de seguran a extremamente elevados os quais devem ser adaptados s reais necessidades de cada organiza o Ferreira et al 2001 argumentam que esses dez cap tulos s o o resumo de cento e vinte e sete orienta es de seguran a que permitem identificar os controlos de seguran a apropriados para a organiza o ou reas de responsabilidade Igualmente estes autores referem a import ncia do ISO IEC 17799 e afirmam que as suas orienta es permitem ainda a uma organiza o construir de forma muito r pida uma pol tica de seguran a baseada em controlos de seguran a eficientes para al m de permitir a conscientiza o sobre seguran a para os funcion rios plano de continuidade dos neg cios 7 Considera es finais Chegado a
13. veis e 56 99 Seguran a Inform tica sujeitos a tentativas de intrus o e suas vulnerabilidades directas estes podem ser routers switches servidores entre outros verificar a exist ncia de v rias camadas de seguran a se firewall e outros dispositivos de seguran a encontram se devidamente configurados e actualizados verificando a sua conformidade com as pol ticas definidas pela organiza o pesquisar pontos de entrada que n o sejam conhecidos por exemplo localizar a exist ncia de modems n o autorizados na rede da organiza o O auditor deve ainda fazer uma auditoria s aplica es de uma organiza o ou seja verificar se as aplica es disp em dos requisitos e se s o implementados de acordo com as pol ticas de seguran a vigentes Assim sendo alguns aspectos dever o ser analisados especificamente a pol tica de actualiza o e a pol tica de controlo de acesso Tendo em conta que as aplica es disponibilizem acessos a dados estas devem ser o mais seguro poss vel evitando que informa es cr ticas possam ser acedidas por entidades n o autorizadas Para evitar tal risco Carneiro 2004 refere a import ncia de um controlo espec fico que permite que apenas utilizadores autorizados tenham acesso a fun es concretas dentro das aplica es O software antiv rus outro aspecto importante a considerar numa auditoria de seguran a l gica nesse caso segundo Mamede 2006 o auditor deve verificar a s
14. Quis se saber se existe um controlo adicional de seguran a para os equipamentos cr ticos em situa es de emerg ncia tais como inc ndio inunda o etc e teve se a oportunidade de verificar que todas as escolas disp em extintores para protec o contra inc ndio contudo como nos ilustra o gr fico seguinte em 75 das escolas n o s o efectuados testes regularmente nos equipamentos de emerg ncia o que constitui a nosso ver um aspecto que carece de melhorias pois assim como adquirir equipamentos igualmente necess rio habilitar os colaboradores de conhecimentos necess rios para a sua correcta utiliza o 70 99 Seguran a Inform tica E N o Sim Gr fico 2 Realiza o de testes nos equipamentos de emerg ncia Para casos de falhas de energia importante que as escolas estejam munidas de equipamentos que impe am a indisponibilidade dos seus servi os cr ticos Para isso questionou se aos respons veis inform ticos nas escolas da exist ncia de geradores e de sistemas UPS pelo que ficou se a saber que 63 delas n o disp em de um gerador mas em contrapartida grande parte 87 das escolas disp em de um sistema UPS nos seus equipamentos como d o conta os gr ficos seguintes EN o E N o Sim ESim o fico 4 Exist nci i P Gr fico 3 Exist ncia de geradores carago d IenCiunE Site maeo No que toca a manuten o dos equipamentos os dados nos mostram que na
15. a corresponde a disponibilizar a organiza o de meios para dar resposta em caso de incidentes de seguran a minimizando os custos de restaura o Neste sentido Ferreira e Alves 1995 47 defendem que o objectivo da formula o do plano de seguran a garantir que as actividades cr ticas da Organiza o sejam restabelecidas e mantidas o mais rapidamente poss vel a seguir a qualquer desastre ou falha importantes que afectem recursos ou servi os essenciais O plano de seguran a pode ser composto pelo e plano de conting ncia o plano de reposi o o plano de recupera o 7 2 1 Plano de conting ncia O plano de conting ncia permite garantir a continuidade das actividades cr ticas do funcionamento da organiza o ou seja assegurar que entre ocorr ncias anormais destrui o por fogo inunda o interrup es acidentais etc e a retoma do pleno funcionamento das actividades a organiza o continue a desempenhar as suas actividades cr ticas 44 99 Seguran a Inform tica A elabora o deste plano deve ser antecedida com uma an lise de risco que permite por um lado p r em evid ncia o que essencial para a manuten o da continuidade das actividades organizacionais e por outro fazer uma an lise custo benef cio Objectivos do plano de conting ncia segundo Ferreira e Alves 1995 s o e assegurar o funcionamento das actividades cr ticas da organiza o no per odo entre a ocor
16. assim emitirem par de chaves Segundo P Silva et al 2003 o utilizador final para obter o certificado ter que registar junto da CA Uma vez registado este recebe informa o exclusiva que o autentica criado ent o o par de chaves p blico privado Por fim o utilizador faz o pedido formal do certificado digital onde associado ao par de chaves informa es de identifica o deste Para os mesmos autores idem existem v rias situa es em que os certificados podem ser revogados nomeadamente quando estes possuem uma validade previamente definida depois da qual deixam de produzir efeitos quando uma chave comprometida torna se pois necess rio proceder se sua invalida o Compete a CA ap s a revoga o emitir listas de certificados inv lidos e disponibilizar essas listas a toda a comunidade de utilizadores 5 9 VLAN Molinari s d citado por Moraes 2002 afirma que uma rede virtual um grupo de esta es e servidores que se comunica independentemente de sua localiza o f sica ou topologia como se fosse um nico dom nio broadcast ou uma rede l gica Esta rede local constitu da por um conjunto de m quinas l gicas permite que utilizadores fisicamente distantes estejam conectados a mesma rede e se comunicam com maior seguran a e rapidez limitando o dom nio de broadcast quando uma esta o transmite pacotes de dados a todas as outras esta es de rede sem qualquer restri o dos destinat
17. conformidade com as actividades que cada um desempenha na organiza o N o s o permitidas atitudes ac es tais como tentativas de acesso n o autorizado a dados ou a conta de outro utilizador tentativas de invadir ou sobrecarregar congestionar deliberadamente a rede tentativas de invadir o servidor igualmente n o s o permitidas altera es de configura es de rede por pessoas n o autorizadas entre outros que pode p r em causa o normal funcionamento da rede Documentos cujo conte do n o t m nenhuma liga o com os objectivos da organiza o nomeadamente os de natureza pornogr fica n o devem ser gravados atrav s do uso de recursos computacionais da rede evitando assim sobrecarregar a conta com conte dos desnecess rios 85 99 Seguran a Inform tica 6 1 4 4 O acesso remoto o tr fego de informa es dever ser protegido por VPN quando se trata de informa es confidenciais e cr ticas para a organiza o Dever ser instalado na rede um software para detec o de intrusos IDS para identifica o de qualquer tipo de intrus o que possa prejudicar o normal funcionamento do sistema As redes de computadores dever o ser protegidas por um firewall que esteja operacional devidamente configurado e permanentemente actualizado igualmente qualquer tr fego que vem da rede externa dever passar pela DMZ Dever ser garantida e protegida toda infra estrutura da rede da organiza o com
18. dever o possuir extintores para combate a inc ndio 83 99 Seguran a Inform tica e Dever existir monitoriza o das condi es ambientais protec o contra humidade calor poeira ou outro factor que possa causar dano nos equipamentos nas salas onde se encontram recursos tecnol gicos particularmente nos que guardam informa es cr ticas 6 1 4 Politica de seguran a l gica Pretende se com este ponto especificar algumas regras que consideram se fundamentais para reduzir os riscos relacionados com a seguran a l gica 6 1 4 1 Politicas de utiliza o de antiv rus Regras gerais e Dever existir um sistema antiv rus que seja actualizado e centralizado e A actualiza o do antiv rus dever ser feita tamb m de forma autom tica e centralizada a todos os computadores da rede 6 1 4 2 Pol ticas de utiliza o de password Regras gerais e As password dever o conter no m nimo oito caracteres entre letras mai sculas e min sculas caracteres especiais e n meros e Na cria o de password deve se evitar o uso de informa es pessoais tais como nomes de familiares de cidade n meros de telefone datas ou outros que poderiam ser facilmente descobertos e Deve se evitar anotar a password em papel ou em outros meios de f cil acesso para isso deve se utilizar um m todo pr prio para lembrar da password de modo que ela n o precise ser escrita em nenhum local e As password n o dever
19. dificuldade em processar todos os pacotes numa rede com grande tr fego de dados n o pode analisar o tr fego de informa es criptografadas tem problemas em lidar com pacotes fragmentados etc Cavalos de Tr ia s o programas de computador com fun es destrutivas camufladas tal como apagar os discos numa data determinada Downing 2001 80 29 99 Seguran a Inform tica 5 4 Antiv rus Nos dias de hoje com a prolifera o de t cnicas cada vez mais sofisticadas de c digo malicioso torna se uma necessidade de qualquer organiza o que lida com os recursos das TI dispor de mecanismos antiv rus no seu sistema inform tico Downing 2001 26 define antiv rus como software que protege o computador de v rus modifica es destrutivas de software impedindo as modifica es que um v rus tente efectuar ou detectando logo que seja poss vel um v rus que se introduza no computador Amado 2006 4 acrescenta ainda que um sistema antiv rus inclui as ferramentas e utilit rios destinados a proteger o seu computador de ser infectado por programas v rus e afins indesejados e que de algum modo podem afectar em maior ou menor escala o comportamento do seu computador Segundo Mamede 2006 150 s o v rios os sinais que podem alertar para a exist ncia de v rus num sistema nomeadamente e o sistema aparenta ter menos mem ria do que deveria e o sistema reinicia sozinho e alguns fichei
20. dos recursos humanos Regras gerais 88 99 Seguran a Inform tica e Os funcion rios devem comprometer atrav s de um documento escrito a preservar o sigilo das informa es da organiza o e Todos os utilizadores dos recursos tecnol gicos da organiza o dever o receber ac es de forma o sensibiliza o nos procedimentos de seguran a e no uso correcto dos equipamentos e Todos os utilizadores devem estar conscientes da possibilidade de ocorr ncia de incidentes como amea as falhas que possam ter impacto no funcionamento das actividades da organiza o e Todas a regras e procedimentos de seguran a devem ser documentados e divulgados a todos os utilizadores que beneficiam do uso do sistema e O respons vel de seguran a dever supervisionar todos os utilizadores certificando se do uso e implementa o de regras b sicas de seguran a com especial aten o para os colaboradores novos ou inexperientes e A equipa respons vel pela seguran a dever ser formada pelo menos por duas pessoas para evitar problemas como a indisponibilidade de servi os em casos de aus ncia de uma pessoa e Dever ser estabelecido um processo disciplinar formal para fazer face a viola o de pol ticas e procedimentos de seguran a existentes na organiza o e A demiss o de um funcion rio deve ser acompanhada pela desactiva o de todos os acessos deste utilizador a qualquer recurso da organiza o para
21. es sobre o sistema inform tico de uma organiza o 53 99 Seguran a Inform tica Conforme afirma Carneiro 2004 114 a auditoria da seguran a do sistema pode referir se seguran a global de toda a instala o ou seguran a de uma rea particular e denomina se ent o seguran a espec fica Isto quer dizer que de acordo com as necessidades de cada organiza o se pode fazer uma an lise espec fica a cada rea ou ent o pode ser feita uma an lise completa e exaustiva de todo o sistema inform tico Este ltimo como afirma P Silva et al 2003 por ser mais abrangente demora mais tempo e tamb m mais dispendioso podendo os resultados deste tipo de auditoria ser bastante volumosos mas importante que sejam resultados teis Tendo em conta as diferentes possibilidades de testes e auditoria entende se aqui fazer refer ncia a tr s reas principais que de certa forma acabam por abranger os recursos l gicos f sicos e humanos que devem ser examinados analisados no decorrer de uma auditoria inform tica 5 Principais reas da auditoria inform tica 5 1 Auditoria em seguran a f sica A seguran a f sica uma das reas a ser analisada numa auditoria inform tica possibilita aos auditores verificar a conformidade dos procedimentos medidas e princ pios utilizados com os especificados pela pol tica de seguran a referente aos recursos f sicos Carneiro 2009 183 afirma que esta auditoria avalia
22. esta parte pode se afirmar que a auditoria resume num conjunto de procedimentos que permite verificar a aplica o e efic cia de controlos apropriados ou seja verificar se uma organiza o possui as pr ticas de seguran a no seu sistema inform tico e se as mesmas est o em conformidade com as regras e procedimentos existentes na pol tica de seguran a da organiza o Apesar da auditoria ser de grande import ncia no desempenho de um sistema inform tico as actividades desta n o devem ser excessivas para n o interferir no funcionamento da organiza o Quanto a realiza o de uma auditoria nota se que ela pode ser interna ou externa No primeiro caso realizado por recursos da pr pria organiza o no segundo caso a auditoria realizada por auditores externos e que normalmente n o t m nenhum v nculo com a organiza o auditada Tanto a auditoria interna como a externa pode se realizar recorrendo a v rias estrat gias as quais destacam se o question rio a entrevista checklist Em suma pode se afirmar que perante um mundo tecnol gico cada vez mais complexo e din mico que se vive hoje torna se necess ria uma mudan a de cultura nas organiza es adoptando medidas de controlo que garantem a seguran a do seu sistema inform tico Surge da a import ncia da pr tica da auditoria como meio fundamental para implementar controlos adequados por forma a acompanhar este dinamismo e reduzir os riscos a ele inerentes Esta
23. estabelecem as permiss es e as restri es aos diversos recursos da organiza o a que este est sujeito 24 99 Seguran a Inform tica A autentica o da identidade do utilizador pode ser implementada de quatro formas conforme diz Carneiro 2002 e aquilo que se conhece o utilizador possui um segredo e que por isso apenas do conhecimento deste s o exemplos password um n mero de identifica o pessoal etc e aquilo que se possui o utilizador detentor de algo que mais ningu m tem por exemplo um cart o magn tico e aquilo que se consiste em sistemas capazes de medir caracter sticas f sicas nicas de cada pessoa como por exemplo a utiliza o de sistemas de biometria atrav s de reconhecimento da voz reconhecimento facial impress o da retina impress o digital e leitura de um elemento que o utilizador capaz de fazer os padr es de escrita assinatura digital A autentica o ainda pode ser garantida com base num sistema h brido ou seja na combina o de mais do que um dos mecanismos acima descritos dependendo dos recursos financeiros e do n vel de seguran a que cada empresa pretende implementar Monteiro e Boavida 2000 defendem que a autentica o por password um dos mecanismos mais utilizados devido sobretudo sua simplicidade e ao seu baixo custo em compara o com os outros Contudo apresenta frequentes fragilidades devido muitas vezes falta de s
24. evitar posterior acesso a informa es da organiza o 6 1 6 Aplicabilidade Esta pol tica de seguran a se aplica a todos os alunos professores restantes funcion rios e prestadores de servi os que tenham acesso s instala es das escolas Sendo assim cabe ao respons vel pela seguran a zelar pelo cumprimento de regras e princ pios estipulados o que n o isenta cada utilizador em particular da responsabilidade das regras estabelecidas na pol tica a que lhe diz respeito 89 99 Seguran a Inform tica 6 1 7 San es O n o cumprimento das regras da pol tica de seguran a n o pode ser justificado pelo desconhecimento do mesmo pois este deve ser do conhecimento e entendimento geral importante que ap s a detec o de viola o das normas de seguran a estabelecidas na pol tica de seguran a determinar se a viola o foi causada de forma intencional ou n o Aos utilizadores que de forma n o intencional desrespeitarem as normas de seguran a estabelecidas nesta pol tica de seguran a ser o aplicadas as seguintes san es advert ncia verbal comunicando a norma que foi violada e em ltimo caso ser bloqueado o acesso ao sistema da organiza o Aos utilizadores que de forma intencional violarem as regras de pol tica de seguran a ficam automaticamente bloqueado o acesso ao sistema da organiza o ser o aplicadas as seguintes san es advert ncia escrita e em ltimo caso a demiss o 90 99
25. fazem nas TIC o grande potencial associado utiliza o adequada das TIC em todos os processos organizacionais Segundo Ferreira et al 2001 CobiT encontra se estruturado em quatro dom nios e planeamento e organiza o que a fase do planeamento estrat gico das TIC de acordo com a estrat gia da organiza o e aquisi o e implementa o ou seja ap s o planeamento identificam se as solu es e procede se a sua execu o controlando as mudan as que constantemente ocorrem e entrega e suporte o objectivo aqui fornecer servi os eficientes mas importante assegurar que o sistema continue a funcionar a um n vel desejado e de forma cont nua mesmo perante situa es de desastre e monitoriza o e avalia o que consiste na verifica o de todos os processos e na avalia o da adequa o dos controlos internos 60 99 Seguran a Inform tica 2 Cada dom nio constitu do por um conjunto de processos que auxiliam os gestores e auditores no controlo das TIC Contudo conv m aqui salientar que o CobiT n o uma solu o pronta devido a sua flexibilidade ele pode ser adaptado consoante as necessidades de cada organiza o dependendo das actividades sobre as quais se pretende ter o controlo O CobiT apresenta in meras vantagens entre os quais ISACA destaca os seguintes e ajuda os gestores a alinhar os seus objectivos com os da organiza o e possibilita aos gestores uma vis o m
26. importantes objectivos e verific veis 66 99 Seguran a Inform tica 2 Caracteriza o da amostra Optou se por uma amostra constitu da pelas escolas secund rias da cidade da Praia De um universo de 10 escolas secund rias foram extra dos aleatoriamente 80 para o efeito da aplica o da checklist De referir ainda que a checklist foi aplicada aos respons veis pela rea de inform tica de cada escola 3 Infra estrutura das TIC Compreender a estrutura das escolas em termos das tecnologias ajuda a situar se para melhor analisar os princ pios de seguran a inform tica vigentes nas mesmas A tabela seguinte apresenta a caracteriza o da infra estrutura tecnol gica das escolas em estudo que como se pode ver est o representadas com a designa o fict cia de letras alfab ticas Escolas ala a aa a O E a ad N mero deswitth d 5 N merodehub doS o N mero de impresoras La s N merodeurs TJ af 10 N mero t cnicos especializados na rea das TIC 3 2 Tabela 1 Infra estrutura das TIC Da an lise da tabela 1 constata se que o n mero de computador posto de trabalho das institui es situa se num intervalo de 40 a 78 A maioria disp e de um nico servidor e o n mero de switch e router varia entre 1 e 2 para ambos Metade n o tem hub e outra metade disp e de 1 2 ou 5 Todas as escolas t m 2 ou mais impressoras Apenas 3 das escolas possui um gerador e todas p
27. informa o A autentica o previne alguns tipos de ataques como a personifica o a personifica o acontece quando uma entidade tenta passar por outra e pode acontecer por parte de quem envia ou de quem recebe a mensagem e o n o repudio quando o leg timo autor de um acto nega a sua execu o por simples arrependimento ou por m f De acordo com Medeiros 2001 o servi o de autentica o pode ser implementado por mecanismos de password ou assinatura digital os quais debru a se nos pr ximos pontos deste cap tulo 3 2 Confidencialidade Segundo Mamede 2006 80 por confidencialidade entende se o manter seguro o conte do de uma mensagem evitando que possa ser acedido por algu m n o autorizado para o fazer tornando se dessa forma conhecedor do mesmo Esta propriedade garante o acesso a 18 99 Seguran a Inform tica informa es apenas a utilizadores autorizados evitando desta forma a intercep o acessos n o autorizados sem contudo alterar o envio ou o conte do de uma mensagem de mensagens A confidencialidade particularmente importante para empresas em que a sua vantagem competitiva assenta nas informa es que estas det m 3 3 Integridade Como afirma Mamede idem 80 a integridade pode ser entendida como a detec o de altera es como sejam adi es ao conte do elimina o parcial ou qualquer outra modifica o por pessoas n o autorizadas a faz lo Como pode se ente
28. ncia de equipamentos e de planos de emerg ncia desses equipamentos dever o constar os extintores alarmes de fogo e intrus o e ainda dever o verificar se tais equipamentos s o regularmente testados e n vel de monitoriza o f sica das localiza es os auditores dever o verificar a presen a de guardas sistemas de v deo vigil ncia sensores de portas sistemas de registos que permitam controlar as entradas e sa das e cablagem e montagem de elementos f sicos verificar em todas as reas onde existem equipamentos se os cabos est o montados de forma organizada e com a devida identifica o e certificar se de que os mesmos encontram se em locais de acesso controlado para evitar a indisponibilidade dos servi os 5 2 Auditoria em seguran a l gica Grande parte dos ataques realizada a n vel das aplica es e dos dados da a necessidade de serem verificados periodicamente os aspectos referentes a manuten o da seguran a l gica ou seja validar e avaliar se os v rios aspectos referentes a seguran a l gica existem e se est o em conformidade com os procedimentos definidos pela pol tica de seguran a da organiza o Quando se pretende efectuar uma auditoria de seguran a l gica devem ser considerados v rios aspectos os quais passamos aqui a fazer refer ncia O controlo de acesso um dos aspectos importantes a ter em conta nesta auditoria e segundo Fegundes 2004 o ponto mais suscet vel a falhas P
29. o seu tempo em actividades que n o est o directamente relacionadas com a URL Uniform Resource Locator a forma nica e exacta de localizar a informa o dispon vel na internet Downing 2001 31 99 Seguran a Inform tica fun o que desempenham o que resulta numa economia para a empresa em termos de recursos gastos para suportar actividades como por exemplo downloads ilegais 5 6 Criptografia Oliveira 2000 405 define a criptografia como um conjunto de t cnicas que tornam uma mensagem incompreens vel permitindo apenas que o destinat rio que conhece a chave de encripta o consiga desencriptar e ler a mensagem com clareza O objectivo de criptografia neste caso utilizar algoritmos de codifica o e descodifica o por forma a que o conte do da mensagem s pode ser acedido por utilizadores com autoriza o para o fazer Monteiro e Boavida 2000 distinguem duas categorias b sicas de mecanismos de codifica o criptografia sim trica tamb m chamada de criptografia de chave secreta ou partilhada e criptografia assim trica ou criptografia de chave p blica 5 6 1 Criptografia sim trica Na criptografia sim trica utilizada uma nica chave para cifrar e decifrar a mensagem O emissor codifica a mensagem utilizando um algoritmo conhecido e uma chave secreta e envia ao receber o receptor descodifica a mensagem com a mesma chave secreta conforme afirmam Monteiro e Boavida 2000 Ness
30. para a organiza o 93 99 Seguran a Inform tica Bibliografia Amado Jo o 2006 Hackers t cnicas de defesa e ataque 3 Ed Lisboa Porto Coimbra FCA Editora de Inform tica Lda Carneiro Alberto 2009 Auditoria e Controlo de Sistemas de Informa o Lisboa Porto Coimbra FCA Editora de Inform tica Lda Carneiro Alberto 2004 2 Ed Auditoria de Sistemas de Informa o Lisboa Porto Coimbra FCA Editora de Inform tica Lda Carneiro Alberto 2002 Introdu o Seguran a dos Sistemas de Informa o Lisboa Porto Coimbra FCA Editora de Inform tica Lda Dantas Jorge 2010 Conceitos e Organiza o da Auditoria Planejamento e Execu o dispon vel em http www slideshare net jorgedantas auditoria 2 consultado a 23 09 09 Downing Douglas e Covington Michael e Covington Melody Maudin 2001 Dicion rio de termos inform ticos e da internet Lisboa Paralelo Editora Lda Fegundes Eduardo Mayer 2004 COBIT um kit de ferramentas para a excel ncia na gest o de TI dispon vel em http www cepromat mt gov br arquivos A 5e375755312b3345b52 1 def9a5474c66c obit pdf consultado a 03 08 11 Ferreira Jorge e Alves Sebasti o 1995 Manual T cnico de Seguran a dos Sistemas e Tecnologias de Informa o Instituto de Inform tica Ferreira Daniele et al 2001 Proposta para uma Pol tica de Seguran a de Dados aplicada s Secretarias d
31. que vai se mais adiante desenvolver Na verdade nesta parte s o apresentadas as contribui es tecidas por alguns autores que t m debru ado sobre a seguran a inform tica que assume se como linhas de orienta o desta investiga o Foi com este prop sito que procurou se come ar por apresentar o conceito da seguran a inform tica na perspectiva de alguns autores igualmente outros pontos s o aqui desenvolvidos nomeadamente as propriedades objectivos da seguran a inform tica a seguran a f sica l gica e de recursos humanos pol ticas e planos de seguran a 2 Conceito da seguran a inform tica Segundo o pensamento de Downing et al 2001 513 a seguran a inform tica a protec o dos computadores quanto a falsifica o e divulga o indesej vel de dados 16 99 Seguran a Inform tica De acordo com Sim es 2004 a seguran a de um sistema inform tico pode ser entendida como um conjunto de medidas que visam a protec o desse sistema contra amea as que afectem a confidencialidade integridade e disponibilidade da informa o processada Para Mamede 2006 10 a seguran a inform tica preven o e detec o de ac es n o autorizadas por utilizadores de um sistema de computadores 2 Oliveira 2000 13 afirma que a seguran a a restri o dos recursos de um microcomputador ou de uma rede ou de por es desta rede para outros utilizadores ou
32. rede externa a internet por ter um padr o de comunica o aberto ficando sujeito a v rios tipos de amea as Assim o firewall um dos dispositivos cujo objectivo criar formas de seguran a para controlar o tr fego entre a rede protegida interna e a chamada rede n o confi vel rede externa Monteiro e Boavida 2000 354 definem firewall como um equipamento computacional colocado na zona de fronteira de uma rede cujo principal objectivo o controlo de acesso a essa rede por parte de utilizadores sediados noutras redes Como podemos ver pela defini o desses autores firewall um importante mecanismo de seguran a pois permite executar um conjunto de restri es protegendo uma rede confi vel de uma n o confi vel ou seja deixando entrar os pacotes com permiss o e bloquear os que n o t m permiss o Para Z quete 2006 uma firewall tem dois objectivos fundamentais e protec o por isolamento de m quinas ligadas rede e controlo de interac es entre m quinas Quanto s tipologias de firewall Monteiro e Boavida 2000 defendem que existem diferentes tipos de firewall que podem ser classificados em tr s categorias 26 99 Seguran a Inform tica e filtro de pacotes e firewalls de aplica o e firewalls baseados em estado 5 2 1 Filtro de pacotes est ticas Segundo Mamede 2006 272 os firewalls de filtro de pacotes packet filtering baseiam se fundamentalmente n
33. rios da mensagem isto mesmo que o objectivo seja alcan ar somente um host manda mensagem para todos Moraes 2002 aponta alguns benef cios na utiliza o de VLAN nomeadamente 36 99 Seguran a Inform tica e Controle do tr fego de broadcast a redu o do n mero de pacotes remetida a destinos desnecess rios resulta numa melhoria de capacidade de toda a rede Al m disso uma rede segmentada cont m menor dom nio de broadcast devido ao menor n mero de dispositivos pertencentes a cada segmento e Segmenta o l gica da rede mesmo estando os utilizadores fisicamente separados as VLANSs possibilitam uma segmenta o l gica da rede e Redu o de custos e facilidade de gerir a movimenta o ou adi o de m quinas ou utilizadores feita de forma l gica sem exigir mudan as f sicas o que traduz numa alta flexibilidade facilidade no processo e a redu o de custos e VLANs funcionam utilizando a conex o l gica o que lhe proporciona uma independ ncia da topologia f sica da rede e Maior seguran a VLANS limitam o tr fego a dom nios espec ficos os pacotes de comunica o da rede s o entregues unicamente ao destino pretendido dificultando o acesso a poss veis invasores e somente o tr fego desejado passa pela VLAN Desta forma o tr fego que circula numa VLAN n o pode ser acedido por outra assim como fica restrito o acesso a servidores pertencentes a VLANs diferentes 5 10 VPN ou r
34. tico deve atender quando se fala em seguran a inform tica que s o as propriedades de seguran a propriedades essas que de seguida passa se a desenvolver 17 99 Seguran a Inform tica 3 Propriedades de seguran a Qualquer organiza o independentemente da rea em que ela opera ela lida com informa es de algum valor e da a necessidade de serem protegidas Devido ao facto de grande parte das informa es serem acedidas com recurso internet est o sujeitas a v rios tipos de amea as desde a simples escuta de uma mensagem at altera o do seu conte do Monteiro e Boavida 2000 312 afirmam que o problema da seguran a em sistemas e redes pode ser decomposto em v rios aspectos distintos dos quais s o reconhecidos como mais relevantes os seguintes autentica o confidencialidade integridade controlo de acesso n o repudia o e disponibilidade S o essas propriedades b sicas de seguran a que garantem uma circula o mais segura das informa es dentro de uma organiza o ou entre organiza es as quais de seguida se apresenta 3 1 Autenticidade Monteiro e Boavida 2000 312 definem a autenticidade como o processo atrav s do qual validada a identidade de um utilizador dispositivo ou processo Por outras palavras a autentica o significa garantir que o emissor da mensagem realmente que se diz ser garantir a correcta identidade como medida de protec o da
35. totalidade das escolas a manuten o dos equipamentos feita por t cnicos especializados contudo n o 71 99 Seguran a Inform tica existem formas de registar falhas nos equipamentos 63 de modo a que por um lado os futuros problemas sejam mais facilmente resolvidos e por outro facilitar o trabalho de posteriores pessoas que vierem a fazer o mesmo trabalho Apenas 12 das escolas disp em de um servi o Help Desck conforme nos mostra o gr fico que se segue de referir que esta percentagem refere escola em que a NOSI N cleo Operacional da Sociedade de Informa o come ou a informatizar os seus servi os e que por isso qualquer problema que tenha alguma liga o com as tecnologias reportado para a NOSi para a sua respectiva resolu o Entre as in meras vantagens de um centro Help Desck pode se destacar o suporte no momento exacto em caso de qualquer problema t cnico evitando entre outros p r em causa o princ pio da indisponibilidade E N o E Sim Gr fico 5 Exist ncia de um centro Help Desck 4 2 Seguran a l gica Apesar de grande parte das escolas 75 afirmarem ter j definidas as exig ncias respeitantes ao controlo de acesso l gico mais precisamente as restri es e permiss es de acesso a servi os e a defini o de password para cada utilizador quase nenhuma delas 25 preocupa em documentar tais regras conforme apresenta os seguintes gr ficos 7219
36. 1 3 1 Controlo de acesso Regras gerais O acesso organiza o deve ser controlado por guardas que devem exigir identifica o das pessoas na porta Os terceiros que prestam servi os dever o igualmente utilizar alguma forma identifica o Pessoas que n o pertencem organiza o devem ser acompanhadas dentro da organiza o As portas e janelas que d o acesso organiza o dever o ser mantidas fechadas em seguran a quando n o utilizadas Apenas pessoas autorizadas devem ter acesso a salas onde encontram informa es confidenciais tais como informa es financeiras e acad micas dos alunos ou outra documenta o dos funcion rios ou qualquer outra informa o que reveste de car cter sigiloso para a organiza o O acesso aos laborat rios de inform tica deve ser controlado sendo a sua utiliza o permitida mediante a supervis o de um funcion rio respons vel para o efeito A seguran a e a ordem dos laborat rios de inform tica da inteira responsabilidade dos professores durante o tempo em que estes utilizam os mesmos As salas onde est o instalados os recursos tecnol gicos devem estar fechadas e em seguran a quando deixados sem supervis o 82 99 Seguran a Inform tica e Dever existir uma sala espec fica para servidores estas salas devem permanecer fechadas e com acesso livre apenas ao pessoal autorizado e devem estar devidamente climatizadas e A sala de serv
37. 2006 69 os controlos de acesso f sico destinam se a limitar o acesso f sico directo a hardware a dispositivos de armazenamento de informa o intra estrutura f sica da rede a registos escritos de senhas entre muitos outros itens Ferreira e Alves 1995 apontam algumas formas de controlo de acesso f sico nomeadamente recorrer a dispositivos de controlo de acesso personalizados que d o detalhes sobre a entrada e sa da das instala es sistemas de v deo vigil ncia uso de cart es magn ticos sistemas biom tricos nas reas de seguran a todo o pessoal deve dispor de formas de identifica o os direitos de acesso devem ser cessados assim que a pessoa abandone a organiza o P Silva et al 2003 defendem que os registos de acesso particularmente a zonas sens veis dever o ser verificados pelos respons veis de seguran a para que as quest es duvidosas possam ser esclarecidas em tempo oportuno 4 3 Seguran a do equipamento O ambiente das organiza es caracteriza se por uma depend ncia cada vez maior dos equipamentos inform ticos pois neles circula todo o fluxo de dados informa es indispens veis para o funcionamento de uma organiza o Torna se assim importante definir um conjunto de procedimentos que permitem manter os recursos inform ticos em seguran a particularmente os equipamentos que suportam actividades cr ticas 22 99 Seguran a Inform tica Para Ferreira e Alves 1995 o
38. 22 COS a a e A a E ANE N 61 6 86 RA Do 6 PRE RR REI E DRDS 9 SRD ERRO e DER DER e DRE a A 62 7 Considera es nais A essas soil ca eau ANSA n a a a CS A ca a aa 64 Cap tulo 3 Seguran a Inform tica nas escolas secund rias da cidade da Praia 66 1 E g adtametos snee e a etae a e aE E EEE RES AEA 66 2 Caracteriza o da amostra seia siris nss eigir tst EE A RE ad E R iie 67 3 Infraestrutura das TIC un as n N a E RD ai ga 67 4 Apresenta o dos resultados e a sua respectiva discuss o e an lise 68 4 1 SESULAN A T SICA um ruasalrerofareminons a E T E a a iai 68 4 2 Seg rtan a l gica aret re RR RE ES e Ee RR RE RP E 12 4 3 Seguran a de recursos humanos sn UU A 17 4 4 Pol tica e plano de SCLuranN a asa espada Pnad SET De IRO MT ais ra cada gia ni iS 78 5 S ntese aprecia o global dos resultados e ereeereeceranna 79 6 Proposta de melhoramento ssssesssessssssessessseesseresseeesseessersstesseeessseesseesseesseesseeeessets 80 6 1 Proposta de Pol tica de Seguran a para as escolas secund rias da cidade da Praia 81 Olle Ena adtramenton oe a E A A E RE 81 6 1 2 Objectivos da Pol tica de Seguran a errar 81 6 1 3 Pol tica de seguran a SIGA qua pias gas sansacaa favas ATE MEn SN Ta e GUS Ecaaadag 82 6 1 4 Politica de seguran a I BICA issaonissigansa pass pras ia eles da abafado sp iutaas ana 84 6 1 5 Seguran a dos recursos humanos
39. 9 Seguran a Inform tica Gr fico 6 Defini o das exig ncias de controlo Gr fico 7 Estas exig ncias encontram se de acesso l gico documentadas Grande parte das escolas 75 alega que n o existem requisitos de seguran a em caso de utiliza o de sistemas novos como por exemplo ter oportunidades de teste isolado dos procedimentos operacionais segundo consta no gr fico que a seguir se apresenta EN o Sim Gr fico 8 Exist ncia requisitos de seguran a em casos de utiliza o de sistemas novos Questionado se existe alguma auditoria interna para verificar se existe utiliza o de software n o autorizado a totalidade dos entrevistados alegam que n o e ainda como argumentam por falta de recurso os softwares utilizados n o s o licenciados o que implica maior vulnerabilidade para um sistema em termos por exemplo de actualiza es 73 99 Seguran a Inform tica Outro aspecto que verificou se e que reveste de grande import ncia na seguran a de um sistema inform tico de qualquer organiza o refere se a actualiza o dos sistemas Conforme mostra o gr fico que se segue a maioria das escolas 75 afirma que os seus sistemas est o sujeitos a actualiza es o que constitui um aspecto positivo pois a n o actualiza o dos sistemas que os torna vulner veis e sujeitos a diferentes tipos de ataques EsSim Gr fico 9 Os sistemas est o sujeit
40. 99 Seguran a Inform tica uso dos activos de informa o De acordo com esta defini o todas as normas e regras referentes seguran a inform tica devem ser abordadas por pol ticas expl citas ou seja dever existir um documento formal que especifique um conjunto de regras e normas que definem o processo da seguran a inform tica importante tamb m a defini o das san es em caso de viola o das normas e regras da pol tica definida e como ser o aplicadas Segundo Hartley e Locke 2001 citados por Mamede 2006 para se desenvolver uma pol tica de seguran a deve se levar em conta as seguintes actividades e avalia o e entendimento das necessidades de seguran a h a necessidade de fazer a recolha de informa es e fazer uma an lise e gest o de risco definir as prioridades de seguran a tendo em conta o factor custo beneficio e revis o das pol ticas em vigor caso existam o documento de pol tica de seguran a deve ser periodicamente examinado por especialistas para se fazer as poss veis actualiza es medida que v o acontecendo as mudan as organizacionais tanto internas como externas e defini o dos requisitos de protec o definir que recursos se deve proteger e como e formaliza o da pol tica de seguran a elabora o do documento formal que define a pol tica de seguran a da organiza o A defini o da pol tica de seguran a sempre espec fica para cada o
41. Albertina Maria Duarte Seguran a Inform tica O caso das escolas secund rias da cidade da Praia Universidade J ean Piaget de Cabo Verde Campus Universit rio da Cidade da Praia Caixa Postal 775 Palmarejo Grande Cidade da Praia Santiago Cabo Verde 5 10 11 Albertina Maria Duarte Seguran a Inform tica O caso das escolas secund rias da cidade da Praia Universidade J ean Piaget de Cabo Verde Campus Universit rio da Cidade da Praia Caixa Postal 775 Palmarejo Grande Cidade da Praia Santiago Cabo Verde 5 10 11 Albertina Maria Duarte autora da monografia intitulada Seguran a Inform tica o caso das escolas secund rias da cidade da Praia declaro que salvo fontes devidamente citadas e referidas o presente documento fruto do meu trabalho pessoal individual e original Cidade da Praia aos 30 de Setembro de 2011 Albertina Maria Duarte Mem ria Monogr fica apresentada Universidade Jean Piaget de Cabo Verde como parte dos requisitos para a obten o do grau de Licenciatura em Inform tica de Gest o Sum rio Este trabalho monogr fico intitulado Seguran a Inform tica o caso das escolas secund rias da cidade da Praia tem como objectivo principal compreender os principais conceitos e t cnicas de seguran a e auditoria inform tica e conhecer a realidade da seguran a inform tica nas escolas secund rias da cidade da Praia analisando as pr ticas da seguran a inform tica nas mesmas Para este e
42. O mesmo autor idem afirma que para al m do sigilo da informa o come aram a preocupar com a seguran a do equipamento devido ao seu grande custo al m da seguran a com o ambiente f sico essa preocupa o era posteriormente estendida a formas de recuperar os dados em caso de ocorr ncia de algum dano por acidente ou avaria em algum equipamento surgindo assim as c pias de seguran a 11 99 Seguran a Inform tica Quando come aram a utilizar ambientes de computa o em redes e consequentemente com o surgimento da internet os problemas de seguran a aumentaram se brutalmente pois passou a existir a possibilidade da propaga o em pouco espa o de tempo de aplica es com conte do malicioso como por exemplo a contamina o por v rus al m disso passou a existir ainda a possibilidade do acesso remoto n o autorizado ultrapassando todos os limites geogr ficos e temporais Z quete 2008 defende que o que torna a internet um meio extremamente favor vel ao surgimento de ataques o anonimato e o facto deste interligar um conjunto descontrolado de redes Na verdade ao analisar a sociedade actual pode se notar que os problemas de seguran a continuam a aumentar juntamente com os r pidos avan os tecnol gicos o que exige uma postura pr activa por parte das organiza es baseada em atitudes simples mas que podem trazer ganhos significativos como por exemplo manter o sistema actualizado A passagem da soc
43. ZA O aaa ea A E a a E a 40 6 3 Segrega o de responsabilidades sina castas sara pras tisgasadta dopidta nes taa tin pe deda eita dad 42 7 Planeamento d s surinta snene AN RA 42 7 1 Pol ticas deco TANTA ean a a ad E AAE 42 da Planos ds seg tane dise oen a a E Aa EAN 44 7 21 Plano d contingentia ss es onteer E a a e ES 44 6 99 Seguran a Inform tica 8 Considera es nais canhons pa Li ebp Sedan ga e a A GLS Ta Sa pala 47 Capitulo 2 Auditoria IORM LICA icms tis qa Tra avg US a a a s 49 1 Enquadramento secam dispostas ua r e E a E AT EEE E Ra a a iaia 49 2 Conceito da auditoria inform tica eseeeeseeeseeesesresseserestesseserssressessresreeseseresreeseeseeee 49 3 Estalcoas da a ditotia sa a a a a a a 50 3 1 QUESTION TIO ea n n a n A a A Bida 51 32 Entrevista stanen a a a a a a nn nen 51 do Checklisten e ga a T a 52 4 Auditoria interna e auditoria externa uns arrasa ada aaa eU a qa N 53 5 Principais reas da auditoria inform tica e eeeeecererecereracenaa 54 5 1 Auditoria em seguran a f SICA pcs suamasadosistorsdradecasuisadtr seios ta da pe da ca aceda aa adiadas adora 54 5 2 Auditoria em seguran a JOCICA a quinitonaiassg REDES IRES LAR DOU CESSA OLD 55 5 3 Auditoria em seguran a dos recursos humanos ssssssesssesssserssstessresseesseesseesssees 58 6 Alguns padr es internacionais de auditoria inform tica 59 6 1 CODE sqtesaio ceras di O FS AS a ag cia 59 60
44. a organiza o A pol tica permite assim assegurar a qualidade nos servi os com base em comportamentos profissionais de todos os colaboradores evitando falhas de seguran a Para que tais objectivos sejam realidade fundamental que a pol tica de seguran a considere alguns requisitos nomeadamente ser apresentada de forma clara e concisa para ser de f cil entendimento por todos ser do conhecimento e da concord ncia de todos os utilizadores estar dispon vel para todos na organiza o Tudo isso no sentido de todos os utilizadores dos recursos tecnol gicos sintam envolvidos e sensibilizados para quest es da seguran a inform tica As normas descritas nesta pol tica devem estar sujeitas a actualiza es conforme as mudan as que ocorrem na organiza o A pol tica de seguran a ser dividida em tr s pontos principais a saber pol ticas de seguran a f sica l gica e de recursos humanos sendo estes subdivididos em t picos Tendo em conta que se trata de uma pol tica para institui es de ensino em que os actores t m pap is bem distintos conv m referir que algumas das regras que n o t m car cter geral ser o especificadas para alunos e para os restantes funcion rios 81 99 Seguran a Inform tica 6 1 3 Pol tica de seguran a f sica O Objectivo deste t pico prevenir o acesso n o autorizado dano e interfer ncia s instala es f sicas da organiza o e sua informa o ISO 17799 6
45. ade aptid o cr tica capacidade de an lise e s ntese flexibilidade comunica o com clareza tend ncia a actualiza o dos conhecimentos possibilidade de compreender rapidamente capacidade de iniciativa e criatividade A recolha de informa o pode ser feita recorrendo a v rias estrat gias conforme descreve o ponto seguinte 3 Estrat gias da auditoria A implementa o de uma auditoria exige que seja antecedida pela cria o de um ambiente prop cio para tal De igual modo a recolha de informa es que pode vir de diversas formas e fontes deve levar em conta uma escolha adequada de estrat gias Neste sentido Carneiro 2004 destaca as seguintes estrat gias para a realiza o de uma auditoria question rios entrevista e checklist 50 99 Seguran a Inform tica 3 1 Question rio Os question rios s o t cnicas de recolha de informa o e consistem numa s rie ordenada de perguntas podendo ser respondidas sem a presen a do auditor Segundo o pensamento de Gil 1999 70 o question rio corresponde elabora o de um conjunto de perguntas com o objectivo de verifica o de determinado ponto de controlo do ambiente computacional De acordo com Carneiro 2004 72 os question rios devem ser cuidadosamente elaborados quer em conte do quer no que se refere forma muito aconselh vel que estes question rios sejam muito espec ficos para cada situa o Tudo isso para que seja de f cil
46. ados originais e procedimentos de reposi o Todo o procedimento para a recupera o e salvaguarda da informa o deve constar num documento que descreve todos os detalhes da realiza o das c pias de seguran a como por exemplo que ficheiros ou informa o deve ser copiado como deve ser o momento em que deve ser efectuado a c pia quem deve efectuar as c pias cifrar as c pias de seguran a sempre que houver condi es para tal entre outros 46 99 Seguran a Inform tica A redund ncia surge como forma de evitar a indisponibilidade da informa o e dever ser efectivada levando em conta o valor da informa o que se quer proteger P Silva et al 2003 101 afirmam que na sua express o mais complexa estes mecanismos de protec o podem assumir a duplica o total da infra estrutura inform tica existente numa localiza o remota com transfer ncia automatizada de dados entre locais Contudo este tipo de implementa o exige elevados custos e manuten o e que por isso est voltada para estruturas cr ticas Para colmatar tal situa o a solu o mais comum a cria o de clusters de m quinas e pela implementa o de RAID Cluster segundo Mamede 2006 372 um grupo de computadores independentes que se combinam para trabalhar como um sistema nico redundante ou seja s o v rios servidores que trabalham como se fossem um s e quando houver indisponibilidade de um o outro entra em
47. ais alargada sobre o papel import ncia das TIC e ajuda os gestores na aplica o das melhores pr ticas atrav s de um conjunto de ferramentas que auxiliam uma gest o mais flex vel das TI e ajuda na redu o dos riscos 6 2 COSO Segundo Cocurullo 2004 citado por Rego et al s d o sistema C O S O auxilia na identifica o dos objetivos essenciais do neg cio de qualquer organiza o e define controle interno e seus componentes fornecendo crit rios a partir dos quais os sistemas de controle podem ser avaliados Por seu lado Pedro 2005 afirma que COSO um modelo de gest o de risco empresarial que pode ser til para o desenho e enquadramento da auditoria das tecnologias de informa o e comunica o Pode se ent o afirmar que este mais um m todo que fornece recomenda es de como avaliar e melhorar os sistemas de controlo tendo por base a gest o dos riscos empresariais podendo a organiza o estar mais capacitada para lidar com as incertezas e ter um sistema de informa o mais fi vel Para Rego et al s d o modelo COSO define o controlo interno como sendo um processo constitu do por cinco sub processos e ambiente de controlo base para todos os outros componentes de controlo interno fornece disciplina e estrutura 61 99 Seguran a Inform tica e avalia o e gest o de risco identifica o e prioriza o dos riscos que podem por em causa o alcance dos objectivos p
48. al as checklist devem ser respondidas oralmente pois podem fornecer conte dos mais individualizados e mais ricos do que as outras formas Apesar da decis o para realizar uma auditoria depender das circunst ncias espec ficas de cada organiza o P Silva et al 2003 afirma que se deve escolher a altura adequada para a realiza o de uma auditoria de seguran a e aponta algumas possibilidades nomeadamente aquando da nomea o do respons vel pela seguran a ap s a implementa o de medidas de seguran a com regularidade temporal e ainda em outras situa es de testes pontuais A auditoria pode ser interna ou externa como a seguir se descreve 52 99 Seguran a Inform tica 4 Auditoria interna e auditoria externa O processo de realiza o de uma auditoria tanto complexo quanto maiores forem os ambientes organizacionais com muitos postos de trabalho com redes muito complexas etc Para Carneiro 2004 uma auditoria pode ser realizada por recursos internos s o os funcion rios da organiza o a ser auditada auditoria interna como por consultores externos que s o as entidades que n o pertencem organiza o auditada e normalmente com dedica o exclusiva em firmas de auditoria auditoria externa O mesmo autor idem 8 afirma que a auditoria interna tem por fun o auxiliar a equipa de gest o no seu desempenho enquanto que a auditoria externa realizada normalmente quando se pretende uma maior obje
49. aplica o DES tr s vezes utilizando chaves diferentes 5 6 2 Criptografia assim trica Monteiro e Boavida 2000 afirmam que o processo da criptografia assim trica funciona utilizando um par de chaves uma p blica que pode ser livremente divulgada e uma privada que mantida secreta e deve ficar apenas na posse e uso da pessoa ou entidade a que pertence O emissor cifra a mensagem com a chave p blica do receptor este ao receber a mensagem ele vai decifrar a mensagem com a sua chave privada De acordo com Oliveira 2000 o algoritmo mais conhecido para a criptografia assim trica o RSA Este algoritmo de acordo com Medeiros 2001 pode ser usado tanto para criptografia de informa es como para o sistema de assinatura digital Se por um lado a grande vantagem da criptografia assim trica segundo Medeiros 2001 que ultrapassado o problema de gest o das chaves j n o h necessidade de se ter um canal seguro para a transmiss o da chave secreta ou seja o emissor n o tem que dar ao receptor a conhecer secretamente a chave porque a chave que cifra diferente da que decifra a informa o tornando o processo mais seguro Por outro Mamede 2006 87 afirma que este tipo de criptografia mais lenta que a criptografia sim trica exigindo maior poder computacional Um outro problema ligado 33 99 Seguran a Inform tica utiliza o da criptografia assim trica segundo P Silva et al 2003 que est
50. ara Dantas 2010 o objectivo do controlo de acesso proteger dados programas e sistemas contra tentativas de acesso n o autorizadas feitas por usu rios ou outros programas Nesse sentido a auditoria de controlo de acesso l gico permite identificar e reduzir falhas de acesso aos recursos Este 55 99 Seguran a Inform tica mesmo autor acrescenta alguns procedimentos a ter em conta neste tipo de auditoria tais como utilizar software de controle de acesso desabilitar as senhas de ex funcion rios n o armazenar senhas em log desabilitar contas inativas Pode se afirmar neste caso que o auditor tem a tarefa de analisar como feita a gest o das contas dos utilizadores desde o momento da sua cria o respeitando os requisitos de seguran a definidos at a sua desactiva o verificando se apenas utilizadores autorizados possuem acesso ao sistema Apesar de hoje estar a ser utilizados outros m todos de autentica o e controlo de acesso tais como o m todo de biometria o m todo mais utilizado segundo Carneiro 2009 o de password neste particular dever o ser verificadas se as pol ticas para a sua defini o e utiliza o est o sendo aplicadas de acordo com as normas e padr es definidos pela organiza o Torna se assim necess rio considerar que n o suficiente apenas a utiliza o de sistemas de password mas igualmente importante que numa rede de computadores as pol tic
51. as existentes evitem que as password sejam f ceis de adivinhar pois como Mamede 2006 439 argumenta uma palavra passe fraca o suficiente para ultrapassar com sucesso por todas as configura es seguras de servidores actualiza es de sistemas e regras de firewall muito apertadas Para detectar tentativas de acesso n o autorizado a um sistema P Silva et al 2003 afirmam que devem ser realizados testes de intrus o podendo ser realizados tanto do interior da rede da organiza o como a partir da organiza o O auditor pode num cen rio mais realista assumir o papel de hipot tico atacante nesse caso ele n o tem qualquer conhecimento do sistema a testar ou pode obter o conhecimento completo das caracter sticas do sistema a analisar e consequentemente ir detectar maior n mero de vulnerabilidades Mamede 2006 afirma que devem tentar localizar todas as vulnerabilidades existentes atrav s dos acessos a servi os internos e ressalta que os pontos mais vulner veis de acessos a servi os internos s o as liga es internet modems activos pontos de acesso sem fio e pontos de acesso atrav s de rede virtual privada desta forma a auditoria deve ser alargada a todos estes pontos para evitar que elementos n o confi veis possuem acessos a recursos internos Para que tal acontece o mesmo autor idem destaca um conjunto de tarefas a serem realizadas pelos auditores nomeadamente localizar os dispositivos que est o vis
52. as prote es f sicas de dados programas instala es equipamentos redes e suportes e considera tamb m a integridade f sica dos utilizadores por exemplo condi es de trabalho medidas de evacua o alarmes e sa das alternativas Aquando da realiza o de uma auditoria na seguran a f sica de acordo com Mamede 2006 deve ser levado em considera o um conjunto de tarefas as quais se destacam e verifica o dos sistemas de energia dever o verificar se existem sistemas de alimenta o e protec o adequados se os equipamentos cr ticos disp em de sistemas de alimenta o ininterrupta de energia el ctrica que suportam o seu funcionamento por um determinado per odo de tempo se os n o cr ticos est o ligados a estabilizadores de corrente el ctrica e verifica o das condi es ambientais devem ser verificadas as condi es ambientais nas salas onde residem os equipamentos inform ticos ou seja se existem 54 99 Seguran a Inform tica mecanismos que permitem controlar quer o calor quer a humidade e se existem sistemas de alerta em caso de altera o das condi es ideais e verifica o dos controlos de acesso f sico dever o ser auditados aspectos tais como verificar se as salas dos equipamentos inform ticos e particularmente os dispositivos cr ticos disp em de controlos de acessos adequados permitindo o acesso s mesmas apenas pessoas autorizadas e verifica o da exist
53. borador e a organiza o que compromete o cumprimento de ambas as partes Esta atitude permite impedir que posteriormente possam surgir afirma es de alegado desconhecimento dos princ pios estipulados pela organiza o A seguran a dos recursos humanos apresenta os seguintes objectivos de acordo com Mamede 2006 30 reduzir os riscos de erro humano roubo fraude ou utiliza o indevida de qualquer parte do sistema assegurar que os utilizadores est o sens veis s amea as seguran a da informa o e que est o devidamente equipados para suportar a pol tica de seguran a da organiza o no decurso normal das suas actividades minimizar os danos de incidentes de seguran a e mau funcionamento e aprender com esses mesmos incidentes 6 2 Forma o sensibiliza o Para a concretiza o dos objectivos acima mencionados fundamental a quest o de informa o e forma o sensibiliza o de todos os colaboradores principalmente dos que lidam com informa es cr ticas estes precisam ter um n vel mais elevado de sensibiliza o para as quest es de seguran a Como afirma Mamede 2006 54 a forma o em seguran a deve ser disponibilizada a todos os colaboradores que concebam implementem ou efectuem a manuten o de sistemas de rede bem como a todos os colaboradores da organiza o sensibilizando os para os variados problemas 40 99 Seguran a Inform tica O objectivo da forma o s
54. bretudo as mudan as que constantemente ocorrem no mundo das tecnologias e que influenciam o comportamento das organiza es Essa r pida evolu o das tecnologias e a depend ncia cada vez maior das mesmas por parte das organiza es leva a uma necessidade cada vez maior de controlo ou seja uma revis o peri dica a um sistema inform tico que se materializa atrav s de uma auditoria inform tica Esta que constitui com efeito objecto de discuss o neste cap tulo Para isso come a se por definir a auditoria inform tica passando pelas suas estrat gias objectivos e apresentando ainda alguns testes a ter em conta numa auditoria e por fim refere se a alguns padr es internacionais para realiza o de auditorias 2 Conceito da auditoria inform tica Para Il Tec 1993 a auditoria inform tica define por uma an lise exaustiva de funcionamento de um centro de processamento de dados e do seu ambiente Por seu lado 66 EA Carneiro 2004 21 afirma que a auditoria inform tica um conjunto de procedimentos e de t cnicas para avaliar e controlar total ou parcialmente um sistema 49 99 Seguran a Inform tica inform tico Partindo destas duas defini es pode se concluir que a auditoria permite analisar validar e avaliar o grau de protec o do sistema inform tico em todos os seus aspectos verificar a conformidade com os objectivos e pol ticas da organiza o ou seja verificar se as regras nor
55. ca o a descri o aprofundada e gera o das explica es como d nos conta Michel 2005 Michel 2005 define a abordagem quantitativa como sendo aquela em que toda a actividade de pesquisa se recorre quantifica o quer no momento de recolha de informa o quer no tratamento destas 14 99 Seguran a Inform tica contribui es de alguns autores sobre este tema nomeadamente a defini o de seguran a inform tica sem esquecer as propriedades de seguran a os n veis da seguran a inform tica ou seja seguran a a n vel f sico l gico e de recursos humanos e ainda refere se a pol tica e planos de seguran a no Cap tulo 2 incide se sobre a auditoria inform tica b sicamente este cap tulo consistiu em definir a auditoria infom tica e referir aos diferentes testes que podem ser feitos aquando da realiza o de uma auditoria refere se ainda neste cap tulo a alguns padr es da auditoria no Cap tulo 3 isto o ltimo foi destinado ao trabalho de campo pois procura se verificar in loco a aplica o do sistema de seguran a inform tica nas escolas secund rias da cidade da Praia 15 99 Seguran a Inform tica Cap tulo 1 Seguran a inform tica nas organiza es 1 Enquadramento Este cap tulo objectiva apresentar as refer ncias te ricas pertinentes e sobretudo indispens veis face aos objectivos tra ados permitindo por conseguinte estabelecer a ponte com a componente pr tica
56. ca o permite a autentica o do utilizador e controlo de acesso Mamede idem 5 2 3 Filtro de circuito Os firewalls baseados em estados para Monteiro e Boavida 2000 360 analisam o tr fego aos n veis IP e TCP UDP e constroem tabelas de estado das liga es de modo a prevenir ataques por spoofing replaying e outros Para al m disso possibilitam um funcionamento ao n vel de aplica o tamb m de forma din mica Nesse tipo de firewall as decis es de filtragem s o tomadas n o s com base nas informa es dos cabe alhos mas tamb m numa tabela de estado onde est o guardados os estados de todas as conex es Assim como firewall baseado em pacotes este tamb m trabalha na camada de rede 5 3 Detec o de intrus es Os sistemas de detec o de intrus o ou IDS de acordo com P Silva et al 2003 oferecem visibilidade a uma organiza o das v rias tentativas de intrus o tanto no que sucede no seu exterior como no que sucede internamente M Silva et al 2003 alegam que muitas vezes poss vel fazer passar pelo firewall algum tr fego de natureza maliciosa j que este toma as decis es com base na origem e destino dos 28 99 Seguran a Inform tica dados e n o no seu significado para isso utilizam se os sistemas de detec o de intrus o que t m por fun o procurar anomalias no conte do dos dados ou quaisquer ind cios de ataques seguran a dos sistemas Os mesmos autores i
57. ctividade relativamente auditoria interna devido a um maior distanciamento entre auditores e auditados Comparativamente com a auditoria externa a auditoria interna segundo Ferreira et al 2001 apresenta algumas vantagens as quais podemos sublinhar algumas n o s o t o percept veis aos funcion rios quanto as auditorias externas s o mais econ micas pois neste caso os auditores j conhecem o sistema a ser analisado actuam muito rapidamente nos casos de emerg ncia s o fortes fontes de consulta actualizada constituem ponto de apoio e base para as auditorias externas entre outros Apesar de todas as vantagens da auditoria interna mencionadas Mamede 2006 afirma que as melhores auditorias s o realizadas por auditores externos sem quaisquer liga es ao ambiente da organiza o por estarem menos sujeito a influ ncia de subjectividade na produ o dos resultados do processo Quer no caso da auditoria interna como no da auditoria externa segundo este mesmo autor idem importante que a equipa dos auditores seja imparcial ou seja n o dever o existir problemas de relacionamento pessoal entre os auditores e os auditados para n o interferir nos resultados do processo e possam traduzir a realidade da organiza o O recurso a auditoria interna e a auditoria externa em simult neo denomina se segundo Ferreira et al 2001 de auditoria articulada esta que constitui numa mais rica forma de recolher informa
58. damente referente a conte dos ou sites a serem utilizados e consequentemente n o realizam actualiza es na lista negra lista dos sites ou conte dos definidos como os que n o podem ser acedidos dentro da rede da organiza o 76 99 Seguran a Inform tica EN o EN o Sim Sim Gr fico 12 Defini o dos requisitos para a Gr fico 13 Existe um firewall ou um servidor utiliza o da internet proxy 4 3 Seguran a de recursos humanos Os dados recolhidos mostram que nenhuma das escolas abordadas disp e de programas de forma o ou alguma campanha de sensibiliza o relativamente a quest es de seguran a inform tica Conv m aqui sublinhar a import ncia de programas de forma o sensibiliza o dos recursos humanos para quest es de seguran a inform tica pois s o eles que interagem directamente com as TIC no seu dia a dia e por isso dever o estar informados sensibilizados como realizar tarefas quotidianas sem p r em causa a seguran a do sistema A componente humana sem a devida forma o nesse caso pode constituir uma amea a para o sistema podendo ter como consequ ncias por exemplo a indisponibilidade dos servi os perda de algum dado relevante entre outros q Um exemplo dos aspectos a ser informado aos colaboradores a utiliza o segura de password que como teve se oportunidade de ver mais acima apesar estarem definidos os requisitos para a utiliza o de password
59. das fun es e responsabilidades individuais de cada funcion rio S o informados das regras e princ pios vigentes na organiza o S o cessadas todas as permiss es quando um funcion rio abandona a organiza o S o especificados os requisitos para recrutamento de novos funcion rios Existem planos de seguran a para situa es de emerg ncia Existe uma pol tica de seguran a pratic vel e eficaz aprovada pela ger ncia publicada e comunicada a todos os funcion rios Esta Politica sujeita a revis es peri dicas de acordo com as mudan as que ocorrem na organiza o 98 99 Seguran a Inform tica A 1 1 Infra estrutura tecnol gica das escolas Infra estrutura das TIC N mero de computadores esta o de trabalho N mero de servidores N mero de router N mero de switch N mero de hub N mero de impressoras N mero de gerador N mero de UPS Demais equipamentos inform ticos N mero de utilizadores das TIC As fun es suportadas pelas TIC N mero de t cnicos especializados na rea das TIC N vel hier rquico do respons vel pela rea das TIC Existe liga o Internet ao sistema inform tico da escola 99 99
60. dem dividem os sistemas de detec o de intrus o em dois grandes grupos a seguir descritos e IDS baseados em sistemas HIDS s o programas dedicados a sistemas individuais que permitem identificar quais processos e utilizadores est o envolvidos em algum tipo de ataque no sistema Bece 2001 citado por Medeiros 2001 descreve algumas vantagens e desvantagens dos HIDS Como vantagens afirma que podem operar num ambiente onde o tr fego de rede criptografado podem ajudar a detectar cavalos de Tr ia ou outros tipos de ataques que envolvam problemas de integridade nos programas a n vel do sistema operacional As desvantagens apontadas por este autor s o HIDS s o dif ceis de se gerir pois cada host monitorado precisa ser configurado como as informa es para an lise dos HIDS est o armazenadas no host um atacante pode invadir o sistema e desabilitar essas funcionalidades este tipo de IDS consome recursos de processamento do host monitorado influenciando a sua performance e IDS baseados na rede NIDS tem por finalidade monitorar todo o tr fego de rede ou seja os ataques s o capturados e analisados atrav s de pacotes de rede Bece 2001 citado por Medeiros 2001 apresenta algumas vantagens e desvantagens deste tipo de IDS A grande vantagem que n o interfere no funcionamento e desempenho da rede pois funciona no modo passivo apenas escutando o tr fego na rede fica invis vel aos atacantes Contudo apresenta
61. dever estar devidamente formalizado num documento escrito as regras normas e princ pios de seguran a dever o tamb m estar presente as san es Este documento denominado de pol tica de seguran a deve ser pratic vel e eficaz aprovada pela ger ncia publicada e comunicada a todos os colaboradores e sujeita a revis es peri dicas conforme as mudan as v o ocorrendo Dada a import ncia deste documento e para que sejam mantidos os aspectos positivos j identificados e melhorar os menos conseguidos decidiu se em jeito de proposta de melhoramento definir uma pol tica de seguran a para as escolas secund rias da cidade da Praia que possa servir de input na procura de melhores solu es na implementa o da seguran a inform tica O que se pretende propor um modelo aberto e flex vel que pode ser adaptado a realidade de cada escola Conv m referir que para o desenvolvimento deste modelo de pol tica de seguran a teve se como refer ncia a norma ISO 17799 pois como foi anteriormente referido esta norma o c digo de pr tica para a gest o da seguran a da informa o e ainda teve se em considera o as informa es recolhidas ou seja a realidade das escolas secund rias da cidade da Praia Teve se ainda como referencia o modelo de pol tica de seguran a apresentado por Spanceski 2004 para uma institui o de ensino importante tamb m ressaltar que quando se define uma pol tica de seguran a para institui
62. dos de forma adequada E igualmente importante a defini o de um plano de carreira e sal rio capaz de motivar o colaborador naquilo que ele faz Conv m ressaltar que para al m da remunera o directa sal rio h a remunera o indirecta planos de benef cios recompensa ou beneficio social como subsidio de f rias abono de fam lia etc 6 3 Segrega o de responsabilidades P Silva et al 2003 defendem que se deve evitar atribuir fun es vitais a uma nica pessoa estas devem ser atribu das a pelo menos duas pessoas A possibilidade de falhas ou erros nas organiza es podem muitas vezes estar relacionada com a concentra o de actividades ou fun es cr ticas a nica pessoa No caso de aus ncia destas pessoas ou de ocorr ncia de algum erro por parte destes a organiza o pode comprometer o seu funcionamento Se at aqui procurou se perceber o conceito de seguran a inform tica bem como outros conceitos afins a seguran a f sica l gica e de recursos humanos de seguida vai se incidir sobre o planeamento da seguran a ou seja a pol tica e os planos de seguran a 7 Planeamento de seguran a 7 1 Pol ticas de seguran a Ferreira e Ara jo 2006 citados por Pinheiro 2007 afirmam que a pol tica de seguran a define o conjunto de normas m todos e procedimentos utilizados para a manuten o da seguran a da informa o devendo ser formalizada e divulgada a todos os usu rios que fazem 42
63. e Receita dispon vel em http www scribd com doc 6841289 298Redes consultado a 03 08 11 Gil Ant nio de Loureiro 1999 4 Ed Auditoria de computadores S o Paulo Atlas Il Tec 1993 Dicion rio de Termos inform ticos Lisboa Edi es Cosmo ISACA Cobit dispon vel em http www isaca org consultado a 22 08 11 Mamede Henrique S o 2006 Seguran a Inform tica nas Organiza es Lisboa Porto Coimbra FCA Editora de Inform tica Lda Medeiros Carlos Diego Russo 2001 Seguran a da informa o implanta o de medidas e ferramentas de seguran a da informa o dispon vel em http www linuxsecurity com br info general TCE_Seguranca_da_Informacao pdf consultado a 03 08 11 Michel Maria Helena 2005 Metodologia e Pesquisa Cientifica em Ci ncias Sociais um guia pr tico para acompanhamento da disciplina e elabora o de trabalhos monogr ficos S o Paulo Atlas S A Monteiro Edmundo e Boavida Fernando 2000 5 Ed Engenharia de redes inform ticas Lisboa Porto Coimbra FCA Editora de Inform tica Lda Neto Ab lio Bueno e Solonca Davi 2007 Auditoria de sistemas informatizados dispon vel em http busca unisul br pdf 88277 Abilio pdf consultado a 03 08 11 Oliveira Wilson 2000 T cnicas para Hackers solu es para seguran a Lisboa Centro Atl ntico 94 99 Seguran a Inform tica Pedro Jos Maria 2005 Seguran a inform t
64. e acordo com Carneiro 2002 as principais s o e desastres naturais inc ndios acidentais trovoadas e inunda es e amea as ocasionadas por elementos humanos e dist rbios sabotagens internas e externas deliberadas Para evitar tais amea as e garantir a seguran a f sica devem ser considerados v rios aspectos entre os quais localiza o geogr fica das instala es controlo de acesso seguran a do equipamento que de seguida se apresentam 20 99 Seguran a Inform tica 4 1 Localiza o geogr fica das instala es Um dos primeiros aspectos a ter em conta no que se refere seguran a f sica diz respeito localiza o de um centro de inform tica e da vulnerabilidade a que este pode apresentar perante diferentes ocorr ncias indesejadas Neste sentido P Silva et al 2003 prop em algumas medidas de seguran a a n vel da localiza o dos centros de processamento de dados tais como e um centro de inform tica n o deve ficar localizado nem no primeiro piso nem no ltimo se se tratar de um edif cio t rreo dever fazer o poss vel para afastar o centro de processamento de dados das vias de circula o bem como das condutas de guas ou de esgotos e os acessos a esses centros dever o ser facilmente monitorizados e n o dever o existir quaisquer acessos directos para o exterior mas devem dispor de sa das de emerg ncia e o ch o e o tecto das instala es devem ser falsos para perm
65. e caso segundo Mamede 2006 se a chave for quebrada num dos extremos toda a mensagem fica comprometida e muitas vezes o outro extremo pode n o se aperceber que a mensagem est comprometida recomend vel que a mensagem e as chaves sejam transmitidas usando canais de comunica o diferentes Este mesmo autor idem afirma que n o obstante a sua velocidade que permite cifrar grandes quantidades de informa o apresenta como principal limita o o problema da gest o das chaves que pode ser desdobrada nos seguintes pontos e sea chave perdida todo o canal fica comprometido e conv m mudar frequentemente de chave para evitar o comprometimento da mesma 32 99 Seguran a Inform tica 2 e a distribui o das chaves cr tica pois se houver algum comprometimento das chaves no momento em que as mesmas s o distribu das todas as mensagens que utilizarem essas chaves podem ser decifradas por quem o interceptou e s o necess rias v rias chaves aumentando o risco e a probabilidade da ocorr ncia de fuga de informa o Para Mamede idem um dos algoritmos utilizados na criptografia sim trica o DES P Silva et al 2003 afirmam que o DES utilizado como standard para protec o da informa o desde 1981 surge depois o TripleDES ou 3DES composto por tr s opera es sequenciais de cifra utilizando o DES ou seja para proporcionar maior seguran a e aumentar o n vel de protec o da informa o
66. e tipo de criptografia n o garante a autenticidade do remetente ou seja se a chave que cifra a p blica que pode ser trocada livremente n o h quaisquer garantias que a chave a do destinat rio pretendido A autentica o nesse caso garantida com recurso a assinatura digital que de seguida passa se a descrever 5 7 Assinatura digital Mamede 2006 88 defende que uma assinatura digital mais n o do que um c digo digital anexado a uma mensagem transmitida de forma electr nica e que identifica univocamente o emissor e garante a integridade da mensagem Ou seja uma assinatura digital tanto garante que a mensagem n o foi alterada como garante que o remetente realmente quem diz ser O mesmo autor idem aponta as seguintes propriedades da assinatura digital e n o forjamento significa que quem assinou f lo deliberadamente j que utilizou a sua chave privada para o efeito e autenticidade garante que quem assinou identific vel e n o reutiliza o garante que a assinatura digital n o pode ser reutilizada em outros documentos e n o repudia o significa que quem assinou n o pode negar que o fez e integridade ou seja um documento assinado digitalmente n o pode ser alterado Segundo Mamede idem uma assinatura digital pode ser feita tanto com base na criptografia sim trica como na criptografia assim trica Na assinatura digital com base na criptografia sim trica necess
67. ectual isto aumentar o conhecimento na rea de inform tica prima se tamb m para satisfazer as raz es de ordem pr tica pois pretende se apresentar algumas contribui es a n vel da defini o de medidas de seguran a que podem servir para a melhoria da seguran a inform tica das escolas em estudo 1 3 Objectivos do trabalho 1 3 1 Objectivo geral e Compreender os principais conceitos e t cnicas de seguran a e auditoria inform tica e conhecer a realidade da seguran a inform tica nas escolas secund rias da cidade Praia analisando as pr ticas da seguran a inform tica nas mesmas Para facilitar a compreens o do objectivo geral entendeu se decomp los nos seguintes objectivos espec ficos 1 3 2 Objectivos espec ficos e identificar as vulnerabilidades existentes no sistema inform tico e identificar as medidas e pol ticas de seguran a existentes e praticadas nas escolas e certificar averiguar da sensibilidade dos respons veis pelo sistema inform tico pelas quest es de seguran a e propor a partir dos resultados obtidos melhorias para a seguran a inform tica nas escolas secund rias Como pode se reparar os objectivos supracitados exigem uma escolha cuidada de m todos t cnicas e procedimentos isto uma metodologia natureza do estudo 13 99 Seguran a Inform tica 1 4 Metodologia Se verdade que a busca de informa es fundamentadas para a realiza o deste trabal
68. edes privadas virtuais O firewall protege dados que entram e que saem da rede interna contudo depois dos dados deixarem a rea protegida pelo firewall informa es sens veis como password n mero de contas banc rias etc podem ficar suscept veis de serem vis veis por acesso de terceiros As VPN permitem a utiliza o da rede p blica para a transmiss o segura de informa es Para Monteiro e Boavida 2000 363 uma rede virtual privada uma rede constitu da por um conjunto de redes privadas interligadas por circuitos canais virtuais suportados noutras redes normalmente p blicas como por exemplo a Internet Ou seja uma rede privada constru da sobre a infra estrutura de uma rede p blica mas devido a utiliza o de tecnologias de tunelamento e outros procedimentos de seguran a fazem com que as mesmas sejam redes seguras VPN garantem assim a utiliza o de redes de comunica o n o segura 37 99 Seguran a Inform tica para trafegar informa o de forma segura pois toda a informa o que circule pela internet e cujo destino seja uma rede privada est criptografada De acordo com Monteiro e Boavida 2000 existem tr s tipos distintos de solu es para a implementa o de VPN e baseadas em firewalls partindo do princ pio que o firewall um dispositivo que j existe numa rede privada h uma economia de recursos uma melhor gest o existe um ponto nico de implementa o de s
69. egundo Ferreira e Alves 1995 79 garantir que os utilizadores t m consci ncia das amea as e preocupa es respeitantes seguran a da informa o e est o sensibilizados para apoiar a pol tica de seguran a da organiza o Silva 2005 refor a dizendo que de nada adianta disponibilizar tecnologias se os usu rios dos sistemas da organiza o n o estiverem conscientes da import ncia da seguran a da informa o e do correcto uso destes sistemas Por seu lado P Silva et al 2003 referem necessidade de ac es de sensibiliza o sobre quest es concretas dos problemas relacionados com a seguran a do dia a dia da organiza o Uma das quest es importantes a levar em conta a de engenharia social A engenharia social segundo Mamede 2006 116 consiste na aplica o de truques psicol gicos ou f sicos sobre utilizadores leg timos de sistemas computacionais de forma a obter se conhecimento e informa o que permita acesso a esse sistema Como se pode notar a engenharia social constitui uma estrat gia de recolha de informa es sem exigir per cia t cnica Esta forma de ataque pode concretizar se de diversas formas muitas vezes atitudes de entreajuda humana no ambiente laboral podem comprometer informa es sens veis algu m pode passar se por terceiro podendo obter informa o relevante de colaboradores com falta de forma o sensibiliza o o fornecimento de informa es sens ve
70. eguran a e verifica o das condi es de seguran a Apesar do firewall sofrer degrada o no seu desempenho devido s fun es de codifica o e descodifica o das VPN esta a solu o mais utilizada e baseadas em routers neste caso n o h degrada o no desempenho do firewall porque as VPN est o baseadas nos routers possibilitando tamb m uma economia de recursos pois os routers s o dispositivos de rede mas n o comprometendo o desempenho dos routers Contudo a funcionalidade das VPN implementada acima do n vel de rede n o pode ser suportada nos routers e baseadas em softwarelhardware dedicado utilizado normalmente quando nem firewall nem routers suportam as sess es VPN ou seja passa a existir mais um sistema para gerir e configurar e mais um ponto de implementa o das fun es de seguran a Mamede 2006 defende que existem v rios protocolos que est o associados s VPN entre os quais destacam se e PPTP permite apenas uma liga o ponto a ponto por sess o e fornece um meio seguro de liga o de clientes individuais a servidores e L2TP surge da combina o do PPTP e L2F um dos primeiros protocolos utilizados por VPN permite a liga o entre utilizadores remotos foi concebido para a liga o ponto a ponto entre um cliente e servidor e GRE utilizados entre routeadores 38 99 Seguran a Inform tica e IPSEC IP Security o protocolo ess ncial para garantir a se
71. ensibiliza o dos utilizadores para sua correcta defini o e utiliza o Isso exige uma boa gest o dos mesmos que implica por um lado sensibilizar os utilizadores para a import ncia da utiliza o de password seguro e por outro implementar medidas que permitem detectar password inseguro antes de serem explorados pelos atacantes Cliff 2001 citado por Medeiros 2001 distingue duas t cnicas de adivinha o de password e utiliza o de dicion rios refere a utiliza o de programas com dicion rios de diversas l nguas contendo palavras frases letras n meros s mbolos ou qualquer outro tipo de combina o que possa ser utilizada para a combina o de password 25 99 Seguran a Inform tica e ataque for a bruta consiste em fazer todas as combina es poss veis de caracteres at conseguir a password pretendida A sua efic cia depende de qu o dif ceis de adivinhar forem Este m todo de descoberta de password mais lenta que a utiliza o de dicion rios O controlo de acesso e a autentica o est o directamente relacionados e s o usados simultaneamente j que o perfil de um utilizador que vai definir as suas permiss es e as suas restri es Um dos mecanismos de controlo de acesso bastante utilizado o firewall que passa se de seguida a apresentar 5 2 Firewall Se uma organiza o pode criar as condi es para controlar a sua rede interna mais dif cil se torna controlar a
72. ertinente particularizar as seguintes A minha fam lia a qual devo tudo o que hoje tenho e sou O meu professor e orientador Isa as Barreto da Rosa pela disponibilidade e conselhos sempre s bios e oportunos A todos os meus colegas que foram n o s companheiros mas acima de tudo amigos durante esses cinco anos de crescimento e de amadurecimento Seguran a Inform tica Conte do PR DREN IA LULAS EEEE cin E ETE CDA cb dar o Lda a R q da dec ADS Opa a cada 10 Miroda ia a a e a E e A al ca 11 1 1 Enquadramento ba Da E AN 11 1 2 Justifica o da escolha do tema sonnsneesseeeeeeeesseesseessessseeesseeesstesstessersseeesseeesseesseesse 13 1 3 Objectivos do trabalho sssssnensereniinoninni ei i E a 13 13 1 Objectivo peral rassa a E EE S 13 13 2 Objeclimos especificos ene e T O a a 13 L Met dologias pepsine ieni r E EE A EEE N E 14 1 5 Estr t ra do trabalhos srsiietrpoii eii pass asese a asi ih 14 Cap tulo 1 Seguran a inform tica nas organiza es sesssseesseeesseesseesseresertessesseesseessee 16 l Enquadramento Fs n A GAP aE E REA 16 2 Conceito da seguran a inform tica esseeessesesesresseseresresseseterressessresreestrsesreeseeseee 16 3 Propriedades de segurana ncns a a E A N e RN 18 3 1 Pa bica io a Toi fa Ee a 5 aa RE as PR RS ER RR RR ASSR 18 3 2 Conhdencialidade sninn esiisaks u dub ad a psd DRA Ad dada na 18 3 3 batras ata E10 Cer EE E TEE T ETT 19 ad Controlo de acess
73. fico jogos bate papo servi os tais como R dios On Line e outros afins caso julgue necess rio estes ser o bloqueados O ideal que cada utilizador tenha acesso apenas aos servi os necess rios para o desempenho das suas fun es Ser proibida a abertura de arquivos execut veis arquivos com extens o exe por exemplo recebidos por e mail evitando assim a propaga o de v rus pela rede Seguran a da informa o gerais Toda a informa o deve ser protegida contra acesso altera o destrui o quer seja acidental ou intencional A defini o do acesso a informa o deve estar ligada a posi o que a pessoa ocupa na organiza o Toda informa o que se considere necess rio deve ser guardado no servidor com as devidas condi es de seguran a Devem existir as condi es de recupera o da informa o por isso as c pias de seguran a dever o ser guardadas em locais seguros Para proteger da utiliza o de softwares piratas e de v rus ou problemas t cnicos o utilizador est proibido de instalar ou remover softwares salvo em casos que devidamente acompanhado e autorizado por algu m da equipa t cnica O uso de qualquer equipamento para o processamento das informa es fora dos limites f sicos da organiza o como por exemplo uso de port teis em casa dever ser autorizado pelo respons vel da seguran a e perante as devidas condi es de seguran a 6 1 5 Seguran a
74. fico 9 Os sistemas est o sujeitos a actualiza es sseesseessensseeseeeesseessresserssereseeesssees 74 Gr fico 10 Realiza o das c pias de seguran a eeeeereeeeererceranaa 75 Gr fico 11 Existe uma pol tica de seguran a de controlo de acesso a rede 76 Gr fico 12 Defini o dos requisitos para a utiliza o da internet 77 Gr fico 13 Existe um firewall ou um servidor proxy sesssesesssssssssssssssssereessereesssseesssserssssee 77 Gr fico 14 Utiliza o segura de password ssssssssssesssesssseesssressetssersseresseetsseessersseesseeesseee 78 9 99 Seguran a Inform tica Abreviaturas ACL Access Control List CA Certification Authority CobiT Control Objectives for Information and Related Technology DES Data Encryption Standard DMZ DeMilitarized Zone GRE Generic Routing Protocol HIDS Host based Intrusion Detection Systems ICMP Internet Control Message Protocol Il TEC Instituto de Lingu stica Te rico e Computacional IETF Internet Engineering Task Force IDS Intrusion Detection Systems IP Internet Protocol IPSEC IP Security ISO International Standards Organization ISACA Information Systems Audit and Control Foundation L2F Layer 2 Forwarding L2TP Layer 2 Tunnelling Protocol NIDS Network based Intrusion Detection Systems OSI Open System Interconnection PPTP P
75. fora de acesso p blico Al m de todas essas formas de protec o dos equipamentos inform ticos Carneiro 2002 acrescenta que estes devem ser periodicamente sujeitos a uma verifica o t cnica e monitorizado o seu estado de conserva o e de limpeza Todos estes mecanismos de defesa do controlo de acesso f sico permitem evitar o arrombamento f sico ou seja evitar este tipo de ataque que acontece quando h acesso f sico n o autorizado ao departamento dos recursos das TI podendo atentar integridade f sica das m quinas Do mesmo modo que se preocupa em garantir a seguran a f sica os dados informa es tamb m devem estar protegidos da a import ncia da seguran a l gica 23 99 Seguran a Inform tica 5 Seguran a l gica A seguran a l gica segundo Carneiro 2002 refere se seguran a da utiliza o do software protec o dos dados dos processos e dos programas acesso autorizado dos utilizadores Isso mostra que sem a seguran a l gica toda a informa o de uma organiza o fica exposta aos v rios tipos de ataques e que por isso dever ser criado um conjunto de medidas que impede o acesso indevido a informa es seja local ou remotamente Para garantir a seguran a l gica Mamede 2006 destaca v rios aspectos a serem levados em considera o nomeadamente autentica o e controlo de acesso firewall detec o de intrus es antiv rus filtragem de conte dos criptografia assi
76. forma o mais adequada falta de experi ncia neglig ncia insatisfa o na defini o do plano de carreira e sal rio entre outros Para desenvolvimento deste ponto alguns subpontos ser o aqui objectos de an lise como o recrutamento a forma o a segrega o de responsabilidades 6 1 Recrutamento A seguran a dos recursos humanos dever come ar desde a selec o dos candidatos com os melhores requisitos para preencher os postos de trabalho disponibilizados pela organiza o particularmente para os que ir o lidar com informa es cr ticas as exig ncias dever o ser 39 99 Seguran a Inform tica acrescidas relativamente a quest es de seguran a Como afirmam Ferreira e Alves 1995 candidaturas para admiss o devem ser examinadas em pormenor sempre que os postos de trabalho envolvam o acesso a recursos das TI que manipulem informa o sens vel Ali s Mamede 2006 53 sublinha que uma organiza o n o pode correr o risco de admitir pessoal que possua um registo de criminalidade inform tica ou de atitudes pouco concordantes com a tica em outras organiza es P Silva et al 2003 afirmam que aquando da contrata o de um novo colaborador este dever receber todas as informa es que lhe permita estar a par do conjunto das normas regras e princ pios existentes na organiza o sobre as suas permiss es e o que lhe proibido fazer Isso realizado atrav s de um acordo entre o cola
77. funcionamento de imediato RAID significa que a informa o encontra se partilhada por v rios discos se um desses deixar de funcionar os dados poder o ser acedidos num outro disco Carneiro 2002 aponta alguns benef cios de um plano de seguran a tais como aumento da produtividade aumento da motiva o do pessoal comprometimento com a miss o da organiza o melhoria das rela es de trabalho contribui o para a forma o de equipas t cnicas competentes 8 Considera es finais Considerando a seguran a inform tica um conjunto de medidas que s o tomadas para garantir que os recursos das TI sejam protegidos contra diferentes tipos de ataques ela n o pode ser encarada simplesmente como um produto ou uma tecnologia que se adquire e aplica mas sim como um processo capaz de acompanhar a permanente evolu o do mundo tecnol gico e tem como objectivos principais garantir os princ pios de autenticidade disponibilidade integridade e disponibilidade Pode se referir a seguran a inform tica em tr s n veis importantes seguran a l gica seguran a f sica e seguran a de recursos humanos Enquanto que a seguran a l gica refere se ao conjunto de medidas que devem ser levadas a cabo para proteger os softwares os dados informa es a seguran a f sica destina se a proteger os recursos f sicos Se a 47 99 Seguran a Inform tica seguran a f sica for quebrada corrompida isso implica que todo o investi
78. gia el ctrica e avarias ou erros de telecomunica es 45 99 Seguran a Inform tica e erros de programa o ou de explora o e destrui o de ficheiros e aus ncia de pessoal Perante tais situa es um conjunto de medidas deve estar j materializado tais como ter stock de equipamentos ter sistema UPS pelo menos nos equipamentos cr ticos ter sistema antiv rus centralizado e actualizado etc O pano de recupera o segundo P Silva et al 2003 154 um documento composto pelas descri es das respostas a uma interrup o nas actividades processos e fun es importantes do neg cio que se prolongue para al m das respectivas toler ncias indisponibilidade O objectivo principal deste plano criar c pia de seguran a de toda a informa o relevante Para tal deve se seguir um conjunto de procedimentos e Ferreira e Alves 1995 citam os seguintes que devem ser estabelecidos pelo respons vel pelo sistema inform tico e periodicidade das c pias de seguran a a periodicidade das c pias pode ser di ria semanal mensal anual ou de periodicidade vari vel e n mero de exemplares das c pias de seguran a e localiza o de arquivos de suporte magn tico a localiza o do armazenamento das c pias de seguran a deve ser feita tendo em conta n o s a seguran a mas tamb m a disponibilidade sempre que haja condi es essas c pias devem ser guardadas em lugar distinto dos d
79. guran a de comunica o entre redes criado pelo IETF organiza o respons vel pela cria o dos protocolos padronizados para a internet Segundo Mamede idem o protocolo IPSec possui a funcionalidade de cifrar e autenticar os dados do pacote IP A implementa o correcta deste protocolo garante confidencialidade integridade autenticidade e protec o contra o processamento duplicado de pacotes A utiliza o de VPN traz v rios benef cios entre os quais pode se citar o facto de j oferecer recursos de autentica o e criptografia possibilita a transmiss o segura de dados entre redes redu o de custos em compara o com a utiliza o de conex es dedicadas etc A seguran a f sica e a seguran a l gica garante que os recursos f sicos e os softwares estejam protegidos contudo para que a seguran a inform tica seja garantida importa fazer refer ncia a seguran a dos recursos humanos pois muitos dos erros ocorridos t m origem nos recursos humanos de uma organiza o 6 Seguran a dos recursos humanos Quando se fala em seguran a inform tica h que levar em considera o um aspecto muito importante que s o os recursos humanos pois s o estes que interagem directamente com os recursos tecnol gicos com os sistemas e gerem a informa o dentro da organiza o Muitos dos problemas de seguran a acontecem internamente e s o na maioria das vezes causados acidental ou intencionalmente por colaboradores sem a
80. ho levou se a reconhecer a necessidade de uma escolha cuidada de instrumentos de recolha de informa o n o menos verdade afirmar que associado quer aos instrumentos quer aos m todos e t cnicas de recolha de dados est a decis o pela escolha tanto da pesquisa qualitativa como pela pesquisa quantitativa No quadro da pesquisa qualitativa utiliza se a pesquisa bibliogr fica tendo em conta a necessidade de se ter como suporte contribui es te ricas tecidas por alguns autores que j debru aram os seus estudos sobre a tem tica em apre o e ou outros assuntos afins Na abordagem quantitativa utiliza se o m todo estat stico no tratamento dos dados seguindo as seguintes etapas i Escolha da amostra pois num universo de 10 escolas secund rias subdivididas pela cidade da Praia optou se por uma amostra de 80 ii De seguida elaborou se um conjunto de aspectos sobre seguran a inform tica aos quais quis se verificar da sua exist ncia junto dos respons veis das institui es em estudo recorrendo a aplica o de uma checklist iii Por fim fez se o tratamento estat stico dos dados atrav s do programa SPSS vers o 15 1 5 Estrutura do trabalho A par da introdu o e conclus o este trabalho apresenta na sua estrutura tr s cap tulos no Cap tulo 1 que tem por t tulo seguran a inform tica nas organiza es apresenta se as A abordagem qualitativa voltada para a descoberta a identifi
81. ica em auditoria dispon vel em http knowkapital eu extra artigos Seg e Auditoria IGF pdf consultado a 03 08 11 Pinheiro Jos Maur cio dos Santos 2007 Os Benef cios da Politica de Seguran a baseada na Avalia o de Riscos e na Integra o de Ferramentas dispon vel em http www foa org br cadernos edicao 04 28 pdf consultado a 03 08 11 Rego Ant nio Marcos Passos de Sousa et al s d A utiliza o de C O S O na contralodoria um estudo no Brasil dispon vel em http www intercostos org documentos Passos pdf consultado a 03 08 11 Silva Miguel Mira da e Silva Alberto e Rom o Artur e Conde Nuno 2003 2 Ed Comercio Electr nico na Internet Lisboa Porto Coimbra LIDEL Edi es T cnicas Lda Silva Pedro Tavares e Carvalho Hugo e Torres Catarina Botelho 2003 Seguran a dos Sistemas de Informa o Gest o Estrat gica de Seguran a Empresarial Lisboa Centro Atl ntico Silva Valfl vio Bernardes 2005 Impacto na Implementa o de Pol tica de Seguran a da Informa o na Novo Nordisk produ o Farmac utica do Brasil dispon vel em http www ccet unimontes br arquivos monografias 76 pdf consultado a 03 08 11 Sim es Jorge 2004 Seguran a de Sistemas Inform ticos dispon vel em http paginas ispgaya pt jsimoes src seguranca pdf consultado a 03 08 11 Spanceski Francini Reitz 2004 Politica de seguran a da informa o Desenvol
82. idor dever possuir um sistema de detec o alarme e combate autom tico para caso de inc ndio e Devem ser realizadas c pias de seguran a estas dever o ser realizadas pelo respons vel pela seguran a e ter periodicidade vari vel conforme v o surgindo informa es que se considerem relevante para a organiza o contudo no fim de cada trimestre dever haver um backup completo das informa es previamente seleccionadas 6 1 3 2 Manuten o utiliza o dos equipamentos Regras gerais e Os utilizadores devem estar informados sobre a correcta utiliza o dos equipamentos e O suporte e manuten o de equipamentos inform ticos s poder o ser prestados por t cnicos especializados na rea dever existir uma equipa t cnica interna ou prestadora de servi os dispon vel para eventuais necessidades e As falhas nos equipamentos devem ser registadas em lugar anal gico ou digital espec fico para tal para uma mais r pida resolu o de falhas semelhantes que vierem a surgir posteriormente e para facilitar o trabalho a outras pessoas que vierem a fazer o mesmo trabalho e Dever existir um centro servi o Help Desk para uma melhor e mais eficiente gest o dos problemas nos equipamentos e Os equipamentos devem ser protegidos contra falhas de energia e outras anomalias na alimenta o el ctrica utilizando se para al m de UPS tamb m geradores evitando a indisponibilidade dos servi os e Todas as salas
83. idor e em cada computador pessoal e em cada computador pessoal da organiza o 5 5 Filtragem de conte dos Os mecanismos de filtragem de conte dos n o se limitam em detectar mensagens em que os anexos podem conter algum c digo malicioso mas desempenham outras fun es especificamente em mensagens de correio electr nico ou conte dos Web e podem ser usados juntamente com o sistema antiv rus Entre outras fun es de filtragem de conte dos podemos indicar a restri o a determinados acessos em termos de utiliza o da internet como por exemplo c pia de filmes acesso a conte dos pornogr ficos etc restringir o acesso a software ilegal ou seja definir o que permitido e o que negado aos utilizadores igualmente fun o deste mecanismo detectar e impedir tentativas de transmiss o de informa o confidencial de acordo com P Silva et al 2003 Tais restri es podem ser feitas de acordo com os mesmos autores idem com base nas listas de endere os URL ou com base nas palavras chave relacionadas com quaisquer tem ticas que se pretende bloquear M Silva et al 2003 173 afirmam que muitas organiza es recorrem a esse tipo de servi os para garantir que os seus colaboradores n o ocupam o seu tempo de trabalho a aceder a conte dos que nada tenham a ver com a actividade profissional Por outras palavras filtragem de conte dos garante s organiza es que os seus colaboradores n o consomem
84. iedade industrial para a sociedade de informa o que se vive hoje faz com que as TI assumem um papel cada vez mais preponderante no desenvolvimento das organiza es consequentemente a pertin ncia de garantir a seguran a inform tica aumenta paralelamente a essa depend ncia das tecnologias Nesta linha de pensamento pode se ent o dizer que a seguran a deve ser um pr requisito e encarada como um factor priorit rio e essencial para o sucesso dos neg cios para as organiza es que buscam vantagem competitiva Contudo a estrat gia de implementa o da seguran a numa organiza o deve ser bem definida por forma a estabelecer um equil brio entre os custos e os benef cios As escolas secund rias como organiza es est o inseridas nessa tal sociedade de informa o pois a qualidade de ensino passa por investir em TI como forma de se ter acesso a informa es sempre dispon veis e actualizadas Assiste se hoje a uma preocupa o no sentido de apetrechar as escolas com as TI mas pouco se tem falado sobre a seguran a inform tica nas escolas secund rias Da surge o interesse pelo tema seguran a Inform tica o caso das escolas secund rias da cidade da Praia A Internet uma extensa rede de computadores interligados mas independentes Heide Stilborne 2000 citado por Silva 2005 12 99 Seguran a Inform tica 1 2 Justifica o da escolha do tema Este trabalho para al m das raz es de ordem intel
85. intuito de proteger consequentemente as informa es que nela trafega do mesmo modo os servi os que n o s o necess rios ao funcionamento da organiza o n o devem estar a correr nos servidores Dever ser definido um plano de conting ncia com operacionalidade pr tica a fim de possibilitar a continuidade dos servi os em caso de algum sinistro Administra o de contas Regras gerais Documentos dos alunos bem como documentos pessoais dos funcion rios n o est o sujeitos a c pias de seguran a da que cada um deve fazer c pias dos documentos que considere necess rio A manuten o dos arquivos na conta pessoal de responsabilidade do utilizador sendo que o mesmo deve evitar c mulo de arquivos desnecess rios sendo assim a escola n o se responsabiliza por qualquer documento dentro das contas pessoais dos utilizadores do dom nio GERAL N o feita c pia de seguran a dos arquivos do dom nio GERAL O utilizador ser automaticamente desconectado se ficar sem usar o sistema por mais de 30 minutos para evitar o uso do mesmo por outro utilizador que poder estar mal intencionado quanto ao acesso e consulta das informa es 86 99 Seguran a Inform tica e O respons vel de seguran a tem o direito de desactivar bloquear a conta do utilizador seja ele aluno e ou funcion rio sempre que esteja perante situa es de quebra de seguran a ou seja face a pr tica de actos que ponham em causa a
86. is como por exemplo uma password pode reverter muitas vezes em preju zos avultados para a organiza o Para al m da engenharia social outros problemas podem estar associados a seguran a dos recursos humanos tais como Caller ID spoofing e Mergulho no contentor Dumpster Diving Caller ID spoofing tem por objectivo fazer uma chamada telef nica com um n mero de telefone falso atrav s de servidores na internet que permitem falsificar ID de telefone fazendo com que apare a o n mero que n s quisermos no visor do destinat rio Para evitar a engenharia social e caller ID spoofing uma organiza o deve investir na forma o dos seus colaboradores sobre quest es de seguran a e na sensibiliza o dos mesmos para n o partilharem informa es sens veis com terceiros ou atrav s de chamadas telef nicas simp ticas 41 99 Seguran a Inform tica Segundo P Silva et al 2003 o mergulho no contentor consiste na procura de informa es sens veis vasculhando o lixo da organiza o Parte desse lixo que pode ser c digo de algum cart o listagens de n meros de telefones impress es de configura es de equipamentos entre muitos outros que podem servir de base para um posterior ataque Como mecanismo de defesa a este tipo de ataque aconselha se a utiliza o de destruidor de papel ou alternativamente fornecer a cada colaborador um sexto para a coloca o de materiais sens veis E estes seriam posteriormente destru
87. itir a passagem das condutas necess rias alimenta o energ tica e processamento de atmosfera conduta e sa da para ar condicionado e os sistemas de alimenta o el ctrica devem ser redundantes e dever o existir sistemas de detec o e combate a inc ndios apropriados Estes requisitos de localiza o dos centros de processamentos de dados destinam se a garantir um bom n vel de seguran a contudo o que acontece muitas vezes que empresas s o instaladas em edif cios j existentes e com estrutura pr pria Nestes casos devem ser feitos os ajustes necess rios para minimizar ou evitar o m ximo poss vel as consequ ncias de acidentes naturais ou acidentes de origem humana 21 99 Seguran a Inform tica 4 2 Controlo de acesso Para al m dos cuidados a ter com a localiza o geogr fica dever o ser criados mecanismos de seguran a que permitem acesso apenas a pessoas autorizadas s reas dos recursos das TI O n vel de protec o deve variar de acordo com o grau da seguran a dos dados que se pretende proteger A restri o de acesso f sico deve ser definida tanto para as pessoas externas organiza o como para as pessoas internas que s o as detentoras do sistema de informa o e por isso as mais dif ceis de controlar pois existem reas consideradas sens veis nomeadamente a sala de servidores que n o podem ser acedidos de igual modo para todos os colaboradores da organiza o Para Mamede
88. mas e procedimentos estabelecidos na pol tica de seguran a est o sendo aplicadas no dia a dia da organiza o Sendo assim a auditoria permite a uma organiza o clarificar o que est na base das vulnerabilidades e ajuda na tomada de ac es que permitem colmatar as mesmas Ou ali s conforme afirma Mamede 2006 416 a auditoria faz parte integrante do processo de seguran a na organiza o na medida em que permite avaliar a implementa o da pol tica de seguran a e identificar lacunas e omiss es na mesma permitindo a introdu o de altera es e ajustes na mesma A auditoria inform tica segundo Carneiro 2004 17 apresenta os seguintes objectivos e inventariar e avaliar os meios f sicos e as tecnologias adequadas recolha e processamento dos dados necess rios obten o das informa es necess rias e examinar a exist ncia de controlos apropriados e avaliar a sua efic cia e concluir sobre a qualidade e a utilidade da informa o obtida e garantir a montagem e adequa o de procedimentos e sistemas de controlo que assegurem a seguran a do SI na sua rela o directa com os materiais inform ticos hardware e software Contudo a concretiza o destes objectivos exige n o s a defini o de metodologias e t cnicas espec ficas mas preciso tamb m que o auditor disponha tanto de conhecimentos t cnicos como de algumas aptid es como destaca este mesmo autor idem a honestidade objectivid
89. mento em seguran a l gica cair por terra Paralelamente aos recursos f sicos e l gicos est o os recursos humanos factor de extrema import ncia na garantia da seguran a inform tica pois s o eles que interagem directamente com os recursos das TI e que por isso t m que estar sensibilizados e ter forma o adequada para lidar com quest es de seguran a A verdade que n o se pode dizer que nenhum dos n veis de seguran a mais importante de que outro pois todos t m a sua import ncia e devem funcionar de forma integrada As normas e regras que especificam como a seguran a deve ser garantida nos tr s aspectos supracitados bem como as san es no caso do incumprimento de tais normas e regras devem constar num documento formal pol tica de seguran a Este documento deve ser de conhecimento geral e estar escrita de forma clara e concisa Perante situa es de acidentes desastres naturais ou falhas t cnicas e como forma de minimizar os impactos dos danos que podem afectar uma organiza o importante uma atitude pr activa ou seja definir um plano de seguran a conting ncia reposi o recupera o dispor da exist ncia de mecanismos que assegurem a sobreviv ncia das organiza es face a tais situa es 48 99 Seguran a Inform tica Cap tulo 2 Auditoria Inform tica 1 Enquadramento Como viu se no cap tulo anterior a seguran a inform tica deve ser vista como um processo devido so
90. na pr tica isto n o uma realidade pelo que 75 das escolas afirmam que as regras para a utiliza o segura de password n o s o tidas em considera o no dia a dia dos utilizadores como se pode constatar no gr fico que se segue 71199 Seguran a Inform tica E N o Sim Gr fico 14 Utiliza o segura de password Quis se tamb m saber sobre a utiliza o dos equipamentos ao que constatou se que em nenhuma das escolas existe a preocupa o de sensibilizar os utilizadores para uma utiliza o segura dos equipamentos Um outro aspecto que verificou se relacionado com a seguran a dos recursos humanos tem a ver com a contrata o e sa da de recursos humanos da organiza o No que diz respeito a seguran a referente ao recrutamento e sa da de colaboradores da organiza o as informa es recolhidas mostram que nenhuma das escolas especifica os requisitos para o recrutamento de novos colaboradores Quanto a seguran a quando um colaborador abandona a organiza o apenas 25 das escolas afirmam que s o cessadas todas as permiss es quando um colaborador abandona a organiza o Particularmente para fun es sens veis faz se necess rio que o processo de seguran a come a desde o momento de recrutamento de um novo colaborador fazendo o seu enquadramento atrav s da divulga o das regras de seguran a existentes e cessando as suas permiss es quando este abandona a organiza o
91. naturas digitais certificados digitais redes locais virtuais redes privadas virtuais os quais passa se a fazer refer ncia 5 1 Autentica o e controlo de acesso P Silva et al 2003 80 afirmam que a autentica o e o controlo de acesso s o quem assegura que n s somos quem dizemos ser e que nos permite aceder quilo a que temos direito quer a n vel da infra estrutura redes de comunica es quer a n vel aplicacional atrav s do fornecimento de credenciais do nosso conhecimento exclusivo A autentica o neste caso garante que apenas os utilizadores autorizados tenham acesso aos recursos disponibilizados o que constitui portanto a base para o controlo de acesso aos recursos Os controlos de acesso l gico t m por objectivo segundo Mamede 2006 70 limitar o acesso a dispositivos como por exemplo impressoras bem como a outros recursos e servi os como sejam informa o aplica es e sistema e ainda funcionalidades diversas Por sua vez Monteiro e Boavida 2000 328 afirmam que as fun es de autentica o estabelecem a identidade de utilizadores e ou sistemas tendo em vista a determina o das ac es permitidas Atrav s da identifica o do utilizador se possibilita o processo de autentica o onde se verifica se o utilizador realmente quem se diz ser ou seja a autentica o permite verificar a identidade de um utilizador A identidade de um utilizador e a sua autentica o
92. nciona transferindo uma c pia de cada pacote de dados aceite de uma rede para outra mascarando desta forma a origem dos dados Deixa de haver a comunica o directa entre cliente e o servidor externo pois o servidor proxy vai actuar como Spoofing a t cnica de se fazer passar por outro computador da rede para conseguir acesso a um sistema Neto e Solonca 2007 27 99 Seguran a Inform tica o intermedi rio entre o cliente e o servidor garantindo maior seguran a na rede interna Quando o proxy recebe os pedidos do exterior analisa os de acordo com as condi es estabelecidas reencaminha o pedido ou nega o tr fego o mesmo acontece quando o pedido tem origem no interior da rede o firewall faz a intercep o da informa o e inspecciona os podendo ser reencaminhados ou n o Se por um lado este tipo de firewall apresenta como limita o a exig ncia de uma maior complexidade de configura o e manuten o pois requer um proxy espec fico para cada aplica o por outro tem v rios pontos fortes tais como actua como reposit rio tempor rio de informa o podendo registar todo o tr fego seja ele de origem interna ou externa todos os dados pedidos s o armazenados no pr prio proxy o que traduz num melhor desempenho uma resposta mais r pida no acesso a internet n o existe o contacto directo entre o servidor remoto com qualquer outro dispositivo dentro da rede interna funciona na camada da apli
93. nder a integridade permite evitar a modifica o de mensagens por utilizadores sem permiss o para tal ou seja garante que um documento aut ntico n o foi alterado acidental ou intencionalmente P Silva et al 2003 afirmam que qualquer que seja a modifica o ou erro que ocorra sobre os dados originais a mensagem deixa de ser ntegra podendo comprometer um enorme volume de dados acarretando elevados preju zos 3 4 Controlo de acesso 2 O controlo de acesso um outro objectivo de seguran a inform tica e garante que aos recursos de um sistema s sejam acedidos apenas por utilizadores com autoriza o para o fazer Mais detalhes sobre este aspecto ser o descritos noutros pontos deste cap tulo 3 5 Disponibilidade Monteiro e Boavida 2000 312 defendem que os aspectos de disponibilidade garantem que mesmo ap s a ocorr ncia de ataques a uma dada rede ou sistema inform tico os recursos chave ficam dispon veis para os utilizadores A disponibilidade neste caso refere se continuidade de servi os para tal h que criar sistemas que garantem a redund ncia de servi os De nada vale ter a informa o necess ria mas n o a ter dispon vel no momento por isso dever haver um equil brio entre a necessidade de acesso e as medidas utilizadas na protec o de acesso s informa es 19 99 Seguran a Inform tica Diante da grande quantidade de amea as a que um sistema inform tico est sujeit
94. o deve existir uma preocupa o no sentido de garantir as principais propriedades de seguran a acima citadas Quando se pretende proteger um conjunto de dados informa es h que se levar em conta a seguran a considerando tr s aspectos seguran a f sica seguran a l gica e seguran a de recursos humanos os quais de seguida passa se a desenvolver 4 Seguran a f sica Steinke 2002 citado por Mamede 2006 259 afirma que a seguran a f sica pode ser definida como o conjunto de medidas que podem ser tomadas para garantir a seguran a e exist ncia de algo ou algu m contra roubo espionagem sabotagem ou qualquer dano Como o pr prio nome indica essas medidas t m por objectivo garantir a seguran a dos recursos a n vel f sico O mesmo autor idem ibidem acrescenta que o principal papel da seguran a f sica manter as pessoas n o autorizadas ou n o desejadas fora das instala es e do acesso a bens da organiza o e garantir o comportamento dos colaboradores como especificado nas regras O mesmo dizer que se devem criar os mecanismos de seguran a que impe am por um lado as pessoas n o autorizadas ter acesso a instala es e por outro criar restri es de acesso dentro da organiza o a locais onde est o alojados equipamentos que contenham informa es cr ticas para a organiza o Quando se fala em proteger os recursos a n vel f sico deve se levar em conta v rios tipos de amea as que d
95. o com P Silva et al 2003 129 este teste tem como objectivo detectar o grau de vulnerabilidade da organiza o a ataques sociais S o testes realizados com simples tentativas de recolha de informa o pessoalmente ou por telefone fazendo passar por terceiros para ver at que ponto os utilizadores dos recursos das TI est o sensibilizados para aspectos de seguran a Faz sentido neste particular considerar situa es como a deficiente qualifica o omiss es e descuidos dos recursos humanos apontadas por Carneiro 2009 como aspectos a serem analisados numa auditoria Assim torna se necess rio ao auditor verificar se est o estipulados nas pol ticas de seguran a da organiza o programas de sensibiliza o e 58 99 Seguran a Inform tica forma o e se os mesmos est o sendo realizados estimulando atitudes t cnicas e de responsabilidade individual Mamede 2006 refere necessidade da auditoria aos administradores dos sistemas pois muitas vezes por existir muita concentra o de fun es esta sobrecarga pode levar ao incumprimento de algumas fun es referentes a pr ticas de seguran a da organiza o Conv m neste caso segundo este autor idem 429 verificar pontos como por exemplo cria o de novas contas de acesso altera o de privil gios de acesso e de palavras passe verificar as pol ticas de gest o de palavras passe fracas e por todas as que n o est o em conformidade com o e
96. oint to Point Tunnelling Protocol RSA Rivest Shamir Adleman RAID Redundant Array of Independent Disck TCP Transmission Control Protocol TI Tecnologias de Informa o TIC Tecnologias de Informa o e Comunica o UDP User Datagram Protocol UPS Uninterruptible Power Supply URL Uniform Resource Locator VLAN Virtual Local Area Network VPN Virtual Private Network 10 99 Seguran a Inform tica Introdu o 1 1 Enquadramento A seguran a uma necessidade de qualquer ser humano ou seja o homem como um ser dependente que por natureza para se sobreviver necessita de v rios cuidados entre eles est a seguran a protec o Transportando isso para o mundo das tecnologias pode se dizer que todo o recurso informa o possui o seu valor e por isso precisa ser protegido contra os diferentes tipos de ataques A preocupa o com a seguran a inform tica n o recente segundo Mamede 2006 ela existiu desde o in cio da utiliza o de meios autom ticos para o tratamento e armazenamento da informa o sendo essa seguran a inicialmente relacionada apenas com quest es de disponibilidade e protec o do meio ambiente Silva 2005 vai mais longe e fala de escritos codificados em tempos em que ainda se escreviam em pedras de argila mais tarde durante a segunda guerra mundial utilizaram algoritmos de codifica o para evitar que informa es confidenciais fossem lidas por inimigos
97. ores pessoais como extens es de servidores e de rede da empresa e por isso se estes apresentam vulnerabilidades tamb m os servidores e rede da organiza o podem estar vulner veis O mesmo autor aponta alguns aspectos que dever o ser verificados neste tipo de auditoria tais como se a ferramenta antiv rus est instalada e actualizada se existe um modem ou qualquer outra forma de acesso externo ligado ao sistema se a utiliza o de password no computador pessoal est de acordo com a pol tica de password da organiza o se o disco r gido do computador cont m informa o sens vel que deva estar armazenada num servidor seguro se no computador est o instaladas ferramentas ou aplica es n o autorizadas se existem condi es de transportar o mesmo para fora das instala es em seguran a 5 3 Auditoria em seguran a dos recursos humanos Segundo a norma ISO IEC 17799 o objectivo da seguran a de recursos humanos reduzir riscos de erros humanos roubos fraudes ou uso indevido das facilidades Importa nesse sentido referir que a auditoria de recursos humanos numa organiza o vem no sentido de garantir estes objectivos cabendo ao auditor fazer um levantamento exaustivo dos requisitos da seguran a de recursos humanos e verificar se estes est o sendo aplicados Um dos aspectos a verificar na auditoria em seguran a dos recursos humanos a possibilidade de ocorr ncia de ataques tais como a engenharia social De acord
98. os a actualiza es Para a totalidade das institui es em estudo existe um sistema antiv rus actualizado mas em nenhuma dessas este sistema antiv rus centralizado A exist ncia de um software antiv rus actualizado para prevenir a entrada de v rus no ambiente computacional constitui um aspecto positivo a ressaltar se levar em considera o que a propaga o de v rus constitui sem d vida uma das grandes amea as a um sistema inform tico Entretanto para al m de actualizado se este sistema for tamb m centralizado permitir um melhor controlo podendo a actualiza o ser feita de forma autom tica a partir de um ponto nico Apenas 12 das escolas afirmam que realizam c pias de seguran a segundo consta no gr fico que se segue contudo n o existem especifica es expl citas para o efeito ou seja n o existe nenhuma especifica o formal sobre o que que deve ser copiado quando e quem deve realizar essas c pias De referir que ter um sistema de backup funcional e completo de toda a informa o da organiza o seria a medida mais adequada mas devido as exig ncias e aos custos que este acarreta nesse caso aquelas escolas em que os recursos n o permitem poderiam optar por uma c pia de seguran a parcial Por outras palavras seria aconselh vel 74 99 Seguran a Inform tica que adoptassem procedimentos simples nomeadamente seleccionar a informa o necess ria para efeito de c pias de seguran a
99. os cabe alhos IP TCP UDP ICMP dos pacotes individuais dos diferentes protocolos para permitirem ou negarem o tr fego Nesse caso a decis o sobre o reencaminhamento ou n o de um pacote baseada nas informa es encontradas nas camadas de rede respons vel pelo endere amento de pacotes de rede e transporte respons vel pela movimenta o dos dados do modelo OSI modelo de arquitectura de sistemas de comunica o que serve de base para implementa o de qualquer rede Estas informa es incluem o endere o IP origem e destino a porta origem e destino e o protocolo A lista de controlo de acesso ACL constitui a base de dados do sistema de firewall onde residem as regras ou os filtros com base nos quais s o analisados os pacotes De acordo com o mesmo autor idem este tipo de firewall apresenta alguns inconvenientes limita se apenas a filtragem do cabe alho dos pacotes sem contudo inspeccionar o conte do dos mesmos acesso directo do sistema externo a qualquer sistema interno possibilitando aos 5 5 o atacantes o acesso a diferentes portas vulner vel a ataques como o Spoofing Em contrapartida apresenta principais vantagens o baixo custo n o necess rio equipamento adicional normalmente baseado em routers rapidez flexibilidade e transpar ncia etc 5 2 2 Ponte aplicacional Tamb m designado por proxy server application gateway este tipo de firewall de acordo com Mamede 2006 279 fu
100. os nei UN E R EA ES 19 3 5 Disponibilidade esenhar a a A A E RESETA ERS 19 4 Seg ran a fisica soere aA o e E E a Ea E Sad PRA 20 4 1 Localiza o geogr fica das instala es s sima ST a 21 4 2 Controlo dE Aces Onrar ae TA SE R ES SOSEN E aa 22 4 3 Seguran a do equipamento ssssseesseesseesseesseetestetssetsstessetestessseesseesseesseeesseeesseesseesse 22 5 Seguran a J BICA sccis re a E R E EE a TE e a aa a Aa Sane 24 5 1 Autentica o e controlo de acesso sd as ais quis qu TN a SU SGA 24 32 Firewall a a e E E a E E 26 5 2 1 Filtto de pacotes est ticas sacia os puma seneascuassisrtrsg atesta daisda i 27 5 2 2 Ponte aplcacion l a age ea E ER O R R 27 D23 FIt decires a e a E E a 28 5 3 Baoe lE O e E SN EET 28 5 4 CADUVIT S OR RR RIR RR s RR e A a es RR RE eso a i 30 5 5 Filtragem d conte dos scesunicsrnsinnsian a i R R a si 31 5 6 TOTO ea ti i k EE E A EEE E T a 32 5 0 1 gt Criptografia sine iniCas s o nan en E a A EN 32 5 6 2 Criptografia assim trica ssessessesesseeesstesseesseesseeesssetsseessresseesseesseeesseeso 33 5 7 Assinatura disita roa e rte i ee das Bd Cee gS aa 34 5 8 Ceruncados disita dada Rd a A A 35 KI VAO esa Ee a a E a O oa a 36 5 10 VEN ou redes privadas VIRAIS usos egaieso om eira algas Ga qa Sa q 37 6 Seguran a dos recursos humanos usa sisatiisasentaraes daenisa fas iinaaasalna ro iaa atm as data nebesa Teve a 39 6 1 Recrutamento ca DS EI ER a aa O 39 02 Dormacao sSensIDI
101. ossuem 4 ou mais UPS O n mero de t cnicos especializados na 67 99 Seguran a Inform tica rea das TIC varia de 1 a 3 e apenas algumas fun es das escolas s o suportadas pelas TIC enquanto que todas as escolas j disp em de liga o a internet A infra estrutura das TIC est relacionada com v rios factores nomeadamente a dimens o das escolas algumas com apenas uma sala de inform tica as actividades que s o suportadas pelas TIC pois o que podemos verificar que muita informa o ainda encontra se em formato anal gico e muitas fun es n o passam pelas TIC pois muitas das escolas ainda n o disp em de meios para o fazer Um aspecto positivo a ser ressaltado a disponibiliza o da internet em todas as escolas o que reveste num ganho significativo n o s para professores e alunos como uma poderosa ferramenta para pesquisas e estudo devido ao seu volume de informa o dispon vel e facilidade de acesso possibilitando a constru o do conhecimento mas tamb m para a escola de um forma geral pela por disponibilizar a informa o a qualquer momento permitindo o contacto a dist ncia com o mundo 4 Apresenta o dos resultados e a sua respectiva discuss o e an lise Como se pode constatar no anexo a checklist encontra se dividida nas seguintes partes seguran a f sica l gica de recursos humanos pol tica e plano de seguran a estrutura essa que permitiria conhecer a realidade da seguran a info
102. qualquer entidade criar valor mas para isso est sujeito a riscos porque existem as incertezas A gest o de risco capacita uma organiza o a estar preparada para as incertezas 6 3 ISO ISO IEC 17799 tamb m denominado de C digo de Boas Pr ticas para a Gest o da Seguran a da Informa o segundo P Silva et al 2003 definem por um padr o internacional dedicado seguran a da informa o constitu do por um conjunto de 62 99 Seguran a Inform tica orienta es que visam contribuir para a defini o e manuten o de um determinado n vel de seguran a das organiza es dos seus colaboradores instala es e sistemas de informa o Ferreira et al 2001 defendem que o ISO IEC 17799 tem como objectivo permitir que organiza es que cumprem a norma demonstrem publicamente que podem resguardar princ pios tais como a confidencialidade integridade a disponibilidade das informa es de seus clientes Isto acontece atrav s do estabelecimento de c digos de boas pr ticas para a gest o da seguran a da informa o e da disponibiliza o de instrumentos para a implementa o de seguran a da informa o de acordo com caracter sticas de cada empresa Para a concretiza o dos processos de gest o de seguran a da informa o esta norma internacional segundo P Silva et al 2003 encontra se organizada em dez cap tulos com o objectivo de abarcar os diferentes t picos ou reas de seguran a e Pol
103. que ficava guardada num disco externo por exemplo ou outro local seguro E N o ESim Gr fico 10 Realiza o das c pias de seguran a Quanto a seguran a da rede inform tica metade das escolas afirma que ainda n o disp e de uma pol tica de seguran a de rede inform tica e os equipamentos da rede ainda n o est o devidamente identificados com o nome endere o localiza o e utilizador de cada equipamento Isso importante porque por exemplo quando existe um computador na rede com algum v rus ou se algum utilizador est a praticar algum acto il cito os mecanismos de controlo permitem identificar exactamente qual o computador e onde est localizado 75 99 Seguran a Inform tica E N o E Sim Gr fico 11 Existe uma pol tica de seguran a de controlo de acesso a rede Quanto a utiliza o da internet a totalidade das escolas afirma ter liga o internet ao seu sistema inform tico mas ao mesmo tempo a maioria delas 75 afirma que ainda n o t m definido os requisitos de seguran a para a utiliza o da mesma Se considerar a internet a principal porta para entrada de v rus ou outros softwares maliciosos num sistema esta deveria ser uma quest o a ter em conta nas melhorias a serem implementadas Os dados mostram ainda que 63 das escolas ainda n o disp em de um firewall ou um servidor proxy para ditar as permiss es e restri es na utiliza o da internet nomea
104. r definidos e actividades de controlo s o as actividades que t m por objectivo a redu o de riscos quando executadas de forma adequada e comunica o e informa o a comunica o podendo ser formal ou informal constitui o fluxo de informa o dentro da organiza o e monitoriza o a parte da avalia o e supervis o dos controlos no fim de cada um desses cinco sub processos deve se proceder a uma avalia o dos mesmos Segundo Rego et al s d o modelo COSO apresenta a grande vantagem de oferecer uma solu o ideal para o processo de gest o de riscos das organiza es j que este baseia na gest o de risco Este modelo ultrapassa o enfoque tradicional que baseava na avalia o abrangente dos controlos e assenta numa auditoria baseada em riscos Uma auditoria centrada em risco mais eficaz que auditoria centrada apenas nos controlos pois o auditor nesse caso pode direccionar o seu trabalho directamente para reas de maior risco em vez de identificar os controlos A finalidade da auditoria baseada em riscos o de antecipar e prevenir os riscos ou seja h todo um processo de levantamento da informa o que permite o auditor identificar os riscos e as formas de mitigar tais riscos De acordo com Pedro 2005 a gest o de risco empresarial permite aos gestores lidar eficazmente com a incerteza e risco associado melhorando a capacidade de criar valor No entendimento de COSO o objectivo de
105. r ncia do incidente e a reposi o total da situa o inicial e minimizar os danos e preju zos financeiros e estabelecer ac es que permitam a reposi o total dos recursos das TI bem como o normal funcionamento de todas as suas actividades Diante da grande variedade de amea as que uma organiza o est sujeita imposs vel evitar todas as formas de ataque contudo o documento de conting ncia uma medida preventiva que permite limitar as consequ ncias dos danos que podem surgir N o existe assim um nico plano de conting ncia mas v rios planos interm dios para dar resposta a diferentes situa es de sinistro Assim sendo os planos de recupera o e de reposi o constituem os sub planos do plano de conting ncia Em situa es extremas pode se recorrer a instala es alternativas que de acordo com Sim es 2004 podem ser cold centers sala de computadores com infra estruturas b sicas worms centers sala com sistemas inform ticos e outros equipamentos para situa es de emerg ncia hot centers centro de processamento alternativo j operacional O plano de reposi o um documento que descreve as normas para repor o normal funcionamento da organiza o em situa es de alguma avaria ou interrup o Para Ferreira e Alves 1995 o plano de reposi o pode aplicar se em caso de ocorr ncias de incidentes dos seguintes tipos e avarias no equipamento e avarias de climatiza o ou de ener
106. ran a Inform tica Fegundes 2004 afirma que o CobiT est orientado para auxiliar tr s audi ncias distintas e Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma organiza o e Usu rios que precisam ter garantias de que os servi os de TI que dependem os seus produtos e servi os para os clientes internos e externos est o sendo bem gerenciados e Auditores que podem se apoiar nas recomenda es do CobiT para avaliar o n vel da gest o de TI e aconselhar o controle interno da organiza o Apesar destas tr s audi ncias encontrarem se interligadas sobre este ltimo que em particular interessa aqui referir ou seja o que se pretende referir ao CobiT como um padr o das melhores pr ticas para a realiza o de auditorias constituindo assim numa ferramenta importante para auxiliar uma organiza o na gest o controlada das suas TI A vis o deste modelo segundo Pedro 2005 sustenta que a sobreviv ncia das organiza es depende da gest o efectiva da informa o e da tecnologia Gest o essa que conforme afirma o mesmo autor est associada a quatro problemas o aumento da depend ncia das organiza es relativamente s TIC o aumento das vulnerabilidades e amea as a que as organiza es que lidam com as TIC est o sujeitas escala de custos com o SI Sistemas de Informa o ou seja os investimentos cada vez maiores que as organiza es de diferentes sectores
107. rganiza o contudo Medeiros 2001 defende que existem pontos comuns para todas as organiza es nomeadamente fazer uso da informa o como um bem da empresa definir claramente as responsabilidades de seguran a na organiza o definir as medidas disciplinares caso a pol tica n o seja cumprida n o p r em causa a privacidade do utilizador definir o controlo de acesso especificar as condutas em situa es de conting ncia Carneiro 2002 defende que a pol tica deve ser definida de forma clara precisa e concisa de modo que todos os seus destinat rios possam entender esta pol tica deve ser divulgada atrav s de um programa de sensibiliza o de modo que seja de conhecimento geral Para al m disso a pol tica de seguran a deve ser definida tendo em conta os objectivos da 43 99 Seguran a Inform tica empresa e deve ser poss vel de ser posta em pr tica tudo isso no sentido de possibilitar um grau de envolvimento e comprometimento maior por parte dos colaboradores 7 2 Planos de seguran a Mesmo com os melhores mecanismos de seguran a implementados a organiza o pode estar sujeita a amea as ou riscos que podem ter fontes diversificados da adv m a necessidade de planos que especificam os procedimentos que garantem o funcionamento das actividade cr ticas e a continuidade de servi o face a ocorr ncias anormais bem como as prioridades em caso de qualquer acidente ou desastre Definir planos de seguran
108. rio a exist ncia de um rbitro que desempenha o papel central de todo o processo e partilha com cada utilizador uma chave secreta O emissor cifra a mensagem com a chave que partilha com o rbitro e envia o Este decifra a mensagem e cifra novamente com a chave que partilha com o receptor e envia ao receptor juntamente com o certificado de validade Este ao receber a 34 99 Seguran a Inform tica mensagem decifra a com a chave que partilha com o rbitro podendo ver em anexo o certificado de validade Como se pode ver nesse tipo de assinatura digital o rbitro tem de ser uma pessoa de confian a para ambas as partes para n o comprometer todo o processo A assinatura digital com base na criptografia assim trica de acordo com Mamede idem funciona da seguinte forma e a mensagem a ser enviada cifrada com a chave p blica do receptor e simultaneamente a mensagem passada pela fun o de hash comprime grandes quantidades de informa o numa sequ ncia de bits protegendo a autenticidade de mensagens e cifrada com a chave privada do emissor e obt m se a assinatura digital que anexada mensagem e de seguida enviada ao receptor e este por sua vez decifra a mensagem com a sua chave privada e depois determina o hash da mensagem e a assinatura digital decifrada com a chave p blica do emissor e obt m o hash que foi determinado antes do envio e o receptor faz a compara o entre o hash da assinat
109. rm tica das escolas secund rias da cidade da Praia pelo que passa se de seguida a apresentar e analisar os resultados das informa es recolhidas 4 1 Seguran a f sica O primeiro ponto que questionou se foi o controlo de acesso f sico Assim come ou se por verificar se as escolas disp em de mecanismos de controlo de acesso f sico e ficou se a saber que a totalidade delas possuem como mecanismo de controlo de acesso f sico guardas nas entradas Igualmente como mecanismo de controlo de acesso dentro da organiza o mais precisamente em locais onde est o instalados os equipamentos cr ticos todas as escolas afirmam que s o utilizadas apenas fechaduras nas portas para impedir o acesso a pessoas 68 99 Seguran a Inform tica n o autorizadas Um aspecto que se verificou em quase todas as escolas que as salas de inform tica tem portas gradeadas refor ando assim a seguran a f sica Contudo o controlo de acesso f sico n o pode resumir se apenas a guardas nas portas mas apesar dos poucos recursos de muitas das escolas nunca demais refor ar a seguran a com outros requisitos para aquelas escolas cujas condi es lhe permitem podendo optar por medidas adicionais para garantir o controlo de acesso tais como c maras de v deo vigil ncia leitor de cart es magn ticos etc O que se pode dizer a esse respeito que entrada da organiza o o guarda dever estar a tempo inteiro e exigindo identifica
110. ros ficam corrompidos ou n o se comportam como o esperado e alguns ficheiros ou programa desaparecem e ficheiros ou programas desconhecidos aparecem no sistema e mensagens estranhas aparecem no ecr entre outros As solu es de antiv rus podem ser baseadas em assinatura ou em comportamentos A assinatura segundo P Silva et al 2003 98 um excerto de c digo bin rio nico de um v rus que permite a identifica o do v rus em quest o por um simples processo de compara o Assinatura procura caracter sticas bin rias identificativas de c digo malicioso Por seu lado o comportamento para os mesmos autores idem 99 inspira se na detec o de intrus es e promete um n vel superior de efic cia na detec o e conten o de infec es 30 99 Seguran a Inform tica A actualiza o igualmente um aspecto fundamental independentemente das TI que se est a utilizar o sistema antiv rus deve estar configurado para fazer actualiza o autom tica Normalmente os fornecedores de antiv rus disp em de sites que permitem fazer a actualiza o dos mesmos P Silva et al 2003 afirmam que existem solu es centralizadas para realizar autom tica e permanentemente a actualiza o e a dissemina o dessas mesmas actualiza es por todos os sistemas que se pretende proteger a partir de um ponto nico Mamede 2006 61 acrescenta ainda que o sistema antiv rus dever estar instalado em cada serv
111. s equipamentos devem estar protegidos dos perigos ambientais e das oportunidades de acesso n o autorizadas Para isso estes autores destacam os seguintes tipos de protec o protec o global dos edif cios e dos locais a arquitectura a estrutura os materiais de constru o dos locais onde est o implantados os equipamentos devem ser pensados levando em conta a garantia de seguran a protec o global do meio envolvente estabelecer medidas de protec o contra polui o qu mica e radia es electromagn ticas protec o contra intrus es f sicas externas medidas de controlos de acesso f sico protec o contra inc ndio equipamentos inform ticos devem estar localizados em locais distantes de combust veis e inflam veis tamb m devem ser instalados e vistoriados regularmente equipamentos como detectores de calor e de fumo alarmes contra inc ndios extintores de inc ndios e devem existir sa das de emerg ncia protec o contra inunda es protec o da instala o el ctrica dispor os equipamentos cr ticos de sistemas UPS protec o do n vel de climatiza o a temperatura n o deve ultrapassar os 18 C e a humidade n o deve estar acima de 65 medidas anti intrus o alarmes sistemas de v deo vigil ncia protec o contra intrus es f sicas internas controlo da circula o das pessoas veda o e blindagem dos compartimentos recursos b sicos como os bastidores devem ser localizados
112. s resultados pretendidos O que pode se constatar que se por um lado conseguiu se inteirar dos conceitos e das t cnicas de seguran a e auditoria inform tica por outro conseguiu se fazer a ponte entre a teoria e a pr tica verificando a aplicabilidade desses conceitos e t cnicas nas escolas que foram o objecto de estudo Essas conclus es permitem com efeito afirmar que urge uma mudan a de mentalidades em que as tecnologias de informa o e comunica o passam a ser vistos como recursos estrat gicos e cr ticos pois cada vez mais a sobreviv ncia das organiza es depende delas mas para isso fundamental garantir a protec o seguran a das mesmas Face a complexidade das organiza es e do aperfei oamento cada vez maior das formas de ataque a um sistema inform tico garantir a seguran a n o tarefa f cil Para verificar se existem pr ticas de seguran a adequadas e se os procedimentos adoptados est o em conformidade com a pol tica de seguran a s o feitas periodicamente avalia es com recurso a auditoria de seguran a Esta deve ser um recurso complementar no processo 92 99 Seguran a Inform tica de seguran a e apesar de ser uma pr tica adoptada na sua grande parte apenas por grandes organiza es ela poder ser tamb m praticada por organiza es de qualquer dimens o pois desta forma estando a informa o protegida ela pode ser utilizada como uma vantagem estrat gica agregando valor
113. seguran a da organiza o ou acede a dados dos outros sem autoriza o entre outros Regras para funcion rios e Todo o funcion rio deve ter uma conta particular de acesso aos recursos da rede e demais recursos com as respectivas permiss es e restri es previamente definidas e A desactiva o das contas acontece em casos de n o utiliza o por um per odo de mais de um m s para os funcion rios e Cada funcion rio deve ter no servidor uma pasta onde guarda seus arquivos que devem ser sujeitos a poss veis c pias de seguran a Regras para alunos e Todo o aluno ap s a efectiva o da sua matr cula deve ter uma conta particular de acesso aos recursos a que est autorizado e lhe ser atribu do uma password que pode ser alterada desde que este respeite as regras da cria o da password estipuladas pela organiza o e A desactiva o das contas acontece em casos de n o utiliza o por um per odo de mais de um trimestre 6 1 4 5 Pol tica de utiliza o da internet Regras gerais e Os servidores devem possuir mecanismos de protec o contra v rus e c digos maliciosos e Deve se evitar executar ou abrir e mail com arquivos anexados enviados por remetentes desconhecidos ou suspeitos que de alguma forma pode perturbar o normal funcionamento das actividades da organiza o 87 99 Seguran a Inform tica 6 1 4 6 Regras N o permitido o acesso a sites com conte do pornogr
114. stabelecido na pol tica de seguran a Um outro ponto tamb m importante a ser considerado nesta auditoria para Carneiro 2009 a exist ncia de segrega o de fun es para impedir que perante a pr tica de uma fraude por parte de um colaborador n o lhe seja poss vel ocult la Este autor idem 59 afirma que a aus ncia ou inadequa o da segrega o de fun es aumenta o risco da ocorr ncia de transac es err neas de altera es impr prias e de danos em recursos computacionais 6 Alguns padr es internacionais de auditoria inform tica 6 1 CobiT ISACA define CobiT como um conjunto de ferramentas de apoio que permite aos gestores definir uma pol tica com base nas boas pr ticas para controlo de TI por outras palavras ajuda a controlar e compreender benef cios e reduzir os riscos associados a utiliza o das TI aceite internacionalmente como guia de boas pr ticas ou seja um modelo de refer ncia para melhorar o controlo da utiliza o das TI numa organiza o e ajuda na atenua o dos riscos correspondentes Pedro 2005 compartilha da mesma ideia e afirma que o Cobit um modelo orientado para a gest o das tecnologias de informa o Partindo desses dois conceitos podemos pois afirmar que o CobiT oferece um conjunto de processos baseado nas melhores pr ticas que se destina a apoiar tanto os gestores TI assim como para os auditores de um Sistema de Informa o 59 99 Segu
115. studo recorreu se a uma metodologia baseada por um lado na pesquisa qualitativa e por outro numa abordagem quantitativa No quadro da pesquisa qualitativa utilizou se a pesquisa bibliogr fica que serviu de suporte para debru ar sobre os aspectos da seguran a e auditoria inform tica que constituem a base deste trabalho A seguran a inform tica pode ser resumida num conjunto de medidas que possibilita a um sistema inform tico garantir os princ pios de autenticidade disponibilidade integridade e disponibilidade Por seu lado a auditoria permite verificar se tais medidas s o pr ticas de seguran a no sistema inform tico e se as mesmas est o em conformidade com as regras e procedimentos existentes na pol tica de seguran a de uma organiza o Na abordagem quantitativa onde foi realizada parte pr tica os resultados indicam que nenhuma das escolas em estudo disp em de uma pol tica de seguran a Foi nesse sentido que sugeriu se como proposta de melhoramento a cria o de um documento formal que especifica as regras normas e princ pios de seguran a inform tica bem como as respectivas san es ou seja uma pol tica de seguran a para as escolas secund rias da cidade da Praia Agradecimentos Este trabalho foi concretizado gra as colabora o de v rias pessoas que directa ou indirectamente deram algum contributo para que tal acontecesse por isso manifesta se gratid o a todas essas pessoas mas considera se p
116. sultados obtidos 51 99 Seguran a Inform tica O contacto telef nico utilizado quando se pretende abranger um grande n mero de pessoas num curto espa o de tempo deve variar entre 30 a 15 minutos sendo o ideal de apenas 15 minutos Nas entrevistas de contacto directo se pode beneficiar de aspectos importantes para estabelecimento do ambiente prop cio para trocas de informa o aspectos esses que n o est o presentes nos dois tipos de entrevista acima citados como a observa o do entrevistador das reac es n o verbais do entrevistado e o calor humano Neste ltimo caso o entrevistador dever ter habilidade de criar um clima de confian a e coopera o mutua atrav s de um contacto amistoso com o auditado As entrevistas devem ser previamente preparadas e o auditor n o deve influenciar o sentido das respostas pois esta constitui a forma de complementar a informa o fornecida na aplica o dos question rios e por isso um dos momentos em que o auditor obt m informa o relevante para o seu processo de an lise 3 3 Checklist De acordo com Carneiro 2004 as Checklist s o conversas informais ou conjunto de perguntas de formula o flex vel que conduzem o auditor a respostas coerentes que permitem uma correcta descri o dos pontos fracos e fortes Igualmente como as entrevistas as checklists complementam as informa es fornecidas pelos question rios O mesmo autor idem 73 afirma que regra ger
117. te ocorr ncia de vulnerabilidades Algumas medidas de seguran a inform tica j s o realidade nas escolas nomeadamente o controlo de acesso pol tica de actualiza o e sistema antiv rus entretanto muitos outros 91 99 Seguran a Inform tica aspectos considerados importantes ainda est o por definir est se a referir particularmente a defini o de planos e de uma pol tica de seguran a Pode se constatar que ainda n o existem ac es de forma o ou de sensibiliza o dos recursos humanos para quest es de seguran a Nesse particular pode se refor ar que quanto mais capacitados forem os colaboradores para ter uma vis o e postura cr tica perante aspectos de seguran a mais sucesso obter a organiza o na implementa o das suas medidas e pol ticas de seguran a tendo em conta que s o esses que lidam directamente com as tecnologias Dos resultados obtidos do trabalho pr tico sentiu se a necessidade de propor uma pol tica de seguran a Isso justifica se por ter se constatado que em nenhuma das escolas existir esse documento formal e por considerar que tal documento constitui um dos pontos fundamentais e b sicos para se implementar a seguran a em qualquer organiza o O prop sito foi propor um modelo flex vel capaz de adaptar realidade como o ambiente a estrutura os recursos dispon veis de cada uma das escolas No que toca metodologia adoptada pode se afirmar que permitiu chegar ao
118. torizado Existem auditorias internas para averiguar aspectos relevantes tais como a utiliza o de software n o autorizado Os sistemas utilizados s o sujeitos a actualiza es com frequ ncia Existe um sistema antiv rus actualizado e centralizado Realizam regularmente c pias de seguran a Existem especifica es expl citas para o efeito o qu quando como quem Existem pol tica de seguran a de controlo de acesso a rede Os documentos da rede est o devidamente identificados e documentados nome endere o localiza o e usu rio dos computadores Existe algum controlo para proteger a integridade no processamento dos dados Est o definidos os requisitos para a utiliza o da Internet Existe um firewall ou um servidor proxy para ditar as permiss es e restri es conte dos a serem acedidos pela internet S o efectuadas as actualiza es para a lista negra os sites e conte dos 97 99 Seguran a Inform tica que n o podem ser acedidos Existe alguma protec o nas aplica es para impedir o acesso n o autorizado s mesmas Existem programas de forma o sensibiliza o relacionadas com quest es de seguran a Existe treinamento em seguran a alguma campanha de sensibiliza o Existem pol ticas de seguran a definidas para na Controlo de acesso defini o de responsabilidades Existe uma defini o clara
119. ua correcta utiliza o ou seja verificar se o antiv rus est a executar se normalmente se o software antiv rus actualizado regular e automaticamente se todos os servi os desnecess rios est o desactivados se foram aplicadas todas as actualiza es ao sistema operativo Carneiro 2009 187 argumenta que a continuidade das opera es constitui um aspecto importante que se deve considerar numa auditoria de seguran a ou seja para al m de existir o documento sobre o plano de conting ncia o auditor dever certificar de que este plano funciona com as garantias necess rias e com idoneidade t cnica se completo e actualizado se cobre os diferentes processos reas e plataformas Um outro ponto fundamental a ser validado numa auditoria de seguran a segundo o mesmo autor idem a exist ncia de c pias actualizadas dos recursos vitais tais c pias devem situar se em locais seguros e protegidas de acessos indevidos e devem possibilitar a reposi o de sistemas Os computadores pessoais tamb m considerados recursos tecnol gicos da empresa devem ser analisados no decurso de uma auditoria inform tica De acordo com Mamede 2006 426 57 99 Seguran a Inform tica o objectivo de uma auditoria aos computadores pessoais garantir que os controlos de seguran a adequados est o instalados e que as pol ticas definidas para os utilizadores est o em pr tica Este mesmo autor considera os computad
120. ura digital e o hash da mensagem Se esta compara o resultar em valores iguais quer dizer que a mensagem ntegra e aut ntica ou seja n o houve qualquer altera o mensagem durante o processo de transmiss o da mesma A quest o que se pode colocar como obter de forma segura a chave p blica O ponto que de se seguida desenvolve se responde a tal quest o 5 8 Certificados digitais Os certificados digitais permitem ultrapassar o problema existente na assinatura digital ou seja como obter de forma segura a chave p blica de um determinado utilizador Oliveira 2000 408 afirma que o certificado digital o processo de garantir que uma chave p blica pertence efectivamente a uma pessoa ou entidade garantido pela assinatura 35 99 Seguran a Inform tica digital de uma pessoa ou entidade confi vel a Autoridade Certificadora CA Pode se dizer ent o que os certificados digitais s o ficheiros que cont m a chave p blica e as informa es pessoais do seu dono ou seja associa a identidade do utilizador sua chave p blica correspondente e s o assinados digitalmente pela CA M Silva et al 2003 160 define a Autoridade Certificadora como uma entidade que se encarrega de verificar os dados presentes num certificado digital e que o assina confirmando a exactid o dos dados Nesse caso dever ser pessoa empresa ou outra entidade que transmita confian a aos utilizadores para
121. vimento de um modelo voltado para institui es de ensino dispon vel em http www mlaureano org aulas material orientacoes2 ist 2004 francini politicas pdf consultado a 03 08 11 Z quete Andr 2006 Seguran a em redes inform ticas Lisboa Porto Coimbra FCA Editora de Inform tica Lda Z quete Andr 2008 2 Ed Seguran a em redes inform ticas Lisboa FCA Editora de Inform tica Lda 95 99 Seguran a Inform tica A Anexo A 1 Checklist seguran a inform tica das escolas secund rias Este anexo representa a checklist contendo uma s rie de quest es relevantes sobre seguran a e teve como objectivo recolher as informa es necess rias para conhecer e analisar as pr ticas de seguran a inform tica das escolas secund rias da cidade da Praia Esta checklist comp e se de 44 itens sendo alguns desses itens constitu dos por 2 4 sub itens Para uma melhor analise destas quest es sobre a seguran a interrogou se sobre a infra estrutura tecnol gica das escolas representada no ponto seguinte Quest es Descri o Resposta Seguran a F sica Existem mecanismos de controlo de acesso organiza o Existem mecanismos de controlo de acesso dentro da organiza o particularmente nos lugares onde est o os equipamentos cr ticos Est o definidos os requisitos de seguran a para a localiza o dos equipamentos cr ticos calor humidade
Download Pdf Manuals
Related Search