SANDRA TRALHÃO
POLÍTICAS DE SEGURANÇA DE SISTEMAS DE
INFORMAÇÃO -
FORMA E FUNDO
BRAGANÇA
SETEMBRO DE 2008
I
POLÍTICAS DE SEGURANÇA DE SISTEMAS DE
INFORMAÇÃO -
FORMA E FUNDO
Projecto de Informática
submetido a Escola Superior de
Tecnologia e Gestão do
Instituto Politécnico de
Bragança, como parte dos
requisitos para a obtenção do
grau de Licenciatura em
Informática de Gestão, sob
orientação de Dr.ª Isabel Lopes.
Sandra Tralhão
SETEMBRO DE 2008
II
Certifico que li este relatório e que na minha opinião, é adequado no seu
conteúdo e forma como demonstrador do trabalho desenvolvido no âmbito da
disciplina de Projecto.
__________________________________________
Isabel Maria Lopes
Orientadora
Certifico que li este relatório e que na minha opinião, é adequado no seu
conteúdo e forma como demonstrador do trabalho desenvolvido no âmbito da
disciplina de Projecto.
__________________________________________
Arguente
Aceite para avaliação da disciplina de Projecto
III
AGRADECIMENTOS
Aos professores, família e amigos pela disponibilidade e incentivo.
À Dr.ª Isabel Lopes, pela partilha da sua experiência, pela orientação, por
confiar e acreditar.
IV
RESUMO
A importância que a informação assume na sociedade transformou-a em
recurso estratégico para as organizações. Neste contexto é fundamental o
estudo de Politicas de Segurança e Privacidade como principal forma de
assegurar os princípios de segurança de sistemas de informação e um dos
elementos de maior valor na utilização da informação nas organizações
modernas. Com base no estudo e revisão de literatura sobre o tema e
identificação de políticas de segurança reais apresentam-se algumas
directrizes sobre formulação, implementação, monitorização e avaliação de
políticas, bem como componentes das mesmas.
Palavras-chave: Informação, Sistemas de Informação, Segurança de Sistemas
de Informação, Política de Segurança.
V
Índice
Resumo............................................................................................................. IV
Capitulo I – Introdução ....................................................................................... 1
1.1. Enquadramento..................................................................................... 1
1.2. Objectivos ............................................................................................. 2
1.3. Organização do relatório ....................................................................... 3
Capítulo II - Politicas de segurança de sistemas de informação ........................ 4
2.1. Conceitos fundamentais .......................................................................... 4
2.1.1. Sistema de informação................................................................ 4
2.1.2. Segurança de sistemas de informação ....................................... 6
2.2. Politica de segurança de sistemas de informação ................................ 9
2.2.1. Definição ........................................................................................... 9
2.2.1.1. Papel das ameaças na definição de políticas de segurança de
sistemas de informação......................................................................... 10
2.2.1.2. A Política de segurança de sistemas de informação ao nível
organizacional ....................................................................................... 12
2.2.2. Importância das políticas................................................................. 14
2.2.3. Classificação das políticas .............................................................. 15
2.2.4. Componentes das políticas ............................................................. 17
2.2.4.1. Identificação e autenticação ..................................................... 17
2.2.4.2.Controlo de acesso.................................................................... 20
2.2.4.3. Cópias de segurança e recuperação de dados ........................ 20
2.2.4.4. Perímetro de segurança lógico................................................. 21
2.2.4.5. Perímetro de segurança físico .................................................. 22
2.2.4.6. Transmissão de dados ............................................................. 23
2.2.4.7. Novos utilizadores .................................................................... 24
2.2.4.8. Gestão de outsourcing.............................................................. 24
2.2.4.9. Recursos humanos................................................................... 26
2.2.4.10. Aquisição de produtos e sistemas informáticos...................... 26
2.2.4.11. Acesso ao sistema informático ............................................... 27
2.2.4.12. Configuração e gestão de equipamentos clientes .................. 28
2.2.4.13. Uso aceitável .......................................................................... 28
VI
2.2.4.14. Protecção contra vírus............................................................ 30
2.2.4.15. Utilização da internet .............................................................. 31
2.2.4.16. Correio electrónico.................................................................. 31
2.2.4.17. Acessos remotos .................................................................... 32
2.2.4.18. Engenharia social ................................................................... 32
2.2.5. Formulação das políticas ................................................................ 33
2.2.5.1. Avaliação das necessidades de segurança.............................. 33
2.2.5.2. Levantamento da situação actual ............................................. 34
2.2.5.3. Definição de requisitos de segurança....................................... 38
2.2.5.4. Formalização da política á forma escrita .................................. 40
2.2.6. Implementação e adopção de políticas ........................................... 41
2.2.7. Monitorização e avaliação............................................................... 44
Capitulo 3 – Conclusões .................................................................................. 47
3.1.Resultados observados .......................................................................... 47
3.2. Conclusões Gerais................................................................................. 51
3.3. Sugestões para estudos futuros ............................................................ 52
Referências Bibliográficas................................................................................ 53
Anexos ............................................................................................................. 55
VII
INDICE DE ILUSTRAÇÕES
Ilustração 1: Perdas anuais estimadas relacionadas com crime informático nos
EUA ................................................................................................................... 1
Ilustração 2: Tipos de ameaças ....................................................................... 10
Ilustração 3: Reflexos da ameaça ..................................................................... 1
Ilustração 4: Impacto dos incidentes a nível organizacional............................... 1
Ilustração 5: A PSSI a nível organizacional........................................................ 1
Ilustração 6: Desvantagens por sistema de autenticação ................................ 19
Ilustração 7: Análise de risco.............................................................................. 1
Ilustração 8: Representação do risco proposta pela TiSafe ............................ 37
Ilustração 9: Representação do risco proposta pela foco.security ................... 38
Ilustração 10: Processo de monitorização e avaliação....................................... 1
Ilustração 11: Resultados observados ............................................................. 47
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 1
CAPITULO I – INTRODUÇÃO
1.1. ENQUADRAMENTO
A importância da informação para as organizações é hoje universalmente
aceite, constituindo senão o mais importante, pelo menos um dos recursos cuja
gestão e aproveitamento mais influência o seu sucesso [Amaral, 1994].
No mundo de hoje, cada vez mais global, a sociedade pós-industrial está a ser
substituída por uma sociedade onde a matéria-prima se chama informação. Ao
“segredo é a alma do negócio”, poder-se-á acrescentar a informação, que é um
dos recursos cuja gestão e aproveitamento mais influência as organizações.
Hoje, mais do que nunca, é importante possuir sistemas de informação que
permitam guardar, processar e facultar a informação relevante para as
organizações em tempo útil, de forma íntegra e sem ambiguidades.
Dada a importância que a informação tem vindo a adquirir, ou pelo menos o
seu reconhecimento, torna-se importante gerir os sistemas de informação de
modo convergente com a missão das organizações permitindo a melhoria do
desempenho das pessoas nos processos da organização, através da utilização
das Tecnologias de Informação (TI) e encarando o Sistema de Informação (SI)
como um elemento que integra a organização daí ser imprescindível que nos
debrucemos sobre a sua segurança, definindo políticas coerentes com a
missão e os princípios da organização evitando perdas de valor.
Ilustração 1: Perdas anuais estimadas relacionadas com crime informático nos EUA
(Fonte - CSI)
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 2
1.2. OBJECTIVOS
Com este trabalho pretende-se transmitir a mensagem de que a segurança,
mais do que um simples produto ou tecnologia que se pode adquirir, aplicar e
esquecer, é um processo contínuo e abrangente, com implicações em todas as
áreas empresariais, desde a administração aos colaboradores que executam
as operações quotidianas mais elementares.
É um processo em permanente evolução e transformação, que requer um
esforço constante para o seu sucesso e uma forte capacidade para provocar e
gerir mudanças, tanto nos hábitos instituídos como na infra-estrutura de
suporte da organização.
Como matéria transversal que é, a segurança deve envolver todos os níveis da
empresa e ser encarada como um facilitador dos processos e como forma de
aumentar os níveis de confiança internos e externos. É este o grande
argumento sobre o qual qualquer organização poderá capitalizar o seu
investimento nesta área. Ao implementar uma politica de segurança, estará a
transmitir uma imagem de preocupação nesta matéria, cada vez mais
importante e com maior visibilidade, conseguindo simultaneamente gerir o risco
a que se encontra sujeita.
A política de segurança serve, deste modo, vários objectivos:
a) A criação de uma base de protecção e confiança sobre a qual é
desenvolvida uma actividade;
b) Um sinal claro e inequívoco de que a organização tem preocupações
fundamentais com a integridade e preservação dos seus activos (quer
sejam processos, produtos, informação ou outros);
c) A afirmação da imagem externa da organização ao nível do cuidado
particular aos interesses de parceiros, clientes ou fornecedores.
Este trabalho pretende ainda produzir e compilar informação referente á
declaração de intenção das organizações na utilização de politicas de
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 3
segurança, e dos componentes das mesmas. A informação utilizada será
recolhida em sítios da internet de pesquisa aleatória.
1.3. ORGANIZAÇÃO DO RELATÓRIO
A estrutura deste relatório divide-se em três partes principais. Na primeira é
feito um enquadramento do tema em estudo e da sua importância na
sociedade da informação.
Na segunda parte do relatório serão abordados os aspectos relacionados com
a Política de Segurança de Sistemas da Informação (PSSI) propriamente dita.
Inicialmente são abordados conceitos essenciais para a compreensão da
amplitude e abrangência de uma PSSI, tais como sistema de informação,
segurança de sistemas de informação, PSSI, sua importância e classificação e
os elementos que usualmente são abordados, isto é os componentes que a
PSSI pode contemplar. Ainda nesta parte será feita uma reflexão sobre as
fases de uma PSSI, desde o planeamento, gestão do risco, formulação
implementação e monitorização.
A terceira parte do relatório tem como objectivo verificar a existência e
aplicação de políticas de segurança de sistemas de informação, comummente
designadas por políticas de privacidade e segurança, bem como os itens
abordados na declaração da política. Esta recolha será efectuada em sítios de
internet de empresas, organismos de administração pública, instituições de
ensino ou outros que se considerem relevantes com vista a identificar
componentes por sectores de actividade ou localizações geográficas.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 4
CAPÍTULO II - POLITICAS DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO
2.1. CONCEITOS FUNDAMENTAIS
Antes de abordar as fases e os componentes de uma PSSI, bem como as suas
implicações no ambiente e cultura organizacional e no sistema de informação,
convém definir alguns conceitos relacionados com o tema.
2.1.1. SISTEMA DE INFORMAÇÃO
Ao efectuar a revisão bibliográfica com o objectivo de definir SI, verifica-se que
embora algumas expressões sejam comuns a todas as definições, os autores
variam no texto apresentado. As definições que são apresentadas de seguida,
no meu ponto de vista, complementam-se.
“Sistema de Informação é o meio que providencia os meios de
armazenamento, geração e distribuição de informação com o
objectivo de suportar as funções de operação e gestão de uma
organização” [Layzell & Loucoupolus, 1987].
“Sistema de Informação é uma combinação de procedimentos,
informação, pessoas e TI, organizadas para o alcance de objectivos
de uma organização” [Alter 1992].
“Um Sistema de Informação é um sistema de actividade humana
(social) que pode envolver ou não a utilização de computadores."
[Buckingham et al 1987 citado em Amaral 2000].
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 5
Qualquer organização para sobreviver necessita de informação, quer para
poder interagir com o seu meio ambiente, quer para permitir a interacção entre
as diferentes componentes da organização. É este fluxo de informação que
permite á organização alcançar os objectivos que se propõe atingir.
Assim, partindo da definição comum de sistema, que sugere um grupo
organizado de componentes agregados para interagir e cumprir um objectivo
bem definido, podemos facilmente concluir que um SI é um sistema com a
finalidade de produzir a já referida informação.
É necessário referir que um SI não é forçosamente um sistema informático.
Podemos facilmente conceber um sistema cujo suporte físico seja um conjunto
bem organizado de ficheiros de papel. No entanto os avanços tecnológicos dos
últimos anos dotaram os computadores de cada vez maiores capacidades de
processamento e armazenamento de informação a preços cada vez mais
reduzidos, e fizeram destes uma ferramenta indispensável na composição de
um SI.
Em suma pode-se dizer que os SI são vistos como um sistema porque têm um
objectivo, são constituídos por um conjunto de componentes, definem uma
estrutura, um comportamento e um ciclo de vida:
a) Objectivo - orientar a tomada de decisão.
b) Componentes - dados, sistema de processamento de dados, canal de
comunicação.
c) Estrutura - maneira como os diferentes processamento de dados estão
ligados entre si.
d) Comportamento - conjunto de procedimentos que se seguem para obter
os dados, os processar e os enviar.
e) Ciclo de Vida – É variável depende essencialmente das mudanças
organizacionais que possam ocorrer na organização. Assim se
organização muda, o sistema de Informação muda de forma a adaptar-
se á nova realidade organizacional; se organização não for alvo de
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 6
mudanças então o sistema de informação também não será, o existente
será suficiente poder-se-á dizer que o sistema Informação morre.
Os SI têm adquirido uma importância crescente, proporcional à relevância que
estes sistemas têm vindo a assumir na sociedade. Pode-se afirmar que
deparamos com um SI em quase todos os ramos da actividade a servir de
apoio a organizações (Comerciais, industriais, cientificas, etc.), tornando-lhes
possível a manipulação eficiente de grandes quantidades de informação.
O controlo do grande caudal de informação tão característico das sociedades
contemporâneas, é um factor decisivo para o sucesso de uma organização.
É necessário ter em atenção, como o recurso a um SI adequado pode
influenciar o aumento da produtividade nas diversas áreas de actividade, “ a
possibilidade de atingir estes objectivos depende, naturalmente, da qualidade
do sistema de informação ” [Varajão, 2000].
2.1.2. SEGURANÇA DE SISTEMAS DE INFORMAÇÃO
A Segurança dos Sistemas de Informação é um dos elementos de maior valor
na utilização da informação nas organizações modernas. Cada vez mais
importa chamar à atenção de todos os níveis de responsabilidade empresarial
para a necessidade de repensar os fluxos de informação, como fundamento
dos processos de decisão e da competitividade das empresas.
A segurança dos SI refere-se à protecção existente sobre as informações de
uma determinada organização veiculadas através dos seus sistema de
informação, e cujo conteúdo ou dado tenha valor para o seu proprietário. Com
a segurança dos SI pretende-se definir níveis de segurança e criar bases para
a construção de planos de segurança de modo a assegurar os principais
atributos que actualmente orientam a análise, planeamento e implementação
de segurança do grupo de informações que se visam proteger. Segundo Dias,
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 7
“ Quando se pensa em segurança da informação, a primeira ideia
que nos vem à mente é a protecção das informações, não
importando onde estas informações estejam armazenadas. Um
computador ou um SI é considerado seguro se houver uma
garantia de que é capaz de actuar exactamente como o esperado.
Porém a segurança não é apenas isto. A expectativa de todo o
utilizador é que as informações armazenadas hoje no seu
computador, lá permaneçam, ao longo do tempo, sem que
pessoas não autorizadas tenham tido qualquer acesso a seu
conteúdo” (DIAS, 2000).
Associados ao conceito de segurança estão diferentes tipos de acção como
prevenção, detecção e reacção. A prevenção tem como objectivo determinar o
valor da informação e o risco a que esta está sujeito. A detecção consiste na
monitorização de modo a determinar, quando e como ocorreu o incidente e o
responsável pelo mesmo. A reacção consiste em levar a cabo acções que
permitam repor a situação e eliminar o risco.
As expectativas do utilizador podem ser traduzidas em princípios de segurança
de informação. A confidencialidade, a integridade e a disponibilidade, são os
princípios indicados pela maior parte dos autores, nomeadamente pela norma
ISSO/IEC 17799. A primeira está relacionada com a prevenção da utilização, a
integridade com a prevenção da modificação e a disponibilidade com a
prevenção da retenção da informação.
No entanto outros defendem que a estes princípios básicos devem ser
acrescentados a autenticidade e a fiabilidade e em meu entender não tem
lógica exigir que seja mantida a integridade, confidencialidade e disponibilidade
da informação se não estivermos perante sistemas de informação que inspirem
confiança, se revelem fiáveis e permitam a autenticação dos seus utilizadores.
Genericamente poder-se-á dizer que a confidencialidade, integridade e
disponibilidade têm como objecto a informação propriamente dita, a
autenticidade e fiabilidade tem como objecto o sistema.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 8
Princípio da Confidencialidade
Consiste em proteger a informação contra leitura e/ou cópia de forma a evitar
que terceiros tenha acesso a informação sensível sem que tenha sido
explicitamente autorizado pelo seu proprietário.
Princípio da Disponibilidade
Consiste na protecção dos serviços prestados pelo sistema de forma que eles
não sejam degradados ou se tornem indisponíveis, assegurando ao utilizador o
acesso aos dados sempre que necessário. Este princípio constitui uma
propriedade de garantia de acessibilidade a um serviço ou recurso por
entidades ou utilizadores autorizados e quando necessário.
Princípio da Integridade
Consiste em proteger a informação contra modificações sem a permissão
explícita do proprietário. A modificação inclui acções como escrita, alteração de
conteúdo, alteração de status, remoção e inclusão de novas informações. Este
princípio garante que nenhum utilizador do sistema possa ter permissão para
alterar informação de forma a corromper activos da organização.
Princípio da autenticidade
O princípio da autenticidade consiste na identificação correcta de todos os
utilizadores e equipamentos, assegurando ao receptor da informação que a
origem desta é realmente a identificada.
Princípio da fiabilidade
Consiste em garantir que os sistemas não introduzirão alterações aos dados e
que a utilização dos recursos permitirá que os dados e os sistemas, após a
utilização, manterão o estado dos mesmos. Com este princípio é possível
assegurar que mesmo na ocorrência de falhas o impacto das mesmas no meio
ambiente não será significativo. É desta forma que é traduzida a confiança que
pode ser depositada no SI.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 9
2.2. POLITICA DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO
2.2.1. DEFINIÇÃO
Uma PSSI pode ser definida resumidamente como um instrumento importante
para proteger a organização contra ameaças à segurança da informação que a
ela pertence ou que está sob sua responsabilidade, constituindo a expressão
formal das regras de acesso aos recursos.
Segundo Tom Peltier “Política significa coisas diferentes para diferentes
pessoas”.
No seguimento desta afirmação, não se pode restringir a explicação deste
conceito, porque:
a) O significado de PSSI pode variar de organização para organização, não
só pela sua especificidade, ramo de actividade ou dimensão;
b) Existem vários tipos de políticas, como aliás se poderá ver mais á frente
aquando da sua classificação;
c) O desenvolvimento de uma política deve ser abordado a nível
organizacional;
d) Existem termos associados a este conceito que convém explorar para
melhor entender o verdadeiro significado de uma PSSI.
De uma forma mais complexa podemos definir PSSI como um processo:
a) De negócio, cuja execução capacita a organização de protecção dos
seus recursos, implementando regras definidas a nível estratégico e de
acordo com a política organizacional;
b) Que traduz standards de especificações de implementação;
c) Que define procedimentos específicos de manipulação e protecção da
informação que permitam reduzir as vulnerabilidades da organização;
d) Que atribui direitos e responsabilidades aos utilizadores;
e) Que estipula penalizações para os incumpridores.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 10
2.2.1.1. PAPEL DAS AMEAÇAS NA DEFINIÇÃO DE POLÍTICAS DE
SEGURANÇA DE SISTEMAS DE INFORMAÇÃO
Uma ameaça à segurança é compreendida neste contexto como a quebra de
uma ou mais das suas três propriedades fundamentais (confidencialidade,
integridade e disponibilidade). Traduz uma acção imposta pelo agressor que
visa explorar uma vulnerabilidade detectada.
Tipos de ameaças
Abrangência Ameaça Exemplo
Browsing
Procura de informações sem saber o seu
tipo
Shoulder surfing Olhar sobre o ombro da pessoa o que é
digitado Confidencialidade
Engenharia social Fingir ser alguém com o intuito de obter
informações
Modificação de
mensagem
Interceptar uma mensagem, alterá-la e
enviá-la ao seu destino original
Alteração de logs
de auditoria
Modificar logs com a intenção de ocultar
factos Integridade
Modificação de
ficheiros de
configuração
Alterar ficheiros críticos do sistema com
o objectivo de alterar a sua
funcionalidade
Catástrofes
naturais Vandalismo, incêndios, terramotos
Negação de
serviço
Comprometimento de serviços com
importância vital para a organização Disponibilidade
Comprometimento
de informações
Modificação de dados de forma a torná-
los inúteis.
Ilustração 2: Tipos de ameaças (Fonte: TiSafe)
A vulnerabilidade representa uma fragilidade do sistema que pode
comprometer a confidencialidade, a integridade ou a disponibilidade de um
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 11
activo da organização. Uma vez detectada essa fragilidade, o agressor
desenvolve intenções e métodos direccionados para a exploração da mesma
causando danos á organização.
Uma vez detectada a exposição ao risco é necessário desenvolver medidas de
correcção, também designadas de contra medidas, de forma repor a situação,
reduzir o impacto da exposição e reduzir, ou se possível, eliminar o risco.
As contra medidas, directa ou indirectamente, acabam por afectar a acção do
agressor. Quando seja possível identificar o agressor devem ser levados a
cabo procedimentos legais (externo e interno) ou disciplinares (interno) no
sentido de o punir, afectando-o directamente. Quando não é possível a sua
identificação através dos mecanismos de controlo existentes a única forma de
afectar as suas acções é eliminando a vulnerabilidade existente de forma a não
permitir a continuidade dos ataques.
Em 2002 Whitman [2003] realizou um estudo de análise de ameaças potenciais
á segurança de informação no qual procurou listar as ameaças mais frequentes
e o grau de severidade percebida. Como resultado foram identificadas doze
categorias de ameaças, sendo a severidade disposta por ordem decrescente.
Ilustração 3: Reflexos da ameaça (Fonte: TISafe)
Agressor
Ameaça
Vulnerabilidad
Activo
Risco
Exposição
Contra
Verifica a
Explora a
Gera o
Afecta o
Causando
Pode ser
remediada por
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 12
a) Eventos deliberados cometidos com o uso de software
b) Erros ou falhas técnicas de software (falhas de codificação, bugs);
c) Falhas ou erros humanos;
d) Actos deliberados de espionagem ou invasão, hacking;
e) Actos deliberados de sabotagem ou vandalismo (destruição de sistemas
ou informação);
f) Erros ou falhas técnicas de hardware (falhas de equipamentos);
g) Actos deliberados de furto (de equipamentos ou de informação);
h) Forças da natureza (terramotos, relâmpagos, incêndios não
intencionais);
i) Comprometimento à propriedade intelectual (pirataria, infracção a
direitos autorais);
j) Variação da qualidade de serviço por entidades externas (como energia
eléctrica e serviços de redes remotas de telecomunicação);
k) Obsolescência técnica;
l) Actos deliberados de extorsão de informação (chantagem ou revelação
indevida de informação).
2.2.1.2. A POLÍTICA DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO AO
NÍVEL ORGANIZACIONAL
Nas organizações verificam-se fluxos de informação ao nível operacional,
táctico e estratégico. Ao nível operacional encontram-se informações de rotina
que são usadas diariamente e permitem que a organização leve a cabo
eficientemente as suas actividades. Por seu lado os fluxos de informação ao
nível táctico e estratégico permitem apoiar os processos de tomada de decisão.
Seja qual for o tipo de ameaça e a vulnerabilidade detectada, um acidente de
segurança terá sempre implicações a vários níveis, podendo mesmo
comprometer a continuidade do negócio.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 13
Neste contexto poder-se-á definir uma PSSI como um conjunto de
procedimentos específicos de manipulação e protecção da informação que
permite distinguir os seus componentes de acordo com o nível organizacional
em que se aplicam dando assim origem:
a) Às directrizes, a nível estratégico;
b) Às normas para quem cuida e para quem usa, a nível táctico;
c) Aos procedimentos, a nível operacional
Ilustração 4: Impacto dos incidentes a nível organizacional
Vulnerabilidades
Ameaças
Possibilitam Incidentes de
segurança
Afe
cta
m
Organização Impacto negativo Clientes
Produto
Imagem
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 14
2.2.2. IMPORTÂNCIA DAS POLÍTICAS
A implementação de políticas além de permitir aumentar o grau de
confidencialidade, integridade e disponibilidade dos sistemas de informação
através da implementação de procedimentos que irão reduzir as
vulnerabilidades e consequentemente as ameaças aos activos da organização,
impõem outros aspectos que não são menos importantes:
a) Consciencialização global de que as informações são um activo
importante para a empresa;
b) Envolvimento da administração em relação a segurança da informação;
c) Responsabilidade formal dos colaboradores da organização sobre a
salvaguarda dos recursos;
d) Definição de padrões para manutenção da segurança da informação;
Estabelecimento de penalidades pela não aderência á PSSI;
e) Garantia de implementação de controlos de segurança apropriados;
f) Auxilio na selecção de produtos e no desenvolvimento de processos;
g) Transformar a segurança num esforço comum.
O QUÊ?
COMO ?
FAZENDO a
NÍVEL
ESTRATÉGICO
NÍVEL
TACTICO
PROCEDIMENTOS E
INSTRUÇÕES
NÍVEL
OPERACIONAL
DIRECTRIZES
NORMAS
Ilustração 5: A PSSI a nível organizacional
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 15
2.2.3. CLASSIFICAÇÃO DAS POLÍTICAS
Relativamente á classificação das políticas, na análise efectuada foram
encontradas várias classificações, verificando-se no entanto que a abordagem
dos autores foi efectuada sobre diferentes perspectivas. A classificação
sugerida por Ferreira baseia-se no carácter de aplicação da política, já
Baskerville e Siponen baseiam-se no seu conteúdo, Whitman valoriza a
estrutura e Cuppens debruça-se sobre a divulgação do conteúdo da política.
Segundo Ferreira (2003) as politica podem ser classificadas com reguladoras,
consultivas e informativas.
As políticas reguladoras “são implementadas devido às necessidades legais
que são impostas à organização e normalmente são muito específicas para um
tipo de ramo de actividade”. Uma política reguladora é definida por um conjunto
de especificações legais que descreve o que deve ser feito e quem deve fazer.
Deve assegurar que a organização está a seguir os procedimentos e normas
para seu ramo de actividade, provendo conforto para a organização na
execução de suas actividade.
As políticas consultivas “não são obrigatórias, mas muito recomendadas. As
organizações devem consciencializar os seus funcionários para a sua
utilização”. A política consultiva apenas sugere quais as acções ou métodos
que devem ser utilizados para a realização de uma tarefa. Deve-se considerar
que é importante que os utilizadores conheçam essas acções para realização
das suas tarefas para que possam ser evitados riscos derivados do não
cumprimento das mesmas.
A Política Informativa possui um carácter apenas informativo, nenhuma acção é
desejada e não existem riscos, caso não seja cumprida. Porém, também pode
contemplar uma série de observações importantes, bem como advertências
severas. Por exemplo, a política pode ressaltar que o uso de um determinado
sistema é restrito a pessoas autorizadas e qualquer funcionário que realizar
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 16
algum tipo de violação será penalizado. No entanto não são informados quais
os utilizadores que estão autorizados, mas são determinadas severas
consequências para quem a desrespeitar.
− Baskerville e Siponen [2002, citado por Lopes, Isabel; Ensaio Politicas de
Segurança e Privacidade: Forma e Fundo; 2007] classificam as políticas em
políticas de alto nível, políticas de baixo nível e metapolíticas.
As políticas de alto nível consistem na elaboração de planos globais de
segurança onde são definidos os objectivos gerais da política.
As políticas de baixo nível consistem na especificação dos procedimentos “ que
orientam e determinam as decisões no âmbito da segurança dos sistemas de
informação”. Permitem definir directivas para cópias de segurança, utilização
de correio electrónico, acesso á internet, entre outras.
As metapolíticas consistem na elaboração de “directrizes organizacionais para
a criação e manutenção das políticas”. Por exemplo, determinar a periodicidade
de revisão da política ou determinar o responsável pelo controlo de acessos.
Segundo Whitman et al. [2001, citado por Lopes, Isabel; Ensaio Politicas de
Segurança e Privacidade: Forma e Fundo; 2007] as políticas podem ser
classificadas em individuais, completas e completa modulares.
Nas políticas individuais “ a organização cria uma política de segurança
separada e independente para cada uma das tecnologias e sistemas
utilizados”.
Na política completa a “organização define, controla e gere centralmente um
único documento que engloba todas as tecnologias utilizadas e fornece
orientações gerais para todos os sistemas”.
A política completa modular é “ composta por secções gerais com descrições
das tecnologias” constituindo este o documento da política de base. Inclui ainda
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 17
“apêndices modulares que fornecem detalhes específicos acerca de cada
tecnologia”
Segundo CUPPENS [1996] as politicas podem ser classificadas em restritivas
ou permissivas.
Numa política restritiva as informações à disposição dos utilizadores são
exclusivamente aquelas cujo acesso lhes é expressamente permitido.
Uma política permissiva é aquela em que “são facultadas aos utilizadores todas
as informações cujo acesso não seja expressamente vedado”.
2.2.4. COMPONENTES DAS POLÍTICAS
A protecção dos equipamentos é necessária para reduzir o risco de acesso não
autorizado aos dados e para a sua protecção contra perda ou danos. Também
se deve considerar a localização dos equipamentos e sua disposição física.
Controlos especiais podem ser necessários para a protecção contra perigos ou
acessos não autorizados, e para salvaguardar instalações de apoio, tais como
suprimento de electricidade e infra-estrutura de cabeamento [ISSO/IEC 17799].
2.2.4.1. IDENTIFICAÇÃO E AUTENTICAÇÃO
Todos os utilizadores de um SI devem ser identificados de forma única e
exclusiva de acordo com o perfil respectivo permitindo assim o acesso aos
recursos disponibilizados pelo sistema, como computadores pessoais,
servidores e recursos locais da rede.
A autenticação consiste na verificação da identidade do utilizador e é o alicerce
da segurança do sistema por um lado porque a autenticação do utilizador é um
parâmetro importante no controlo e acesso do SI, por outro porque o
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 18
procedimento de autenticação permite a introdução de mecanismos de log1,
fundamentais em auditoria, permitindo identificar o registo das tentativas de
acesso ao sistema, datas, indicação dos dados que tentou aceder, tentativas
bem-sucedidas, tentativas rejeitadas, acções efectuadas e identidade do
utilizador permitindo assim responsabiliza-lo pelas mesmas.
Acerca dos métodos de autenticação existentes, não se poderá dizer que
exista um que seja mais seguro que outro, todos apresentam vantagens e
desvantagens. Cabe ao administrador do sistema definir qual o mais adequado
á realidade organizacional de acordo com as ameaças, vulnerabilidades, tipo
de informação, características dos recursos humanos, cultura organizacional,
etc.
Dos métodos de autenticação existentes os mais usuais são baseados em:
a) Palavras-passe – A utilização de palavras-passe é sem dúvida um
dos métodos mais utilizado, porém, são consideradas perigosas uma
vez que o utilizador pode compartilhar a mesma com terceiros,
escolher senhas demasiado óbvias ou esquecê-la caso se trate de
uma senha mais complexa gerada automaticamente.
b) Certificados Digitais – Identidade digital que foi digitalmente
assinada por uma autoridade de certificação. Cada certificado
contém a chave pública de um utilizador e a chave privada da
autoridade que o certificou. De cada vez que o utilizador tenta iniciar
uma sessão o servidor, recorrendo á utilização do protocolo OCSP (
Online Certificate Status Protocol), valida a chave privada e
posteriormente assegura que o utilizador possui a chave
correspondente á chave pública constante no certificado.
c) Tokens – Dispositivo de hardware que partilha uma chave de cifra
com determinado sistema de segurança. A função matemática que
1 [São Mamede, 2006] Registo de actividade gerado por software específico, quando relativos a
incidentes de segurança é normalmente gerado por firewall ou IDS (Sistemas de Detecção de
Intrusões).
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 19
dá origem á cifra é partilhada entre o token e o sistema permitindo
que de cada vez que o utilizador inicia uma sessão seja gerada uma
senha apenas para essa sessão.
d) Sistemas Biométricos – Envolvem a utilização de dispositivos
capazes de medirem características físicas únicas para cada pessoa
como por exemplo, impressão digital, impressão da retina ou
reconhecimento facial.
e) Smartcards – Dispositivos de dimensões idênticas às de um cartão
de crédito, que possuem no seu interior um chip que armazena um
identificador que quando reconhecido por um leitor de smartcards
permite identificar o utilizador.
Embora existam no mercado algumas hipóteses de escolha no que diz respeito
a sistemas de identificação e autenticação, a escolha não é pacífica visto todos
eles apresentarem desvantagens.
Sistema de identificação
e autenticação
Desvantagens
Palavras-passe Escolhas óbvias, extravio, cedência, registo
Certificados Digitais Exige um repositório de certificados de chave-
pública
Tokens De forma a evitar problemas com atrasos na
comunicação entre o sistema cliente e o servidor,
este mantém além da senha do momento, a senha
anterior.
Sistemas Biométricos As características podem ser falsificadas
Smartcards Roubo
Ilustração 6: Desvantagens por sistema de autenticação
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 20
2.2.4.2.CONTROLO DE ACESSO
O controlo de acesso consiste no processo de limitação de acesso a recursos
de um sistema, facilitando-o apenas a utilizadores, a programas, a processos
ou a outros sistemas autorizados.
Este procedimento constitui uma das razões de existência de políticas de
segurança pela possibilidade de se poderem efectuar controlos sobre o acesso
aos recursos do SI. Para que haja sucesso neste controlo é necessário que
exista identificação e autenticação dos utilizadores e que os dispositivos
também se encontrem identificados.
O controlo de acesso pode ser físico ou lógico. O físico tem como objectivo
limitar o acesso físico a hardware, dispositivos de armazenamento de
informação, á infra-estrutura de rede, entre outros. O lógico destina-se a limitar
o acesso á informação, serviços, aplicações ou sistemas.
Os controlos de acesso podem ainda ser tipificados como [Mamede, 2006]:
a) Preventivos – São efectuados de forma a evitar as ocorrências;
b) De detecção – Permitem identificar as ocorrências;
c) Correctivos – Remedeiam as circunstâncias e repõem os controlos
normais;
d) Dissuasores – Tem como objectivo desencorajar as violações;
e) De recuperação – Restabelecem recursos ou capacidades;
f) De compensação – Constituem controlos alternativos.
2.2.4.3. CÓPIAS DE SEGURANÇA E RECUPERAÇÃO DE DADOS
As cópias de segurança têm como objectivo a protecção dos dados em caso de
acidente, a recuperação de ficheiros acidentalmente destruídos, bem como a
fiabilidade geral da instalação. As cópias de segurança de todos os servidores
de serviços, das configurações dos equipamentos e da infra-estrutura são
cruciais para a política de segurança. Após a instalação do sistema de cópias
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 21
de segurança os utilizadores deverão passar a armazenar os dados nas áreas
de rede para esse fim e não nos discos dos seus sistemas pessoais.
A implementação de um sistema de cópias de segurança contempla:
a) Definição do método a utilizar para a realização das cópias;
b) Periodicidade de realização das cópias (diariamente, semanalmente) de
acordo com a natureza do negócio, a informação a proteger e o risco
apresentado;
c) Privilégios necessários para o acesso á informação;
d) Definição de um local remoto para armazenamento das cópias de
segurança, tendo em conta a segurança e a disponibilidade;
e) Calendarização de testes às cópias de segurança e registo de
correcções de modo a garantir que estejam sempre confiáveis em caso
de emergência;
f) Testar a eficácia dos procedimentos de restauração;
g) Determinar o período de retenção para as referidas cópias.
2.2.4.4. PERÍMETRO DE SEGURANÇA LÓGICO
Perímetro de segurança pode ser definido como uma linha virtual que separa a
estrutura da organização, que se pretende que seja segura, do exterior.
Sempre que um utilizador acede á internet está a transpor esta linha e a aceder
a redes externas, normalmente inseguras e sobre as quais não é possível
exercer qualquer tipo de controlo.
A gestão do perímetro de segurança poderá passar por criar grupos de
utilizadores ou serviços, dividir a rede interna em domínios lógicos protegidos
por um perímetro de segurança, que poderá passar pela instalação de firewall2
entre as sub-redes. Desta forma será possível criar níveis de segurança, sendo
o primeiro nível salvaguardado por firewall que controla o acesso á internet. O
2 Dispositivo constituído por uma parte física e outra lógica, utilizado para dividir e controlar o
acesso entre redes que permite definir regras de filtragem de comunicações.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 22
firewall deve ser configurado para filtrar o tráfego de informação e bloquear os
acessos não autorizados de acordo com as necessidades de acesso á rede da
organização.
A gestão do perímetro de segurança deve ainda contemplar a utilização de
IDS, DMZ3, mecanismos de antivírus e procedimentos de monitorização e
resposta a intrusões que permitam definir:
a) Como é feita e com que frequência a análise dos logs do IDS e do
firewall;
b) Quais as acções a desencadear em caso de alerta;
c) Quem é o responsável por estas acções;
d) Em que circunstâncias o produto deve ser substituído;
e) Qual o melhor produto existente no mercado.
2.2.4.5. PERÍMETRO DE SEGURANÇA FÍSICO
O perímetro de segurança físico tem como objectivo impedir o acesso não
autorizado às instalações físicas e à informação ou dispositivos de
armazenamento da mesma. Sem este componente a implementação de uma
PSSI deixa de fazer sentido, visto um acesso físico constituir uma ameaça
facilmente utilizada.
Os recursos críticos para o negócio devem estar localizados em áreas
protegidas por um perímetro de segurança com barreiras físicas e controlos de
entrada.
O padrão internacional ISSO/IEC 17799, sugere algumas directrizes a serem
implementadas:
a) As instalações propriamente ditas devem ser fisicamente seguras;
b) O acesso às instalações deve ser restrito ao pessoal autorizado e
baseado no seu estatuto e no seu horário de trabalho;
3 Zonas desmilitarizadas, parte de uma rede que nem faz parte da rede interna da organização
nem da rede externa.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 23
c) Devem ser implementados sistemas de protecção contra catástrofes
físicas, como inundações ou incêndios;
d) Devem ser implementados sistemas de vigilância e alarme;
e) Elementos externos devem ser identificados e registados;
f) Devem ser definidos e controlados direitos de acesso a áreas de
segurança;
g) As áreas de segurança devem estar afastadas do acesso público;
h) Os equipamentos de apoio como fax e fotocopiadoras devem estar
localizados por domínios de trabalho;
i) Caso existam serviços prestados por terceiros, devem estar fisicamente
separados da organização;
j) Listas internas de contactos, de equipamentos ou informações não
devem estar disponíveis para terceiros;
k) Equipamentos de backup não devem estar situados nas instalações
principais de modo a evitar danos em caso de catástrofe física;
l) As mesas e as telas devem estar limpas;
m) Os suportes de informação que já não são necessários devem ser
destruídos.
2.2.4.6. TRANSMISSÃO DE DADOS
Quando há necessidade de transferir informação para fora da organização
deve ser atribuída uma classificação á informação de forma a determinar o
nível de segurança que exige esta transmissão. O procedimento implementado
não tem que passar obrigatoriamente por mecanismos informatizados, tanto
que em determinadas situações tal nem será possível.
Na PSSI este componente deve estipular quais as formas de transmissão de
dados que devem ser utilizadas para cada suporte e para cada tipo de
informação:
a) Ligação á internet com recurso a tecnologia de VPN, que permite o envio
de dados cifrados;
b) Recurso a empresas de estafetas ou transportes de valores;
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 24
c) Entrega pessoal;
d) Gravação de dados de forma cifrada;
e) Envio de informação de forma faseada.
2.2.4.7. NOVOS UTILIZADORES
Para que se verifique o cumprimento das regras existentes é necessário que
todos tenham conhecimento das mesmas. Cabe á organização fazer esforços
no sentido de divulgar as regras existentes pois só assim poderá exigir o seu
cumprimento.
Sempre que se verifique a contratação de novos colaboradores e
consequentemente novos utilizadores do SI, estes devem:
a) Ser informados acerca dos procedimentos de segurança existentes e
comprometidos com a política de segurança da organização, assinando
um termo de compromisso (anexo I);
b) Ter acesso a um computador pessoal configurado de acordo com as
especificações standard da organização.
c) Ter disponíveis as identificações de utilizador e palavras-passe
associadas;
d) Ter acesso á informação sobre as áreas de trabalho e permissões de
acesso associadas ao seu utilizador;
e) Ter criada uma área pessoal no espaço de armazenamento na rede
informática;
f) Poder aceder a formação em medidas de segurança de acordo com o
plano de formação da organização.
2.2.4.8. GESTÃO DE OUTSOURCING
Outsourcing consiste no facto de que “determinadas funções no contexto de
uma organização, em vez de serem cumpridas pelos meios desta, são
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 25
realizadas por uma entidade externa. Há um prestador de serviços externo que
se substitui às pessoas de cliente para a execução de um determinado pacote
de funções de negócio no seio da organização. Nalguns casos a entidade
externa pode adquirir alguns activos do cliente utilizando-os para prestar esse
serviço. Pode ainda enquadrar pessoas da organização cliente nos seus
próprios quadros” [Carapuça, 2006].
A organização opta por recorrer a outras organizações para obter serviços que
tradicionalmente são desenvolvidos no seio da própria organização,
nomeadamente aquelas que não trazem valor directamente para as áreas de
competência da organização.
Ao optar pelo outsourcing, a organização tem que fornecer acessos e
permissões de acesso a sistemas, aplicações e dados a elementos externos á
organização. Estes acessos devem ser criteriosamente definidos para que não
seja posta em causa a segurança da informação mas tendo o cuidado de
permitir que o outsourcer possa executar as funções contratadas.
A organização deve definir também se os colaboradores do outsourcer poderão
ligar os seus equipamentos á rede da organização, ou se a organização
disponibiliza equipamentos seus com as configurações e permissões de acordo
com a PSSI.
Para que não existam situações dúbias entre as partes deve ser elaborado um
contrato que deve mencionar [ISSO/IEC 17799]:
a) Como serão satisfeitas as exigências legais;
b) Responsabilidades de todas as partes envolvidas para com a segurança
c) Como a integridade e confidencialidade da informação devem ser
mantidas e testadas;
d) Quais os controlos de acesso físicos e lógicos que serão usados para
limitar e restringir o acesso;
e) Como a disponibilidade dos serviços deve ser mantida na eventualidade
de um desastre;
f) O direito de auditoria;
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 26
g) Cláusulas de penalização no caso de incumprimento.
2.2.4.9. RECURSOS HUMANOS
O componente dos recursos humanos deverá debruçar-se sobre os
procedimentos da política de segurança a aplicar às pessoas que fazem parte
da organização dando especial atenção aos aspectos relacionados com a
contratação e saída de colaboradores e atribuição dos níveis de autorização.
Aquando do recrutamento de pessoal deve ser feita a validação das atitudes
concordantes com a ética profissional através das referências dos últimos
empregadores e a confirmação de que não existe, em relação ao candidato,
registo de criminalidade informática. Este aspecto assume especial importância
no recrutamento de elementos que irão trabalhar directamente com a gestão,
implementação, manutenção e operação de infra-estruturas de rede.
Na saída de colaboradores devem de imediato ser eliminadas as permissões
do utilizador no SI.
Quando é admitido um novo colaborador há que definir, mediante o cargo que
este irá ocupar, quais os recursos a que este deverá ter acesso para o
desempenho das suas funções e disponibilizar o seu acesso ao sistema como
já foi abordado no componente novos utilizadores.
2.2.4.10. AQUISIÇÃO DE PRODUTOS E SISTEMAS INFORMÁTICOS
Este componente permite garantir que a aquisição de novos produtos é feita de
forma controlada de modo a garantir consistência na política definida. É
importante definir um conjunto de requisitos na selecção e aquisição de novos
produtos ou sistemas de modo a salvaguardar a compatibilidade com os
existentes e permitir a manutenção da PSSI.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 27
Este procedimento poderá ainda contemplar a elaboração de guias para a
compra de tecnologia que especifiquem os requisitos ou características que os
produtos devem possuir.
2.2.4.11. ACESSO AO SISTEMA INFORMÁTICO
O acesso físico ao sistema é um dos componentes que deve reflectir maior
preocupação na definição de uma PSSI. A classificação dos recursos
consoante a sua natureza; em terminais públicos, sistemas pessoais e
servidores deve ser o primeiro passo, para que a política possa reflectir os
problemas específicos de cada categoria.
De seguida apresenta-se uma lista de procedimentos a considerar [Mamede
2006]:
a) Controlo cuidadoso dos terminais públicos;
b) Limitar o acesso, dos terminais públicos, a recursos da rede;
c) Desenvolver regras de utilização de terminais públicos e afixá-los junto
dos mesmos;
d) Evitar que os utilizadores de sistemas pessoais tenham privilégios
pessoais como por exemplo, serem administradores locais;
e) Não permitir alterações de configuração ou instalação de software ou
hardware, através da aplicação da política ou de forma automática
(sistema);
f) Assegurar que o utilizador não tem no seu sistema pessoal, mais
aplicações ou dados do que aqueles que necessita para o desempenho
da sua função ou determinar um limite de para informação pessoal;
g) Configuração de serviço do servidor, definindo assim os procedimentos
a seguir antes de ligar o mesmo á rede;
h) Definir os serviços que o servidor deve suportar;
i) Prever a manutenção de software e sistemas operativos do servidor;
j) Restringir o acesso a locais onde exista equipamento crítico para a
disponibilidade da rede;
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 28
2.2.4.12. CONFIGURAÇÃO E GESTÃO DE EQUIPAMENTOS CLIENTES
Com a evolução tecnológica que se tem verificado nos últimos anos, verifica-se
uma proliferação de equipamentos portáteis, nomeadamente computadores
portáteis, PDA´s e telemóveis que são diariamente integrados nas infra-
estruturas das organizações. Estes recursos apresentam risco adicional para a
organização nomeadamente o roubo ou perda de um desses equipamentos.
Neste caso a política deve incluir requisitos de protecção física, controlos de
acesso, técnicas criptográficas, backups e protecção contra vírus, bem como
indicações sobre a utilização destes equipamentos:
a) Definir instalação standard por cada perfil de utilizador e níveis de
acesso;
b) Definir qual o tipo de informação que pode ser guardado nos discos
rígidos desses equipamentos;
c) Definir a forma de protecção de dados;
d) Definir um conjunto de conselhos a transmitir aos utilizadores desses
equipamentos como por exemplo:
− Nunca reparar, modificar ou desmontar o equipamento;
− Cuidado a retirar os cabos;
− Nunca ligar outros dispositivos sem conhecimento e acordo prévio do
serviço informático;
− Não abandonar o equipamento;
− Sempre que possível recorrer a cadeado de segurança
2.2.4.13. USO ACEITÁVEL
O procedimento de uso aceitável consiste na elaboração de um documento
com um conjunto de linhas de orientação, para os utilizadores internos e
externos, baseadas em boas práticas e que define como os recursos da
organização podem ser utilizados.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 29
Este documento deve ser público e estar disponível a todos os que utilizam o
SI, sendo recomendável que a autorização para uso dos recursos seja
condicionada a uma concordância expressa com os seus termos.
O uso aceitável é geralmente parte integrante da política de segurança global,
é composto pelos itens da política que afectam directamente os utilizadores de
recursos, principalmente os que definem os seus direitos e responsabilidades.
Por outro lado, organizações que oferecem acesso a utilizadores externos (tais
como provedores de acesso Internet) devem definir uma política de uso
aceitável para esses utilizadores que seja independente daquela a que estão
sujeitos os elementos internos. É importante que os utilizadores externos
tomem conhecimento dessa política e saibam que o uso dos recursos está
condicionado ao seu cumprimento.
De seguida apresentam-se alguns tópicos que devem fazer parte do
documento de uso aceitável quer para utilizadores quer para administradores
de sistemas. Estes tópicos são referidos apenas a título de exemplo, pois tal
como já foi referido estes podem variar dependendo da organização ou do tipo
de política em vigor:
Procedimentos de uso aceitável para utilizadores [Mamede, 2006]:
a) Obrigatoriedade de identificação e autenticação de todos os utilizadores
perante o sistema;
b) Bom senso na utilização de todos os dispositivos, de modo a não
condicionar o bom funcionamento do sistema ou fragilizar medidas de
segurança;
c) Obrigatoriedade de reportar ao departamento informático a ocorrência
de incidentes ou violação de áreas de trabalho;
d) Proibição de facilitar o acesso a recursos da organização a terceiros;
e) Recomendação de bloquear ou desligar os computadores pessoais
sempre que necessitem de se ausentar do seu local de trabalho;
f) Concordância na participação de acções de auditoria.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 30
Procedimentos de uso aceitável para administradores de sistemas [Mamede,
2006]:
a) Proibição de comprometimento ou negação de sistema;
b) Advertência para a investigação de acções duvidosas que possam
comprometer a organização e para a existência de penalizações caso se
prove má fé ou negligência;
c) Obrigatoriedade de informar o utilizador sempre que haja necessidade
de aceder a recursos cujo acesso não é autorizado pelo próprio. Este
acesso deve estar restringido a situações em que o administrador
necessita de resolver um problema verificado no SI;
d) Proibição de monitorizar comunicação de dados e voz. Se a mesma for
executada de forma automática o utilizador deve ser informado sobre
este procedimento;
e) Colaboração com a execução de auditorias.
2.2.4.14. PROTECÇÃO CONTRA VÍRUS
A protecção contra vírus é um componente a que normalmente as
organizações dão grande relevância. Mesmo que não exista uma política
definida regra geral as organizações já se tentam proteger de ataques de
software malicioso.
No entanto para a garantia da disponibilidade, integridade e confidencialidade
da informação este procedimento não é suficiente é importante a definição de
uma política formal de procedimentos:
a) Exigir obediência às licenças de software e proíba o uso de software não
autorizado;
b) Proteger contra riscos associados com a obtenção de ficheiros e
software através de redes externas, ou qualquer outro meio, indicando
quais medidas de protecção;
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 31
c) Instalação e actualização regular de software de detecção de vírus e
restauro;
d) Conduzir revisões regulares do software e dos conteúdos de dados dos
sistemas que suportam processos críticos para o negócio.
e) Verificação antivírus, antes de abrir ficheiros de proveniência duvidosa, e
f) Planos apropriados para continuidade dos negócios para recuperar de
ataques de vírus.
2.2.4.15. UTILIZAÇÃO DA INTERNET
Este componente tem como objectivo definir regras para utilização de internet e
de todas as operações associadas:
a) O acesso á internet só deve ser facultado a utilizadores que dela
necessitem para o desempenho das suas funções;
b) A divulgação de informações da organização em grupos de discussão,
deve ser proibida;
c) O acesso a domínios que comprometam o uso de banda deve ser
bloqueado;
d) O acesso a sites com conteúdo pornográfico, jogo ou apostas além de
bloqueado o seu acesso deve ser monitorizado;
e) Os utilizadores com acesso á internet, com permissão para baixar
software devem providenciar a regularização das licenças e o registo
desse software, e
f) Geração de relatórios dos sites acedidos por utilizador.
2.2.4.16. CORREIO ELECTRÓNICO
Este componente tem como objectivo definir regras de utilização de e-mail. Os
utilizadores deste serviço devem ter consciência que sendo um serviço
disponibilizado através da internet opera em domínio público e como tal de
difícil controlo. Mesmo que os servidores de e-mail se encontrem protegidos
contra vírus é importante que a PSSI defina regras de utilização [Spanceski
2004]:
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 32
a) O correio electrónico deve ser utilizado de forma consciente;
b) O envio de e-mail deve ser efectuado somente para pessoas que desejam
recebê-los,
c) Proibir o envio de grande quantidade de mensagens de e-mail (spam);
d) Proibir o reenvio mensagens em cadeia;
e) Bloquear a utilização do serviço com anexos que comprometa o bom
desempenho da infra-estrutura;
f) Obrigar á manutenção da caixa de e-mail;
g) Limitar a cota de e-mails armazenados;
h) Solicitar notificações de controlo e leitura;
i) Não executar arquivos com extensões .bat, .exe, ou outras desde que
enviados por desconhecidos ou suspeitos;
j) Etc.
2.2.4.17. ACESSOS REMOTOS
Os acesso remoto á rede representa um potencial acesso não autorizado,
como por exemplo através de métodos dial-up. Neste contexto a politica deve
especificar procedimentos de uma ligação remota, redacção de compromissos
de utilização e a forma como decorrem as ligações:
a) Ligações dial-up com ou sem callback, e
b) Ligações á internet com recurso a rede privada virtual (VPN)
2.2.4.18. ENGENHARIA SOCIAL
O componente da engenharia social é muitas vezes descurado aquando da
elaboração de PSSI. Hoje cada vez mais é importante alertar os utilizadores do
sistema para este método de ataque onde terceiros fazem uso da persuasão,
da ingenuidade, boa-fé ou confiança do utilizador para obter informações que
podem ser utilizadas para ter acesso não autorizado a SI.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 33
2.2.5. FORMULAÇÃO DAS POLÍTICAS
O desenvolvimento de uma política de segurança numa organização envolve
quatro actividades distintas [Hartley & Locke, 2001]:
a) Avaliação das necessidades de segurança;
b) Levantamento das politicas e procedimentos em vigor, caso existam;
c) Definição dos requisitos de segurança;
d) Formalização da politica de segurança.
2.2.5.1. AVALIAÇÃO DAS NECESSIDADES DE SEGURANÇA
A avaliação das necessidades de segurança dedica-se à identificação de
activos e classificação da informação. Considera-se activos tudo o que
manipula informação inclusive ela própria:
a) Tecnologia;
b) Infra-estrutura;
c) Aplicações;
d) Informações, e
e) Pessoas.
O inventário de activos é um aspecto fundamental para o sucesso de uma
PSSI porque permite identificar os activos que apresentam necessidade de
protecção efectiva. Com base na sua importância e no seu valor é feita a
avaliação de risco e a atribuição de níveis de protecção adequados a essa
avaliação. Do inventário de cada activo deve constar a sua identificação,
propriedades, classificação de segurança, localização e responsável.
Segundo o padrão internacional ISO/IEC 17799, os principais activos
relacionados com sistemas de informação são:
a) Activos de informação;
b) Activos de software;
c) Activos físicos que englobam equipamentos informáticos, de
comunicação, de suporte de dados, etc;
d) Activos de serviços.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 34
Em relação á classificação da informação a mais comum nos dias de hoje, é
aquela que divide em quatro níveis: Confidencial, restrita, interna e pública.
(DIAS, 2000, p.53).
a) As informações confidenciais são aquelas que são essenciais para a
organização, sendo o acesso não autorizado às mesmas extremamente
críticas para a organização. De modo a manter a sua confidencialidade e
integridade o acesso a estas informações deve ser restrito e o seu
controlo deve ser total.
b) As informações restritas só devem ser acedidas por utilizadores que
delas necessitem para o desempenho satisfatório das suas funções, e
quando forem fundamentais para esse desempenho. O acesso não
autorizado a estas informações pode comprometer financeiramente a
organização e a sua fatia de mercado.
c) As informações internas não devem sair do âmbito da instituição. O
acesso não autorizado a estas informações não tendo consequências
críticas pode afectar a imagem da organização causando assim
prejuízos indirectos.
d) As informações públicas são aquelas que podem ser divulgadas para o
público em geral, incluindo clientes, fornecedores, imprensa, não
possuem restrições para divulgação.
Além da classificação da informação é importante definir procedimentos para a
rotulagem e manuseamento da informação de acordo com a classificação
adoptada, tendo especial cuidado na informação classificada como confidencial
e restrita.
2.2.5.2. LEVANTAMENTO DA SITUAÇÃO ACTUAL
O Levantamento das políticas e procedimentos em vigor permitirá fazer a
análise e gestão do risco e assim identificar os requisitos de segurança. Esta
actividade irá permitir identificar, caso existam, os procedimentos adequados,
quais os que devem ser actualizados e os que não fazem qualquer sentido.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 35
Esta análise deves ser feita de forma periódica, de modo a contemplar e ajustar
a politica de segurança às mudanças estratégicas da organização e considerar
a novas ameaças e vulnerabilidades
O risco por si só representa a consciencialização de que a ocorrência de
eventos futuros possa causar danos à organização. Perante esta probabilidade
torna-se necessário fazer um cálculo, mesmo que estimativo, do risco
associado a cada situação de modo a definir a forma de lidar com ele.
a) Evitar o risco não permitindo que determinadas situações ocorram
(quando previsíveis);
b) Transferir o risco para outras entidades através de contratos de seguro;
c) Reduzir o risco impondo práticas que reduzam significativamente a
possibilidade de ocorrência de um incidente;
d) Aceitar o risco visto haver riscos cuja redução é mais dispendiosa do
que as consequências da sua ocorrência.
A avaliação de riscos consiste na avaliação de vários factores:
a) Ameaças aos activos da organização;
b) Vulnerabilidades existentes no ambiente interno e externo;
c) Probabilidade de ocorrência de uma ameaça e sucesso da mesma;
d) Impacto que terá na organização a exposição a essa vulnerabilidade;
e) Medidas para redução dos impactos;
f) Risco residual, o risco que se verifica após a implementação de medidas
de redução do impacto.
Com base na avaliação dos factores identificados procede-se à identificação
dos níveis de risco com base na:
a) Análise qualitativa associando um valor numérico à probabilidade de
ocorrência de uma falha de segurança, á luz das vulnerabilidades e
ameaças existentes;
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 36
b) Análise quantitativa atribuindo uma pontuação ao impacto que terá na
organização a ocorrência de um determinado risco e das medidas de
redução do seu impacto.
c) A atribuição de valores deve ser feita através do desenvolvimento,
simulação e análise de cenários de risco, escalonando a seriedade das
ameaças, probabilidades de ocorrência, custo e eficiência das medidas
de redução do impacto, com base nas opiniões de peritos e de
colaboradores dos vários departamentos da organização.
Após a identificação dos riscos são determinadas prioridades para que as
vulnerabilidades que podem causar maior impacto sejam analisadas e
corrigidas.
Segundo Guan et al. a avaliação de riscos compreende nove passos [2003]:
a) Caracterização do sistema;
b) Identificação de ameaças;
c) Identificação de vulnerabilidades;
d) Análise dos controlos utilizados;
e) Determinação da probabilidade dos eventos listados nos passos
anteriores;
Identificação de activos
Determinação de ameaças
Definição de medidas de segurança
Determinação do risco
Determinação do nível de ameaça
Determinação das limitações
Ilustração 7: Análise de risco
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 37
f) Análise de impacto;
g) Determinação dos riscos;
h) Recomendação de controlos a utilizar; e
i) Documentação dos resultados.
Guan et al. [2003] ressaltam ainda que, caso haja registos históricos
consistentes e dados estatísticos plausíveis, pode-se utilizar uma das seguintes
fórmulas para a determinação do valor do risco (custo das perdas):
a) R =W ×X ×V (4.1)
b) R =V(10C+W−3)
Onde R é o valor do risco, W é a probabilidade da ocorrência de ataques, C é o
custo total do activo e V é a vulnerabilidade a que está sujeito o activo. Na
ausência de dados históricos, é usual que se estime os valores de W e V com
base em dados externos, tais como seguradoras ou organizações de mesmo
porte ou segmento.
A análise do risco pode ser completada com a esquematização da relação da
probabilidade de ocorrência e impacto na organização. De seguida são
apresentados dois exemplos de esquematização:
Ilustração 8: Representação do risco proposta pela TiSafe (Fonte www.tisafe.com)
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 38
Ilustração 9: Representação do risco proposta pela foco.security
2.2.5.3. DEFINIÇÃO DE REQUISITOS DE SEGURANÇA
A Definição de requisitos de segurança é uma actividade puramente analítica,
como tal, exige conhecimentos de análise e técnicos. Segundo o Padrão
internacional ISSO/IEC 17799, é essencial que uma organização defina os
seus requisitos de segurança, de acordo com três fontes principais:
a) A primeira deriva da avaliação de riscos as ameaças aos activos, da
vulnerabilidade e da probabilidade de ocorrência e do impacto potencial
é estimado.
b) A segunda fonte deriva das exigências legais, estatutárias,
regulamentadoras e contratuais que uma organização, parceiros
comerciais e fornecedores de serviços precisam atender.
c) A terceira fonte é constituída pelo conjunto específico de princípios,
objectivos e requisitos para o processamento de informações que uma
organização desenvolveu para dar suporte a suas operações.
Neste contexto na definição dos requisitos de segurança devem ser definidos
planos estratégicos, tácticos e operacionais, cada um com uma abordagem
diferente, mas com o objectivo comum de garantir a segurança da informação.
A nível de Plano estratégico os objectivos principais são:
a) Estabelecer procedimentos e políticas de segurança;
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 39
b) Fazer o planeamento efectivo de servidores, terminais e dispositivos de
rede;
c) Certificar-se de que todos os utilizadores entendem a importância da
segurança para os negócios;
d) Estabelecer uma entidade de segurança para cuidar da segurança
internamente, e
e) Certificar-se que os riscos foram totalmente compreendidos e
controlados.
No Plano táctico pretende-se abordar as iniciativas necessárias para os
objectivos traçados pelo plano estratégico:
a) Estabelecer controlos rígidos para ambientes de servidores;
b) Desenvolver uma política de uso de equipamentos;
c) Reduzir as probabilidades de acção das vulnerabilidades dos servidores,
e
d) Implementar um hot site de recuperação de desastres.
O Plano operacional prevê a elaboração de Planos específicos com etapas,
datas e certificações, promovem os meios para certificar que os planos
menores serão compridos através de:
a) Avaliações de risco;
b) Desenvolvimento de políticas de segurança e aprovação de processos;
c) Desenvolvimento de infra-estrutura técnica para uso eficiente das
políticas, e
d) Formação baseado nas políticas para os utilizadores finais.
Para que uma PSSI se torne apropriada, efectiva, seja aceite por parte de
todos os elementos da organização e rapidamente posta em prática é
importante que se verifique o envolvimento dos membros directivos e o suporte
ao processo de formulação da política de segurança, caso contrário dificilmente
se verificará o impacto desejado. Além dos referidos outros elementos devem
na formulação e revisão dos documentos da política de segurança:
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 40
a) O administrador de segurança;
b) O pessoal técnico do SI;
c) Os chefes de núcleo ou de grupos de utilizadores dentro da organização;
d) A equipa de reacção a incidentes de segurança, e
e) Os representantes de grupos de utilizadores afectados pela política de
segurança.
O objectivo será fazer representar todos os membros, desde os que tem
responsabilidades sobre o orçamento e política até ao pessoal técnico que
saiba o que pode e o que não pode ser suportado. Em algumas organizações,
pode ser apropriado incluir pessoal de auditoria de forma a salvaguardar a
correcta avaliação e o reporte para definição de novos requisitos
2.2.5.4. FORMALIZAÇÃO DA POLÍTICA Á FORMA ESCRITA
A formalização da política de segurança é uma actividade administrativa que
consiste na elaboração, propriamente dita do documento final que formaliza a
politica de segurança da organização. Esta actividade é revestida de um
carácter iterativo estando sujeita a várias revisões e adaptações as várias
áreas da organização.
O documento final deve:
a) Ser aprovado ao mais alto nível da hierarquia;
b) Ser redigido com clareza;
c) Ser conciso;
d) Ser dirigido para atingir o nível de segurança adequado aos bens a
proteger de forma a produzir o mínimo de alterações ao funcionamento
da organização;
e) Evitar especificações ao nível técnico;
f) Ser exequível;
g) Quantificar recursos;
h) Referir a obediência às exigências legislativas e contratuais;
i) Conter uma declaração da administração apoiando os objectivos e
princípios da segurança de informação;
j) Referir consequências da violação às normas;
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 41
k) Referir documentos que podem apoiar a politica;
l) Prever formação dos intervenientes;
m) Explicitar acções concretas, e
n) Contemplar manual de procedimentos em caso de falhas.
2.2.6. IMPLEMENTAÇÃO E ADOPÇÃO DE POLÍTICAS
A garantia de que a PSSI será implementada de modo adequado está
intrinsecamente associada à infra-estrutura da organização. Cumpre observar
que deve haver uma adequação entre todos os componentes do sistema a fim
de garantir a segurança de todo o conjunto. Independentemente da política
adoptada existem determinados pressupostos que se devem verificar:
a) Equipamentos dispostos fisicamente de forma a minimizar acessos
desnecessários entre áreas de trabalho;
b) Instalações de processamento e armazenamento de informações
sensíveis, posicionadas de forma a reduzir o risco de serem vistam
casualmente durante sua utilização;
c) Adopção de mecanismos de controlo para minimizar o risco de ameaças
potenciais incluindo: roubo; incêndio; inundações; poeira; vibração;
efeitos químicos; interferência no fornecimento eléctrico; radiação
electromagnética.
d) Uso de métodos de protecção especiais, tais como membranas para
teclados, consoante o ambiente de actuação;
e) Considerar o impacto de acidentes nas áreas vizinhas;
f) Protecção dos equipamentos contra falta de energia e outras anomalias
na electricidade;
g) Protecção de cabos de energia e telecomunicação que transportam
dados ou suportam serviços de informação contra interceptação ou
danos, nomeadamente:
− A utilização de linhas de telecomunicação e energia subterrâneas, onde
possível, ou sujeitas à protecção alternativa adequada;
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 42
− Cabeamento de redes protegido contra acesso não autorizado ou danos;
− Separação dos cabos de energia e dos cabos de comunicação para
impedir interferência;
− Utilização de rotas alternativas, e
− Utilização de cabos de fibra óptica, sempre que possível.
A experiência tem mostrado que existem determinados factores, que podem
ser apontados para a implementação bem sucedida da PSSI na organização:
a) Política, objectivos e actividades de segurança que reflictam os
objectivos do negócio;
b) Uma abordagem para implementar a segurança que seja consistente
com a cultura organizacional;
c) Suporte visível e compromisso por parte da administração;
d) Bom entendimento das necessidades de segurança, avaliação de riscos
e gestão de riscos;
e) Marketing de segurança eficaz;
f) Distribuição de orientação sobre a política e os padrões de segurança
adoptados a todos os elementos da organização;
g) Implementação de planos de formação como um elemento
extremamente importante uma vez que permite dar a conhecer aos
utilizadores a PSSI, mostrar a sua importância e sensibiliza-los para a
sua utilização;
h) Utilização de um sistema de medição eficaz e abrangente, usado para
avaliar o desempenho na gestão de segurança de informações, e
i) Implementação de um sistema de feedback e sugestão de para
melhorias.
Tal como se identificam os factores de sucesso também é possível identificar
alguns erros frequentemente cometidos no decorrer no processo de
implementação, tais como:
a) Expressão inadequada das intenções dos altos níveis hierárquicos da
organização relativamente aos seus compromissos com as questões de
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 43
segurança, falhando nas explicações, atribuição adequada de
responsabilidades, deveres e recursos;
b) A existência de múltiplos mecanismos de autenticação e a necessidade
de o utilizador fazer logoff antes de poder fazer logon em outra
aplicação, faz com que o utilizador tenha necessidade de recorrer a
auxiliares de memória como por exemplo post-its;
c) A existência de múltiplos mecanismos de controlo de acesso que
normalmente resultam num controlo inconsistente ou incompleto;
d) Utilização de sistemas com configurações por defeito para obter maior
rapidez de instalação e inexistência de testes de equipamentos em
ambientes seguros;
e) Adequação às teorias do comportamento humano;
f) Capacidade de reconhecimento de problemas tardia o que implica que a
sua resolução seja ainda mais tardia prolongando no tempo as
vulnerabilidades dos sistemas;
g) Administração complexa, e
h) Desejo de conseguir proteger tudo.
Neste contexto, considero que no processo de implementação da PSSI, se
deve começar por:
a) Definir uma campanha de sensibilização;
b) Definir um patrocinador interno para a campanha de sensibilização;
a) Dar a conhecer a todos os elementos da organização a politica de
segurança global;
b) Dar a conhecer aos responsáveis por departamento da organização a
política modular e a forma de implementação no seu departamento;
c) Proceder á implementação da política modular num departamento a
título experimental;
d) Receber feedback da implementação piloto;
e) Por departamentos e de forma faseada proceder á formação e
implementação das políticas modulares;
f) Fazer a integração das politicas modulares;
g) Reforçar os factores de sucesso já mencionados, e
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 44
h) Evitar os erros frequentemente cometidos.
Convém frisar que o que seria aconselhável era a implementação da PSSI no
seu todo no mesmo período temporal, no entanto este esforço torna-se
arriscado e pode comprometer a organização.
2.2.7. MONITORIZAÇÃO E AVALIAÇÃO
A política deve definir mecanismos de monitorização e indicar responsáveis
pela sua manutenção e revisão quando necessária ou de acordo com o
processo de revisão que deve ser definido na própria politica.
O processo de revisão deve contemplar o procedimento caso se verifiquem:
a) Mudanças organizacionais que afectem a avaliação de riscos;
b) Detecção de novas vulnerabilidades;
c) Alteração da infra-estrutura tecnológica, e
d) Necessidade de resposta a incidentes de segurança.
O processo de avaliação da política deve focar-se na eficácia demonstrada
pela política, verificando se a aplicação da mesma se traduziu numa redução
da quantidade e do impacto de incidentes, e se a relação custo impacto é
vantajosa para a continuidade do negócio. Deve ainda basear-se em três
pilares, a flexibilidade, a análise de soluções e a melhoria continua.
− A flexibilidade está diretamente ligada às melhorias contínuas. Uma
PSSI por natureza deve ser flexível a mudanças do comportamento
humano, mudanças nos processos críticos de uma organização e
flexível a novas tecnologias, evitando assim tornar-se obsoleta.
− A análise de soluções no processo de monitorizarão e avaliação de uma
PSSI consiste em pesquisar software, hardware e procedimentos que
ampliem o nível de segurança da organização e mantenham o nível de
funcionalidade da rede bem como a relação custo/beneficio.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 45
− Depois da política implementada na organização, é necessário procurar
sempre melhorias em processos, pessoas e tecnologias. Este aspecto
constitui um elemento de grande importância para a continuidade do
negócio.
O processo de monitorização e avaliação deve ser levado a cabo tendo sempre
em conta a visão e os objectivos de segurança de informação da organização e
da tecnologia utilizada, tanto ao nível de hardware, de software, como de
procedimentos ou de recursos humanos. A monitorização só faz sentido
quando prevê a avaliação e a consequente adaptação dos objectivos
inicialmente definidos.
A nível técnico o processo de monitorização é conhecido como sniffing, e
traduz-se na utilização de software específico que permite a intercepção do
meio de comunicação e o registo, para fins de análise, da informação que
circula no mesmo.
Visão e objectivos de segurança de informação
Organização Tecnologia
Avaliação e Adaptação
Pe
sso
as
Pro
cess
os
Ide
ntifi
caçã
o
Pro
tecç
ão
Sis
tem
as
Ap
lica
çõe
s
Act
ivo
s
Co
ntr
olo
Métricas de avaliação de pessoas, processos, tecnologia e controlos
Ilustração 10: Processo de monitorização e avaliação
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 46
Actualmente existem no mercado ferramentas específicas para ataque
baseadas em técnicas de sniffing que permitem combinar o conhecimento dos
diferentes protocolos de comunicação com o sniffer, permitindo assim a
simulação do ataque e a monitorização do sistema e da organização ao
ataque. Como exemplos de sniffers temos:
a) LOpht Crack Scanner que é um sniffer de palavras passe que expõe os
nomes de utilizador e respectivas palavras passe em ambientes
Windows;
b) Protocolo PPTP (point-to-point tunneling protocol), concebido para
disponibilizar comunicações em túneis cifrados. Esta ferramenta recorre
ao sniffer para monitorizar o tráfego da rede através de sessões PPTP,
reconhecendo e capturando os pacotes de tráfego deste tipo, e
c) O Hunt que permite examinar o fluxo do tráfego e raptar sessões dando
ao utilizador acesso a sessões já estabelecidas.
Convém no entanto relembrar que embora estas ferramentas sejam bastante
úteis para o processo de monitorização, caso caiam nas mãos erradas poderão
provocar incidentes de avultada gravidade.
A fase de monitorização e controlo pode prever a realização de auditorias de
segurança, internas ou externas, permitindo assim:
a) Avaliar de modo formal a implementação da PSSI;
b) Identificar lacunas ou omissões na PSSI;
c) Introduzir alterações ou ajustes;
d) Reavaliar o risco;
e) Procurar novas vulnerabilidades técnicas;
f) Validar a aplicação da política;
g) Calcular níveis de disponibilidade;
h) Apurar necessidades de armazenamento;
i) Avaliar a sensibilidade do sistema, e
j) De que forma o negócio é afectado caso ocorram acessos não
autorizados.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 47
CAPITULO 3 – CONCLUSÕES
Para elaboração deste estudo, inicialmente foi feita uma revisão bibliográfica
para identificar componentes que devem fazer parte de uma PSSI.
Na impossibilidade de consultar PSSI efectivas, o estudo foi feito através de
consulta a locais Web de empresas. Inicialmente a consulta foi completamente
aleatória, numa fase posterior foram seleccionados alguns locais por sectores
de actividade e de acordo com o documento de privacidade apresentado.
Neste contexto este estudo faz referência a vinte locais, embora tenham sido
consultados cerca de cinquenta. De seguida são apresentados os resultados
observados.
3.1.RESULTADOS OBSERVADOS
Dos locais estudados listaram-se as características apresentadas nas tabelas
de forma aleatória.
Ilustração 11: Resultados observados
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 48
LOCAIS WEB ESTUDADOS
Características
CM
Loulé
CM
Ansião
CM
Seixal
CM
Coimbra SGU IFADAP Ssocial
Declaração de compromisso x x x x x x x
Privacidade x x x x
Confidencialidade x x x x x x
Conformidade legal x x x x x
Controlo de acesso x x x x x
Recomendações ao
utilizador x
Acesso a rectificação de
dados pessoais x x x x x x
Integridade x x x x x
Recomendações para
palavra-passe x x x
Exoneração de
responsabilidade x x
Definição de perfis
Acções punitivas x x
Actualização x
Registo e autenticação x x x x
Outsourcing
Segurança de comunicações
e transmissão x x x x x
Acesso físico a instalações x
Logon / logout x
Autenticidade x x x
Disponibilidade
Monitorização x
Encriptação de dados x x
Segurança de base de dados x x
Reacção a incidentes
Certificados digitais
Engenharia social
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 49
LOCAIS WEB ESTUDADOS
Características Autodesk Swatch Continente Apple Vodafone Jumbo
Declaração de compromisso x x x x
Privacidade x x x x
Confidencialidade x x x x x
Conformidade legal x x x
Controlo de acesso x x
Recomendações ao utilizador x
Acesso a rectificação de dados
pessoais x x x x
Integridade x
Recomendações para palavra-
passe x x
Exoneração de responsabilidade x x
Definição de perfis x x x x
Acções punitivas
Actualização x
Registo e autenticação x x x x x
Outsourcing x x
Segurança de comunicações e
transmissão x
Acesso físico a instalações x
Logon / logout
Autenticidade x
Disponibilidade
Monitorização x
E-mail x x
Encriptação de dados x x
Segurança de base de dados x x x x
Reacção a incidentes x
Certificados digitais
Engenharia social
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 50
LOCAIS WEB ESTUDADOS
Características CGD BES BCP Uminho Lusófona UAL UNL
Declaração de compromisso x x x x
Privacidade x
Confidencialidade x x
Conformidade legal x x x x x
Controlo de acesso x x x
Recomendações ao utilizador x
Acesso a rectificação de dados
pessoais x x
Integridade x
Recomendações para palavra-
passe x
Exoneração de responsabilidade x
Definição de perfis
Acções punitivas x
Actualização
Registo e autenticação x x
Outsourcing
Segurança de comunicações e
transmissão
Acesso físico a instalações
Logon / logout x
Autenticidade
Disponibilidade x
Monitorização x
E-mail x
Encriptação de dados x
Segurança de base de dados
Reacção a incidentes
Certificados digitais x
Engenharia social x
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 51
3.2. CONCLUSÕES GERAIS
Da conclusão deste trabalho retiram-se algumas ideias gerais, a referir:
1. Uma vez que a forma de pesquisa utilizada foi via internet, os resultados
obtidos poderão não ser representativos para a realidade portuguesa
visto excluir automaticamente as organizações que não têm página
Web;
2. O facto de não existir informação referente á existência de politicas de
segurança não significa que estas não existam, o que prova é que não
existe por parte da organização um sinal inequívoco de que a
organização se preocupa com a integridade e preservação da
informação, além de não utilizar a publicação da sua politica como forma
de gerar uma base confiança no desenvolvimento da actividade e
afirmação da imagem externa da organização;
3. Parte das organizações pesquisadas nem sequer refere no seu site
qualquer medida de segurança de informação;
4. Muitas organizações remetem para a lei 67/68 de 26 de Outubro -
Protecção de dados pessoais – a questão da política de segurança. Não
há um sinal claro da adaptação da lei á sua realidade organizacional;
5. Uma pequena percentagem das organizações apresentam de facto uma
politica de privacidade e segurança. No entanto e á luz do exposto no
capítulo anterior, algumas delas nem sequer são dignas deste nome,
dado tratar-se de documentos pobres em termos de forma e conteúdo, e
6. Na análise dos locais Web é comum verificar que o texto da política de
segurança e privacidade é igual a outros sites visitados. Após análise
mais cuidada verifica-se que estas ocorrências acontecem devido a
duas situações específicas. Por um lado a emanação de propostas de
texto sobre o tema, por parte de entidades institucionais, como é o caso
da relação Câmara Municipal / Juntas de Freguesia. Por outro a
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 52
existência de modelos de texto por parte de empresas de Web Design
que é igual para todos os clientes independentemente da realidade
organizacional.
Dos resultados observados conclui-se que há uma maior atenção para as
questões da segurança e privacidade por parte das empresas ligadas de
alguma forma ás TI, como é o caso da Apple e da AutoDesk. A seguir
aparecem as organizações de carácter institucional ou organismos públicos.
Segundo os dados recolhidos onde se verifica menor atenção com as politicas
de segurança e privacidade é no ensino, nomeadamente a UAL e a UNL.
3.3. SUGESTÕES PARA ESTUDOS FUTUROS
Ao longo deste trabalho cruzei-me com estudos sobre o tema com abordagens
muito diversificadas e com uma elevada abrangência multidisciplinar. Além
disso verifiquei, que não há dados publicados sobre a auscultação formal das
empresas acercas do tema.
Assim considero que poderão constituir sugestões para futuros trabalhos:
a) Utilização de instrumentos para captação de dados sobre a
implementação de PSSI nas organizações, como por exemplo
questionários ou entrevistas aos responsáveis por sistemas de
informação.
b) Utilização de instrumentos para captação da percepção dos utilizadores
de sistemas de segurança de informação quanto à sua segurança.
c) O papel do indivíduo dos seus valores e a construção de artefactos na
concepção e implementação de políticas de segurança de sistemas de
informação.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 53
REFERÊNCIAS BIBLIOGRÁFICAS
− Alter, S., Information Systems: A Management Perspective, Addison-Wesley;
1992
− Asciutti, César Augusto; Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para
a Administração Pública -USP
− Caldeira, Filipe; Monteiro, Edmundo; Descrição, Geração e Difusão de
Politicas de Segurança
− Campos, André; Sistema de Segurança da Informação – Controlando os
Riscos; Visual Books
− Carvalho, Hugo; Torres, Catarina; Segurança dos Sistemas de Informação;
Centro Atlântico; 2003
− Cuppens, F.; Saurel, C. Specifying a security policy. In: Proceedings of 9th
IEEE Workshop on Computer Security Foundations. Kenmare, Kerry, Ireland:
Kluwer Academic Publishers; 1996
− Dias, C., Segurança e Auditoria da Tecnologia da Informação, Axel, 2000
− Ferreira, R. da S. A sociedade da informação no Brasil: um ensaio sobre os
desafios do Estado. Ciência da Informação; 2003.
− Francini, Reitz Spanceski; Politica de Segurança da Informação –
Desenvolvimento de um modelo voltado para instituições de ensino; 2004
− Guan, B.-C, Evaluation of information security related risks of an
organization: the application of the multi-criteria decision-making method,
California: IEEE Society, 2003.
− Hartley, B, Locke, A. The Process of Security. In Business Security Advisor;
2001
− ISSO/IEC 17799:2000 – Código de Prática para a Gestão da Segurança da
Informação
− Lopes, Isabel; Ensaio Politicas de Segurança e Privacidade: Forma e Fundo;
2007
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 54
− Loucopoulos, P., W.J. Black, P.J. Layzeel e A.G. Sutcliffe, A multi method
approach for developing universal specifications, Technical Report,
Department of Computation UMIST; 1987
− Mamede, Henrique; Segurança Informática nas Organizações; FCA;2006
− Marc, Fernando Nicolau F. F. ; política de segurança da informação - guia
prático para elaboração e implementação; ciência moderna
− Marciano, João Luiz; Lima-Marques, Mamede; Enfoque Social da Segurança
de informação; 2006
− Meneses, Heleno; et all; O Factor Humano na Segurança Informação; 2004
− Neves, Eduardo V. C.; Visão Geral de uma Política de Segurança; 2007
− Pereira, Cristiane; Actividades de Gestão de Segurança da Informação; 2004
− Pinto, Paulo, IT Security, Novabase & FEUP; 2005
− Silva, Pedro Tavares; Carvalho, Hugo; Torres, Botelho; Segurança dos
Sistemas de Informação - Gestão Estratégica da Segurança Empresarial
− Varajão, João & Amaral, Luis; Planeamento de sistemas de Informação;
FCA; 2000
− Varajão, João Eduardo Quintela; A Arquitectura e Gestão de Sistemas de
Informação; FCA; 1998
− Whitman, M. E. Enemy at the gate: threats to information security.
Communications of the ACM; 2003
Locais consultados:
http://WWW.TiSafe.com
http://www.infnet.edu.br/formacao/analista_seg.htm
http://www.intelligentedu.com/blogs/post/best_new_training_sites/107/Informati
on-Security-Management-Presentation/pt/
http://www.focosecurity.com.br
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 55
ANEXOS
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 56
ANEXO I – TERMO DE COMPROMISSO (ADAPTADO DE
FRANCINI REITZ SPANCESKI )
NOME:
NÚMERO DE IDENTIFICAÇÃO:
Comprometo-me a:
1. Executar as minhas tarefas de forma a cumprir com as orientações da
Política de Segurança e com as Normas e Padrões vigentes.
2. Utilizar adequadamente os equipamentos da Instituição, evitando
acessos indevidos aos ambientes computorizados, aos quais estarei
habilitado, que possam comprometer a segurança das informações.
3. Não revelar fora do âmbito profissional, facto ou informações de
qualquer natureza que tenha conhecimento devido a minhas atribuições,
salvo em decorrência de decisão competente do superior hierárquico.
4. Aceder só às informações por necessidade de serviço e por
determinação expressa do superior hierárquico.
5. Ser cuidadoso na exibição de informações confidenciais, em monitor,
impressoras ou outros meios electrónicos.
6. Não me ausentar do local de trabalho sem encerrar a sessão de uso do
computador ou sistema, evitando assim o acesso por pessoas não
autorizadas.
7. Observar rigorosamente os procedimentos de segurança estabelecidos
quanto à confidencialidade da palavra passe.
8. Substituir a palavra passe inicialmente gerada pelo sistema, por outra
secreta, pessoal e intransferível.
9. De modo algum ou sobre qualquer pretexto, procurar descobrir as
palavras passe de outras pessoas ou sonegar-lhes informação.
10. Utilizar o meu acesso somente para os fins designados e para os
quais estiver devidamente autorizado.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 57
11. Responder em todas as instâncias, pelas consequências das acções
ou omissões que possam por em risco ou comprometer a exclusividade
de conhecimento da minha senha ou das transacções a que tenho
acesso.
12. Reportar imediatamente ao administrador de segurança qualquer
incidente ocorrido.
Declaro estar ciente das determinações acima, compreendendo que quaisquer
incumprimentos das regras podem implicar a aplicação das sanções
disciplinares.
Local, ______ de _____________________________ de ____________.
Assinatura
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 58
ANEXO II – TERMO DE RESPONSABILIDADE PARA UTILIZAÇÃO
DE EQUIPAMENTOS PESSOAIS (ADAPTADO DE FRANCINI REITZ
SPANCESKI )
1. Do Objeto: O presente termo objectiva a permissão para a utilização do
equipamento pessoal móvel ________________ na rede em todos as suas
unidades.
2. Do Prazo: O presente instrumento vigorará imediatamente a partir da
assinatura deste.
3. O utilizador ficará responsável por:
- Toda e qualquer manutenção/despesa que for necessária para o
funcionamento do equipamento.
- Possuir um software antivírus devidamente registado e actualizado.
- Instalar apenas software com licença de livre distribuição, ou que o
mesmo tenha adquirido a sua licença.
- Não copiar, reproduzir ou distribuir documentos, ficheiros ou
programas pertencentes á organização.
- Todo e qualquer prejuízos que, por sua culpa, na utilização do
equipamento, vier causar à terceiros, durante o tempo de vigência
deste termo.
- Respeitar as directrizes constantes da política de segurança de
sistemas de informação, que não contem deste documento.
Local, ___ de __________ de 20___.
Assinatura
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 59
ANEXO III – EXEMPLO DE PROCEDIMENTO DE SEGURANÇA
PARA O COMPONENTE PROTECÇÃO CONTRA VÍRUS
Dever: Aqueles que detêm informações da empresa são responsáveis pela sua
integridade.
Padrão: Os utilizadores devem utilizar o antivírus XYZ.
Linha de Base: As configurações do antivírus XYZ devem ser definidas para
todos os ficheiros, de modo a garantir a integridade das informações
armazenadas.
Procedimentos:
a) Todos os utilizadores receberão actualizações semanais do software
XYZ. Nos intervalos e ao final do dia os utilizadores devem bloquear as
suas sessões no sistema.
b) Todos os ficheiros novos devem ser verificados quanto à existência de
vírus.
c) Sempre que possível os dispositivos de armazenamento externo devem
ser protegidos contra gravação.
d) Toda a actividade suspeita ou desautorizada deverá ser imediatamente
comunicada ao responsável de segurança.
Linhas Guia: Os funcionários que utilizam sistema de informação devem
participar de acções sobre o poder destrutivo dos vírus e entender quais são as
suas responsabilidades pessoais.
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 60
ANEXO IV – LOCAIS ESTUDADOS
http://www.cm-loule.pt/index.php?option=com_content&task=view&id=190
https://www.sgu.gov.pt/1Pagina%5CSecurityPolicy.HTM
http://www.ifap.min-
agricultura.pt/portal/page/portal/ifap_publico/HP_Poli_Priv_Seg
http://www.cm-
ansiao.pt/default.aspx?module=ArtigoDisplay&COD=PoliticaPrivacidade
http://www.cm-seixal.pt/CMSEIXAL/FERRAMENTAS/PRIVACIDADE/
http://clientebancario.bportugal.pt/dsb/Aviso_Legal.htm
http://www.autodesk.pt/adsk/servlet/item?siteID=459664&id=2069264
http://www.apple.com/pt/legal/privacy/
http://www.portaldocidadao.pt/PORTAL/pt/informacao+geral/Politica
http://www.fe.unl.pt/index.php?page=30
http://acesso.grupolusofona.pt/
http://www.ualg.pt/index.php?option=com_content&task=view&id=25438&Itemi
d=1542
http://www.bes.pt/sitebes/cms.aspx?labelid=BCPolitPriv
http://www.millenniumbcp.pt/site/conteudos/segur/article.jhtml?articleID=28577
8
http://www.cgd.pt/Seguranca/Internet-Banking/Pages/Seguranca-CGD.aspx
http://www.squiggly.com/pt/privacy-policy
http://www.continente.pt//ServiceRules.aspx
Projecto de Informática - IG
_______________________________________________________________
Sandra Tralhão 61
http://www.jumbo.pt/frontoffice/ContentPages/Institutional.aspx?ContentType=a
visoslegais
http://www.vodafone.pt/main/Ajuda/Privacidade/mainPrivacidade
http://www.portaldocidadao.pt/PORTAL/entidades/ADL/CMC/pt/ORG_camara+
municipal+de+coimbra.htm