UNIVERSIDADE FEDERAL DO ESTADO DO RIO DE JANEIRO
ESCOLA DE INFORMÁTICA APLICADA
CURSO DE BACHARELADO EM SISTEMAS DE INFORMAÇÃO
Segurança da Informação com Software Livre
Autor
Alexandre Vaz Monteiro
Orientador
Sidney Cunha de Lucena
Setembro / 2011
Segurança da Informação com Software Livre
Projeto de Graduação apresentado a
Escola de Informática Aplicada da
Universidade Federal do Estado do Rio
de Janeiro (UNIRIO) para obtenção do
titulo de Bacharel em Sistemas de
Informação
Autor
Alexandre Vaz Monteiro
Orientador
Sidney Cunha de Lucena
2
Segurança da Informação com Software Livre
Alexandre Vaz Monteiro
Aprovada por:
_________________________________________________
Sidney Cunha de Lucena, D.Sc. – UNIRIO
_________________________________________________
Leila Cristina Vasconcelos de Andrade, D.Sc. – UNIRIO
_________________________________________________
Maximiliano Martins de Faria, M.Sc. – UNIRIO
Rio de Janeiro, RJ – Brasil.
Setembro de 2011
3
Índice Analítico
1
INTRODUÇÃO ............................................................................................................ 9
1.1
1.2
2
OBJETIVO ................................................................................................................ 9
ORGANIZAÇÃO DO DOCUMENTO ........................................................................... 10
SEGURANÇA DA INFORMAÇÃO ......................................................................... 11
2.1
PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO ....................................................... 12
2.1.1 Confidencialidade............................................................................................. 12
2.1.2 Autenticidade (Autenticação) ........................................................................... 13
2.1.3 Integridade ....................................................................................................... 13
2.1.4 Disponibilidade ................................................................................................ 14
2.1.5 Não Repúdio ..................................................................................................... 14
2.1.6 Controle de Acesso ........................................................................................... 14
2.2
AMEAÇAS .............................................................................................................. 15
2.2.1 Tipos de ameaças ............................................................................................. 15
2.2.2 Ataques a Aplicações Clientes .......................................................................... 16
2.2.3 Ataques a serviços de Sistemas Operacionais .................................................. 17
2.2.4 Ataque a Aplicações Web ................................................................................. 18
2.2.5 Ataques a Banco de Dados ............................................................................... 19
2.3
MEDIDAS DE PREVENÇÃO ...................................................................................... 19
2.3.1 Senhas ............................................................................................................... 19
2.3.2 Processos .......................................................................................................... 20
2.3.3 Antivirus e Antispyware .................................................................................... 20
2.3.4 Proteção de portas ........................................................................................... 20
2.3.5 Monitoração ..................................................................................................... 21
2.3.6 Comunicação .................................................................................................... 21
2.3.7 Backup .............................................................................................................. 21
2.4
GERENCIAMENTO DE TECNOLOGIA DA INFORMAÇÃO ............................................ 22
2.4.1 Governança de TI ............................................................................................. 22
2.4.2 Gestão de Serviços ........................................................................................... 25
2.4.3 Política de Segurança da Informação .............................................................. 26
3
PROCESSOS DE SEGURANÇA DA INFORMAÇÃO ......................................... 27
3.1
NORMA ABNT NBR ISO/IEC 27001:2006 .......................................................... 27
3.2
NORMA TÉCNICA ABNT NBR ISO/IEC 27002 .................................................... 28
3.2.1 Objetivo da Norma ........................................................................................... 29
3.2.2 Análise/Avaliação e Tratamento de Riscos ...................................................... 30
3.2.3 Política de Segurança da Informação .............................................................. 30
3.2.4 Organizando a Segurança da Informação ....................................................... 31
3.2.5 Gestão de Ativos ............................................................................................... 31
3.2.6 Segurança em Recursos Humanos ................................................................... 33
3.2.7 Segurança Física e do Ambiente ...................................................................... 34
3.2.8 Gerenciamento das Operações e Comunicações ............................................. 34
4
3.2.9 Controle de Acesso ........................................................................................... 35
3.2.10
Aquisição, desenvolvimento e manutenção de sistemas de informação. ...... 36
3.2.11
Gestão de incidentes na segurança de informação ...................................... 37
3.2.12
Gestão da continuidade do negócio ............................................................. 40
3.2.13
Conformidade ............................................................................................... 41
3.3
MODELO FCAPS ................................................................................................... 42
3.4
PROPOSTA DE PROCESSO DE SEGURANÇA DE INFORMAÇÃO .................................. 43
3.4.1 Levantar requisitos de Tecnologia ................................................................... 43
3.4.2 Levantar Riscos ................................................................................................ 43
3.4.3 Analisar Riscos ................................................................................................. 43
3.4.4 Definir Requisitos de Segurança de Informação .............................................. 44
3.4.5 Definir Controles .............................................................................................. 44
3.4.6 Planejar controles ............................................................................................ 45
3.4.7 Implantar Controle (Ferramenta) .................................................................... 45
3.4.8 Checar Controle (Ferramenta) ........................................................................ 45
3.4.9 Manutenção da Ferramenta ............................................................................. 46
3.4.10
Melhorias ...................................................................................................... 46
4
FERRAMENTAS PARA SEGURANÇA DA INFORMAÇÃO ............................. 47
4.1
FIREWALL .............................................................................................................. 47
4.1.1 Screening Router .............................................................................................. 47
4.1.2 Bastion host ...................................................................................................... 48
4.1.3 Dual Homed Gateway ...................................................................................... 49
4.1.4 Screened Host Gateway .................................................................................... 49
4.1.5 Screened Subnet ................................................................................................ 50
4.1.6 Application Gateway ........................................................................................ 51
4.1.7 Hybrid Gateways .............................................................................................. 52
4.2
NAT - NETWORK ADDRESS TRANSLATION ............................................................ 53
4.3
IDS - INTRUSION DETECTION SYSTEM................................................................... 53
4.4
CACHE ................................................................................................................... 53
4.5
ACL – ACCESS CONTROL LIST .............................................................................. 54
4.6
ANTIVIRUS ............................................................................................................ 54
4.7
MONITORAÇÃO ...................................................................................................... 55
4.8
BACKUP ................................................................................................................. 56
4.9
NTP....................................................................................................................... 57
5
USO DE SOFTWARE LIVRE .................................................................................... 58
5.1
DEFINIÇÃO ............................................................................................................ 58
5.2
ESCOLHA DO SISTEMA OPERACIONAL ................................................................... 58
5.3
ESCOLHA DO FIREWALL ........................................................................................ 60
5.3.1 Escolha do Antivírus......................................................................................... 62
5.3.2 Clamav .............................................................................................................. 63
5.3.3 Clamwin ............................................................................................................ 65
5.3.4 LMD e RKHunter ............................................................................................. 65
5.4
ESCOLHA DO SISTEMA DE MONITORAMENTO ........................................................ 65
1.1.1 Munin ................................................................................................................ 66
1.1.2 Nagios com cacti e pnp4nagios ........................................................................ 67
5
1.1.3 Pandora e Zabbix ............................................................................................. 67
5.5
ESCOLHA DO BACKUP ............................................................................................ 68
6
EXEMPLO DE IMPLEMENTAÇÃO DA PROPOSTA ........................................ 69
6.1
ANALISE TECNOLÓGICA ........................................................................................ 69
6.1.0 Levantamento de requisitos tecnológicos ......................................................... 69
6.1.1 Sistema de cadastro e comunicação entre alunos, professores e funcionários:
Moodle .......................................................................................................................... 70
6.1.2 Sistema para e-mail: Google Mail - Gmail ...................................................... 71
6.1.3 Sistema para serviço web: Apache2 ................................................................. 71
6.1.4 Servidor de Arquivos: Samba ........................................................................... 72
6.2
LEVANTAMENTO DE RISCOS................................................................................... 72
6.3
ANÁLISE DOS RISCOS ............................................................................................. 74
6.4
REQUISITOS DE SEGURANÇA.................................................................................. 76
6.5
DEFINIÇÃO DE CONTROLES .................................................................................... 77
6.6
IMPLANTAÇÃO DE FERRAMENTAS .......................................................................... 78
6.7
MANUTENÇÃO DAS FERRAMENTAS ........................................................................ 78
6.8
ANÁLISE CRÍTICA DA SOLUÇÃO UTILIZANDO AS FERRAMENTAS PROPOSTAS .......... 78
6.9
PROCESSO DE MELHORIA CONTÍNUA ...................................................................... 79
7
CONCLUSÃO............................................................................................................. 80
8
REFERÊNCIAS ......................................................................................................... 82
6
Índice de Figuras
TABELA 1.
TABELA 2.
TABELA 3.
TABELA 4.
TABELA 5.
FIGURA 1:
FIGURA 2:
FIGURA 3:
FIGURA 4:
FIGURA 5:
FIGURA 6:
FIGURA 7:
FIGURA 8:
FIGURA 9:
FIGURA 10:
FIGURA 11:
SERVIÇOS NO WINDOWS QUE PODEM GERAR AMEAÇAS
PESQUISA DO LINUX JOURNAL
8
PLANILHA DE RISCOS – PROBABILIDADE/IMPACTO 8
PLANILHA DE RISCOS – SERVIÇO/CUSTO/SOFTWARE 8
PLANILHA DE RISCOS – AÇÃO/CUSTO
8
PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
12
INCIDENTES REPORTADOS AO CERT.BR
38
SPAMS REPORTADOS AO CERT.BR
39
FCAPS
42
FIREWALL – SCREENING ROUTER
47
FIREWALL – BASTION HOST 48
FIREWALL – DUAL HOMED GATEWAY
49
FIREWALL – SCREENED HOST GATEWAY
49
FIREWALL – SCREENED SUBNET
50
FIREWALL – APPLICATION GATEWAY
51
FIREWALL – HYBRID GATEWAY
52
8
7
Índice de Tabelas
TABELA 1.
TABELA 2.
TABELA 3.
TABELA 4.
TABELA 5.
SERVIÇOS NO WINDOWS QUE PODEM GERAR AMEAÇAS
PESQUISA DO LINUX JOURNAL
59
PLANILHA DE RISCOS – PROBABILIDADE/IMPACTO 74
PLANILHA DE RISCOS – SERVIÇO/CUSTO/SOFTWARE 75
PLANILHA DE RISCOS – AÇÃO/CUSTO
75
18
8
1 Introdução
Por conta de crescentes ameaças contra a informação de uma organização, que aparecem a
cada dia, surge a necessidade de se implantar uma engenharia de segurança que alerte e
atue de forma a defender a organização contra estas ameaças. Esta estratégia deve ser
baseada em uma norma de segurança da informação, de maneira a seguir, de forma
estruturada, os passos necessários para uma correta implantação de processos e sistemas,
segundo uma definição de consenso dos especialistas da área. As normas nas quais será
baseado o projeto serão a ISO/IEC 27001 ([ISO / IEC 27002]) e a ISO/IEC 27002 ([ISO /
IEC 27002]).
Um dos problemas para a implantação de uma política de segurança da informação é o seu
custo. Uma das maneiras de se contornar esse problema é fugir dos altos custos das licenças
de softwares proprietários. Percebe-se, portanto, que há possibilidade de se alcançar um
ótimo ferramental que atenda as necessidades da norma utilizando-se software livre.
Assim sendo, este trabalho se propõe a avaliar ferramentas de software que atendam às
normas ISO/IEC 27001 e ISO/IEC 27002, que tenham um baixo custo de implantação e
gerência e que se encaixem na categoria software livre. Este documento é especialmente
dirigido aos administradores de redes, de sistemas e de segurança, ou seja, aqueles que
costumam ser responsáveis pelo planejamento, implementação ou operação de redes e
sistemas e possui foco na aplicação de segurança da informação em pequenas e medias
empresas. O mesmo pode também ser útil e trazer algum esclarecimento a pessoas atuantes
em áreas afins ou que necessitem desse conhecimento, como, por exemplo, gerentes de
Tecnologia da Informação.
1.1 Objetivo
O presente trabalho procura reunir um conjunto de práticas de instalação e configuração de
ferramentas de software livre para atender uma política de segurança da informação
mínima, mas que seja normativa. A implantação de um projeto baseado nesse documento
minimiza as chances de ocorrerem problemas de segurança numa organização. Todavia, é
importante lembrar que existem melhores maneiras para se implantar uma política de
segurança da informação, Portanto, este documento apenas aborda algumas ferramentas que
foram avaliadas perante uma norma válida. Este conjunto de ferramentas possui um
mínimo necessário e indispensável para pequenas corporações que desejem implantar uma
política de segurança da informação e que não detêm um capital necessário para o fazerem
utilizando ferramentas de software proprietário.
9
Este trabalho, portanto, se propõe então a avaliar ferramentas de segurança de informação a
partir de um processo criado para esse fim. Os quesitos avaliados devem atender às
necessidades básicas da norma ABNT NBR ISO/IEC 27002 ([ABNT NBR ISO/IEC
27002]). Serão apresentadas e utilizadas as ferramentas básicas, enquadradas na categoria
de software livre, para implantar uma segurança de informação mínima, mas funcional, e
com um ótimo retorno sobre o investimento. Essas ferramentas serão avaliadas perante os
requisitos e riscos existentes através de um estudo de caso.
1.2 Organização do Documento
Os capítulos a seguir estão organizados da seguinte maneira:
O capítulo dois mostra os princípios da segurança da informação, apresenta ameaças, cita
formas de prevenção, apresenta a norma ABNT NBR ISO/IEC 27002 e também discute
políticas e gerenciamento de segurança da informação. Além disso, sumariza os principais
frameworks e boas práticas para a Governança de TI.
O capítulo três é dedicado a elencar e mostrar processos de segurança da informação, bem
como definir uma proposta de processo de segurança da informação que atenda a norma
ABNT NBR ISO/IEC 27002.
O capítulo quatro fala sobre os conceitos e ferramentas para assegurar uma segurança da
informação.
O capítulo cinco apresenta o conceito de software livre e mostra diversas ferramentas desta
categoria que podem ser usadas para a segurança da informação.
O capítulo seis apresenta um estudo de caso simples para análise das propostas contidas
nesse projeto.
Finalmente, o capítulo sete apresenta as conclusões.
10
2 Segurança da Informação
Como qualquer outro ativo importante, a informação é um conjunto de dados que é
essencial para os negócios de uma organização e necessita de proteção e cuidado.
A informação vem sendo cada vez mais vista com maior importância. Com a integração e
simplicidade de acesso crescendo, a exposição de pessoas a ameaças e riscos também
cresce.
É sempre recomendado que independente da forma que a informação esteja representada,
essa seja protegida adequadamente. Com isso, segurança da informação é a proteção da
informação às ameaças, na busca de manter a continuidade do negócio, diminuir os riscos e
maximizar retornos.
Para proteção da informação, sua segurança é obtida através da implementação de um
conjunto de controles e técnicas adequadas, que precisam ser trabalhadas para que sejam
atendidas as necessidades de segurança. Esse conjunto de controles e técnicas é chamado de
SGSI (Sistema de Gerenciamento de Segurança da Informação).
A norma ABNT NBR ISO / IEC 27001 fornece o método para a implantação do SGSI,
orientando o processo de implantação de segurança da informação.
A Segurança da Informação é necessária:
São expostas a muitos tipos de ameaças contra a segurança da informação, as organizações,
suas redes e seus sistemas, através de fraudes eletrônicas, sabotagens, inundação, incêndios,
espionagem, e muitos outros tipos de problemas que têm ocorrido constantemente, na
maioria das vezes causando danos irreparáveis.
Surge então a necessidade da implantação da segurança da informação para os negócios dos
setores públicos ou privados que possuem infraestruturas precárias.
Facilitar os negócios eletrônicos, a troca de informações, compras, consultas, etc, reduzindo
os riscos de tais procedimentos - está é a função da segurança da informação. Sendo assim
surge uma necessidade maior de uma política de segurança.
Atualmente, uma sugestão de padrão a ser utilizado para aplicar essa tão necessária
segurança da informação é a norma ISO/IEC 27002, que pode ser utilizada em sua versão
original ou em adaptações para diversas línguas, como a norma ABNT NBR ISO/IEC
27002, em português do Brasil, pela ABNT - Associação Brasileira de Normas Técnicas.
11
2.1 Princípios da Segurança da Informação
Para entendermos melhor a segurança da informação devemos entender os seus princípios e
o foco deste capítulo é estudar os princípios de uma comunicação segura.
Na prática para que uma comunicação seja considerada segura é necessário a proteção, a
detecção e a reação. Sendo assim, precisamos proteger a comunicação, a rede na qual a
mesma trafega e o ambiente no qual a mesma se situa. Mas precisamos mais que isso, é
necessário também a detecção de possíveis falhas na comunicação e ataques a rede. Além
disso, é necessário existir uma reação no caso da detecção de algum perigo. Essa reação
pode ser manual ou até mesmo automática para garantir a segurança do ambiente.
Os princípios que vamos estudar são Confidencialidade, Autenticidade, Integridade,
Disponibilidade, Não Repúdio e Controle de Acesso, que são mostrados na Figura 1.
Figura 1: PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
2.1.1 Confidencialidade
A confidencialidade é a garantia de que somente o remetente e o destinatário pretendido
tenham o poder de entender a mensagem. É uma proteção das informações contra ataques
passivos e análise de mensagens, quando em trânsito nas redes ou contra a divulgação
indevida da informação ou até mesmo quando sob guarda.
Com respeito à utilização indevida de conteúdos de mensagens, pode-se identificar diversos
níveis de proteção para cada tipo de informação identificada. Podem ser definidos diversas
formas para este serviços, incluindo a proteção de mensagens individuais ou até mesmo de
12
campos dentro desta mensagem. Este processo de identificação e refinamento daquilo que
realmente deve ser protegido é bastante complexo e se reflete em toda a estrutura de
segurança adotada.
Para realizar a confidencialidade na prática deve-se cifrar a mensagem para o caso da
mesma ser interceptada. Apenas aqueles que podem ler a mesmo que irão conseguir
decifrá-la, para isso utilizamos técnicas de criptografia.
2.1.2 Autenticidade (Autenticação)
Garantia de que as entidades identificadas em um processo sejam exatamente o que dizem
ser e que a informação não foi alterada depois de uma validação. Informação,
computadores e usuários sejam estes remetentes ou autores são identificados e validados
quanto a sua autenticidade.
O serviço de autenticação se relaciona com a garantia de que a comunicação é autêntica. No
caso de uma simples mensagem, como é o caso de um sinal de alarme, a função da
autenticação é garantir ao receptor que a mensagem é realmente originária da fonte
informada.
No caso de uma interação em tempo real, como a conexão de um computador com outro,
pode-se considerar dois aspectos. O primeiro aspecto no momento do inicio da conexão,
este serviço deve garantir que as duas entidades são autenticas, ou seja, que são quem
alegam ser. Em segundo lugar, o serviço deve garantir que a comunicação deve ocorrer de
forma que não seja possível a uma terceira parte se disfarçar e se passar por uma das partes
já autenticadas no inicio da conexão para conseguir transmitir e receber mensagens de
forma autorizada.
Dentro da autenticidade, a Legalidade é uma característica de informações que possuem
valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo
com as cláusulas contratuais pactuadas ou legislação vigente.
2.1.3 Integridade
A integridade está relacionada ao estado da informação entre o momento de sua geração e
de seu resgate. A mesma não está relacionada com a exatidão da informação mas com a
alteração do seu conteúdo entre o processo de geração e resgate.
O serviço de integridade pode ser aplicado a todo um fluxo de mensagens de uma conexão
a uma única mensagem ou a determinados campos desta mensagem. Uma conexão que
tenha este princípio implantado garante que as mensagens serão recebidas como foram
enviadas, sem duplicação, inserção indevida, modificação, sem reordenação ou repetições.
A destruição de dados também é tratada neste serviço. Sob outro foco, este serviço trata
tanto da modificação da mensagem como da negação de serviços. É possível fazer uma
13
distinção entre o serviço com e sem recuperação. Porque o serviço de integridade trata de
ataques ativos, a atenção se concentra na detecção ao invés da prevenção. Caso uma
violação de integridade seja detectada, então o serviço pode simplesmente informar esta
violação, de forma que uma outra parte do software ou algum tipo de intervenção humana
seja necessária para a recuperação de tal violação. De forma alternativa, existem
mecanismos disponíveis para a recuperação de perda de integridade de dados. Esta última
alternativa é a mais atraente.
2.1.4 Disponibilidade
As pessoas autorizadas a terem conhecimento de uma informação precisam que a mesma
esteja acessível ou disponível para o seu uso e conhecimento.
Uma grande variedade de ataques pode resultar na perda ou redução da disponibilidade da
informação. Alguns desses ataques são compensados através de medidas automatizadas,
como a autenticação e a criptografia, ao passo que já outros requerem algum tipo de ação
física para a prevenção ou recuperação das perdas de disponibilidade de elementos de um
sistema distribuído.
2.1.5 Não Repúdio
O Não Repúdio é a garantia do receptor que a mensagem é realmente oriunda do remetente
indicado. Este serviço previne tanto o emissor contra o receptor, quanto previne contra a
negação de uma mensagem transmitida. Desta forma, quando uma mensagem é enviada, o
receptor pode provar que de fato a mensagem foi enviada pelo emissor em questão. De
forma similar, quando uma mensagem é recebida, o emissor pode provar que a mensagem
foi realmente recebida pelo receptor em questão.
2.1.6 Controle de Acesso
O serviço de controle de acesso garante que a informação será acessada ou vista apenas por
pessoas autorizadas.
No contexto de segurança de rede, o controle de acesso é a habilidade de limitar ou
controlar o acesso aos computadores hospedeiros ou aplicações através dos enlaces de
comunicação e do controle de acesso físico ou lógico. Para tal, cada entidade que precisa
obter acesso ao recurso, deve primeiramente ser identificado e autenticado de forma a que
os seus direitos e permissões de acesso sejam atribuídos de acordo com o que foi definido e
autorizado.
14
2.2 Ameaças
Nessa sessão serão apresentados alguns conceitos fundamentais relacionados às ameaças
tradicionais e mais comuns a segurança da informação. Iremos apontar algumas das
principais falhas apontadas pela SANS. A mesma aponta muitas outras que não serão
tratadas nesse documento, mas que são de grande importância para o profissional de
Segurança da Informação.
Toda ameaça a segurança da informação está diretamente ligada aos princípios de
segurança da informação explicados anteriormente.
Perda de Confidencialidade:
Ameaça a quebra de sigilo de uma determinada informação levando a exposição de
informações restritas a pessoas não autorizadas.
Perda de Integridade:
Ameaça de alteração não aprovada ou por pessoa não autorizada a uma informação.
Perda de Disponibilidade:
Ameaça da informação não estar acessível ao usuário autorizado quando o mesmo necessita
dela, dentro de um período acordado de disponibilidade dos serviços vinculados à
informação.
2.2.1 Tipos de ameaças
Nesse item iremos apresentar algumas terminologias utilizadas e tipos de ameaças a
Segurança da Informação a partir de informações coletadas em um centro de estudos
nacional chamado CERT.BR ([CERT.BR]) que gera estatísticas sobre ameaças no Brasil.
Um vírus de computador é um código ou conjunto de códigos maliciosos desenvolvidos
para infectar um sistema e prejudicar a vitima. O mesmo pode fazer cópias de si mesmo
com o intuito de tentar se espalhar para outros computadores.
Um Worm é um programa auto-replicante e sua diferença para o vírus é que um vírus
infecta um programa e necessita deste programa hospedeiro para se propagar, já o Worm é
um programa completo e não precisa de outro programa para se propagar.
O Rootkit é um vírus usado após ou durante uma invasão a fim de ocultar as ações do
invasor no computador da vítima ou rede atacada.
Já o Trojan ou cavalo de troia é um vírus usado para permitir o acesso indevido, abrindo
portas no sistema operacional da vitima para acesso no futuro com maior facilidade que
chamamos de backdoor, ou mesmo para monitorar o que a vitima digita, que chamamos de
Keylogger ou Spyware.
15
Podemos chamar de Malware qualquer programa que tem como objetivo se infiltrar de
forma ilícita ou causar dano ou roubo de informações.
Os ataques são feitos a partir de Exploited, ou seja, pesquisas a vulnerabilidades. A partir
dessa pesquisa de vulnerabilidades, podem-se inserir códigos maliciosos para invadir a
vitima.
Outra forma de ataque é a Engenharia Social ou Fraude que é a forma de obter
informações importantes sobre uma vitima para, com isso, tirar vantagem, ludibriar ou lesar
a mesma. Segundo Houaiss: “qualquer ato ardiloso, enganoso, de má-fé, com intuito de
lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro”.
Spam é uma mensagem eletrônica não solicitada, enviada em massa para e-mails ou mesmo
mensageiros eletrônicos ou celulares. Hoje o spam já possui inúmeras classificações, mas
somente iremos abordar as utilizadas pela Cert.br que são:




Spamvertised Website – Sao máquinas que hospedam páginas com produtos e
serviços sendo oferecidos no spam;
Proxy Aberto – São máquinas com serviço de proxy mal configurado, sendo assim
abusadas por terceiros;
Relay Aberto – São máquinas com serviço de email mal configurado, sendo assim
abusadas por terceiros;
Envio de Spam – São máquinas que enviam o spam propriamente dito.
Em criptografia, um ataque de Brute-Force ou Forca bruta é uma estratégia usada para
quebrar a criptografia de dados. Trata-se de atravessar o espaço de busca de chaves
possíveis até que a chave correta seja encontrada.
De acordo com o Kurose e Ross ([Kurose & Ross 2006]), o Denial of Service (DOS) é um
ataque de recusa de um serviço, em geral atacando o principio de Disponibilidade do
mesmo (perda de Disponibilidade), deixando o serviço indisponível, “fora do ar”. Durante
os últimos anos, esse é um dos mais númerosos ataques.
A invasão é um ataque bem sucedido que resulta no acesso não autorizado a um
computador ou rede. Em geral invasões são precedidas de um scan, que são varreduras nos
computadores e/ou na rede verificando serviços disponibilizados, com o intuito de
identificar potenciais alvos e associar possíveis vulnerabilidades.
2.2.2 Ataques a Aplicações Clientes
As maiorias dos ataques a clientes são contra vulnerabilidades no browser, sistemas
operacionais ou mesmo ferramentas cotidianas como planilhas e editores de textos, além de
reprodutores de mídia.
16
Os ataques mais comuns via browser são feitos por ActiveX, por URL ou por plug-ins com
dispositivos de mídia. Todos os browsers estão sujeitos a falhas, mas como o Internet
Explorer e Firefox são os mais usados, são os que mais estão sendo atacados.
A ferramenta com maior número de ataques computadas pela Cert.br, é o Internet Explorer.
A Microsoft gera atualizações constantes para todos os seus produtos e para se manter
menos vulnerável é aconselhável estar sempre atualizado. Todo plug-in de mídia esta
sujeito à vulnerabilidade e a partir dessas que são reportados o maior número de ataques,
que podem ser em qualquer tipo de Browser.
Existem configurações nos browsers que o tornam mais seguros, procure respectivamente a
área de segurança do site oficial do browser que você utiliza e se previna.
Outro ataque à clientes é feito por ferramentas cotidianas, principalmente aquelas com
acesso a conteúdo de noticias através de um serviço NNTP ou mesmo RSS. Os principais
ataques são feitos nas ferramentas Office da Microsoft como Excel, Word e Visio, que
também são as ferramentas mais utilizadas no mercado.
Finalizando temos os Leitores de e-mails que também estão sujeitos a ataques. Todos os
leitores de e-mail estão dispostos a falhas mais como anteriormente os mais utilizados são
os que computam o maior número de ataques. Toda versão do Outlook e do Thunderbird
estão sujeitas a ataques, mas ambas disponibilizam atualizações de segurança para conter a
maioria deles.
Caso o ataque seja a partir de engenharia social, o usuário deve ter algumas prevenções em
mente como não abrir e-mails desconhecidos, mas principalmente fazer algumas
configurações em seus leitores que podem ser encontrados nos sites dos mesmos. Em geral
estas configurações se resumem em não abrirem anexos e imagens automaticamente e fazer
com que o conteúdo temporário seja apagado quando o leitor for fechado.
2.2.3 Ataques a serviços de Sistemas Operacionais
Para ataques ao sistema operacional ou seus serviços o mais comum é o Brute-Force. Esse
ataque é principalmente utilizado em Sistemas operacionais baseados em UNIX ou MAC e
são os mais difíceis e demorados de todos os ataques.
Infelizmente existem falhas nos serviços que em geral os usuários nem sabem de sua
existência. Por isso sempre deve-se ter apenas o mínimo de serviços em funcionamento e
somente os indispensáveis ou ao menos configurados de maneira correta, através de
informações do fabricante.
No Sistema Operacional Windows existem muitas vulnerabilidades de serviços e em geral
por falta de uma configuração de segurança, já que os mesmos estão instalados e acabam
funcionando sem que o próprio usuário saiba.
17
Segue, em seguida, a Tabela 1, que é uma lista dos principais serviços atacados nos
sistemas operacionais Windows do fabricante Microsoft.
Tabela 1. SERVIÇOS NO WINDOWS QUE PODEM GERAR AMEAÇAS
Nome do Serviço
Nome Exibido
Alerter
Alerter
ClipSrv
ClipBook
Browser
Computer Browser
Fax
Fax
MSFtpsvr
FTP Publishing
IISADMIN
IIS Admin
cisvc
Indexing Service
Messenger
Messenger
mnmsrvc
NetMeeting® Remote Desktop Sharing
RDSessMgr
Remote Desktop Help Session Manager
RemoteAccess
Routing and Remote Access
SNMP
SNMP Service
SNMPTRAP
SNMP Trap Service
SSDPSrv
SSDP Discovery Service
Schedule
Task Scheduler
TlntSvr
Telnet
TermService
Terminal Services
Upnphost
Universal Plug and Play Device Host
W3SVC
World Wide Web Publishing
2.2.4 Ataque a Aplicações Web
Baseados nas informações coletadas na Sans.org ([SANS.ORG]), aplicações Web podem
ter vulnerabilidades e sabendo disso intrusos podem atacar exatamente essas falhas que
podem estar na própria aplicação ou mesmo no serviço web. Existem riscos de
vulnerabilidade em cada serviço que a aplicação utiliza.
Caso seja necessário o uso de um serviço Web, um Aplication Server ou um serviço HTTP,
provavelmente o mesmo contem erros lógicos ou falhas de validação. Essas falhas de
segurança também podem estar relacionadas com o framework utilizado ou mesmo a
linguagem.
PHP Remote File Include: É uma vulnerabilidade no framework da linguagem PHP que
por padrão habilita a funcionalidade “allow_url_fopen” onde pode ser incluído um script
18
por pessoas não autorizadas. Isso pode causar uma conexão remota com o usuário do
serviço HTTP e instalação de rootkits.
SQL Injection: Por alguma vulnerabilidade no acesso a aplicação o usuário não autorizado
pode inserir código SQL que traz informações confidenciais.
Cross-Site Scripting (XSS): É um ataque a vulnerabilidades de um serviço HTTP que
pode ser um Denial of Service ou pode manter a aplicação rodando mais com algum código
malicioso em JavaScript.
Cross-site request forgeries (CSRF): Através de vulnerabilidades no serviço HTTP, o
usuário legitimo do mesmo é forcado a usar comandos sem o seu consentimento.
2.2.5 Ataques a Banco de Dados
Em Geral, é nos bancos de dados que estão as informações mais valiosas das corporações e
a maior massa delas. Sendo assim, esses bancos são muito complexos e utilizam de alta
taxa de criptografia. Além disso, a segurança quanto aos dados na maioria dos bancos é
garantida, mas apenas se o administrador do mesmo tiver conhecimento suficiente para
mantê-lo.
Os ataques mais freqüentes a esses serviços estão ligados a falhas dos seus administradores
como os relatados abaixo como mais comuns.
- Uso de configurações padrão com nomes de usuário e senhas;
Isso pode facilitar o roubo de senhas por engenharia social e logo gera vulnerabilidade nas
informações.
- Uso de funcionalidades injetoras de código SQL por usuários nas ferramentas de
administração de bancos de dados que são publicadas como aplicação web;
Isso pode causar um grande número de vulnerabilidades principalmente advindas de senhas
fracas e buffer overflows nos processos que estão em portas em modo listen no servidor.
2.3 Medidas de Prevenção
Existem algumas medidas de prevenção para evitarmos os ataques mais númerosos e
mantermos a informação segura.
2.3.1 Senhas
É recomendado que toda senha contenha um número mínimo definido de caracteres e
principalmente o uso de números, letras e outros caracteres na mesma senha. Esse nível alto
na dificuldade da senha dificulta invasões do tipo brutal-force e por engenharia social.
19
A alteração de senha de forma regular num período pré-definido também é uma boa prática
para manter sempre a senha segura, evitando o uso de uma senha já roubada por um longo
período de tempo.
Portanto, na política de segurança de informação de uma corporação deve existir uma
política de senhas.
Um exemplo de senha utilizando essas boas práticas:
O aconselhamento para este projeto é que se utilize mais de 6 caracteres onde um deles
deve ser uma letra, outro um número e outro um símbolo e pode ainda ser diferenciado com
maiúsculas e minúsculas. Neste caso a senha foi criada utilizando todas estas
recomendações e ficou da seguinte forma: “b0nD@@77”.
2.3.2 Processos
É uma boa prática instalar os processos como serviços e configurar os mesmos para serem
executados como usuários de sistema, além disso, o acesso desse usuário deve ser restrito
ao processo que o mesmo é responsável. Esse tipo de prevenção evita a invasão por usuário
administrador do sistema operacional que teria acesso a todos os serviços da máquina.
2.3.3 Antivirus e Antispyware
Para evitar a grande maioria dos vírus e é aconselhável o uso de um antivírus. Antivírus
são programas concebidos para prevenir, detectar, isolar e eliminar todo o tipo vírus. Já os
antispyware são aplicativos utilizados para combater os spyware, adware e keyloggers.
Esses são tipos de programas espiões que captam informações e disponibilizam para o
individuo malicioso, outros podem simplesmente apresentar propagandas indesejadas.
2.3.4 Proteção de portas
Para manter o servidor seguro prevenindo a maioria das invasões, é necessário o uso de um
firewall, mas também a desativação de serviços não utilizados que podem conter
vulnerabilidades. Isso faz a proteção das portas que além de seguras estão em número
reduzido diminuindo a possibilidade de problemas.
Uma forma de manter o servidor com o número mínimo de portas ativas é a instalação
mínima do sistema operacional e de serviços, instalando apenas os necessários e
configurando cada um deles, fazendo com que o administrador tenha um controle maior.
20
2.3.5 Monitoração
A Monitoração é uma ferramenta importante para prevenção e detecção de falhas. Ativando
nos servidores do parque de redes, pode-se ter informações sobre recursos de máquinas e
serviços. Isso acarreta a prevenção de problemas e principalmente atitudes proativas. Com
o uso de Logs, que são registros do que acontece com cada serviço, pode-se ter um relatório
completo contento informações que juntas facilitam as atitudes proativas de reformulação
do ambiente.
2.3.6 Comunicação
A comunicação é uma grande forma de prevenção de falhas. A principal delas é a
divulgação de um documento de educação de segurança contendo informações básicas para
manter a segurança da informação pelos usuários.
A Comunicação entre os administradores do ambiente também é importante e pode ser feita
por registros como um Log de alterações, onde cada um documenta quais alterações foram
feitas em determinadas configurações.
2.3.7 Backup
O backup é uma copia de segurança dos dados de um dispositivo e caso haja perda desses
dados originais, pode-se restaurar as informações sem perdas de informação. Para a
garantia da qualidade do backup é necessário uma política de backup, que contem um
planejamento e uma identificação de qual informação é necessária se ter uma copia, por
quanto tempo e com qual janela de atualização.
21
2.4 Gerenciamento de Tecnologia da Informação
Para avaliarmos a segurança da informação, precisamos avaliar a necessidade tecnológica
da corporação e identificar quais os serviços de tecnologia da informação (TI) são
necessários para melhoria dos processos da mesma. Sendo assim, existe a necessidade do
alinhamento entre as diretrizes e objetivos estratégicos da organização com as ações de TI.
Para isso, devemos organizar esse processo atribuindo os papéis e as responsabilidades de
acordo com uma Governança de TI.
2.4.1 Governança de TI
De acordo com o IT Service Management Forum ([ITSMF]), Governança de TI é um
processo decisório que permite à gerência de TI sincronizar as suas estratégias com as do
negócio, maximizando estas com resultados de investimentos que adicionem valor às
organizações, mensurando e monitorando o desempenho dos seus projetos e serviços,
buscando a qualidade dos seus processos e a disponibilidade de seus ativos.
Então, o caminho para implantar a governança de TI é sincronizar os processos com a
estratégia da organização, demonstrando que TI não apenas suporta, mas alavanca os
negócios através de seus ativos operados em serviços ou gerados em projetos, com alta
qualidade e em conformidade com leis, normas e políticas internas e baixo risco sobre os
ativos envolvidos.
Ainda temos outro termo mais genérico que é a Governança Corporativa e a sua definição
foi registrada abaixo, com as palavras do próprio Instituto Brasileiro de Governança
Corporativa, mas a qual não iremos utilizar, já que a própria Governança de TI atende ao
alinhamento entre TI e corporação que queremos chegar.
“Governança Corporativa é o sistema pelo qual as organizações são dirigidas,
monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, conselho
de administração, diretoria e órgãos de controle. As boas práticas de governança
corporativa convertem princípios em recomendações objetivas, alinhando interesses com a
finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao
capital e contribuindo para a sua longevidade.”
[IBGC]
Sendo assim, temos alguns métodos, métricas e boas práticas que devemos conhecer:
BSC:
A partir das informações do Balanced Scorecard Institute ([BSI]) entendemos que o BSC
(Balanced Scorecard) é uma metodologia de medição e gestão de desempenho. Esse
modelo baseia-se em outras metodologias e sistemas da área de TI e usam como apoio os
22
sistemas ERP tendo uma relação com a gestão do negócio, de serviços e de infra-estrutura,
mas com uma garantia e foco em resultados. O BSC foi desenvolvido em 1992 na Harvard
Business School por Robert Kaplan e David Norton.
Essa metodologia foi apresentada inicialmente como um modelo de avaliação e
performance empresarial, porém, a aplicação nessas empresas proporcionou seu
desenvolvimento para uma metodologia de gestão estratégica, que incluem os passos
abaixo através de indicadores de desempenho:




Definição da estratégia empresarial;
Gerência do negócio, gerência de serviços;
Gestão da qualidade;
Passos estes implementados.
Os requisitos para definição desses indicadores tratam dos processos de um modelo da
administração de serviços e busca da maximização dos resultados baseados em perspectivas
que refletem a visão e estratégia empresarial:





Financeira;
Clientes;
Processos internos;
Aprendizado;
Crescimento.
CMM:
De acordo com o Software Engineering Institute ([SEI]), o CMM (Capability Maturity
Model) é um modelo de melhores práticas para diagnóstico e avaliação de maturidade do
desenvolvimento de softwares de uma organização que descreve os principais elementos
desse processo de desenvolvimento.
Esse modelo identifica e avalia em que estágio de maturidade no desenvolvimento de um
software uma empresa se encontra, através de uma avaliação contínua, de identificação de
problemas e de ações corretivas, dentro de uma estratégia de melhoria dos processos.
Este caminho de melhoria é definido por cinco níveis de maturidade:
1.
2.
3.
4.
5.
Inicial
Repetível
Definido
Gerenciado
Otimizado
Esse modelo também orienta em como evoluir no seu nível de maturidade, ganhando
controle nos processos de desenvolvimento de software nas empresas, na sua gestão e
23
principalmente na sua cultura, onde existe mais dificuldade na evolução. Isso é feito para
alcançar, através desses níveis de maturidade, um processo controlado e mensurado que
tem como fundamento a melhoria contínua. A cada nível de maturidade corresponde um
conjunto de práticas de software e de gestão específicas, denominadas áreas-chave do
processo (Key Process Areas). Estas devem ser implantadas para que a organização possa
atingir o nível de maturidade desejado.
COBIT:
O Cobit foi desenvolvido na década de 90, pela ISACA - Information System Audit and
Control Association - e pode ser traduzido como Objetivos de Controle para a Informação e
Tecnologia. Ele permite, basicamente, que a empresa tenha uma visão geral da importância
da área de TI. Como sua estrutura se baseia em indicadores de performance, pode-se
monitorar o quanto a Tecnologia da Informação está agregando valores aos negócios da
organização.
Como se pode observar, o CobiT atende principalmente as necessidades dos executivos,
dos clientes e dos auditores de sistemas.



Para os gerentes, que necessitam avaliar os riscos e controlar os investimentos de
TI;
Para os usuários, que precisam assegurar a qualidade dos serviços prestados para
clientes internos e externos;
Para os auditores que necessitam avaliar o trabalho de gestão de TI e aconselhar o
controle interno da organização.
ITIL:
O IT Service Management Forum ([ITSMF]) diz que o ITIL (Information Technology
Infraestructure Library) é uma biblioteca de Infra-estrutura de TI que descreve as
melhorias práticas de gestão, especificamente elaborada para a área de TI.
Criado no final dos anos 80 pela CCTA (Central Computing and Telecommunications
Agency) para o governo britânico, o ITIL reúne um conjunto de recomendações, sendo
divididas em dois blocos: suporte de serviços (service support), que inclui cinco disciplinas
e uma função; e entrega de serviços (service delivery), com mais cinco disciplinas. Os
pontos focados apresentam as melhores práticas para a central de atendimento,
gerenciamento de incidentes, de problemas e gerenciamento financeiro para serviços de TI.
No modelo ITIL, uma das disciplinas a serem desenvolvidas é o Incident Control, que tem
a responsabilidade maior sobre todas as ocorrências registradas em um ambiente, incluindo
as de segurança. Dessa forma, uma vez adotado o modelo ITIL, passa a ser da Gerência de
Incidentes, paralela à de Segurança, a incumbência sobre a triagem, estudo, tratamento e
resolução de incidentes.
24
ISO / IEC 20000:
Conforme o APM Group ([APMG]), o ISO / IEC 20000 é a primeira norma mundial,
especificamente destinada ao gerenciamento de serviços de TI. Essa norma descreve um
conjunto integrado de processos de gestão para a efetiva prestação de serviços para a
empresa e seus clientes. Baseia-se na norma BS 15000 (British Standard), mas é totalmente
alinhada com o ITIL, com a intenção de complementar esse modelo.
A norma é composta de duas partes:
ISO / IEC 20000-1:2005
Uma especificação formal que define os requisitos para uma organização com o intuito de
oferecer serviços gerenciados com uma qualidade aceitável para seus clientes. O escopo
inclui:








Requisitos para um sistema de gestão;
Planejamento e implementação de gerenciamento de serviços;
Planejamento e implementação de serviços novos ou modificados;
Processo de prestação de serviços;
Processos de relacionamento;
Processos de resolução;
Processos de controle;
Processos de liberação.
ISO / IEC 20000-2:2005
Código de Boas Práticas que descreve as melhores práticas para os processos de
Gerenciamento de Serviços no âmbito da ISO / IEC 20000-1. O código de Prática será de
uso particular para preparar as organizações a serem auditadas conforme a ISO / IEC 20000
ou melhorias no serviço de planejamento.
2.4.2 Gestão de Serviços
A gestão de serviços tem por definição executar e manter os níveis requeridos de serviços
para um conjunto de usuários de uma organização, de acordo com as prioridades do
negócio e a um custo aceitável. Uma gestão de serviços efetiva requer que a organização
entenda profundamente os seus serviços, incluindo a importância e a prioridade relativas de
cada um deles para o negócio. Para este projeto, não iremos implantar uma governança de
TI, mas sim utilizar algumas melhores práticas para a identificação dos serviços necessários
para atender as necessidades do negócio.
25
O fluxo do processo utilizado para identificação dos serviços de uma empresa será de
acordo com a seqüência abaixo:
 Identificação dos objetivos e requisitos: avaliar quais são os objetivos da empresa e
os seus requisitos, como o custo (acrescentar mais um ou dois itens), entre outros.
 Diagnóstico da situação atual: identificar e mapear a situação atual, mesmo aqueles
sem uso de tecnologia (os processos existem, somente podem não estar
automatizados e mapeados).
 Avaliação de serviços necessários: a partir dos objetivos, requisitos e do diagnóstico
da situação atual, verifica-se a necessidade de alteração no processo,
automatizando-o com o uso de serviços de Tecnologia de Informação.
2.4.3 Política de Segurança da Informação
A segurança da informação de uma corporação deve conter uma política de segurança da
informação que deve estar baseada em alguma norma. Como estamos em um guia prático,
não iremos abordar uma política, mas pela norma ABNT NBR ISSO/IEC 27002, a mesma
se faz necessária e todos os procedimentos práticos devem estar baseados na mesma.
26
3 Processos de Segurança da Informação
Os processos na área de segurança são importantes e nenhuma ferramenta ou
implementação sem um processo bem definido, e utilizado de forma correta, são úteis. Ou
seja, defina bem um processo e o utilize antes de implantar a segurança de informação na
corporação.
O processo que iremos utilizar foi criado para avaliar as ferramentas de acordo com a
norma ABNT NBR ISO/IEC 27002 e foi baseado no ciclo de processo da norma ABNT
NBR ISO/IEC 27001 e no framework FCAPS ([ABNT NBR ISO/IEC 27001]).
Existem modelos de boas práticas que podem servir como base para definição de processos
de Segurança da Informação. Eles não são específicos para o mesmo, mas são ótimas
referências, como o CMMI ([CMM]) e o PMBOK ([ITSMF]).
O CMMI é um modelo de referência que contém práticas necessárias para a maturidade e
melhoria de um processo corporativo. Já o PMBOK é um conjunto de boas práticas que
serve como base para geração de uma metodologia de gerenciamento de projetos.
A seguir iremos apresentar a norma ABNT NBR ISO / IEC 27001 e o framework FCAPS,
logo depois iremos propor um processo de segurança da informação.
3.1 Norma ABNT NBR ISO/IEC 27001:2006
Esta norma estabelece um modelo para estabelecer, implementar, operar, monitorar,
analisar criticamente, manter e melhorar a Gestão de Segurança da Informação. A mesma é
baseada no modelo de processo PDCA e aborda um processo para assegurar sistemas de
informação e redes de computadores.
A mesma ainda sugere o uso em conjunto da norma ABNT NBR ISO/IEC 27002 como
orientação de implementação de controles de segurança.
Essa norma enfatiza a importância das tarefas descritas abaixo:
- Primeiro devem ser levantados os requisitos de segurança da informação de uma
organização e estabelecer uma política e objetivos para a segurança de informação;
- Segundo devem ser implementados controles para gerenciar os riscos de segurança da
informação da organização;
- Terceiro devem ser monitorados e analisados o desempenho e a eficácia do Gestão de
Segurança da Informação;
27
- E por último devem implementar um processo de melhoria contínua baseada em medições
objetivas.
Abaixo segue o clico do processo base:
Planejar (Plan):
Estabelecer a política, objetivos, processos e procedimentos relevantes para a gestão de
riscos e a melhoria da segurança da informação para produzir resultados de acordo com as
políticas e objetivos da organização.
Fazer (Do):
Implementar e operar a política, controles, processos e procedimentos de Segurança.
Checar (Check):
Avaliar e medir o desempenho de um processo frente à política e objetivos da corporação.
Ao final apresentar os resultados para a análise crítica pela direção.
Agir (Act):
Executar as ações corretivas e preventivas, com base nos resultados de uma auditoria
interna e da análise crítica pela direção ou outra informação pertinente, para alcançar a
melhoria contínua da Segurança.
3.2 Norma Técnica ABNT NBR ISO/IEC 27002
Com a necessidade de criar uma estratégia de segurança para as informações do Reino
Unido, o DTI (Departamento de Comércio e Indústria do Reino Unido), criou em 1987 o
CCSC (Comercial Computer Segurity Center), que tinha como objetivo criar uma norma de
segurança que os atendesse.
Várias empresas e instituições internacionais, com a alta necessidade, buscaram estabelecer
metodologias e padrões que melhor ajudassem o mercado em suas pendências relativas à
Segurança da Informação.
Em 1989, foram criados vários documentos preliminares, mas somente em 1995, na
Inglaterra, o CCSC criou a BS 7799 (Brithish Standart 7799). Essa foi uma norma de
segurança da informação destinada a empresas e disponibilizada para consulta pública,
dividida em duas partes: a primeira (BS 7799-1) em 1995, a segunda (BS 7799-2) em 1998.
A parte da norma que é planejada como um documento de referência para pôr em execução
“boas práticas” de segurança na empresa é a BS 7799-1. A parte da norma que tem o
objetivo de proporcionar uma base para gerenciar a segurança da informação dos sistemas
da empresa é a BS 7799-2.
Foi aceita em dezembro de 2000, após um árduo trabalho de internacionalização e consultas
públicas, a BS 7799 como padrão internacional pelos países membros as ISO. Isto implica
28
na junção de duas organizações ISO (International Standartization Organization) e IEC
(International Engineering Consortium), sendo assim denominada ISO / IEC 17799:2000.
Em 2005, houve uma revisão na norma ISO / IEC 17799:2000. Nessa revisão foram
incluídas significantes atualizações, como a inclusão de uma nova seção para
Gerenciamento de riscos de incidentes, entre pequenas atualizações e até mesmo uma
alteração no formato para facilitar na orientação de uma implantação, essa versão da norma
foi nomeada de ISO / IEC 17799:2005.
Já em meados de 2007, para enquadrar a essa norma na família ISO / IEC 27000, a norma
ISO / IEC 17799:2005 foi renomeada para ISO / IEC 27002, mantendo cada palavra,
alterando apenas uma folha de rosto com um aviso sobre a alteração da nomenclatura.
A ISO é uma organização internacional formada por um conselho e comitês com membros
oriundos de vários países. Seu objetivo é criar normas e padrões universalmente aceitos
sobre a realização de atividades comerciais, industriais, científicas e tecnológicas. A IEC é
uma organização voltada ao aprimoramento da indústria da informação.
A ABNT (Associação Brasileira de Normas Técnicas) resolveu também acatar em
dezembro de 2000 a norma ISO como padrão brasileiro sendo publicada em 2001 como:
NBR 17799 – Código de Prática para a Gestão da segurança da informação. O importante é
que a partir dessa publicação passamos a ter um referencial de aceitação internacional.
No segundo semestre de 2005 foi lançada uma nova versão da norma, a norma ABNT NBR
ISO/IEC 17799:2005, que cancelou e substitui a edição anterior. Mas logo em seguida, em
2007, foi lançada uma errata, como na versão original modificando a nomenclatura da
norma para ABNT NBR ISO / IEC 27002, que foi utilizada como base para este trabalho de
segurança da informação.
3.2.1 Objetivo da Norma
“Esta norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e
melhorar a gestão de segurança da informação em uma organização”.
[ABNT NBR ISSO/IEC 27002]
A norma técnica ABNT NBR ISSO/IEC 27002 tem o objetivo de controle; controle com
um intuito de identificar riscos e fazer uma análise e uma avaliação dos mesmos para saber
como devemos atender melhor cada um. A norma ainda pode servir como um guia prático
para um desenvolvimento de segurança e até mesmo criar confiança nas atividades
baseadas na norma pela organização.
29
3.2.2 Análise/Avaliação e Tratamento de Riscos
Dentre outras funções a análise de riscos vem com o intuito de identificar, qualificar e
priorizar eventuais riscos, para orientar e determinar ações apropriadas e as prioridades para
o gerenciamento da Segurança da Informação, podendo-se assim implementar controles
selecionados, visando à proteção contra esses riscos.
Este processo pode ocorrer de várias formas, várias vezes e podem cobrir diferentes partes
de uma organização.
É importante a análise/avaliação de risco acontecer periodicamente, para acompanhar as
mudanças nos requisitos de Segurança da Informação e gerar uma metodologia que obtenha
resultados comparáveis e reproduzíveis que incluam relacionamentos de análise/avaliações
de outras áreas.
A diferença entre análise de risco e avaliação de risco dá-se ao fato de que a análise de risco
se baseia num enfoque sistemático de estimar a magnitude do risco enquanto a avaliação do
risco se baseia no processo de comparação dos riscos estimados, contra os critérios de risco
para determinar a significância do risco.
Faz-se conveniente que a organização antes de levar em conta o tratamento de um risco,
defina alguns critérios para determinar a aceitação ou não desses riscos, para isso é
importante registrar essas decisões.
Para o risco cuja decisão do tratamento do risco seja a aplicação de alguns controles,
convém que estes controles sejam selecionados, implementados e reduzidos a um nível
aceitável visando atender a requisitos identificados pela Análise/Avaliação.
È importante frisar que determinados controles de Segurança da Informação devem ser
específicos e considerados nos estágios iniciais dos projetos, para evitar custos adicionais,
soluções menos efetivas ou incapacidade de se alcançar à segurança necessária.
Deve-se frisar, também, que nenhum conjunto de controles garante a segurança completa.
Porém são válidos para monitorar, avaliar e melhorar a eficiência da organização.
3.2.3 Política de Segurança da Informação
Tem como objetivo promover um apoio e uma orientação para a direção da Segurança da
Informação de acordo com os requisitos do negócio e com leis e regulamentos que são
relevantes.
A direção deve estabelecer uma política clara, que alinhada aos objetivos do negócio
demonstre apoio e comprometimento com a Segurança da Informação por meio da política
de Segurança da Informação para toda a organização.
30
Para utilização dessa política utiliza-se um documento que objetiva um controle que deve
ser aprovado pela direção e publicado a todos os funcionários e partes externas
interessadas, tomando os cuidados necessários com as informações. Esse documento deve
ressaltar o comprometimento da direção e o enfoque da gerência da Segurança da
Informação feita pela organização.
A política de Segurança da Informação deve ser analisada de tempos em tempos de forma
crítica verificando-se possíveis mudanças com o intuito de uma contínua eficácia.
Faz-se importante o fato da política de Segurança da Informação ser gerenciada por um
gestor que se responsabilize pelo desenvolvimento e análise da mesma.
3.2.4 Organizando a Segurança da Informação
A empresa necessita possuir uma organização voltada à Segurança da Informação no intuito
de cuidar, gerenciar e manter a segurança das informações trabalhadas e tratadas na
empresa. Para isso convém que a organização se preocupe com dois focos principais que
são: a infra-estrutura e as partes externas.
A organização voltada à infra-estrutura é o responsável por gerenciar a segurança da
informação dentro da organização.
Ela necessita que alguns aspectos sejam levados em consideração como: o
comprometimento da direção com a segurança da informação, atribuição de
responsabilidades, bom contato com autoridades, contato com grupos especiais e uma
análise crítica da informação. Exige também das partes responsáveis algumas ações como a
criação de um acordo de confidencialidade, que contenha requisitos para a proteção da
informação e requisitos para confidenciar o contato.
Já a organização voltada a partes externas deve ser responsável por algumas medidas contra
riscos, que provenham do envolvimento de negócio com partes externas, para que sejam
identificados e controlados antes do acesso. Para isso é importante que acessos das
informações da organização por partes externas não sejam fornecidos até que os controles
tenham sido implementados.
3.2.5 Gestão de Ativos
Tem como objetivo principal manter e alcançar uma proteção adequada aos ativos da
Organização e a gestão de ativos é responsável de fato por parte da organização e alguns
cuidados.
Convém que cada ativo seja de responsabilidade de algum proprietário, que esses
proprietários sejam identificados e que pertença a eles a responsabilidade pela manutenção
dos controles dos mesmos. Cada ativo deverá ser identificado e deverá ser feito e mantido
31
um inventário de todos os ativos importantes, contendo em si as informações necessárias
sobre a importância do ativo no negócio e que também permitam uma recuperação das
informações caso seja necessária. Pois são os inventários que ajudam a assegurar a proteção
do ativo, e podem ser requeridos para outras finalidades do negócio como, por exemplo, a
saúde, a segurança.
Segue alguns exemplos de ativos:






Ativos de informação (arquivos, base de dados…);
Ativos de Software (aplicativos, sistemas);
Ativos Físicos (mídias removíveis, equipamentos computacionais);
Serviços (iluminação, refrigeração);
Pessoas e suas qualificações;
Imagem da organização entre outros…
É importante o fato de a organização identificar, documentar e implementar algumas regras
para serem seguidas pelos funcionários, fornecedores e terceiros.
Quanto à informação é de responsabilidade do proprietário do ativo definir uma
classificação para a mesma que deve ter como objetivo assegurar que a esta receba um
nível adequado de proteção. Deve ser levado em consideração avaliar a confidencialidade,
integridade, disponibilidade da informação e outros requisitos. Essa classificação deve ser
feita para mostrar a necessidade e o nível esperado de proteção quanto ao tratamento da
informação que possui vários níveis de importância e assim sabendo se são criticas ou não.
Sendo que alguns desses níveis podem necessitar de uma proteção ou tratamento especial.
Essa classificação deve ser usada para definir uma determinada proteção e as medidas
corretas de tratamento para os níveis observados. Levando-se em consideração a
necessidade de compartilhamento ou restrição das informações e dos negócios associados à
necessidade da organização.
No geral a classificação de informação é uma maneira de determinar como informação será
protegida e tratada.
Para ser tratada é aplicado um conjunto determinado de procedimentos para rotulação e
tratamento da informação definindo e implementando um esquema de classificação, que
será adotado pela organização. Os procedimentos para rotulação da informação precisam
abranger tanto os ativos de informação no formato físico como no eletrônico.
A rotulação vem a ser um tratamento seguro da classificação da informação sendo um
requisito chave para os procedimentos de compartilhamento da informação.
32
3.2.6 Segurança em Recursos Humanos
Avaliando o setor de recursos humanos, a segurança da informação basicamente, o divide
em três etapas:



Antes da contratação;
Durante a contratação;
Encerramento ou mudança da contratação.
Todas elas são de responsabilidade do setor de recursos humanos, observando algumas
regras na Segurança da Informação.

Antes da Contratação
O objetivo da Segurança da Informação em Recursos Humanos antes da contratação visa
assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e
estejam de acordo com os papéis estabelecidos, visando reduzir riscos de fraude, e mau uso
dos recursos.
Existem alguns procedimentos a serem observados neste processo de pré-contratação como:
as Leis da CLT, os candidatos, organizar cargos, definição de critérios e as limitações, entre
outros fatores. Torna-se importante também que o processo de seleção seja ministrado por
fornecedores e terceiros, e caso isso ocorra é importante que o contrato especifique
responsabilidade, valores, horários, período e etc.
Para estabelecer esse contrato convém que os interessados concordem e assinem termos e
condições para o trabalho que se baseiem na política de Segurança da Informação da
empresa.

Durante da Contratação
O objetivo é assegurar que os funcionários, fornecedores e terceiros estejam conscientes e
preparados, sobre suas responsabilidades, obrigações e preocupações relacionadas à
Segurança da Informação.
È importante que a empresa se conscientize de suas necessidades e comportamentos no
intuito de fornecer aos seus funcionários treinamentos que os permitam reconhecer
problemas, e para que estes respondam de acordo com as necessidades do trabalho.
É importante que exista um processo formal de disciplinas para funcionários que venham a
cometer infrações e violações na Segurança da Informação, que aumentem o cuidado
relacionado a procedimentos e políticas da Segurança da Informação na organização.

Encerramento ou Mudança no Contrato
33
O objetivo da Segurança da Informação em Recursos Humanos durante o encerramento ou
mudança da contratação, visa assegurar que os funcionários, fornecedores, e terceiros
deixem a organização ou mudem de trabalho de forma organizada. Nisso observa-se a
devolução dos ativos (como equipamentos, senhas, cartões, e tudo que pertença à empresa),
e deve-se retirar o direito de acesso a sistemas e informações seguindo o contrato.
Quando encerradas as atividades faz-se conveniente que estejam claramente atribuídos os
responsáveis, definidos os ativos devolvidos e que o contrato seja encerrado na presença
dos interessados.
3.2.7 Segurança Física e do Ambiente
Neste universo de Segurança da Informação é importante observar cuidados também com a
segurança física, com o intuito de prevenir o acesso físico não autorizado. Para evitar que
outros usuários tenham acesso a áreas e informações da organização.
Convém que instalações onde se encontram as informações sejam mantidas em áreas
seguras, protegidas por um perímetro de segurança como: barreiras, controles de acesso,
portões e etc.
É importante não só a proteção contra o acesso de pessoas a locais e áreas não permitidas
com também uma proteção física contra enchentes, falta de energia, incêndios, perturbações
de ordem pública, desastres naturais ou causados pelo homem e etc.
Para aumentar a segurança também se faz necessário cuidado com os equipamentos, para
que eles sejam protegidos contra ameaças físicas, ameaças do meio ambiente, furtos,
perdas, danos e etc.
Porém caso ocorra é necessário uma manutenção correta para certificar a integridade
completa da informação.
3.2.8
Gerenciamento das Operações e Comunicações
Este item trata das principais áreas que devem ser objetivo de especial atenção da
segurança, o gerenciamento das operações e comunicações. Concluídas e aprovadas as
normas de segurança são implementadas e, por conseguinte, dependem diretamente da
tecnologia utilizada e da forma como a empresa está organizada. Todos os procedimentos
devem ter um mesmo formato, padronizado para toda a empresa. Neste formato devem ser
considerados a versão do procedimento, as responsabilidades das áreas envolvidas, os
formulários associados e a rotina de trabalho propriamente dita.
Dentre estas áreas destacam-se as questões relativas à:

Procedimentos e responsabilidades operacionais;
34









Gerenciamento de serviços terceirizados;
Planejamento e aceitação dos sistemas;
Proteção contra códigos maliciosos e códigos móveis;
Cópias de segurança;
Gerenciamento da segurança em redes;
Manuseio de mídias;
Troca de informações;
Serviços de comércio eletrônicos;
Monitoramento.
Devido ao alto grau de risco na operacionalização dos sistemas internos e externos nas
corporações podemos observar vários procedimentos detalhados para garantir operações
segura nos recursos de processamento de informação. Itens como: backup, documentação
de procedimento, segregação de funções, terceirizados, proteção contra códigos maliciosos,
cópias de segurança, são discutidos minuciosamente para ter maior aproveitamento na
elaboração da política de segurança da operacionalização dos sistemas.
Quando colocamos uma informação, aplicativo ou sistema em produção, é necessária a
observação do tráfego destas informações no ambiente de rede da corporação, adicionando
controles que podem ser necessários para proteger informações sensíveis no tráfego sobre
redes interna e externa. Controles adicionais como: controles de rede, manuseio de mídia,
alerta na troca de informação, mensagem eletrônica, transações “On-line”, monitoramento
do uso de sistema, registro de auditoria e sincronização de relógios, ajudam em vários
segmentos da proteção da informação corporativa, evitando o vazamento da informação,
pirataria e cópias não autorizadas, facilidade na auditoria e controle maior sobre o usuário.
3.2.9
Controle de Acesso
Este item trata do Controle de Acesso ao sistema, podemos dizer que controle de acesso é
um grupo de técnicas de segurança, como o uso de senhas ou de cartões inteligentes para
limitar o acesso a um computador ou a uma rede somente a usuários autorizados. Dentre
estas áreas destacam-se as questões relativas a.







Requisitos de negócios para controle de acesso;
Gerenciamento de acesso do usuário;
Responsabilidade dos usuários;
Controle de acesso à rede;
Controle de acesso ao sistema operacional;
Controle de acesso à aplicação e à informação;
Computação móvel e trabalho remoto.
Podemos observar neste capítulo a importância de se ter um controle de acesso devido à
preocupação da disponibilização da informação corporativa, preocupação como: quem vem
acessar? Como? Quando? O quê? Onde? Estas perguntas fazem com que o gestor de
35
segurança crie um controle de acesso que seja estabelecida, documentada e analisada
criticamente.
O controle de acesso é uma das mais importantes ferramentas de apoio à segurança da
informação. O mesmo pode ser obtido através das ferramentas abaixo ou simplesmente
através da fiscalização humana, que também precisa estar combinada com todas as outras
opções:





Design do ambiente;
Barreiras de canalização do fluxo para pontos controlados;
Sinalização ou de identificação;
Equipamentos de ação mecânica;
Dispositivos eletrônicos.
Itens como os apontados abaixo são abordados minuciosamente nesta seção da norma:
 Política de controle de acesso;
 Registro de usuários;
 Gerenciamento de senhas e privilégios;
 Política de uso dos serviços de redes;
 Segregação de redes;
 Controle de conexão e roteamento de redes;
 Identificação de usuário;
 Uso de utilitários de sistema;
 Limitação de horário de conexão;
 Restrição de acesso à informação;
 Isolamento de sistemas sensíveis;
 Computação e comunicação móvel são itens detalhados.
3.2.10
Aquisição, desenvolvimento e manutenção de sistemas de
informação.
A aquisição, desenvolvimento e manutenção de sistemas de informação é uma das áreas
mais atingidas pelos aspectos da segurança. Muitos dos problemas de segurança existentes
hoje não são nem físicos, nem de procedimentos, mas sim devidos a erros de programação
ou de arquiteturas falhas.
Existe uma grande pressão nas equipes de desenvolvimento no sentido de construir um
programa, ou uma aplicação, ou um sistema e fazer a entrega do produto o mais rápido
possível ao usuário, deixando de lado um ponto importante na construção dos mesmos, que
é visão de segurança nos programas elaborados. É de grande importância que o Gestor
esteja sempre com os seguintes propósitos:
36

Garantir a segurança na parte integrante do sistema de informação;

Prevenir a ocorrência de erros, perdas, modificações não autorizadas e o mau uso de
informações nas aplicações;

Proteger a confidencialidade, a autenticidade ou a integridade das informações por
meios criptográficos;

Garantir a segurança de arquivos de sistemas.
O objetivo dessa seção é de fornecer sugestões para criar ambientes confiáveis no que se
refere ao desenvolvimento e manutenção de sistema de informação.
Dentre os tópicos a serem apresentados, na norma, estão:




Requisitos de segurança de sistemas de informação;
Processamento correto nas aplicações;
Controles de criptográficos;
Segurança dos arquivos do sistema.
3.2.11
Gestão de incidentes na segurança de informação
Para possuirmos uma gestão de incidentes, temos que nos manter informados de acordo
com o órgão que controla e analisa esses incidentes, que no Brasil é o CERT.BR. Além
disso, temos que reportar ao mesmo, incidentes ocorridos nos nossos ambientes com o
intuito de mantermos sempre os dados desse centro atualizados.
O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil
([CERT.BR]), divulgou recentemente dados estatísticos dos incidentes de segurança
registrados nos anos de 1999 até 2011. O CERT.BR analisa e gera estatísticas vindas de
ataques reportados no Brasil. O centro divide esses ataques em 4 grupos:




Tentativas de Fraude;
Ataques a servidores Web;
Varreduras e propagação de códigos maliciosos;
Outros incidentes reportados.
Esse centro ainda mantém uma estatística de spams que é contabilizada de acordo com as
informações de duas entidades principais e outras fontes de menor influência. Dentro de
cada uma dessas duas entidades se categorizada os spams em grupos conforme abaixo:

SpamCop
o Spamvertised Website;
o Proxy Aberto;
o Relay Aberto;
37


o Envio de Spam / Envio de Spam Agrupados;
o Outras.
Abusix.org
o Envio de Spam / Envio de Spam Agrupados;
o Outras.
Outras Fontes
Incidentes:
Segundo a CERT.BR, o número de ataques reportados no segundo trimestre de 2011
chegou a pouco mais de 127mil, que representa um aumento de 40% em relação ao
primeiro semestre e de 287% em relação ao segundo trimestre de 2010. De acordo com o
relatório de incidentes, que está representado pela Figura 2, existe uma tendência ao
crescimento de incidentes da categoria Outros.
Figura 2: INCIDENTES REPORTADOS AO CERT.BR
Spams:
O número de spams reportados no semestre de 2011 chegou a pouco mais de 4,2 milhões, o
que corresponde a menos de 11% do ano de 2010, conforme visualizamos na Figura 3.
Mesmo ainda não existindo os dados do segundo semestre de 2011, já se verifica uma
38
queda considerável, tendo em vista que os valores do segundo semestre tendem a ser
parecidos com os apresentados no primeiro de cada ano.
Atualmente, as empresas têm procurado implantar mecanismos que possam facilitar na
gestão de Incidentes de Segurança da Informação; “Incidente é qualquer evento que não faz
parte de uma operação padrão de um serviço e que cause, ou poderá causar, uma
interrupção ou redução da qualidade do serviço”; apesar de todas as limitações de todos os
níveis, podemos reparar um esforço e certa preocupação das empresas brasileiras de manter
imune o seu setor tecnológico.
Na versão ANBT NBR ISO / IEC 11799:2005 da norma, este capítulo foi adicionado,
justamente para realçar as ideias e sugestões das políticas de segurança voltadas a
incidentes, aqui estão abordados algumas sugestões que possibilitam o Gestor a assegurar
as fragilidades e eventos de segurança da informação e assegurar também um enfoque e
efetivo seja aplicado à gestão de incidentes de segurança da informação.
Figura 3: SPAMS REPORTADOS AO CERT.BR
O capítulo da norma está dividido em duas sessões:


Notificação de fragilidades e eventos de segurança de informação;
Gestão de incidentes de segurança da informação e melhorias.
39
3.2.12
Gestão da continuidade do negócio
A tragédia Americana do dia 11 de Setembro foi um marco para área de Segurança da
Informação, depois da catástrofe, várias empresas tiveram problemas para manter a
produtividade, pois não existia um serviço de contingência e continuidade de negócios,
vimos neste triste cenário que vários bombeiros deram suas vidas para salvar outras vidas.
Será que dentro das empresas há aqueles técnicos que servem somente para apagar
incêndios?
Podemos reparar, que para a grande maioria das pessoas, muitas às vezes, este assunto não
vale a pena ser discutido. Aliás, até mais do que isso: estes temas são tratados com uma
conotação negativa, em que as pessoas acham que os profissionais do ramo somente
pensam em problemas, desastres, sinistros, quando a empresa tem mais é que pensar em
“produtividade”, se por acaso acontece problema desta natureza, o normal é achar o
culpado.
Este capítulo reforça a necessidade de ter um plano de continuidade e contingência
desenvolvido, implementado, testado e atualizado.
O processo de continuidade deve ser posto em prática para reduzir a interrupção causada
por um desastre ou falha na segurança para um nível aceitável através de uma combinação
de ações preventivas e de recuperação.
As consequências de desastre, falhas de segurança e perda de serviços devem ser
desenvolvidos e implementados para garantir que os processos do negócio podem ser
recuperados no tempo devido; seguindo os itens abaixo:
Notificação de fragilidades e eventos de segurança de informação;

Gestão de incidentes de segurança da informação e melhorias.
Com este panorama apresentado atualmente, verificamos que as diretrizes criadas nos
segmentos da segurança da informação são imprescindíveis para as instituições, e que neste
cenário empresarial está cada vez mais globalizado, sem limites geográficos para a
concorrência, é necessário garantir a continuidade e competitividade no negócio.
40
3.2.13
Conformidade
Publicado no Diário Oficial da União, do dia 14 de junho de 2000, seção 1 página 2,
decreto número 3. 505 de 13 de junho de 2000 que “Institui a Política de Segurança da
Informação nos órgãos e entidades da Administração Pública Federal”.
Este decreto foi um marco inicial dentro do Governo Federal para a indicação e julgamento
do Sistema Segurança da Informação, nas áreas públicas, levando as atividades e serviços a
atender às exigências da especificação relevante do decreto publicado.
Devido à sua importância, várias entidades privadas têm trabalhado e analisado o referido
documento, voltado à conformidade da empresa.
Conformidade é a propriedade de documentos, processos, ou produtos, de estarem de
acordo com um padrão pré-estabelecido. O objetivo de implementar uma ISO 9000 em uma
empresa, por exemplo, é deixar a empresa em questão, em conformidade com aquela
Norma.
O capítulo final aborda a necessidade de observar os requisitos legais, tais como a
propriedade intelectual e a proteção das informações de clientes.
O projeto, a operação, o uso e a gestão de sistemas de informação podem estar sujeitos a
requisitos de segurança contratuais, regulamentos ou estatutos.
Consultorias em requisitos legais específicos podem ser procuradas sem organizações de
consultoria jurídica ou em profissionais liberais, adequadamente qualificados nos aspectos
legais.
O Capítulo da norma está dividido em três sessões:



Conformidade com requisitos legais;
Conformidade com normas e políticas de segurança da informação e conformidade
técnica
Considerações quanto à auditoria de sistemas de informação.
41
3.3 Modelo FCAPS
O modelo FCAPS serve de base para definição das áreas funcionais da Gerencia de Redes.
Seguem abaixo as mesmas:
Figura 4: FCAPS
Gerência de falhas (Fault Management):
Esta é a Gerência responsável pela detecção, isolamento, notificação e correção de falhas
na rede.
Gerência de configuração (Configuration Management):
Esta é a responsável pelo registro e manutenção dos parâmetros de configuração dos
serviços da rede, como informações sobre versões de hardware e software.
Gerência de contabilidade (Accounting Management):
A mesma é responsável pelo registro do uso da rede por parte de seus usuários com
objetivo de cobrança ou regulamentação de uso.
Gerência de desempenho (Performance Management):
Responsável pela medição e disponibilização das informações sobre aspectos de
desempenho dos serviços de rede que são usados para garantir que a rede opere em
conformidade com a QoS (Qualidade de Serviço) acordados com seus usuários. Esses
dados também são usados para análise de tendência.
Gerência de segurança (Security Management):
Gerência responsável por restringir o acesso à rede e impedir o uso incorreto por parte de
seus usuários, de forma intencional ou não.
42
3.4 Proposta de Processo de Segurança de Informação
Levando como base as normas, manuais de boas práticas e modelos acima descritos, iremos
propor uma atuação para seleção de um parque tecnológico que atenda a norma ABNT
NBR ISO/IEC 27002.
3.4.1 Levantar requisitos de Tecnologia
Primeiro precisamos avaliar o objetivo do negócio em questão e a partir disso identificar
quais são os requisitos tecnológicos necessários para melhorar e automatizar o que a
corporação realmente necessita. Fazendo isso estaremos nos adequando a norma ABNT
NBR ISO / IEC 27001:2006, alinhando os requisitos tecnológicos com o negocio.
Nesse momento iremos levantar a necessidade de tecnologia e listar a infra-estrutura
necessária para atender os requisitos de negócio.
3.4.2 Levantar Riscos
Nessa etapa estaremos identificando os Riscos de Segurança da Informação nos baseando
nos requisitos.
De acordo com o PMBOK ([PMBOK 2004]), riscos são eventos ou falhas de percepção
que aumentam as chances de não se atingir um determinado objetivo. Os mesmos estão
ligados a incerteza sobre o acontecimento desses eventos ou falhas de percepção, assim
como suas conseqüências.
Ao final desta etapa teremos um documento contendo uma lista de Riscos da Segurança da
Informação para a instituição em questão.
3.4.3 Analisar Riscos
Nessa etapa estaremos analisando cada risco.
O fundamento matemático para o risco é a teoria da probabilidade e assim estaremos a
analisar a probabilidade de um risco e os possíveis impactos caso o mesmo se torne real,
alinhando assim as boas práticas do PMBOK.
Ao final desta etapa teremos um documento contendo a lista de Riscos da Segurança da
Informação com prioridades, observando quais serão tratados ou contidos, aceitos,
mitigados ou mesmo transferidos a terceiros de acordo com as recomendações do SRM
([SRM 2003]).
43
3.4.4 Definir Requisitos de Segurança de Informação
Nessa etapa estaremos identificando o que será tratado pela segurança de informação.
Iremos descrever os procedimentos atuais e identificar os desejos, intenções e dados na qual
a segurança irá atuar.
Aqui iremos utilizar os riscos identificados para definir alguns requisitos.
Esse levantamento deve ser feito por um profissional com perfil de Analista de Segurança
de Informação que contém conhecimentos da norma adotada. Caso a instituição possua
uma Política de Segurança da Informação o Analista precisa possuir o conhecimento do
conteúdo e se basear no mesmo para levantar os requisitos.
Nesse momento será definida uma Política de acesso, contendo os perfis de acesso e que
tipo de informação cada perfil pode ler, editar ou mesmo copiar. Dentro de cada perfil de
acesso devem conter os usuários com seus cadastros atualizados.
Ao final desta etapa teremos um documento contendo os Requisitos de Segurança.
3.4.5 Definir Controles
Nesta etapa iremos identificar objetivo do controle e selecionar os controles.
a. No primeiro momento estaremos identificando qual tratamento será utilizado para
os riscos que serão contidos.
b. No segundo momento iremos selecionar uma ferramenta ou procedimento para
conter os riscos caso se tornem reais ou para se precaver dos mesmos.
c. Por fim estaremos organizando de forma coerente os requisitos e identificando o
que será tratado pela ferramenta em questão.
Como na etapa anterior o perfil de Analista de Segurança será o responsável.
Nessa etapa também será necessária a definição da qualidade do serviço (QoS – Quality of
Service) para cada serviço utilizado, desde sua disponibilidade até o seu desempenho.
Ao final desta etapa teremos um documento contendo a lista de Riscos de Segurança, estes
estarão planejados e com uma forma de conter o risco ou tratá-lo. Esse Tratamento pode ser
um procedimento manual ou uma ferramenta automatizada. Caso seja um procedimento
manual o mesmo estará no documento, caso for uma ferramenta teremos suas
configurações. Teremos, também uma lista dos serviços com sua QoS definida.
44
3.4.6 Planejar controles
Depois de definidos os controles precisamos planejar os mesmos de acordo com o modelo
FCAPS.
Primeiramente teremos que tratar as falhas, que consiste em planejar quais procedimentos
serão responsáveis por detecção, isolamento, notificação e correção das falhas.
No segundo momento iremos registrar as ocorrências, que consiste em avaliar se a
ferramenta em questão possui um Log e qual o nível de registro do mesmo. Se for um
procedimento manual, deve conter na descrição da tarefa a ação de registro das ocorrências.
3.4.7 Implantar Controle (Ferramenta)
Nesta etapa iremos implantar propriamente a ferramenta selecionada de acordo com suas
configurações previamente definidas.
Será necessário avaliar qual a melhor configuração da ferramenta para atender a
necessidade da corporação e documentar a mesma. Além disso, teremos um controle das
versões das ferramentas utilizadas e identificação do hardware utilizado.
Ao final desta etapa teremos o ambiente de Segurança em produção e suas configurações
documentadas.
3.4.8 Checar Controle (Ferramenta)
Nessa etapa iremos avaliar se o controle está sendo realizado de acordo com os requisitos.
Caso estejamos utilizando alguma ferramenta para controle, as especificações do que a
ferramenta implementa e se propõe deve ser avaliado dentro do objetivo de uso dessa
ferramenta pela instituição.
Será necessário, também, checar o desempenho e a disponibilidade do serviço para saber se
o mesmo atende a QoS especificada para o mesmo.
Um exemplo é um teste de acesso, checando todos os acessos no mês e avaliando se algum
foi indevido. Também podemos analisar os Logs da ferramenta que contém informação
sobre possíveis falhas de segurança ou mesmo verificar se um serviço esteve disponível no
período especificado em sua QoS.
45
3.4.9 Manutenção da Ferramenta
Nessa etapa estaremos fazendo possíveis atualizações da ferramenta utilizando e gravando
copias de segurança (Backup) e trazendo informações perdidas através das copias.
Lembrando sempre que deve existir um controle das versões de hardware e software
utilizados e deve ser avaliado os riscos de migrar a versão de uma ferramenta.
3.4.10
Melhorias
Essa etapa deve normalmente ocorrer na instituição para gerar melhorias na Segurança da
Informação. Nessa etapa o Analista de Segurança avalia os requisitos atuais e controles
utilizados e propõe melhorias. Estas melhorias podem ser configurações da ferramenta para
atingir um melhor nível de segurança ou simplesmente um novo controle para atacar um
novo risco.
46
4 Ferramentas para Segurança da Informação
Quando se trata de Ferramentas para Sistemas de Segurança da Informação, vários são os
dispositivos e mecanismos que auxiliam na Gestão de Segurança, como os listados neste
capítulo conforme apontado por Oliveira e Costa ([Oliveira & Costa 2000]).
4.1 Firewall
O firewall pode ser definido como um mecanismo ou dispositivo de rede que tem por
objetivo aplicar uma política de segurança, separando e principalmente criando uma
barreira de proteção entre redes de computadores. Assim um firewall é a camada de
proteção entre internet e uma rede interna, fazendo um controle de acesso e do tráfego de
dados entre essas redes.
Seu objetivo é permitir somente a transmissão e a recepção de dados autorizados. Existem
firewalls baseados na combinação de hardware e software e firewalls baseados somente em
software. Este último é o tipo recomendado ao uso doméstico e também é o mais comum.
Firewall é um quesito de segurança com cada vez mais importância no mundo da
computação. À medida que o uso de informações e sistemas é cada vez maior, a proteção
destes requer a aplicação de ferramentas e conceitos de segurança eficientes. O firewall é
uma opção práticamente imprescindível.
Um firewall pode ser mais simples ou complexo de acordo com a necessidade. Podemos
então, desmembrar o firewall em componentes que o compõem.
4.1.1 Screening Router
Figura 5: FIREWALL – SCREENING ROUTER
Esse componente básico pode ser o único componente de um firewall, já que define um
firewall simples. É simplesmente um roteador com filtro de pacotes.
47
Roteadores são mecanismos do nível de rede, usando uma ou mais métricas para decidir
sobre o melhor caminho para a transmissão de tráfego da rede. O envio de pacotes entre as
redes pelos roteadores é baseado na informação fornecida sobre os níveis de rede.
Filtro de Pacotes é um conjunto de regras que analisam e filtram pacotes enviados por redes
distintas de comunicação. Esse filtro controla o acesso de portas e hosts específicos, além
de bloquear tráfego entre redes. Essa filtragem é feita nas camadas 3 (Rede) e 4 (transporte)
do protocolo TCP/IP, ou seja, nos cabeçalhos do IP e nos protocolos da camada de
transporte utilizados (TCP, UDP, ICMP e outros).
4.1.2 Bastion host
Figura 6: FIREWALL – BASTION HOST
Esse componente é um servidor que serve como porta de entrada entre redes. Esse host é
um local critico na segurança já que tem visibilidade para as redes as quais o mesmo não
pertence, portanto deve-se ter um cuidado especial com essa máquina. Como essa é a porta
de passagem entre as redes, pode-se ter uma auditoria regular nesse ponto.
48
4.1.3 Dual Homed Gateway
Figura 7: FIREWALL – DUAL HOMED GATEWAY
Um Dual Homed Gateway por definição é um tipo de Bastion Host. Nesse caso temos dois
Bastion Host, onde um se comunica com o outro e com a sua rede interna, mas o mesmo
não pode se comunicar com a rede do outro, apenas com o Bastion Host dessa outra rede.
Sendo assim para não haver tráfego entre as redes distintas é desabilitado o
encaminhamento de pacotes, bloqueando o acesso de um host de uma rede ao host de outra
rede.
4.1.4 Screened Host Gateway
Figura 8: FIREWALL – SCREENED HOST GATEWAY
Esse componente na verdade é um tipo de firewall, um dos mais utilizados em redes
privadas, ou é uma junção de dois componentes já mencionados, que são o Screening
Router com o Bastion host. O mesmo funciona fazendo com que o Screening Router aponte
para um Bastion host e esse seja o único host acessível a partir de outra rede.
49
4.1.5 Screened Subnet
Figura 9: FIREWALL – SCREENED SUBNET
Esse componente é uma sub-rede isolada que fica situada entre a rede externa e a rede
interna e é mais comumente chamada de DMZ (Demilitarized Zone) ou Rede de Perímetro.
Os computadores contidos nessa sub-rede são acessados tanto pela rede privada como pela
rede externa, mas essa rede está isolada e segura por um Screening Router, que através de
níveis de filtros diferentes permite diferentes tipos de acesso, além do bloqueio do tráfego
através dessa sub-rede.
50
4.1.6 Application Gateway
Figura 10: FIREWALL – APPLICATION GATEWAY
Também conhecido como Proxy, esse componente é especializado em aplicações ou
programas servidores, atende a requisições repassando os dados do requisitante ao serviço
que esta inacessível diretamente. Esse componente é uma camada entre o serviço e o
usuário desse serviço e atende a clausulas de segurança, chamadas de ACL (Access Control
List), que podem permitir ou negar o acesso a um determinado serviço ou função.
51
4.1.7 Hybrid Gateways
Figura 11: FIREWALL – HYBRID GATEWAY
São a junção de componentes diferentes de um firewall com mais algum serviço que não
foi definido dentro desses componentes listados como tunelamentos utilizando diferentes
tipos de protocolos ou serviços de analise de registros de incidentes, entre outros.
52
4.2 NAT - Network address translation
O NAT (Network address translation) é uma técnica de rede que reescreve o endereço IP de
origem de um pacote que passa por um firewall ou roteador de maneira que um host de uma
rede interna tenha acesso a uma rede externa.
Esse protocolo de transformação permite que se esconda uma rede de outra, fazendo com
que a mesma não exista a menos que seja criada uma rota para ela, isso também é
conhecido como masquerading.
Roteadores se utilizam dessa técnica como forma de segurança, mas inicialmente a mesma
foi criada para tornar infinita a quantidade de hosts no mundo, a partir de redes virtuais e
fazer com que uma rede se comunique com outra sem serem uma sub-rede parte de uma
rede maior.
A definição de Virtual Private Network ou Rede Virtual é simples, essa rede é uma rede
privada dentro de uma rede publica e é separada por um masquerading.
4.3 IDS - Intrusion Detection System
Uma Ferramenta IDS (Intrusion Detection System) serve basicamente para registrar
informações sobre nossa rede, analisar registros de ameaças e em alguns casos tomar ações
automatizadas para defesa contra um ataque.
Existem diversos tipos de ferramentas IDS para diferentes plataformas, porém as
ferramentas IDS trabalham basicamente de modo parecido, ou seja, analisando os pacotes
que trafegam na rede e comparando-os com assinaturas já prontas de ataques, identificando
de forma fácil e precisa qualquer tipo de anomalia ou ataque que possa vir a ocorrer em sua
rede e em alguns casos tomar medidas defensivas.
4.4
Cache
A definição de Cache é simplesmente um dispositivo de acesso rápido, que serve de
intermédio entre um serviço e a requisição desse serviço com o intuito de diminuir o acesso
direto, ganhando velocidade na resposta e diminuindo o tráfego de informação
desnecessária.
Esse dispositivo é utilizado em acessos a bancos de dados, acessos a sistemas que não
necessitam de informação atualizada instantaneamente ou até mesmo para conteúdos de
menor atualização.
53
O Cache é uma copia do dado original, pode ser armazenado de duas formas, uma delas é
em disco local, quando o dado está em outro servidor, ou pode ser em memória para ganho
direto de performance, já que não haverá acesso a disco.
Quando existe o uso do Proxy, na maioria dos casos o servidor de proxy também possui o
serviço de cache que trás um ganho de performance e até de disponibilidade, já que
armazena uma copia do dado do serviço localmente, atualizando de tempo em tempo e
mantendo o serviço disponível mesmo que desatualizado no caso de queda do serviço
original.
Uma observação é o proxy transparente que é assim chamado porque trabalha interceptando
o tráfego da rede sem que o serviço final tenha conhecimento que esse proxy existe, sendo
assim não é necessária nenhuma configuração no serviço, deixando o proxy com seu
funcionamento não intrusivo.
4.5 ACL – Access Control List
ACL (Access Control List) ou Lista de controle de acesso ou simplesmente controle de
acesso é uma mecânica de controle de segurança onde se definem regras e controles de
acessos. Essa mecânica faz com que usuários possam ou não acessar serviços, funções,
arquivos ou qualquer informação digital.
Nas ACLs, podemos ter usuários, roles (perfis) e permissões, onde a partir de uma
permissão concede-se acesso aos usuários, aos grupos de usuários ou perfis. Podemos ter
ACLs de o acesso a um serviço por um Proxy, acesso a uma determinada rede ou
simplesmente acesso a determinados arquivos.
4.6 Antivirus
Existem vários tipos de ameaças e várias proteções que são especificas para cada ameaça.
Nos dias atuais práticamente todo antivírus já trás muitas outras funções além de sua função
básica. Sendo assim, iremos englobar na palavra antivírus todos os conceitos abaixo:
Antivirus:
Antivírus são programas com o objetivo de prevenir, identificar e anular ou remover um
vírus de computador. Possuem uma base de dados com as informações sobre os vírus que
devem estar sempre atualizadas.
Anti-spam:
O anti-spam é um programa que identifica mensagens indesejadas (Spams) e a partir de
uma base de dados com mensagens conhecidas já as bloqueiam. Além disso, o grande
ganho é com o próprio uso gradativo da ferramenta, onde o usuário marca como spam
54
mensagens que são indesejáveis para ele e assim nas próximas vezes que essas mensagens
aparecerem, já são automaticamente bloqueadas.
Anti-pop up:
O pop-up é uma janela extra que abre em separado em um browser. Essa janela pode ser
aberta pelo próprio site ou por programas que foram instalados por usuários leigos ou por
um malware. Essas janelas podem ser propagandas, podem ser chamadas recursivas que
travam o browser e ate mesmo podem ser janelas do site com informações importantes para
o usuário. Sendo assim, essa função de anti-pop up, deve ser de avisar se o usuário quer
realmente abrir a nova janela e hoje práticamente todos os browsers em suas versões
atualizadas possuem essa proteção.
Anti-spyware:
Essa função é um bloqueio contra malwares espiões, que capturam informações da
máquina, como um spyware ou cavalo de troia.
Firewall pessoal:
Essa função é uma espécie de firewall para o computador, diferente do firewall para a rede,
protege apenas o próprio computador. Em geral protege contra aplicativos que possam
conter falhas e vulnerabilidades para dificultar a ação de invasores.
4.7 Monitoração
Monitoração é um acompanhamento constante de um dispositivo ou serviço. Esse
monitoramento pode se dar a partir de registros gerados por diversos programas ou scripts
que são lidos pelo sistema de monitoramento para gerar alarmes e avisar aos responsáveis
pelo dispositivo ou serviço que algo ocorreu. Esses avisos podem ser simplesmente
informativos, ou podem ser erros e falhas, ou ate mesmo indisponibilidades e invasões.
Em geral os servidores de monitoração podem funcionar de duas maneiras, via agente ou
via SNMP. Os mesmos podem ser intrusivos, a partir da instalação de agentes no host para
captar os registros dos serviços e de hardware necessários. A segunda forma é através do
protocolo SNMP que captura os registros do sistema operacional e envia para o servidor de
monitoração.
O SNMP (Simple Network Management Protocol) é um protocolo de gerencia de
dispositivos de redes que serve para informar aos administradores desse serviço como o
mesmo esta se comportando, através de seus registros de eventos ou Logs.
55
4.8 Backup
O backup ou copia de segurança é uma ferramenta fundamental para atender a vários
requisitos de segurança contra possíveis falhas nos sistemas. O backup é uma copia das
informações relevantes ou de sistemas e serviços que precisam ser guardadas para eventuais
perdas.
É necessário ter uma política de backup na empresa e a partir disso selecionar como vamos
fazer a copia das informações. Essas cópias podem estar em discos ou robôs, podem estar
armazenadas em fitas ou CDs/DVDs. É uma boa prática ter um backup (anual ou semestral)
do ambiente em um local físico distante do ambiente original, para o caso de sinistros.
Quanto à forma de se fazer essas cópias existem três maneiras básicas:
Backup completo (Full): todos os arquivos relevantes são incluídos, independentemente
de terem sido alterados ou não. É a apropriado quando não se trata de uma grande
quantidade de dados.
Backup incremental: apenas são incluídos os arquivos que foram alterados ou novos
desde o último backup. Os backups incrementais são usados em conjunto com backups
completos feitos regularmente, como por exemplo, backups completos semanais ou
mensais e backups incrementais diários. Têm como vantagem ocupar menos espaço e
demorar menos tempo a executar que o backup completo e como desvantagem para
recuperar todos os arquivos implica restaurar o último backup completo e todos os
incrementais subconsequentes.
Backup diferencial (Differential): apenas são incluídos os arquivos que foram alterados
ou novos desde que o último backup completo, tornando assim possível restaurar
completamente todos os ficheiros com apenas o último backup total e o último diferencial.
Têm como vantagem aos backups incrementais ocupar menos espaço e demorar menos
tempo a executar e como desvantagem pode demorar mais tempo para recuperar os
arquivos, pois terão que se recuperar vários backups diferenciais até se encontrar os
ficheiros pretendidos.
56
4.9 NTP
O NTP (Network Time Protocol) é um protocolo baseado no UDP de sincronização de
horários de servidores. Todos os dispositivos de redes com a hora certa é imprescindível
para uma boa segurança. A NIC.BR ([NIC.BR]) ainda diz que, legalmente, crimes
cibernéticos só podem ser investigados se os registros dos dispositivos envolvidos
estiverem em sincronismo.
O UTC (Tempo Universal Coordenado) é uma media de relógios de laboratórios
metrológicos em todo o mundo e define a hora certa padronizada. No Brasil, o Observatório
Nacional (ON) recebe essa função e por um acordo entre o ON e a NIC.BR, o ntp.br é o
projeto oficial que distribui a hora gratuitamente no Brasil pela internet.
Para sincronização, basta apontar o horário dos servidores ou máquinas desktop para os
seguintes servidores NTP brasileiros disponíveis (http://ntp.br):








a.st1.ntp.br
b.st1.ntp.br
c.st1.ntp.br
d.st1.ntp.br
a.ntp.br
b.ntp.br
c.ntp.br
gps.ntp.br
Ou se o serviço de NTP instalado nos servidores ou máquinas for recente (4.2.6 ou
superior) do NTPd, ou o OpenNTPD, deve-se utilizar o pool DNS, para configurar todos os
servidores de uma só vez:
 pool.ntp.br
57
5 Uso de Software Livre
Em primeiro lugar, podemos pensar na escolha do software livre por conta de sua
economia. Esse fator é uma das qualidades de seu uso e para esse projeto um pré-requisito,
mas o mesmo não necessariamente possui um custo menor ou é gratuito.
A utilização do software livre serve para disseminar a informação e aperfeiçoar a mesma.
Sendo assim, teremos uma comunidade nos ajudando no desenvolvimento de melhorias
para nossas necessidades. Uma melhoria descoberta por uma equipe pode ser utilizada por
outra pessoa e assim qualquer pessoa pode ajudar com uma nova melhoria ou correção e
assim uns ajudam os outros. Obviamente essas atualizações são centralizadas nos
organizadores da comunidade para avaliar a qualidade do que é implementado.
Isso vale para avaliação da segurança da informação, já que se temos mais olhos sobre um
programa, identificar falhas fica mais rápido e fácil, além das falhas serem conhecidas,
fazendo com que sejam mais facilmente tratadas.
Do outro lado temos o software proprietário, onde todas as falhas que possam existir são
desconhecidas por seus usuários e possivelmente conhecidas por eventuais agressores,
fazendo com que a fragilidade seja ainda maior.
5.1 Definição
De acordo com a Free Software Foundation (FSF), o Software Livre pode ser definido
como um conjunto de códigos de programação que geram a execução de tarefas pelo
computador, ou seja, um Programa de Computador, que pode ser utilizado, estudado,
aperfeiçoado e distribuído sem restrições.
Esse software pode ser vendido, almejando o lucro, mas deve ter seu código fonte
disponível para quem quiser ver e alterar. Não podemos confundir com o software
proprietário que possui o seu código fonte fechado, ou seja, não disponível e ainda assim
ser gratuito.
5.2 Escolha do Sistema Operacional
No momento da escolha da distribuição do Sistema Operacional que seria utilizada neste
projeto foi verificada uma pesquisa feita pelo site e revista Linux Journal
(http://www.linuxjournal.com) que avaliou qual seria a distribuição mais utilizada no
mundo em março de 2010.
O número de usuários que participaram da pesquisa foi de 11011 usuários de sistemas
operacionais Linux, de diversas partes do mundo e o resultado foi que a distribuição Linux
58
UBUNTU, baseada na distribuição DEBIAN era a com maior quantidade de usuários ativos
no mundo com 29% dos usuários participantes.
De acordo com a tabela 2, abaixo, ainda podemos avaliar que outras distribuições baseadas
em DEBIAN estão com 8% dos votos, o que dá maior força na escolha do UBUNTU, já
que o suporte da comunidade do DEBIAN também pode ser utilizado pelo usuário
UBUNTU. Sendo assim as distribuições baseadas em DEBIAN provavelmente contém um
maior número de informações e colaboradores, já que a disponibilidade de informações
para DEBIAN na internet tem probabilidade de ser maior que qualquer outra distribuição.
Tabela 2. PESQUISA DO LINUX JOURNAL
Pesquisa do Linux Journal
Distribuição Linux
Porcentagem Usuários
Arch Linux
7%
758 votos
CentOS
2%
219 votos
Debian
8%
922 votos
Fedora
8%
879 votos
Gentoo
4%
457 votos
Mandriva
6%
626 votos
MEPIS
2%
172 votos
Novell/SuSE
12%
1323 votos
PCLinuxOS
4%
491 votos
Red Hat
1%
123 votos
Slackware
4%
432 votos
Ubuntu
29%
3220 votos
Yellow Dog Linux
0%
10 votos
Puppy Linux
2%
184 votos
Linux Mint
9%
950 votos
Other (let us know with a comment)
2%
Total:
100%
245 votos
11011
votos
Pesquisa
disponível
em:
http://www.google.com.br/search?hl=ptBR&q=pesquisa+uso+do+linux#pq=research+use+linux+distribution&hl=ptBR&sugexp=gsis%2Ci18n%3Dtrue&cp=36&gs_id=60&xhr=t&q=research+use+linux+dis
tribution+poll&pf=p&sclient=psy&source=hp&pbx=1&oq=research+use+linux+distributio
n+poll&aq=f&aqi=&aql=&gs_sm=&gs_upl=&bav=on.2,or.r_gc.r_pw.&fp=52abd381281c
be47&biw=1280&bih=694.
Com isso, escolhido o Ubuntu, conforme recomendação da comunidade Ubuntu do Brasil
([UBUNTU-BR]), decidimos utilizar a versão Server 10.04 LTS (Longo Tempo de
Suporte). Essa versão está disponível desde abril de 2010 e será mantida até abril de 2013.
59
Essa foi uma escolha do projeto por conta da mesma ser a recomendada para distribuição
em larga escala que é o nosso caso e estar atual.
Para utilizar o UBUNTU:
Inicialmente faça um “Download” da imagem do Sistema Operacional Ubuntu 10.04 (LTS)
que se encontra disponível no site oficial da comunidade Ubuntu do Brasil em <
http://releases.ubuntu.com/10.04.3> e grave uma mídia dessa imagem para inicialização do
sistema. Selecione a imagem do sistema operacional para Servidores (server) e para a
arquitetura do seu computador (amd64 para 64bits ou i386 para 32bits).
Como o computador no qual iremos fazer essa instalação possui uma arquitetura 32bits,
fizemos o download em <http://releases.ubuntu.com/10.04.3/ubuntu-10.04.3-serveri386.iso>.
Configure para o computador iniciar o sistema operacional a partir do cd-rom e com a
mídia inicialize a partir da imagem e espere até que o sistema esteja plenamente executado.
A partir desse momento siga os passos apresentados no guia da própria UBUNTU
([UBUNTU]) em inglês em: https://help.ubuntu.com/8.04/serverguide/C/index.html.
5.3 Escolha do Firewall
Para montarmos um firewall open source, temos que selecionar diversas ferramentas e
colocá-las para funcionarem juntas e integradas. Para esse projeto iremos selecionar um
firewall simples, mas ainda assim seguro e confiável. Vamos criar um Hybrid Gateway,
juntando um Screened Host Gateway com o Application Gateway, em outras palavras
vamos utilizar um único computador para fazer a função do firewall, um bastion host que
também fará o papel de filtro de pacotes, Web Proxy e cache, com a sua ACL embutida.
Além disso, indicamos uma configuração de controle de tráfego de banda, CBQ, nas
interfaces de rede desse servidor.
Basicamente o que o CBQ faz é controlar a entrada e a saída das placas de rede de uma
máquina. Dessa forma podemos até colocar máquinas intermediárias em uma rede fazendo
forward de pacotes com prioridades distintas, como por exemplo, definir velocidades
máximas para cada cliente ligado a um roteador. O CBQ é um protocolo que se baseia em
uma regra de classificação e priorização de pacotes chamada Class Based Queue (CBQ),
onde podemos criar várias classes, cada uma com um limite de banda. Também podemos
criar classes "pais e filhas", formando uma árvore.
Para criação dessa configuração de CBQ, podemos fazer um script com esse intuito
utilizando roteamento ou utilizar os pacotes do próprio sistema operacional, iproute2 junto
com o shapercfg. Lembro que esses são pacotes já do sistema operacional UNIX e que
para utiliza-los basta instalar o serviço CBQ do Linux escolhido.
60
Para o filtro de pacotes e NAT, também iremos utilizar os recursos do sistema operacional,
o pacote de iptables com o iproute e o ipforward, a partir de um script de configuração
para o iptables, que guarda as configurações do mesmo e executa a cada reinicio do
servidor.
Com o iptables podemos criar um firewall bloqueando pacotes e portas, redirecionando
serviços, definir padrões de bloqueio e utilizar ambos os modos de filtragem, Stateless e
Stateful. O modo Stateless, é um filtro onde cada pacote é analisado de forma individual,
com uma conexão bidirecional. Já o modo Stateful analisa o histórico do pacote, baseado
em decisões que o firewall já tomou antes.
Para configurarmos o iptables precisamos identificar o que se quer proteger, os serviços e
máquinas, quais terão acesso livre e quais não. Essas escolhas são configuradas e assim a
ACL definida é utilizada pela ferramenta. Lembrando que é importante existir uma
configuração de Proxy transparente, onde os pacotes são diretamente direcionados para
serem avaliados pelo Web Proxy. Todos os registros gerados pelo iptables devem ser
analisados por um IDS, sendo assim é importante se ter essa integração.
Quanto ao serviço de Web Proxy e o serviço de cache, existem várias ferramentas na
comunidade que basicamente fazem a mesma coisa, com formas de configuração
diferenciadas ou em linguagens diferentes de programação.
O mais conhecido de todos os Web Proxys Open source e mais utilizado pela comunidade
de software livre é o squid, mas existem outros como gizmo-proxy, ModSecurity e
HoTTProxy. Iremos utilizar o squid simplesmente por ser o mais conhecido e utilizado, já
que os outros também possuem os nossos pré-requisitos que são a integração com o
iptables e um serviço de cache embutido.
Esses Web Proxys possuem um controle de acesso, que permite ou bloqueia o acesso de
conteúdos externos aos computadores internos ou usuários específicos de acordo com a
ACL, para os protocolos HTTP, HTTPS, FTP e Gopher (protocolo para procurar, distribuir
e acessar documentos na internet).
Assim como no iptables, o squid ou qualquer outro Web Proxy, precisa de uma
configuração de ACL. Essa ACL identifica usuários, máquinas, e conteúdo externo a rede,
além de horários e assim gera uma lista de acesso que se utiliza de grupos e perfis para sua
administração ou pedem ser integrados com um sistema de gestão de identidade que utiliza
o protocolo LDAP.
Ainda é recomendado o uso do sarg junto ao squid para geração de relatórios de acesso.
Assim o administrador ou interessados que tenham permissão, podem visualizar todo o
conteúdo que foi acessado pelo usuário, tanto o permitido quanto o bloqueado.
O squid pode ser baixado em: http://www.squid-cache.org ou através de apt-get, já que é a
ferramenta padrão de Web Proxy do UBUNTU. Quanto ao sarg, podemos fazer da mesma
forma, através do apt-get ou via o site: http://sarg.sourceforge.net.
61
Para finalizar a proteção do firewall precisamos selecionar um IDS (Intrusion detection
system), como o próprio nome diz é um sistema para detecção de intrusos na rede, ou ate
mesmo usuários internos mal intencionados. Existem varias formas de se utilizar um IDS e
a partir de suas configurações termos subsídios para identificar uma invasão a ate mesmo
saber como contra-atacar. Nesse projeto iremos utilizar o IDS em sua função mais simples,
que é conhecida como solução host-based, onde temos o IDS instalado na própria máquina
que analisa o tráfego de rede. Nosso intuito com isso é identificar possíveis ataques que ter
subsídios de minimizar os problemas que esse intruso pode causar ou ate mesmo bloquealo, mas em nenhum momento contra-atacar, inutilizando o invasor.
Temos boas ferramentas para IDS open source como o Snort, o Bro e o Suricata.
O snort depende de o sistema operacional estar configurado para gerar Logs de seus
serviços, já os IDSs, Bro e Suricata, são mais completos e independentes e possuem mais
funcionalidades que criam um controle muito maior sobre a atuação contra invasões, porem
essas configuração dependem de um conhecimento sobre invasões grande e criação de
regras especificas que são muito custosas. O snort por ser mais simples, atualiza sua lista de
regras genéricas de forma automática e concede uma boa proteção com uma configuração
menos custosa e por conta disso é o mais utilizado e o mais conhecido dos IDSs para
Linux, o que para o caso do projeto é mais que o suficiente e por isso é a nossa escolha.
O snort pode ser baixado em: http://www.snort.org ou através de apt-get, já que é a
ferramenta padrão de IDS do UBUNTU, já para atualização de suas regras, é preciso
configurar o script de atualização automática ou baixar em: http://www.snort.org/snortrules/#rules.
5.3.1 Escolha do Antivírus
A escolha do antivírus não foi uma das mais fácies, visto que não são comuns os antivírus
enquadrados como software livre, então, temos poucas opções de escolha. Como estamos
analisando uma arquitetura que poderemos ter servidores utilizando Linux e talvez algumas
máquinas usuárias na rede utilizando o sistema operacional Windows, iremos apresentar
alguns antivírus dividindo por duas categorias, para o sistema operacional Linux e para o
sistema operacional Windows.
Para Linux:
Temos poucos antivírus conhecidos entre as comunidades Linux, entre eles estão o clamav,
o LMD e o RKHunter. Esses são antivírus que como são especialmente desenvolvidos
para o ambiente Linux, possuem menos componentes, pois consideram que o sistema
operacional por si só já possui componentes para a defesa de outros tipos de ameaças.
A própria UBUNTU recomenda o uso apenas do clamav, já que a lista de ameaças é
pequena e está sempre atualizada nesse antivírus e na comunidade. A listagem de vírus e
62
worms está em: https://help.ubuntu.com/community/Linuxvirus. A UBUNTU também diz
que ainda que o Linux não acabe sendo infectado, os servidores continuarão transmitindo o
pacote (vírus) para os outros computadores, e assim é recomendado o uso de um antivírus.
A escolha do projeto, assim como a UBUNTU, também é apenas o antivírus clamav, mas
lembrando de que precisamos configurar ou saber que estão funcionando os serviços do
sistema operacional responsáveis por outros tipos de ameaças. Lembrando que para o caso
de se querer ter uma proteção ainda maior na rede recomendamos a integração do LMD ao
clamav.
Um deles é o mailwatch que é um dos mais avançados monitores e controladores de emails. Esta ferramenta filtra as entradas e saídas das mensagens e gera gráficos conforme
sua demanda e assim atua como um sistema Anti-spam. Essa ferramenta faz o controle de
analise do tráfego de e-mails registrado spam e vírus em circulação e assim se tem um
gerenciamento sobre esses problemas podendo atuar de maneira pró-ativa melhorando a
produtividade do usuário.
Outro é o iptables que é configurado como firewall pessoal e bloqueia as porta para
acessos indevidos ao computador, é por padrão configurado para ser um UFW
(Uncomplicated Firewall) onde o usuário não precisa de muito conhecimento para se
manter seguro.
Para Windows:
Incrivelmente existem vários antivírus gratuitos para Windows, mas quase nenhum open
source. Quando aparecem projetos de software livre para antivírus os mesmos se perdem e
acabam desatualizados como o smpav ou o openantivirus. Até mesmo o winpooch, que
possuiu a sua lista de vírus atualizada até marco de 2011 foi descontinuado. Dos antivírus
que estão em atualização, os mais conhecidos são o clamav+immunet e o clamwin. Como
o Clamwin e o Immunet possuem o mesmo núcleo do Clamav e a parte open source do
Clamwin é só uma interface com o usuário, exatamente como o Immunet, esse projeto
seleciona como escolha de antivírus para o ambiente Windows, por mais referencias a uso
na comunidade open source, o clamav+immunet.
Segue um pouco mais sobre alguns antivírus open source nos próximos itens.
5.3.2 Clamav
O ClamAV é um antivírus open source (GPL) projetado para detectar Trojans, vírus,
malwares e outras ameaça. É o padrão da comunidade open source para a averiguação de
vírus em servidores de e-mail. O mesmo fornece um alto desempenho para varredura de
arquivos a procura de vírus por utilizar uma arquitetura mutli-threaded, ou seja, conegue se
dividir em vários processos e ser executado em paralelo, escalável e flexível. Possui
63
utilitários de linha de comando para a varredura de arquivo de acordo com a demanda e é
uma ferramenta inteligente para atualizações automáticas.
Uma informação interessante é que o núcleo do ClamAV é uma biblioteca que fornece
mecanismos de detecção de vírus em inúmeros formatos de arquivos, inclusive possui um
método de averiguação em arquivos compactados e é a base para a maioria dos antivírus
open source.
Esse antivírus possui suporte através do site e do fórum, possui uma grande comunidade,
além de atender a diversas línguas, mas não o português. Ainda possui uma completa
documentação em http://www.clamav.net/doc/latest/html e as funcionalidades abaixo:









Analisador de linha de comandos;
Varredura rápida e com paralelismo, com suporte para análise automática;
Interface integrada com o Sendmail;
Atualizações diárias de novas listas de vírus para a base de dados com suporte para
scripts e assinaturas digitais;
Biblioteca C para analise viral;
Suporte incorporado para a maioria dos formatos de e-mail
Suporte incorporado para vários formatos de arquivos como Zip, RAR, Tar, Gzip,
Bzip2, OLE2, Cabinet, CHM, BinHex, SIS, entre outros;
Integração com documentos, MS Office e MacOffice, HTML, RTF e PDF;
Suporte incorporado a executáveis ELF, executáveis portáteis, comprimidos, com
UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack e ofuscados com SUE, Y0da
Cryptor e entre outros.
A versão para o Linux pode ser instalada diretamente pelo apt-get do UBUNTU como
descrito em: https://help.ubuntu.com/community/ClamAV
A versão para Windows é nomeada de Immunet, mas ainda utiliza o núcleo do Clamav e
trás uma interface para facilidade do usuário final como:







Detecção em tempo real de ameaças;
Atualização automática;
Varredura (Scan) agendada;
Varredura inteligente, configurável e rápida;
Todas as funcionalidades do ClamAV
Painel de footprint (Painel com informações do computador e da rede)
Área de Quarentena.
Como a base é o ClamAV e o modulo Windows é chamado de Immunet, o antivírus para
Windows é mais conhecido na comunidade por ClamAV+Immunet, que pode ter seu
download feito em: http://www.clamav.net
64
5.3.3 Clamwin
O Clamwin também é um antivírus software livre que usa o núcleo do ClamAV, assim
como o modulo Immunet. Basicamente são muito parecidos e possuem o mesmo núcleo
modificando a interface com o usuário.
A grande diferença é que esse antivírus possui integração com outros softwares
proprietários com licença para o uso, que entram onde falta a sua proteção como as
ferramentas de firewall pessoal, anti-spyware, e otimização e reparo de falhas do Windows.






Detecção em tempo real de ameaças;
Atualização diária automática;
Varredura (Scan) agendada;
Varredura inteligente, configurável e rápida;
Todas as funcionalidades do ClamAV;
Área de Quarentena.
Esse antivírus pode ser baixado em: http://www.clamwin.com.
5.3.4 LMD e RKHunter
O LMD (Linux Malware Detect) é um antivírus que se define como um malware scanner.
Esse faz mais uma varredura completa em busca de malwares numa rede e ainda possui
uma forte interação com o ClamAV, fazendo com que esse conjunto tenha ainda mais
proteção. Esse projeto LMD é baseado no código CYMRU malware hash registry, e
sozinho não remove worms e vírus, mas tem o intuito de varrer a rede em busca de
malwares e possui uma lista de limpeza e remoção de inject strings.
Já o RKHunter, na verdade não é um antivírus completo e sim um anti-rootkit. Esse
programa verifica rastros de um invasor, portanto é mais para uso após o problema que uma
prevenção. O mesmo pode ser baixado em: http://rkhunter.sourceforge.net
5.4 Escolha do Sistema de Monitoramento
Para ter um melhor controle sobre as aplicações e serviços que estão em funcionamento na
rede é imprescindível uma ferramenta de monitoramento. Essa é uma área é onde temos a
mais vasta quantidade de opções de ferramentas open source. Selecionamos as mais
conhecidas e utilizadas atualmente para, então escolher uma para o projeto.
65
Essas ferramentas estão cada vez mais completas, todas elas possuem agentes que são
instalados nos hosts que serão monitorados ou captam informação via SMNP. O
monitoramento feito trás as informações necessárias e que caso não atendam podem ser
feitas modificações e personalizações para melhor atender a necessidade de monitoramento.
A partir disso, sabemos que esses monitores são capazes de monitorar desde servidores,
máquinas desktop, dispositivos como switchs e hubs até diapositivos de controle de
temperatura ou outros que possuam o protocolo SMNP.
Para o nosso caso, temos uma prioridade em monitorar o hardware, o uso de CPU,
Memória e disco, além das interfaces de rede, roteadores, switches e hubs. Precisamos
também monitorar os serviços de rrdtool, filtro de pacotes e o web aplicaction. Precisamos
de almarmes por email para avisar aos administradores que ouve uma falha no ambiente ou
que algum erro pode vir a ocorrer. Esse tipo de analise e alerta todas as ferramentas open
source selecionadas possuem.
A maior dificuldade é como esses monitores funcionam para serviços específicos, como
aplication servers ou até sistemas legados de uma empresa. Outra dificuldade é como
implantar essas ferramentas, já que a instalação básica só monitora a própria máquina onde
essa foi instalada, então para configuração de monitores SMNP para outros dispositivos e a
instalação de agentes pode ser um problema.
Como para esse projeto a idéia é colocar o serviço de monitoramente no bastion host, a
dificuldade de implantação é mínima. Visando essa facilidade, identificamos que o próprio
sistema
operacional
UBUNTU
recomenda
duas
soluções
(https://help.ubuntu.com/10.04/serverguide/C/monitoring.html).
O Nagios (https://help.ubuntu.com/10.04/serverguide/C/nagios.html) e o Monin
(https://help.ubuntu.com/10.04/serverguide/C/munin.html) podem ser instalados via apt-get
e possuem uma configuração padrão que já configura um monitor para cada serviço
instalado no seu host. Sendo assim, esse projeto seleciona o nagios integrado com o cacti
(https://help.ubuntu.com/community/Cacti) e com o pnp4nagios pela sua maior utilização
e suporte na comunidade open source.
Seguem as ferramentas de monitoramento de ambientes que são enquadradas como
software livre:
1.1.1 Munin
O Munin é uma ferramenta de monitoramento de redes, onde também podemos analisar
ameaças a partir de gráficos gerados com uma ferramenta rrdtool. Apresenta uma interface
web rodando no Web Aplication Apache 2, é escrita em perl e seu diferencial esta em
avaliar os serviços monitorados guardando um histórico e comparando com o status atual,
trazendo as diferenças.
66
O Munis também é uma ferramenta recomendada pela UBUNTU e pode ser instalada via o
apt-get ou via seu site: http://munin-monitoring.org.
1.1.2 Nagios com cacti e pnp4nagios
O Nagios é a ferramenta open source de monitoramento de redes mais conhecida e utilizada
nos sistemas operacionais baseados em UNIX. Ele não é uma única ferramenta, na verdade
é um repositório de pequenos scripts de monitoramento padronizados.
Para desenvolver um modulo, plugin ou script para o nagios, existem uma serie de regras e
a partir delas se tem uma integração entre elas. Com isso existe uma infinidade de
monitores desenvolvidos pela comunidade para todos os serviços possíveis e para o caso de
sistemas legados, podemos desenvolver um script para seu monitoramento, com um suporte
da comunidade nagios.
O nagios não possui uma ferramenta rrdtools, mas é pode ser integrada ao snort e ao cacti
que apresenta gráficos e dados estatísticos gerados a partir dos registros do snort. Assim
temos uma ferramenta especializada em cada função e não uma tentando atender todas as
áreas.
Para geração de dados estatísticos e gráficos das informações geradas pelo nagios, temos o
plugin pnp4nagios, entre muitos outros, que apresenta gráficos históricos e relatórios
personalizados.
A comunidade do nagios ainda apresenta painéis e diversas outras funcionalidades, que de
acordo com a necessidade de apresentação ou captação de informação podem ser
adicionados e isso é a grande força dessa ferramenta.
O nagios, conforme dito pode ser instalado via apt-get ou pode ser feito o seu download
em: http://nagios.org, junto com seus plugins. O cacti é encontrado em http://www.cacti.net
e o pnp4nagios em http://www.pnp4nagios.org.
1.1.3 Pandora e Zabbix
O Pandora e o Zabbix possuem uma visão mais corporativa, chamados de All-in-one, uma
única solução para todo o monitoramento. São monitores distribuídos de rede, que possuem
ferramentas rrdtools, geradores de relatórios, dashboards com drillup e dropdown, possuem
histórico em banco de dados, entre outras funcionalidades. São a melhor opção quando
falamos de gestores querendo apresentar dados justificando o custo com o monitoramento e
em grandes empresas. Essas ferramentas são enormes com diversos módulos, já com tudo
que é necessário incluso.
O grande diferencial do Pandora são seus painéis configuráveis, que possuem mapas, onde
pode-se separar os servidores por região e com cliques no mapa fazendo drilldown até
67
chegar a informação do que está alamarmando. Pode-se fazer o donwload do Pandora e sua
documentação em: http://pandorafms.org.
Já o Zabbix, tem o maior dos atrativos para instituições do governo, que é o suporte em
português. Ele possui uma comunidade brasileira em: http://zabbixbrasil.org, além de outro
diferencial é a facilidade do controle dos objetos de monitoramento. Esse sistema pode ser
baixado tanto na comunidade brasileira quanto na comunidade mundial em:
http://www.zabbix.com.
Outro atrativo do Zabbix é uma ferramenta wiki em português, contendo uma boa base de
conhecimento para o estudo de seu desenvolvimento e personalização. O mesmo é utilizado
por varias instituições no Brasil, tendo uma base de casos de sucesso para respaldo de ser
uma ótima escolha corporativa na cultura Brasileira.
5.5 Escolha do backup
Como para esse projeto a quantidade de arquivos e serviços para serem feitos backup são
pequenos, iremos utilizar o backup completo apenas. Para esse caso iremos utilizar o
próprio sistema operacional para fazer esse backup utilizando o comando TAR.
Para isso precisamos apenas criar um script utilizando o comando TAR e colocar no
agendamento do sistema operacional de acordo com a política adotada.
Exemplo de backup:
# tar -cvpzf /backup.tgz --exclude=/proc --exclude=/lost+found --exclude=/backup.tgz -exclude=/mnt --exclude=/sys /
Exemplo de restauração:
# tar xvpfz backup.tgz -C /
68
6 Exemplo de Implementação da Proposta
Com o intuito de avaliar a solução proposta iremos exemplificar a proposta de processo
realizada. No mesmo, vamos utilizar o processo e as ferramentas propostas e assim chegar a
uma solução com software livre para atender a alguns pontos das normas em questão.
O exemplo abaixo é na verdade uma definição de cenário, onde, a partir da norma ABNT
NBR ISO / IEC 27001, podemos chamar de Escopo.
Exemplo de Implantação: Parque Computacional de uma Faculdade
Uma Faculdade necessita informatizar seus serviços. Possui uma sala de informática com
10 computadores e mais 10 computadores de funcionários e professores. A mesma precisa
de um site na internet para divulgação de seus trabalhos e informações sobre seus cursos.
Os professores poderão ter subáreas no site para publicação do material didático de cada
curso. Internamente é preciso ter um repositório para armazenar arquivos de professores e
funcionários e, em separado, arquivos de alunos. A faculdade também irá precisar de um
serviço de e-mail para comunicação, desde cancelamentos e reposições de aulas até debate
sobre determinado assunto. Haverá acesso interno à internet, mas o mesmo deve ser
controlado para que conteúdo impróprio não possa ser acessado de dentro da faculdade.
Finalizando, a faculdade necessita de um controle sobre seus ativos, como computadores,
servidores e impressoras.
6.1 Analise Tecnológica
De acordo com o processo proposto iremos identificar qual a necessidade tecnológica da
faculdade e que tipo de infraestrutura será necessário para atender o negócio e seus
objetivos.
6.1.0 Levantamento de requisitos tecnológicos
Com vista no estudo de caso proposto, foram levantadas as seguintes necessidades:
 Será necessário o desenvolvimento de um sistema que cadastre os alunos e suas
informações, assim como professores e funcionários. O mesmo deve poder
apresentar as informações pertinentes via web.
 Será necessária a implantação de um serviço de e-mail onde as informações contidas
no mesmo sejam confidenciais, autênticas, íntegras e que seu acesso se dê apenas
através do login de seus usuários.
 Será necessária a implantação de um servidor de arquivos para armazenar os
documentos e informações de alunos, professores e funcionários. Esse serviço deve
69
estar disponível de acordo com a necessidade da instituição – neste caso, 24 horas
por dia durante 7 dias na semana – e deve possuir um controle de acesso de acordo
com uma política de acesso definida.
 Será necessária a implantação de um serviço Web (servidor HTTP) para
disponibilizar, de forma segura, as informações na Internet.
6.1.1 Sistema de cadastro e comunicação entre alunos, professores e
funcionários: Moodle
Para não haver desenvolvimento desnecessário de um software e com um custo alto, iremos
utilizar uma ferramenta já consolidada na comunidade de educação. Com o intuito de
atender ao requisito de cadastrar alunos, professores e funcionários e disponibilizar
informações pertinentes a cursos, além de separar áreas do sistema para cada curso em
questão, iremos utilizar a ferramenta moodle.
O moodle é uma ferramenta Open Source de gestão de conteúdo com foco para a educação.
Existe um termo que define essa ferramenta que é CMS (Course Management System) ou
Sistema de gerenciamento de cursos, além de AVA (Ambiente Virtual de Aprendizagem).
O intuito dessa ferramenta é ajudar os professores a gerirem conteúdo de forma dinâmica
para seus alunos através da web e utilizando uma infraestrutura simples, a partir da própria
instituição de ensino ou até mesmo de seus próprios computadores. O foco do projeto
moodle é disponibilizar aos professores uma ferramenta para gerenciar e promover a
aprendizagem.
As principais características dessa ferramenta são:

Escalabilidade – Usabilidade em grande escala para centenas de milhares de
estudantes, mas também pode ser usado para uma escola primária ou um entusiasta
da educação;

Ambiente Virtual – Contém módulos que permitem a realização de cursos
totalmente on-line;

Comunidade – Contém módulos que permitem diferentes atividades como fóruns,
wikis e bancos de dados, com o intuito de construir comunidades amplamente
colaborativas de aprendizagem em torno de seu tema.

Geração de conteúdo – Contém módulos que permitem um fornecimento de
conteúdo aos alunos de forma dinâmica.

Avaliação – Contém módulos que permitem avaliar a aprendizagem utilizando
tarefas ou testes.
70
O moodle pode ser instalado via apt-get, já que possui suporte da comunidade UBUNTU e
o passo a passo para sua instalação esta em: http://docs.moodle.org/20/en/Step-bystep_Installation_Guide_for_Ubuntu. O mesmo também pode ser baixado em:
http://moodle.org.
6.1.2 Sistema para e-mail: Google Mail - Gmail
O custo para implantação de um email interno é alto, ainda temos a manutenção e
segurança do mesmo que depende de mão de obra. Assim podemos utilizar um serviço de
e-mail gratuito e que atenda a uma instituição de ensino desde que possua uma segurança
mínima.
A norma ABNT NBR ISSO / IEC 27002 no capítulo 0.4 Analisando/Avaliando os riscos de
segurança da Informação diz que o custo para implantação da segurança não deve ser
superior ao custo da própria informação, sendo assim é aconselhável terceirizar esse risco
para um email gratuito.
Iremos utilizar o serviço de e-mail da empresa Google, que é reconhecida mundialmente e
que muitos departamentos de instituições acadêmicas como a UNIRIO (Universidade
Federal do Estado do Rio de Janeiro) o utilizam.
Para se cadastrar gratuitamente no Gmail basta entrar no site do Google e comprovar que o
e-mail corporativo é para uma instituição pública de ensino. Os termos do serviço estão no
link: http://www.google.com/apps/intl/pt-BR/terms/premier_terms.html
6.1.3 Sistema para serviço web: Apache2
Para atender ao requisito de infraestrutura da necessidade de um servidor http, iremos
utilizar o Apache 2 que pode ser instalado a partir do comando apt-get do UBUNTU ou
pelo site do projeto Apache da The Apache Software Foundation (http://www.apache.org)
disponível em: http://httpd.apache.org.
Selecionamos o mesmo para publicar nossas aplicações por ser o servidor http de software
livre mais utilizado no mundo e com maior número de recomendações na internet.
O Apache 2 possui uma equipe de segurança que verifica a existência de bugs ou falhas de
segurança que são informadas no link abaixo:
http://httpd.apache.org/security_report.html
71
6.1.4 Servidor de Arquivos: Samba
Para atender ao requisito de infraestrutura da necessidade de um servidor de arquivos, que
irá armazenar os documentos e informações de alunos, professores e funcionários, iremos
utilizar o próprio sistema operacional UBUNTU. Porém, para compartilharmos esses
arquivos com o restante da rede, iremos utilizar o serviço samba para compartilhamentos
com ambiente Windows e com protocolo NTP (Network File System) para ambiente UNIX.
Para a segurança do acesso e a ACL desses arquivos, iremos configurar o samba por grupos
de perfis e liberar acessos por perfil para leitura e acesso individual para cada usuário de
cada professor de acordo com os seus diretórios.
Quanto ao backup, esse será semanal completo e pode ser guardado em um disco externo
que pode ficar guardado em outro local que não seja o CPD (Centro de Processamento de
Dados) dessa faculdade.
Quanto ao Samba (http://www.samba.org), esse serviço utiliza o protoco SMB e
compartilha arquivos e cria domínios no padrão Microsoft no ambiente UNIX, permitindo a
conexão de máquinas com ambiente Windows. O protocolo SMB (Server Message Block)
que funciona como um aplicativo em nível de rede, também fornece um mecanismo de
autenticação Inter-Process Communication permitindo então essa integração de domínios
de redes em diferentes sistemas operacionais.
Lembrando que a comunidade Ubuntu presta suporte à ferramenta samba e possui até
mesmo
um
manual
para
sua
instalação
em:
https://help.ubuntu.com/10.10/serverguide/C/samba-fileserver.html.
6.2 Levantamento de riscos
Para atender ao processo precisamos agora listar os riscos que temos para implantar a
automação na faculdade.
Para fazer o levantamento dos riscos desse caso, tivemos que analisar cada uma das
ferramentas utilizadas e principalmente que tipo de informação pode ser perdida ou
indisponibilizada. Analisamos se a informação está sendo vista apenas por aqueles que
possuem o devido acesso, se estão sendo alteradas pelas pessoas que realmente se dizem ser
e se essa está completa, sem alterações indevidas.
Também foi levado em consideração o capitulo 4.1 da norma ABNT NBR ISSO / IEC
27002 que diz que os riscos devem ser analisados de forma que o escopo do projeto seja
claramente definido para que os resultados sejam eficazes.
72
Lista de Riscos:
Acesso indevido aos Arquivos na Rede
Indisponibilidade dos Arquivos na Rede
Acesso indevido a informações do Moodle
Indisponibilidade do Moodle
Acesso indevido aos e-mails
Indisponibilidade do E-mail
Roubo de Equipamento
Indisponibilidade de mão-de-obra
Descrição dos Riscos:
Acesso indevido aos Arquivos na Rede: Alunos ou terceiros podem copiar provas antes das
mesmas serem aplicadas.
Indisponibilidade dos Arquivos na Rede: Provas ou documentos usados na aula podem
estar indisponíveis no momento do professor imprimir ou preparar a aula.
Acesso indevido a informações do Moodle: Informações de alunos, professores e
funcionários podem ser roubadas e notas das provas podem ser alteradas.
Indisponibilidade do Moodle: Informações sobre alunos, professores e funcionários podem
estar indisponíveis no momento de necessidade das mesmas, para conferência ou
simplesmente para alteração, as notas das provas ou avisos podem não chegar aos alunos
por conta dessa falta de disponibilidade.
Acesso indevido aos e-mails: Informações das mensagens pessoais ou sobre a faculdade
podem ser lidas por pessoas não autorizadas.
Indisponibilidade do e-mail: Alguma informação pode não ser entregue ao destinatário no
momento correto.
Roubo de Equipamento: Uma impressora, um mouse ou mesmo uma memória de
computador podem ser roubados.
Indisponibilidade de mão-de-obra: Um profissional com conhecimento para atender a um
certo quesito se segurança pode não estar disponível para atender ao problema.
73
6.3 Análise dos riscos
Nesse momento iremos analisar os riscos identificados para conhecer o grau de perigo de
cada um deles e seus impactos caso aconteçam. Nesta etapa analisaremos e pontuaremos as
prioridades, observando quais serão tratados ou contidos, aceitos, mitigados ou mesmo
transferidos a terceiros. Para cada ponto existe uma análise e valoração feitas pelo analista
de segurança, a partir de seu conhecimento e experiência, ou seja, um valor subjetivo, mas
que agrega na tomada da decisão por qual ação realizar.
Nessa primeira planilha de Riscos (Tabela 3 – Planilha de Riscos – Probabilidade/Impacto),
temos os Riscos Levantados, o nível de Probabilidade de ocorrência de um risco e o Grau
do risco.
O nível de probabilidade de ocorrência para o caso desse projeto pode ser qualificado como
Baixo, Médio ou Alto. Esse valor serve para avaliar se esse risco pode ou não ocorrer com
facilidade ou é algo difícil de acontecer. Para o nosso projeto, os valores adotados são
baseados nas experiências e em uma analise empírica do analista de segurança e servem
para exemplificar o processo proposto.
Quanto ao Grau de Impacto, também cabe ao analista avaliar entre os valores Baixo, Médio
ou Alto, levando em conta caso ocorra esse risco, qual o nível de impacto para a instituição.
Tabela 3. PLANILHA DE RISCOS – PROBABILIDADE/IMPACTO
Planilha de Riscos de Segurança da Informação SegInf
Risco
Acesso indevido aos Arquivos na Rede
Indisponibilidade dos Arquivos na Rede
Acesso indevido a informações do Moodle
Indisponibilidade do Moodle
Acesso indevido aos e-mails
Indisponibilidade do E-mail
Roubo de Equipamento
Indisponibilidade de Mao de Obra
Probabilidade de Ocorrência
Baixo
Médio
Baixo
Médio
Baixo
Baixo
Baixo
Médio
Grau
Impacto
Alto
Médio
Alto
Médio
Médio
Pequeno
Alto
Alto
de
Na segunda planilha (Tabela 4 – Planilha de Riscos – Serviço/Custo/Software), temos o
serviço ao qual pertence o risco, o custo de implantação de mecanismos para segurança
com o intuito de redução do risco e o software livre responsável pelo serviço. Para os
valores de custo contra o risco novamente teremos a escolha pelo analista de segurança
entre Baixo, Médio ou Alto, seguindo o mesmo critério da Tabela 3.
74
Tabela 4. PLANILHA DE RISCOS – SERVIÇO/CUSTO/SOFTWARE
Planilha de Riscos de Segurança da Informação SegInf
Risco
Serviço
Custo contra o risco
Software
Utilizado
Acesso indevido aos Arquivos na Rede
Indisponibilidade dos Arquivos na Rede
Acesso indevido a informações do Moodle
Indisponibilidade do Moodle
Acesso indevido aos e-mails
Indisponibilidade do E-mail
Roubo de Equipamento
Indisponibilidade de Mao de Obra
Servidor de Arquivos
Servidor de Arquivos
Servidor HTTP
Servidor HTTP
E-mail
E-mail
Hardware
Recurso Humano
Baixo
Médio
Baixo
Médio
Alto
Alto
Alto
Médio
Samba
Samba
Apache
Apache
Gmail
Gmail
-
Na terceira e última planilha (Tabela 5 – Planilha de Riscos – Ação/Custo), temos a Ação
imediata tomada pelo administrador do serviço caso o risco ocorra e o custo gerado pela
ocorrência do risco. Para os valores de custo pela falha teremos a escolha pelo analista de
segurança entre Baixo, Médio ou Alto, seguindo o mesmo critério da Tabela 3. Já para a
ação imediata teremos a escolha entre tratados ou contidos, aceitos, mitigados ou mesmo
transferidos a terceiros.
Tabela 5. PLANILHA DE RISCOS – AÇÃO/CUSTO
Planilha de Riscos de Segurança da Informação SegInf
Risco
Ação Imediata Custo pela Falha
Acesso indevido aos Arquivos na Rede
Mitigado
Alto
Indisponibilidade dos Arquivos na Rede
Contornado
Médio
Acesso indevido a informações do Moodle
Mitigado
Alto
Indisponibilidade do Moodle
Contornado
Médio
Acesso indevido aos e-mails
Terceiros
Alto
Indisponibilidade do E-mail
Aceito
Baixo
Roubo de Equipamento
Tratado
Alto
Indisponibilidade de Mao de Obra
Tratado
Alto
No caso de Aceito, as consequências do risco serão entendidas como impactantes, mas
nenhuma ação será tomada. No caso de Tratado, será avaliada a falha e solucionada
internamente. Quanto à opção Contornado, será selecionada uma solução imediata para
manter o serviço temporariamente disponível até que se tenha mais conhecimento sobre a
causa da falha. Caso a ação seja um risco Mitigado, serão avaliadas as causas e reduzidas as
probabilidades de ocorrência do risco. E, no caso de Terceiros, serão contatadas empresas
terceiras para solucionar a falha.
75
6.4 Requisitos de Segurança
Por questões relacionadas com a segurança da rede, será necessário dividi-la em três subredes, denominadas sub-rede Alunos, sub-rede Funcionários e sub-rede servidor UBUNTU.
Será necessária a implantação de um serviço de inventário para o parque de ativos da
faculdade.
Política de acesso à informação:
 O acesso para modificação da informação deve ser somente interno;
 Alunos podem apenas ler, funcionários podem modificar informações gerais e
professores podem modificar informações sobre os cursos e sobre o aluno no
determinado curso;
 Deve haver um controle de acesso a conteúdo impróprio dentro da faculdade;
 O material didático deverá ser publicado na sub-área do site do curso e em PDF.
Planilha de riscos de segurança:
 A proposta de segurança deve estar alinhada com os requisitos tecnológicos da
instituição e com a norma adotada, sendo assim essa proposta deve atender aos
riscos elencados e analisados na planilha de riscos de segurança apresentada.
Proposta contemplando requisitos de segurança:
 Implantação de uma rede com três sub-redes diferentes para alunos, professores e
funcionários, e outra para o serviço Web, que será configurado como um firewall
Hybrid Gateway, apontado no capitulo 5.3;
 Utilizar o antivírus selecionado no servidor UBUNTU e os antivírus para máquinas
desktops, conforme selecionado no capitulo 5.4;
 Usar um sistema de monitoramento para a Rede, computadores e tráfego de rede, e
conforme capítulo 5.5;
 Os horários das máquinas locais e do servidor UBUNTU serão apontados
diretamente para o servidor NTP do Brasil ntp.br.
 Usar o e-mail gratuito Gmail do Google como forma de cortar custos e melhorar o
foco da gestão de segurança do ambiente. A escolha de um serviço de e-mail seguro
disponibilizado gratuitamente via internet é aconselhável, pois a implementação e a
segurança interna do mesmo teria um custo elevado e, de acordo com a norma
ABNT NBR 27002, no capitulo 4 teremos que analisar e avaliar os riscos, além de
balancear os gastos de acordo com os danos causados ao negócio. Nesse caso, o
risco é pequeno e o custo para implementar este serviço internamente é grande.
 Implantar um “Servidor HTTP” no servidor UBUNTU para disponibilizar o Portal
na Internet.
Essa proposta é baseada no estudo da norma ABNT NBR ISSO / IEC 27002, nas análises
dos riscos contemplados no capítulo 4.1 e principalmente no tratamento desses riscos de
76
segurança da informação conforme o capítulo 4.2 dessa norma. As recomendações de
organização são baseadas em boas práticas de Governança de TI e atende aos pontos do
capítulo 6 de organização de segurança da informação. Mesmo o que não foi contemplado
na proposta, foi identificado e avaliado de acordo com os objetivos da corporação e isso é
exatamente o que recomenda o capítulo 0.3 da norma, onde a segurança deve estar alinhada
com as expectativas e objetivos, além de que seu custo deve condizer com a importância da
informação que esta sendo guardada.
6.5 Definição de controles
Nesse momento devemos definir as ACLs dos serviços:
Para o Web Proxy:
 Somente usuários da rede interna poderão utilizar o Proxy (internet) e somente nos
horários entre 8h e 20h;
 Somente os professores e funcionários poderão utilizar sem restrições o acesso à
internet;
 Alunos terão acesso à internet, mas com filtro de sites impróprios;
 O usuário administrador tem acesso completo à administração do Proxy e não tem
restrição de acesso a internet.
Para o acesso aos Arquivos:
 Cada Aluno tem acesso de leitura ao diretório do curso em que está inscrito, no
servidor de arquivos;
 Cada professor tem acesso completo apenas ao seu diretório e aos diretórios dos
cursos que é o ministrante no servidor de arquivos;
 Cada funcionário tem acesso completo apenas aos diretórios com os documentos
administrativos no servidor de arquivos;
 Cada funcionário tem acesso de leitura aos diretórios de todos os cursos no servidor
de arquivos;
 O administrador tem acesso a todos os diretórios.
Para o acesso ao Moodle:
 Cada Aluno tem acesso de leitura ao curso em que está inscrito no moodle;
 Cada professor tem acesso completo apenas aos cursos que é o ministrante no
moodle;
 Cada funcionário tem acesso completo às informações de alunos, professores e
funcionários no moodle;
 Cada funcionário tem acesso completo às informações de todos os cursos no
moodle, menos a área de avaliação (onde estão as notas dos alunos);
 O administrador tem acesso completo à administração do moodle, mas não tem
acesso a nenhuma informação de cursos, alunos, professores ou funcionários.
77
Para o acesso aos dados de monitoramento:
 Cada funcionário tem acesso de leitura às informações de monitoramento;
 O Administrador tem acesso completo de administração e acesso completo às
informações.
Para a administração dos serviços:
 Somente o usuário administrador terá acesso a toda a administração de todos os
serviços e somente pela rede de funcionários.
6.6 Implantação de ferramentas
Nesse momento se dá a implantação propriamente dita das ferramentas, cada qual com sua
instalação, configuração e testes. É importante que o responsável por essas implantações
seja o futuro administrador ou equipe administradora. Deve-se lembrar de todos os padrões
adotados nesse documento, como o de senhas, e todas as pretensões devem ser utilizadas.
6.7 Manutenção das ferramentas
Para mantermos um nível aceitável de segurança das ferramentas, temos que mantê-las
sempre atualizadas, para diminuir os riscos oriundos de bugs e exploits.
Sendo assim, esse projeto recomenda que se verifiquem as notícias de segurança do sistema
operacional UBUNTU em: http://www.ubuntu.com/usn, de forma disciplinar em períodos
constantes de tempo (por exemplo: semanal), a fim de estar com o ambiente de acordo com
as recomendações da própria UBUNTU. Essa URL é um RSS feed, portanto pode ser
assinado e verificado periodicamente junto com outras informações da faculdade.
Para esse projeto essas atualizações são ainda mais importantes já que todas as propostas de
implantação são baseadas em pacotes do próprio sistema operacional.
Além disso, a atuação de manutenção deve sempre verificar os dados informados nos
serviços de monitoramento a fim de manter tanto os hardwares quanto os softwares em
pleno funcionamento e com previsão de crescimento.
6.8 Análise crítica da solução utilizando as ferramentas propostas
Existem soluções que podem ser adotadas com software livre, existem soluções que podem
ser adotadas com software proprietário, mas qual seria a melhor solução para a empresa em
questão?
Devemos sempre ponderar o custo benefício, e como a própria norma ABNT NBR ISO /
IEC 27002 salienta, devemos entender os objetivos e metas da corporação, para adequar a
segurança da informação ao que é de fato necessário.
78
O software livre pode não ter o melhor custo beneficio, pode nem ter o melhor custo, afinal
pode ser pago e os técnicos que trabalham com essas ferramentas podem ter um custo mais
elevado. O software proprietário pode ser gratuito ou até mesmo com um custo aceitável e
que atenda como nenhum outro aos requisitos específicos do caso em questão.
Sendo assim, cada projeto precisa de uma análise, pois cada caso é diferente. Identificamos
que o software livre utilizado no projeto da faculdade atende aos requisitos analisados,
talvez não da melhor forma técnica, mas da maneira mais alinhada com as metas e aos
requisitos levantados. E o principal objetivo que é, junto ao processo adotado, atender a
norma ABNT NBR ISSO / IEC 27002.
6.9 Processo de melhoria contínua
Nesse momento já temos estabelecido o parque tecnológico da empresa, no nosso caso da
faculdade. As ferramentas já estão implantadas e suas rotinas de manutenção já são
realizadas pelos seus responsáveis. Porém não se pode ficar estagnado, a segurança deve
evoluir de acordo com a evolução dos requisitos e criação de novos requisitos.
Vamos a um exemplo de um novo requisito na faculdade que é a necessidade de um serviço
de impressão, onde serão compradas duas impressoras. A partir da identificação desse
requisito devemos realizar novamente todo o processo de segurança para esse requisito,
como identificar e analisar os riscos, selecionar uma solução, hardware e software, definir
controles e realizar a implantação, além de gerar um processo de manutenção, que no caso
das impressoras podem conter terceiros.
Além disso, devemos reavaliar as políticas de segurança e de acesso, para tentar sempre
melhorar a rotina de trabalho da empresa, alinhando sempre com o objetivo da mesma. Isso
pode ser feito anualmente, ou num período que atenda ao caso em questão.
79
7 Conclusão
Durante o projeto, destacamos a importância da informação, de como esta é um ativo da
corporação e que, como tal, deve ser assegurada de acordo com a sua importância. Para isso
devemos alinhar os requisitos tecnológicos com as metas e objetivos da instituição, através
de processos bem organizados como descrevem as boas práticas ou metodologias de
governança de TI.
Para entendermos melhor a segurança da informação, foram apresentados os seus pilares,
nos quais conseguimos identificar onde podem existir riscos – afinal, a própria quebra de
um desses pilares é um fator de falhas e riscos à informação.
Esses pilares são a confidencialidade, a autenticidade, a integridade, a disponibilidade, o
controle de acesso e o não repudio. A confidencialidade, como o próprio nome diz é a
garantia da informação ser confidencial, ou seja, ser vista apenas por aqueles que devem ter
esse acesso. A autenticidade é a garantia de que a entidade ou pessoa é quem se diz ser. Já a
integridade é a garantia de que a informação está inalterada e completa, conforme sua
geração, quando é acessada pelo destinatário. A disponibilidade é a garantia de um serviço
ou informação estar acessível ou disponível. O controle de acesso é na verdade uma nuance
do pilar de confidencialidade, já que garante o controle e registro dos acessos à informação.
E, para finalizar, o não repudio é também uma nuance de outro pilar, a autenticidade, já que
é a garantia de geração da informação e do dono da mesma.
Além disso, estudamos as varias ameaças que podem existir contra a informação e aos
serviços adotados pelo projeto, descrevendo e identificando medidas de prevenção,
mudanças na rotina e até formas de criação de senhas para diminuir ao máximo as falhas
que possam existir.
Estudamos a norma ABNT NBR ISSO/IEC 27002 e seguimos as suas diretrizes dentro de
todas as etapas do projeto. Desde o levantamento e análise dos riscos de segurança até a
gestão dos serviços, passando por gestão de incidentes, controles de acessos e outras
diretrizes que incrementam a segurança da informação das instituições.
Para implantar os meios de segurança apresentamos as ferramentas que tornam serviços e
informações digitais seguras como firewall, NAT, IDS, serviços de monitoramento, ACLs
entre outros. Também selecionamos ferramentas de software livre para implantar a
segurança da informação, depois de entender que o conceito básico do software livre é o de
um programa que pode ser utilizado, estudado, aperfeiçoado e distribuído, a partir do seu
código fonte que está disponível para qualquer pessoa.
Entendemos que não necessariamente uma ferramenta com a melhor tecnologia ou que
possui o maior número de funcionalidades é aquela que deve ser adotada por um projeto.
Não necessariamente uma ferramenta com o maior custo é aquela que irá atender a todas as
demandas de uma corporação. A partir disso, entendemos que precisamos alinhar as
80
necessidades, objetivos e metas da entidade com os processos e, assim, com as ferramentas
utilizadas.
Uma ferramenta proprietária talvez traga tudo aquilo que um técnico quer, mas será que o
seu custo é condizente com o valor da informação que ele guarda? Talvez seja, talvez não será necessário analisar o caso, pois cada entidade tem objetivos e metas que podem ser
diferentes umas das outras.
Apresentamos também a norma ABNT NBR ISSO / IEC 27001:2006, que descreve um
modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar a Gestão de Segurança da Informação junto com o modelo FCAPS, que define as
áreas funcionais de gerência de redes de computadores.
A partir disso, propusemos um processo para atuar de forma a selecionar um parque
tecnológico a partir da norma ABNT NBR ISSO / IEC 27002. Identificamos, através do
mesmo, que a partir do uso de software livre é possível ter uma instituição segura atuando
dentro das normas de segurança apontadas no projeto.
81
8 Referências
[ISO / IEC 27002]
ISO/IEC 27002, Information technology – Security techniques – Code of practice for
information security management, 2005.
[ABNT NBR ISO/IEC 27002]
ABNT NBR ISO/IEC 27002, Tecnologia da Informação, Técnicas de Segurança –
Código de prática para a gestão da segurança da informação, Associação Brasileira de
Normas Técnicas, Rio de Janeiro, 2007.
[NBR ISO IEC 27001:2006]
ABNT NBR ISO/IEC 27001 - 2006, Tecnologia da Informação, Técnicas de Segurança –
Sistemas de gestao de seguranca da informacao - Requisitos, Associação Brasileira de
Normas Técnicas, Rio de Janeiro, 2006.
[Kurose & Ross 2006]
Kurose, James F. & Ross, Keith W. , Redes de computadores e a internet: Uma abordagem
top-down ; Tradução Arlete Simille Marques ; Revisão Técnica Wagner Luis Zucchi. – 3ed
– São Paulo : Pearson Addison Wesley, 2006.
[SRM 2003]
Security Risk Management: Security Strategies For Managing Vulnerabilities and threats to
Critical Digital Assets, 2003.
[PMBOK 2004]
PMI, Project Management Institute, Inc, A Guide to the Project Management Body of
Knowledge: (Pmbok Guide) – 4ed – Pennsylvania, USA, 2004.
[Oliveira & Costa 2000]
Oliveira,Gorki Starlin Costa, Segurança Completa contra Hackers, Editora Book Express,
2000.
E. Amoroso, Fundamentals of Computer Security Technology, Prentice Hall,1994.
M. Bishop, Computer Security: Art and Science, Addison Wesley, 2003.
BEAL Adriana, GESTÃO ESTRATÉGICA DA INFORMAÇÃO: Como Transformar a
Informação e a Tecnologia da Informação em Fatores de Crescimento e de Alto
Desempenho nas Organizações – 1ª edição, 2004.
J. H. Saltzer, The Protection of Information in Computer Systems, acessado em: 06 de
setembro de 2011 <http://web.mit.edu/Saltzer/www/publications/protection/index.html>.
82
Guia Livre – Referência de Migração para Software Livre do Governo Federal,
Organizado por Grupo de Trabalho Migração para Software Livre. Brasília, 2005.
RNP – Rede Nacional de Pesquisa, acessado em: 06 de setembro de 2011
<http://www.rnp.br>.
CERT.BR – Centro de Estudos, Resposta e Tratamento de incidentes de Segurança no
Brasil, acessado em: 06 de setembro de 2011 <http://www.cert.br>.
NIC.BR – Núcleo de Informação e Coordenação do Ponto BR, acessado em: 06 de
setembro de 2011 <http://www.nic.br>.
UBUNTU – UBUNTU Community, acessado em: 06 de setembro de 2011
<http://www.ubuntu.com>.
UBUNTU-BR – Comunidade UBUNTU do Brasil, acessado em: 06 de setembro de 2011
<http://www.ubuntu-br.org>.
GNU – GNU free software operating system, acessado em: 06 de setembro de 2011
<http://www.gnu.org>.
ITSMF – IT Service Management Forum – Brasil, acessado em: 06 de setembro de 2011
<http://www.itsmf.com.br>.
IBGC – Instituto Brasileiro de Governança Corporativa, acessado em: 06 de setembro de
2011 <http://www.ibgc.org.br>.
BSI – Balanced Scorecard Institute, acessado em: 06 de setembro de 2011
<http://www.balancedscorecard.org>.
SEI – Software Engineering Institute, acessado em: 06 de setembro de 2011
<http://www.sei.cmu.edu>.
APMG – The APM Group Ltd, acessado em: 06 de setembro de 2011 <http://www.apmginternational.com>.
CERTIC.BR – Centro de Estudos sobre as Tecnologias da Informação e da Comunicação,
acessado em: 06 de setembro de 2011 <http://www.cetic.br>.
SANS.ORG – SANS
<http://www.sans.org>.
Institute,
acessado
em:
11
de
setembro
de
2011
FSF – Free Software Foundation, acessado em: 11 de setembro de 2011
<http://www.fsf.org>.
83