Monografia Final V4

47
 CESUC Centro de ensino superior de Cuiabá GESTÃO DE BANCO DE DADOS HUMBERTO APARECIDO PEREIRA ALEXANDRE CATIJERO PEREIRA ZANELHO TEIXEIRA SPÍNDOLA FABIULA KALY DE ALMEIDA ORIENTADORES FRANCISCO CARLOS XAVIER ANDERSON AURISTELA SEGURANÇA DA INFORMAÇÃO EM AMBIENTE TECNOLÓGICO

Transcript of Monografia Final V4

Page 1: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 1/47

CESUC

Centro de ensino superior de Cuiabá

GESTÃO DE BANCO DE DADOS

HUMBERTO APARECIDO PEREIRA

ALEXANDRE CATIJERO PEREIRA

ZANELHO TEIXEIRA SPÍNDOLA

FABIULA KALY DE ALMEIDA

ORIENTADORES

FRANCISCO CARLOS XAVIER

ANDERSON

AURISTELA

SEGURANÇA DA INFORMAÇÃO EM AMBIENTE

TECNOLÓGICO

Page 2: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 2/47

CESUC

Centro de ensino superior de Cuiabá

GESTÃO DE BANCO DE DADOS

SEGURANÇA DA INFORMAÇÃO EM AMBIENTE

TECNOLÓGICO

Cuiabá-MT, 2005

Monografia entregue ao CESUC –

Centro de Ensino Superior de Cuiabá,como uma das exigências paraconclusão do curso de gestão em bancode dados.

Page 3: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 3/47

AGRADECIMENTOS

A todos os professores desta instituição que nos transmitiram

os conhecimento necessários para a elaboração deste projeto.

Page 4: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 4/47

SUMÁRIO

(Índice dos Capítulos)

Page 5: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 5/47

1. INTRODUÇÃO

Nos dias atuais a informação é considerada um dos

patrimônios mais valiosos das organizações, sendo assim, esta deve ser 

preservada em todos os aspectos, tais como: disponibilidade, integridade

e confiabilidade.

Um número muito pequeno de organizações

conseguem assimilar a dimensão da importância de suas informações e

são estas que fazem todos os investimentos necessários para a proteção

de seus dados, e tratam essa atitude como uma receita para a empresa e

não como uma despesa.

Ao oposto da situação anterior temos um gigantesco

número de organizações que não têm a mínima idéia a respeito da

importância sobre a proteção de suas informações. É com base neste

cenário que vamos divulgar a suma importância deste assunto e mostrar 

os principais meios para proteger as informações de uma organização,

dificultando assim o acesso não autorizado aos dados, tanto de pessoas

internas como a de pessoas externas.

Page 6: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 6/47

2. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO?

A definição de Segurança da Informação pode ser 

analisada, como uma fonte de poder, pois no mundo moderno quem

possui a informação, possui o poder.

Política de segurança são normas que definem as

melhores práticas para o manuseio, armazenamento, transporte e

descarte das informações, sendo a Política de Segurança da Informação

uma ferramenta para a prevenção e proteção da informação, de forma a

restringir acessos e limitar sua manipulação por pessoas não autorizadas.

A segurança da informação é, sem dúvida, uma das

grandes preocupações das empresas sintonizadas com o seu tempo.

Na medida em que os diversos mercados mundiais se

aproximam com extrema rapidez, o significado da expressão

Informação é Poder, tem adquirido novas dimensões no ambiente

econômico. (Soares, Luiz Fernando Gomes, Redes de

computadores, 2ª edição,1996, pg 447).

As organizações investem em tecnologia, na maioriadas vezes buscando emparelhar com a tecnologia da concorrência, mas

atualmente nossa realidade espelha segurança, para a tomada de

decisão das organizações o que implica em sua sobrevivência e na

minimização de riscos, como podemos observar abaixo:

Há algum tempo, era comum o departamento de TI 1 usar 

como argumento para justificar o investimento em tecnologia a necessidade de

acompanhar o ritmo da concorrência. Hoje a tarefa é ainda mais árdua. A taxa

de retorno dos investimentos (ROI 2  ) passou a ser a métrica para executivos e

empresários nos processos de tomada de decisões. Baseando-se em variáveis

de redução de custos, prejuízos, viabilidade de aplicações e projeções, a

ferramenta é apontada como o caminho mais indicado no momento de decidir 

 por um investimento, principalmente os de grande soma.

1 Tecnologia da Informação

2 Return On Investiment (Retorno Sobre Investimento)

Page 7: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 7/47

( www.modulo.com.br , 13 de agosto 2005, 20:55  )

Contudo as organizações se questionam com relação

ao custo a ser investido em tecnologia das informações, para o melhor 

desenvolvimento e alcance da eficiência e eficácia, pela qual as empresas

buscam, como podemos analisar abaixo:

Custo ou Investimento? Esse sempre foi o dilema de

quem gasta com tecnologia da informação. Pergunte aos diretores de

informática e todos garantirão que é impossível viver sem computadores no

mundo moderno. E terão razão. Mas, se o computador é um conforto, ele

também custa dinheiro.

E saber quanto se gasta para manter a estrutura

tecnológica é apenas o primeiro passo para avaliar sua eficácia e sua eficiência.

Sem isso, fica impossível dimensionar se o computador traz ou não o retorno

desejado.

( www.juliobattisti.com.br , 13 de agosto de 2005, 21:30)

A Política de Segurança deve ser vista, como um

ponto de forte importância e impacto, como podemos observar:

Não se deve encarar uma política de segurança como

mais um modismo passageiro que freqüentemente aparece em todas as áreasde atividades. Antes de mais nada, política de segurança é um conjunto de

diretrizes gerais destinadas a governar a proteção a ser dada a ativos de

informação.

(www.securenet.com.br , 13 de agosto de 2005, 22:50)

3. PORQUE É NECESSÁRIO A POLÍTICA DE SEGURANÇA

DA INFORMAÇÃO

A informação e os processos de apoio, sistemas e

redes são importantes ativos e também, estratégicos para os negócios.

Confiabilidade, integridade e disponibilidade, são

características chave para a segurança da informação, é através dessas

Page 8: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 8/47

características que é possível preservar a competitividade, o faturamento,

a lucratividade, o atendimento aos requisitos legais e a imagem da

organização no mercado.

As organizações estão extremamente preocupadas

com a segurança nos sistemas de informação e redes de computadores,

esses tipos de ameaças à segurança podem acarretar em enormes

prejuízos aos negócios, são utilizadas variedades de fontes como, fraudes

eletrônicas, espionagem, sabotagem, entre outras. É necessário garantir 

a confiabilidade e segurança de suas transações e combater os ataques

causados por vírus, hackers, e ataques de “denial of service”3, que estão

se tornando cada vez mais comuns, mais ambiciosos e incrivelmente

mais sofisticados.

A segurança da informação, basicamente, abrange

dois tipos de segurança na qual devemos atentar: segurança física e

segurança lógica.

3 Denial of Service: ou DoS é uma técnica que consiste em dificultar ou impedir o

 bom funcionamento de um serviço de Internet, através de um grande volume de

requisições de serviço para esse servidor.

Page 9: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 9/47

4. SEGURANÇA FÍSICA

A segurança física tem como principais objetivos:

garantir a continuidade das rotinas; assegurar a integridade dos ativos;

manter a integridade e confidencialidade das informações.

Uma das formas de aumentar a segurança física é

impedir que pessoas estranhas ao ambiente tenham acesso as

dependências, protegendo os equipamentos que tratam ou armazenam

as informações, através da implementação de acessos restritos a esses

ambientes, buscando a prevenção de possíveis perdas, roubos ou

vazamentos de informações.

Um ponto normalmente negligenciado por quem

pensa em segurança é o acesso físico a terminais e outros dispositivos da

rede. Manter cópias de backup4 seguras contra roubo, além dos cuidados

normais para manter a integridade do backu p, assim como, notebooks e

outros terminais portáteis também representam riscos em caso de roubo

ou acesso não autorizado. Deve-se ter cuidado em relação aos dados

armazenados nos discos rígidos e memórias desses terminais, outros

lugares a serem protegidos são os armários de distribuição de cabos,

servidores, roteadores e servidores de nomes.

Assim como, o acesso público é projetado para

oferecer comodidade aos usuários, que desejam se conectar com a rede

à distância, quer seja por um terminal estabelecido pela empresa ou um

ponto de rede para conexão de equipamentos portáteis. Este tipo de

acesso permite o uso de IPs5 falsos, rastreamento de pacotes, etc. Caso

seja necessário oferecer este tipo de serviço ao público, torna-seinteressante executá-lo separadamente da rede interna da empresa,

assim como se deve vigiar escritórios vazios e desconectá-lo fisicamente

4 Backup: rotina de salvar dados para um ou outro local/mídia, com o objetivo de

recuperação em caso de danos aos dados no local original.5 Internet Protocol. Juntamente com o TCP, é o protocolo em que se baseia o funcionamento da

Internet.

Page 10: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 10/47

do quadro de distribuição de cabos, monitorando toda tentativa de

conexão não autorizada.

A prevenção na segurança de acesso evita

problemas de integridade ou até mesmo confidencialidade violada. Um

dos pontos fundamentais da segurança física é o controle de acesso. Ele

está baseado no fato de que nem todas as pessoas devem ou precisam

ter acesso a todas as áreas da organização.

 A política e o investimento no controle de acesso físico

adotada pela empresa estará diretamente ligada à importância de seus ativos,

observando sempre a relação dos modelos de segurança do que apenas o usode tecnologia. Nesse sentido, é fundamental a análise do perfil de cada empresa

 para a definição de uma política de controle de acesso físico que se encaixe nas

necessidades do cliente. Quanto maior o investimento em prevenção menor será

o prejuízo em caso de Sinistro. O investimento em questão não se refere apenas

ao uso de tecnologia avançada, mas à forma como a empresa lida com a

conscientização de seu quadro de funcionários.

( www.modulo.com.br , 14 de agosto de 2005, 19:10  )

O controle de acesso físico pode ser implantado dediversas formas, tais como:

- Grades e muros: Estabelece limites com o objetivo

de inibir a presença de curiosos. As grades devem possuir ter alarmes ou

estarem sob vigilância de guardas, cachorros ou monitores de TV;

- Guardas: Devem ficar posicionados na entrada das

instalações consideradas estratégicas, a fim de controlar o acesso e

permitir a entrada somente de pessoal autorizado;

- Crachás: Através deste método, funcionários e

visitantes são obrigados a usá-lo para obterem acesso ao ambiente

desejado. Esse sistema não está diretamente envolvido com tecnologia e

sim relacionado ao seguimento de procedimentos.  São recomendadas

Page 11: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 11/47

que os crachás possuam poucas informações, devendo ser evitados

assinaturas e detalhes por escrito. A identificação pode ser feita através

de códigos de barra, códigos, cores, número de série, leitura ótica, sendo

a instalação dos leitores programados para permitir a entrada somente de

pessoas autorizadas, facilitando a detecção de intrusos;

- Sistemas com portas duplas: Sistema utilizado

para identificação de pessoas, que desejem ter acesso ao ambiente. Este

tipo de sistema é conveniente para prevenir a entrada de intrusos, em

áreas restritas;

- Travas e chaves: Devido o controle de cópias de

chaves ser bastante falho, o sistema cipher locks (combinação de travas

com botões que abrem a porta após a digitação de uma seqüência) têm

sido utilizado em muitas instalações. Nesse processo, deve-se ocultar a

digitação do código de acesso sob pena de invalidá-lo;

Esta lista tem como finalidade apresentar os

principais itens a serem avaliados num trabalho de diagnóstico, para que

os responsáveis pelas decisões da organização, após o check-list 6  

tenham condições para escolher sobre onde e quanto investir nasegurança física, com uma visão mais clara de suas vulnerabilidades:

Itens e pontos a serem avaliados:

- Exposição ao fogo;

- Materiais utilizados na construção do prédio e na

instalação interna (combustilidades);

- Localização do estoque de papéis e materiaisInflamáveis;

- Local de armazenamento de meios magnéticos

(fitoteca);

- Vedação contra passagem de fogo e gases entre

6 Consiste em uma série de itens a serem verificados antes, durante ou após um

determinado procedimento/operação.

Page 12: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 12/47

ambientes;

- Condições de conservação e limpeza do piso

elevado e do forro;

- Existência de janelas;

- Uso de carpetes, cortinas e móveis combustíveis;

- Dispositivos de detecção, alarme e combate ao fogo

(localização, quantidade, qualidade, condições de

funcionamento);

- Dispositivos de desligamento de energia em caso

de emergência (existência e localização);

- Portas e paredes corta-fogo;

- Iluminação de emergência e sinalização;

- Treinamento do pessoal de brigada e exercícios de

abandono em todos os turnos de trabalho, etc.

Danos pela água:

- Condições do subsolo;

- Condições de telhados e lajes;- Condições dos materiais utilizados nas tubulações;

- Localização adequada das tubulações;

- Drenagens sob o piso elevado e proteção em

relação ao piso superior;

- Riscos de enchentes (localização), etc.

Climatização:- Exclusividade do sistema;

- Dimensionamento adequado do equipamento;

- Redundâncias (e reservas);

- Material de isolamento dos dutos e filtros;

- Rotina de manutenção do sistema;

- Localização de aberturas externas (troca de ar);

Page 13: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 13/47

- Existência de dampers corta-fogo e gases no interior 

  dos dutos;

- Controle e registro de temperatura e umidades, etc.

Eletricidade:

- Qualidade das instalações (cabos, transformadores,

estabilizadores e no-breaks7 );

- Exclusividade das instalações elétricas;

- Qualidade do fornecimento (energia comercial);

- Dimensionamento, qualidade e testes do conjunto

de energia alternativa;

- Existência de pára-raios e distância do local de

risco;

- Condições do aterramento, etc.

Controle de acesso, monitoramento e sensoriamento:

- Adequação do tipo de controle;- Treinamento do pessoal de segurança e usuários;

- Sensoriamento de portas, janelas, duros e

supervisão predial;

- Existência de sala central de controle de segurança

e sua localização;

- Meios de identificação e registro do pessoal

autorizado;- Avaliação do perímetro e áreas externas ao prédio;

7  Equipamento ligado à rede elétrica para em caso de queda ou interrupção do

fornecimento de energia, manter o funcionamento, por um tempo pré-determinado, de

computadores e outros recursos (equipamento de rede, etc.). Um no-break é constituído

 por baterias eletroquímicas (acumuladores) e um circuito conversor de corrente contínua

em

corrente alternada.

Page 14: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 14/47

- Riscos de vizinhança.

Pessoal:

- Sistema de admissões e demissões;

- Pessoal treinado em outras funções (em caso de

contingência);

- Procedimentos em caso de greves;

- Procedimentos na ocasião do dispensa de

funcionário;

- Informação e treinamento quanto à Política de

Segurança;

- Treinamento em situações de emergência, primeiros

socorros, planos de abandono, procedimento fora

de expediente, etc.

Meios de arquivo:

- Fitoteca de segurança – existência, localização,

procedimentos de envio e retirada, controle deacesso, segurança contra incêndio, isolamento;

- Procedimentos de destruição de dados

confidenciais;

- Procedimentos e meios de transporte e

armazenagem de mídia magnética;

- Procedimentos sobre o controle de versões

mantidas em segurança;- Testes periódicos de recuperação de sistemas

(contingência), etc.

Page 15: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 15/47

4.1. ANÁLISE DE RISCOS

Ao se investir em segurança física, deve ser realizada

uma análise de riscos e vulnerabilidades físicas a que a organização

possa ser exposta. Costuma-se julgar, que a forma mais adequada de se

obter a análise de riscos, é por meio de especialistas no assunto, por 

possuírem profundo conhecimento na área e experiência de situações e

ocorrências anteriores, priorizando-se os prestadores de serviços

externos a empresa, a fim de evitar conflitos relacionados a projetos

propostos no passado que obtiveram ou não êxito.

A análise de riscos deve retratar as principais

deficiências da empresas e os pontos a serem melhorados, assim como

sugestões para melhorar ou manter o nível de segurança física e não

como uma crítica ao que foi feito ou não no passado. Destacando

aspectos tais como: localização, segurança contra fogo, ar condicionado,

energia elétrica, energia alternativa, controle de acesso, sensoriamentos e

monitoração e instalação da fitoteca de segurança, transporte das mídias

para a fitoteca de segurança.

Os principais riscos apresentados, através da não

priorização da segurança física, podem ser representados por fatores, tais

como:

- Emprego de materiais comburentes no piso, teto,

decoração, divisórias e mobiliário;

- Ausência de cuidados indispensáveis ao sistema

elétrico, como: instalações adaptadas, má

distribuição de cabos, fios descobertos, suportes de

alumínio para o piso falso, etc.

- Ausência de blindagem adequada na passagem de

cabos e dutos por paredes ou pisos;

- Dutos de ar-condicionado revestidos com materiais

Page 16: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 16/47

comburentes, ou que geram gases tóxicos;

- Irregularidades, ou impropriedades, nos pisos

elevados ou rebaixados;

- Falta de sistema alternativo de fornecimento de

energia;

- Inexistência de sistema de monitoração de acesso;

- Falta de pára-raios;

- Rede de comunicação vulnerável;

- Os setores não são separados por porta corta-fogo;

- Os funcionários desconhecem os procedimentos

recomendados para casos de sinistros.

A 7° Pesquisa Nacional sobre Segurança da

informação, apresenta uma estatística sobre as principais ameaças as

informações da empresa, destacando-se que dos executivos

entrevistados “Apenas 24% responderam que o nível de adesão à política

é alto, revelando que o desafio atual é aumentar a participação dos

funcionários” (www.modulo.com.br , 16 de agosto de 2005, 13:50).Enquanto:

Aproximadamente 47% dos executivos dos

entrevistados afirmam que o principal obstáculo na implementação da

política de segurança é a falta de consciência dos funcionários, que

muitas vezes apresentam resistência em adotas tais práticas.

Os funcionários continuam sendo os principais

responsáveis pelos problemas de segurança computados. Porém, oresultado deste ano (33%) está dois pontos percentuais abaixo do

apontado no ano anterior (35%). (www.modulo.com.br , 14 de agosto

2005,14:00)

Após a análise de riscos físicos, efetuada pelos

profissionais responsáveis pelos levantamentos das informações

inerentes a segurança física, adquire-se o conhecimento sobre os

Page 17: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 17/47

recursos a serem disponibilizados como: equipamentos de monitoração,

energia, climatização, ambientes de segurança para os equipamentos

críticos, política de segurança de acesso físico às informações e

ambientes distintos da organização, dentre os diversos componentes e

processos que devem ser envolvidos num projeto de segurança física.

Sendo a implementação deste um complemento de

projeto maior de continuidade de negócios. “Após realizar os

investimentos e implementar o plano, a empresa deverá estar 

constantemente revendo o plano e modificando o que for necessário, o

que demonstra ser um plano contínuo e 360°.

5. PLANO DE CONTIGÊNCIA

O Plano de Contingência visa a continuidade das

atividades necessárias à organização, para a continuidade dos negócios

permitindo superar com êxito qualquer situação adversa. Estando toda e

qualquer instalação sujeita a hipótese de desastres de diversas

naturezas, sendo estas ameaças de origem natural ou acidental. A

ocorrência de um desastre pode proporcionar a paralisação total ou

parcial dos ambientes tecnológicos, ocasionando perda de informação e

vulnerabilidade, assim como perda financeira para a empresa sinistrada.

Desta forma, se faz necessária à elaboração de um

plano que garanta a continuidade, segurança do tratamento e a

disponibilidade das informações em caso de sinistro.

Os planos de recuperação mais freqüentes, além de se

 preocuparem com a continuidade do negócio de produção e vendas, são muito

focados para enfrentarem desastres que podem atingir seus sistemas em

Page 18: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 18/47

computador. Com o advento da Internet e os crescentes ataques de hackers e

Invasores, a preocupação aumentou...

Uma pesquisa nos Estados Unidos com 1500 empresas,

 publicada no jornal USA Today, demonstra os tipos de planos de recuperaçãomais focados pelas empresas americanas:

- Plano de recuperação de sistemas em computados –

61%

- Linhas de comunicação (telefonia, redes e satélites) –

13%.

- Recuperação de negócios – 12%

- Apenas procedimentos de evacuação de funcionários –

9%

- Outros – 5%

( www.securenet.com.br, 14 de agosto de 2005, 16:50  )

O planejamento de segurança pode ser resumido,

como:

- Descobrir como aconteceu o incidente de

segurança;- Descobrir como evitar a exploração da mesma

vulnerabilidade;

- Evitar a escalada de mais acidentes;

- Avaliar o impacto e os danos do incidente;

- Recuperar-se do incidente;

- Atualizar as políticas e procedimentos conforme a

necessidade;

- Descobrir quem fez (se apropriado e possível).

Conforme o plano de ação estabelecido, para os

casos de invasões pode-se negar acesso ao servidor do invasor ou a

todos os usuários que venham de fora da rede, ou travar todas as contas

Page 19: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 19/47

de usuários ou chegar a ponto de matar todos processos de usuários e

“rebootar 8” os servidores.

Ao se desenhar o plano de contingência em caso de

incidentes de segurança, os administradores podem deparar-se como

alguns dilemas, do tipo, se um sistema é considerado como crítico e deve

permanecer no ar, ao restaurá-lo, por exemplo, recuperando um backup,

pode-se apagar os eventos que poderiam ajudar na análise posterior do

incidente. Portanto, é necessário não só considerar tais ocorrências como

determinar as várias prioridades dentro do plano de contingência.

As prioridades variam de organização para

organização, mas como exemplo podemos sugerir:

- Proteger a vida humana e a integridade física das

pessoas;

- Proteger dados sigilosos;

- Proteger dados tais como dados proprietários,

científicos e gerenciais;

- Impedir danos aos sistemas;

- Minimizar a indisponibilidade de recursoscomputacionais.

Providências imediatas devem ser tomadas em casos

de sinistros, analisando os procedimentos de recuperação dos sistemas

corporativos, observado o tempo de espera previsto para o

restabelecimento da atividade definidos pelos Gestores das informações,

conforme a criticidade da informação, pois cada sistema corporativo,possui hierarquicamente seu grau crítico de processamento, devendo

possuir previsão de tempo de paralisação e ações subseqüentes para o

seu restabelecimento.

8 Rebootar os servidores = reiniciar os servidores

Page 20: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 20/47

O objetivo deste plano de contingência é manter em

funcionamento as atividades administrativas necessárias para a

continuidade do negócio da organização, através do seguinte:

- Reduzir o impacto de desastres; - Restaurar as

condições operacionais normais;

- Retornar à normalidade.

( www.modulo.com.br , 14 de agosto de 2005, 15:00)

 

5.1. EQUIPES DE CONTIGÊNCIA

A Equipe de Contingência ou Grupo de Coordenação

é selecionada, a fim de favorecer o gerenciamento do plano de

contingência em caso de sinistro, administrando e promovendo o

restabelecimento da normalidade dos processamentos dos sistemas

críticos da organização durante e depois do sinistro.

“Nomeados os integrantes da equipe responsável, estes

responderam integralmente pela eficiência do Plano”.

(www.juliobattisti.com.br , 15 de agosto de 2005, 10:30).

Conforme consultas ao site da Módulo Segurança da

Informação (www.modulo.com.br ) , pode-se definir e segregas as equipes

de contingência, da seguinte forma:

1) Equipe Executiva / Coordenação

- Missão:

* Garantir que a restauração do processamento ocorra

dentro do prazo estipulado no Plano de Contingência conforme criticidade

de cada sistema.

* Exercer a coordenação geral do Plano.

Page 21: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 21/47

- Tarefas Pré-Desastre:

* Avaliar e aprovar gastos financeiros necessários ao

desenvolvimento e manutenção do Plano;

* Definir local do Centro de Operações Alternativo com o

apoio da Equipe de Hardware;

* Definir local do Centro de Comando em caso de desastre;

* Estabelecer as políticas e diretrizes do Plano;

* Definir recursos necessários ao Plano;

* Designar líderes, seus substitutos e demais membros das

outras equipes;

* Distribuir cópias do Plano e normas a todos os envolvidos

no Plano;

* Revisão e atualização periódica do Plano;

* Coordenar as atividades das demais equipes;

* Organizar e coordenar a execução de testes do Plano;

* Definir e montar a estrutura de retorno à normalidade.

* Dar apoio a todos os envolvidos.

- Tarefas Durante o Desastre

* Avaliar a situação posicionando aos Executivos da

Empresa para decisão sobre ativação do Plano;

* Coordenar a ativação do Plano;

* Ativar local do Centro de Operações Alternativo;

* Coordenar as atividades do Plano e das demais equipes;

* Estabelecer diretrizes para situações não previstas;* Acionar as pessoas-chave para recuperação do ambiente

operacional;

* Acionar as providências para recuperação do ambiente

operacional;

* Emitir relatório situacional aos Executivos da Empresa;

Page 22: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 22/47

* Realizar reuniões periódicas com os coordenadores das

demais equipes de forma a manter integrado o grupo de

recuperação de desastres e manter atualizado o Plano.

- Tarefas Pós-Desastre

* Coordenar as atividades de retorno à normalidade.

2) Equipe de Salvamento e Rescaldo

- Missão:* Combater o sinistro;

* Prestar os primeiros socorros;

* Salvar o que puder ser salvo;

* Avaliar a extensão dos danos às instalações,

equipamentos e recursos humanos;

* Prover a EQUIPE EXECUTIVA de informações.

- Tarefas Pré-Desastre

* Manter documentação, fora da instalação, de plantas,

desenhos e especificações da mesma. (hidráulicas,

elétricas, ar, etc.);

* Relação de todos os hardwares existentes na instalação.

- Tarefas Durante o Desastre* Executar os procedimentos de emergência (evacuação dos

ambientes, desligamento de equipamentos e quadros,|

etc.);

* Combate do sinistro e prestação dos primeiros socorros às

vítimas encaminhando-as ao atendimento especializado;

Page 23: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 23/47

* Estabelecer a segurança na instalação que sofreu o

desastre;

* Emitir RELATÓRIO DE OCORRÊNCIAS completo a

EQUIPE EXECUTIVA;

* Emitir RELATÓRIO DE OCORRÊNCIAS completo a

EQUIPE EXECUTIVA;

* Efetuar a limpeza do ambiente e descartar o entulho;

* Identificar hardware e materiais a serem salvos;

* Fornecer suporte logístico para a mudança do

equipamento salvo para a nova instalação;

* Manter informadas as equipes de COMUNICAÇÕES e

  HARDWARE sobre o andamento dos trabalhos;

* Emitir RELATÓRIO DE PROVIDÊNCIAS.

- Tarefas Pós-Desastre

* Executar os procedimentos necessários à recuperação das

instalações físicas.

3) Equipe de Logística (Apoio Administrativo / Instalações Físicas)

- Missão:

* Assegurar a disponibilidade de recursos necessários, de

serviços administrativos e de comunicações para as

demais equipes, imediatamente após a ocorrência do

desastre e da decisão de ativar o Plano;

* Assegurar que as instalações onde será recuperado, emdefinitivo, o Centro de Processamento (incluindo as áreas

administrativas) estejam prontas para receber pessoas e

equipamentos quando necessário.

Page 24: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 24/47

- Tarefas pré-Desastres

* Manter atualizados os meios de comunicação dos

envolvidos no Plano (números de telefone, fax, bips etc.);

* Manter lista de facilidades (fornecedores, contatos de

emergência, usuários, etc.);

* Manter atualizada a relação de todos os hardwares

existentes na instalação;

* Manter atualizada a relação de todos os softwares

disponíveis na instalação, identificando sua utilização;

* Manter lista de suprimentos necessários em caso de

desastre;

* Garantir que qualquer suprimento que demore mais de 24

horas para ser obtido tenha um estoque guardado fora da

instalação;

* Manter procedimentos para prover recursos necessários

(Transportes, alojamento, compras, etc.);

* Interagir com as Seguradoras ou com a Área responsável

pelo seguro dos equipamentos e da instalação;* Colaborar com a Equipe Executiva nas providencias para

reconstrução do Centro de Processamento.

- Tarefas Durante o Desastre

* Coordenar com a Equipe de Salvamento a mudança de

equipamentos resgatados para uma instalação provisória

para guarda;* Supervisionar os serviços de eletricidade, telefonia,

cabeamento lógico, instalação física de hardware e

mobiliários da Instalação Alternativa, efetuando os ajustes

necessários ao início do processamento dos sistemas

críticos;

Page 25: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 25/47

* Fornecer meios de transporte às pessoas, equipamentos

e

materiais;

* Fornecer alojamento, alimentação e suprimentos básicos

aos empregados e contratados;

* Providenciar recursos humanos temporários, quando

necessário;

* Prover meios alternativos para comunicações pessoais.

(bips, telefone celular etc.);

* Emitir relatório de OCORRÊNCIA DE SINISTRO ao setor 

competente para início do processo de indenização;

* Manter Equipe Executiva informada.

- Tarefas Pós-Desastre

* Prestar todo apoio administrativo e técnico necessário à

restauração do CPD e no retorno do processamento à

normalidade.

4) Equipe de Hardware / Software- Missão:

* Identificar o hardware mínimo necessário para

processamento dos sistemas muito críticos e críticos;

* Garantir a disponibilidade do software básico e de apoio

necessários a operacionalidade.

- Tarefas Pré-Desastre* Fornecer à Equipe de Logística os dados necessários para

manter atualizada a relação de hardwares / softwares;

* Pesquisar um Centro de Processamento de Dados

alternativo com características necessárias à

contingência;

Page 26: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 26/47

* Definir configuração similar na impossibilidade de se obter 

uma igual à existente na ocasião do desastre;

* Contatar principais fornecedores envolvendo-os no Plano

no que se refere ao fornecimento de materiais e prestação

de serviços emergenciais;

* Criar e manter atualizado um sistema operacional para o

equipamento alternativo, se for o caso;

* Identificar o software a ser disponibilizado no site-backup;

* Manter esquema de copias de contingência para todos os

  softwares que farão parte do Plano de Desastre;

* Assegurar que todos os softwares rodem no ambiente

alternativo;

* Manter conjunto de manuais essenciais atualizados e

guardados a salvo.

- Tarefas Durante o Desastre

* Ativar o site-backup junto com a Equipe de Salvamento

tornando-o operacional;

* Ativar o sistema operacional e os softwares decontingência na instalação alternativa;

* Manter Equipe Executiva informada.

- Tarefas Pós-Desastre

* Requisitar manutenção / substituição de equipamentos

danificados;

* Providenciar a reinstalação dos equipamentos nainstalação danificada ou em novo local;

* Trabalhar junto com a Equipe de Salvamento e Logística

na movimentação e na instalação dos equipamentos

salvos e dos novos;

Page 27: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 27/47

* Coordenar com a Equipe de Desenvolvimento as

mudanças não planejadas necessárias para acomodar o

novo hardware / software;

* Dar suporte e resolver situações imprevistas relacionadas

aos hardwares / softwares.

5) Equipe de Comunicações

- Missão:

* Garantir que os equipamentos de comunicações e as

linhas telefônicas estejam prontos.

- Tarefas Pré-Desastre

* Manter atualizada a relação de todas as linhas de

comunicação, softwares de comunicação, hardware

  necessários e periféricos da instalação;

* Manter documentação da configuração atual, incluindo

caminhos, velocidades, protocolos (topologia da rede);

* Saber a importância das aplicações criticas na Rede deTP;

* Manter relação de principais fornecedores de linhas,

  links9 de satélites, telefones celulares, etc;

* Viabilizar rotas alternativas para as linhas de comunicação

do CPD e testa-las. (Pré-requisito: definição do

site-backup);

* Traçar planos junto à Cia de Telecomunicação para estar apto a estabelecer a comunicação de dados. (Pré-

requisito: definição do site-backup);

* Requisitar linhas de comunicações e equipamentos

necessários;

9 Ligação. Em Internet, consiste de ligações automáticas de uma página para

outra.

Page 28: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 28/47

* Providenciar a instalação de linhas de comunicação para o

local onde se processara a contingência;

* Manter o conjunto de manuais necessários a salvo mais

acessível em caso de desastre.

- Tarefas Durante o Desastre

* Ativar a configuração alternativa de telecomunicação;

* Auxiliar a Equipe de Logística em mudanças nos

procedimentos relacionados a teleprocessamento;

* Ativar serviços de teleprocessamento;

* Manter a Equipe Executiva informada.

- Tarefas Pós-Desastre

* Restaurar os serviços de telefonia;

* Restabelecer a comunicação de dados.

6) Equipe de Planejamento / Produção

- Missão:* Assegurar que os processamentos dos sistemas críticos

possam ser retomados tão logo os dados, os

equipamentos e as comunicações necessárias estejam

disponíveis.

- Tarefas Pré-Desastre

* Desenvolver as rotinas destinadas aos serviços críticos;* Garantir que os backups armazenados fora da instalação

estejam seguros e possam ser facilmente recuperados

pelas pessoas autorizadas;

* Definir e manter os procedimentos de recuperação das

aplicações e dos dados críticos;

Page 29: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 29/47

* Prover todo o material de backup, inclusive documentação,

conforme definido no procedimento de recuperação cada

aplicação;

* Analisar e definir alternativas para o processamento das

funções criticas;

* Manter atualizadas e em lugar seguro copias da

documentação dos sistemas aplicativos;

* Prever e desenvolver rotinas para atender a todas as

condições de retorno à normalidade.

- Tarefas Durante o Desastre* Preparar o ambiente de produção.

* Processar os sistemas críticos de acordo com os

procedimentos e rotinas previamente estabelecidos.

* Efetuar comunicação com os usuários informando-os

sobre

a situação de suas aplicações.

* Manter Equipe Executiva informada.

- Tarefas Pós-Desastre

* Executar os procedimentos de recuperação das aplicações

criticas, recuperando-as de forma coordenada.

* Operar as rotinas necessárias para restaurar os arquivos

para o retorno à normalidade.

* Efetuar comunicação com os usuários informando-ossobre

a situação de suas aplicações.

7) Equipe de Desenvolvimento

- Missão:

Page 30: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 30/47

* Apoiar as demais equipes para que toda a aplicação

considerada critica sejam recuperadas dentro do prazo

estabelecido, sem perda de dados / informações e de

acordo com suas especificações.

- Tarefas Pré-Desastre

* Identificar aplicações e sistemas críticos para os negócios

Informar aos demais envolvidos no Plano quanto às

atualizações sofridas pelos sistemas quanto à sua

criticidade.

* Manter um canal de comunicação permanentemente

aberto com os gestores, de forma a estar sempre

informado de quais são os dados e as aplicações criticas.

* Manter os usuários informados sobre a situação de suas

aplicações.

- Tarefas Pós-Desastre

* Dar apoio ao grupo do CPD10 nas rotinas de retorno à

normalidade.

8) Equipe de Segurança

- Missão:

* Participar da criação do Plano, determinando políticas desegurança e garantindo que um nível mínimo de

segurança seja observado durante o processo, visando

manter os níveis de serviços pactuados com os usuários.

10 Centro de Processamento de Dados

Page 31: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 31/47

- Tarefas Pré-Desastre

* Definir diretrizes / critérios para segurança física e para

acesso lógico.

* Definir critérios para transporte de material classificado

como de alto risco (fitas backup do sistema e dos dados).

* Participar dos testes do Plano de Desastre.

* Manter um canal de comunicação com o site-backup,

mantendo o nível de compatibilidade entre os dois

ambientes.

- Tarefas Durante o Desastre* Participar da avaliação da situação do desastre.

* Acompanhar a execução dos procedimentos de segurança

para situações de desastre.

* Manter a Equipe Executiva informada.

- Tarefas Pós-Desastre

* Acompanhar a volta à normalidade* Garantir que não sejam deixados no site-backup, após o

retorno à normalidade, nenhuns resíduos de informações

/ dados manipulados durante a contingência.

Page 32: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 32/47

6. FERRAMENTAS DE SEGURANÇA

6.1. FIREWALL

Quando o assunto é segurança, uma das primeiras

ferramentas mencionadas é o Firewall, no sentido amplo, ele nega o

acesso de usuários não autorizados a um determinado computador  ou

arquivo, em sentido restrito, ele examina cada pacote e determina a

origem, se está em uma lista aprovada ele permite o acesso, senão, não

permite o acesso. Já numa definição mais usual ele é uma barreira de

proteção entre duas redes. Geralmente, ele fica entre uma rede local e a

Internet.

Firewall é o equipamento que garante o controle da

conexão entre duas ou mais redes, ou seja, é um equipamento que roda

uma aplicação específica de controle de acesso e que é responsável por 

interligar, de forma segura, duas ou mais redes, garantindo o controle, a

verificação e o log11 (auditoria) dos pacotes12 que passam entre elas. Seu

nome foi originado das paredes corta-fogo, existentes para impedir a

passagem do fogo em prédios.

O firewall filtra os acessos feitos da empresa para a Internet,

e da Internet para a empresa. Apesar de ser uma ferramenta de extrema

importância para a proteção da empresa de acessos indevidos externos,

11 Informações que vão sendo gravadas de acordo com o que o usuário está fazendo no

sistema/computador, para posteriormente ser usado em uma auditoria12 Entende-se por pacotes uma certa quantidade de dados que trafegam pela rede de computadores

Page 33: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 33/47

a utilização dele isoladamente não garante segurança. A solução seria

implementar duas medidas de segurança, Política e Controle.

A empresa deve ter uma Política de Segurança que

descreve o papel dos recursos de Tecnologia da Informação dentro da

empresa, e elaborar mecanismos para controlar estas políticas.

Isto mostra que o Firewall protege a rede interna de ataques

externos, mas não de ataques internos. Além disso, o Firewall quando

instalado corretamente é uma barreira contra ataques, mas caso o invasor 

consiga quebrar a segurança do Firewall ou este estiver mal configurado,

o invasor terá acesso ao sistema.

6.2. SISTEMAS DE DETECÇÃO DE INTRUSOS (IDS)

São sistemas inteligentes, capazes de detectar 

tentativas de invasão em tempo real. Estes sistemas podem apenas

alertar sobre a invasão, como, também, aplicar ações necessárias contra

o ataque. Eles podem ser sistemas baseados em regras ou adaptáveis,

no primeiro as regras de tipos de invasões e a ação a ser tomada são

previamente cadastradas. O problema é que a cada dia surgem novos

tipos de ataques e estas regras precisam estar sempre atualizadas para o

sistema ser realmente eficaz. No segundo tipo, são empregadas técnicas

mais avançadas, inclusive de inteligência artificial, para detectarem novos

ataques, sempre que surgirem.

6.3. LOGsLogs são registros gerados pelos sistemas ou

aplicações, sobre informações de eventos ocorridos. É considerado uma

medida básica de segurança, mas muitas vezes não é utilizado pelos

administradores, ou porque está desativado, pois dependendo do sistema

e do hardware, a geração do Log pode se tornar lenta, ou porque

esquecem ou não querem analisá-lo, já que os logs geralmente são

Page 34: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 34/47

relatórios enormes. Mas é uma ferramenta útil para auditorias de acesso,

verificação do que está sendo utilizado, possível falha nos sistemas, entre

outros.

6.4. BACKUP

Uma das ferramentas existentes para segurança dos

dados são os softwares de backup e restore13, que servem para fazer 

cópias de segurança das informações e de sistemas de uma empresa e

recuperar as informações quando necessário. Todos os dados e sistemas

de uma empresa devem possuir cópias de segurança íntegras, atuais e

armazenadas em local seguro. Em geral, o backup é feito em fita,

disquete ou outra mídia portátil que pode ser armazenado para futura

utilização, como no caso de algum desastre ou perda de informações. As

informações podem ser perdidas por causa de acidentes, desastres,

ataques, erros de sistema ou hardware ou falha humana, entre outros

motivos. Com as informações atualizadas copiadas através de backups

para alguma mídia, quando houver uma perda de dados, basta restaurar 

estas informações.

7. BIOMETRIA

Biometria é a técnica de mensurações fisiológicas

e/ou de quaisquer características de comportamento que podem ser 

utilizadas para verificação da identidade de um indivíduo.

Elas incluem: Impressões digitais, Voz, Retina, Íris,

Reconhecimento de face, Imagem térmica, Análise de assinatura, Palma

13 ação de restaurar cópia de alguma informação que foi anteriormente perdida

Page 35: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 35/47

da mão e outras técnicas. Elas são de grande interesse em áreas em que

é realmente importante verificar a real identidade de um indivíduo.

Inicialmente, estas técnicas eram empregadas em

aplicações especializadas de altíssima segurança, porém, nós estamos

vendo agora a sua utilização e proposta de uso em um grande e

crescente número de situações do nosso dia a dia.

A Biometria ainda é vista como uma tecnologia

futurista e distante do nosso cotidiano, porém, há centenas de anos,

nossos antepassados já usavam os princípios básicos da verificação

biométrica. Existem diversas referências históricas sobre indivíduos sendoidentificados por características físicas e parâmetros como cicatrizes,

critérios de mensuração física ou a combinação de características mais

complexas como cor dos olhos, altura e assim por diante. Estes seriam

freqüentemente utilizadas no setor de agricultura, onde grãos e provisões

seriam estocados em uma central de reposições para movimentações

futuras após identificação dos proprietários.

(www.seama.edu.br/biometria/biometria.htm, 20 de agosto de 2005,10:10)

8. SEGURANÇA LÓGICA

A segurança lógica tem por finalidade proteger as

informações, essa proteção tem como meta impedir a alteração,

divulgação ou destruição, intencional ou não, atentando para os cuidados

que devem ser tomados na criação e utilização de senhas. Seu uso deve

ser concedido apenas as pessoas que necessitem dela, para o

desempenho de suas atividades.

Podendo-se entender segurança lógica, de maneira a

estabelecer os controles de acesso a informação, objetivando a

Page 36: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 36/47

integridade e a manutenção da confidencialidade da informação

protegida. Definindo-se as permissões de acesso a aqueles previamente

autorizados e negando o acesso daqueles que não gozem dos mesmo

direitos, principalmente em ambientes que concentrem um percentual

elevado de informações, como exemplo, as redes de comunicação ou os

grandes centros de processamento de informações das organizações.

As organizações devem possuir regras claras, para

seus funcionários quanto ao sigilo e a privacidade das informações, a fim

de preservar a imagem da empresa perante o mercado atuante, pois uma

informação mal interpretada por terceiros, pode dar início a boatos

ocasionando sérios prejuízos à instituição.

Em primeiro lugar, deve ser estabelecido que o

campo de abrangência do sigilo envolve tanto a organização em si, com

seus negócios, políticas e estratégias cuja publicidade seja indesejada,

quanto às pessoas e demais organizações com as quais ela se relacione

e sobre as quais não possa divulgar qualquer informação, seja por força

de lei ou de acordos e contratos comerciais. Por outro lado, a privacidade

do cidadão é, sem dúvida, um de seus valores mais caros, de modo quenenhuma organização deve descuidar de qualquer informação pessoal

que lhe seja confiada.

8.1. SENHAS

Representa o controle de acesso mais antigo,

utilizado pelo homem visando impedir o acesso de pessoas não

autorizadas. Elas foram e são utilizadas para controlar os acessos derecursos, entretanto este meio de segurança apresenta riscos de

revelação. Os métodos de controles atuais tendem a utilizar as senhas

como mecanismo de autenticação de identidade de usuários, através da

atribuição de senha individual para cada chave de acesso, sendo esta

senha pessoal e intransferível.

Page 37: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 37/47

Atualmente, grande parte das pessoas possui uma

quantidade variada de senhas, como a senha bancária, de acesso à

Internet, do logon 14 na rede da empresa onde trabalhamos, na caixa

postal do celular e etc. Contudo, devem ser tratadas da maneira mais

adequada e com a devida seriedade, pois a senha ou  password  é

constituída por uma seqüência de caracteres que em conjuntos com um

código de identificação ou logon, que faculta o acesso individual a algum

serviço ou informação, uma vez concedido formalmente e de acordo com

as necessidades de suas tarefas.

As senhas não devem ser compartilhadas, por que

caso contrário não existe tecnologia capaz de proteger seus sistemas.

Observando a necessidade de uma boa senha, que é a

ferramenta de maior importância capaz de garantir 90% de segurança de

seus sistemas. Pode-se classificá-la como de boa qualidade ou facilmente

decifrável, sendo:

Boas Senhas

- Devem ter caracteres maiúsculos e minúsculos;- Dígitos e/ou caracteres de pontuação;

- Fáceis de lembrar;

- Ter no mínimo 8 caracteres.

Senhas Ruins

- São aquelas fáceis de descobrir;

- Baseadas em informações pessoais;- Com poucos dígitos;

- Nomes próprios;

- Palavras em qualquer língua;

- Combinações de teclado (exemplo: qwerty);

14 Seqüência de operações para acesso a um sistema em que o usuário conecta-se, identificando-se

com um nome e uma senha própria.

Page 38: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 38/47

- Todas as anteriores de trás para frente;

- Datas de nascimento ou comemorações

Recomendações básicas para senhas

- Os usuários devem poder mudar suas senhas;

- As senhas iniciais devem ser geradas automaticamente e devem ser 

trocadas logo no primeiro acesso;

- Bloqueie o acesso as senhas criptografadas;

- Force mudanças regulares de senhas;

- Contas com data de expiração ou force a sua renovação periódica;

- Não imponha regras extremamente rígidas, senão os usuários

anotarão a senha em papel;

- Tente quebrar suas próprias senhas;

- Não use a mesma senha em ambientes distintos;

- Remova senhas inativas;

9. PERSONAGENS DO MUNDO DIGITAL

Como estamos falando de segurança da informação,

nesta área existe alguns tipos de personagens atuantes, nos quais são

confundidos por suas atitudes, fazendo com que as pessoas confudem os

personagens “bons” com os personagens “maus”, para dirimir estas

dúvidas vamos ver os principais integrantes, quando o assunto é invasão

digital.

9.1. INVASORES DIGITAIS

Page 39: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 39/47

Todos os dias surgem notícias sobre piratas digitais

na televisão e na internet. Um pirata invadiu o computador de um sistema

de comercio eletrônico, roubou os números de cartão, comprou Viagra e

mandou entregar na casa do Bill Gates. Outro conseguiu derrubar Sites

famosos como YAHOO, CNN, AMAZON e ZDNET. Mais recentemente

um grupo estrangeiro conseguiu tirar mais de 650 Sites do ar em um

minuto. Para entender como se organiza a hierarquia virtual da internet,

vamos estudar seus principais integrantes.

(Guia do hacker Brasileiro. Assunção, Marcos Flávio A., pg: 6, 2002)

9.2. LAMERÉ o usuário de computador que tem poucos

conhecimentos na área, mas de alguma forma consegue operar 

programas, mesmo não estando ciente do que esta fazendo. Utiliza

alguns programas para invadir outro computador e consegue, no

máximo, apagar os e-mails e arquivos do micro invadido. O lamer se

acha muito esperto e diz a todos que é um especialista em informática

e na verdade não tem conhecimento algum sobre invasão e proteçãode sistemas computacionais. A palavra lamer que é derivada de lame,

em português significa aleijado ou manco.

9.3. HACKERS

Essa palavra andou um longo caminho até chegar 

aqui. Originalmente (segundo o Jargon file) denominava carpinteiros que

faziam móveis com machados “hack” é a onomatopéia para estasferramentas, em inglês. Nos anos 40 e 50, o vocábulo hacker era usado

para categorizar radioamadores e hobbistas de mecânica ou eletrônica.

Já na década de 60, o nome se popularizou como sinônimo de

programador e especialista em computadores, embora fosse comum

utilizá-lo para definir qualquer especialista: haviam hackers de

astronomia, de mecânica de automóveis ou da jardinagem por exemplo.

Page 40: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 40/47

Devido ao já citado desserviço prestado a

comunidade hacker pelos jornalistas, atualmente o termo tende a se

referir aos criminosos digitais. São especialistas que já dominam diversas

técnicas de invasão e conhecem com profundidade pelo menos um

sistema operacional. São excelentes programadores ( também passaram

pela fase larval ) e administradores de sistemas, diferentemente do que

popularmente se acredita, possuem um rígido código de ética e nunca

usam seus conhecimentos para o mal mesmo que sua noção de bem seja

contra a lei. A comunidade hacker tradicional execra completamente esta

definição, preferindo se referir a hacker apenas como programadores e

especialista em informações. Para os hackers tradicionais, os que

praticam atividades ilegais ( mesmo que motivadas por motivos nobres )

são chamados de crakers.

9.4. CRACKERS

Chamado de “hacker do mal” ou “hacker sem ética”,

normalmente é especialista em quebrar as travas de programas

comerciais para poder pirateá-los (cópia ilegal), mas também usam

seus conhecimentos para invadir sites ou computadores com objetivo

ilícitos, como vandalismo ou roubo. Muitas vezes os crakers são

excelentes programadores e podem criar programas que infectem ou

destruam completamente sistemas alheios sem deixar vestígios - os

lamers normalmente usam programas criados pelos crackers. Mas a

grande maioria e pouca coisa mais esperta que os lamers. A miríade

de ferramentas para explorar vulnerabilidade conhecida nos sites. Um

cracker sabe o que faz e, mesmo sendo hacker medíocre tem noções

suficiente para “se virar” caso algum imprevisto ocorra.

Page 41: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 41/47

9.5. PHREAKER

Apesar de muitos considerarem um cientista russo

chamado Nicola Tesla (que na virada do século realizava experiências

assustadoras – até para os dias de hoje – com eletricidade) como o

primeiro hacker da história, os primeiros hackers da era digital (ou

seria analógica? ) lidavam com telefonia. Sua especialidade é interferir 

com o curso normal de funcionamento das centrais telefônicas, mudar 

rotas, números, realizar chamadas sem tarifação, transferir a conta

para outro número, ativo ou não, bem como realizar chamadas sem

ser detectado (origem). Com a informatização das centrais telefônicas,

ficou inclusive mais fácil e acessível o comprometimento de tais

informações. Kevin Mitnick, considerado o maior hacker de todos os

tempos, era um ótimo phreaker. Na fase final de sua captura, quando

os agentes do governo ajudados pelo Tsutomu Shimomura estavam

chegando a um nome, ele conseguia enganar as investigações

através do controle que tinha da rede de telefonia da GTE

(concessionária telefônica dos EUA).

9.6. VÍRUS

Em nosso dia a dia, usamos o computador como uma

ferramenta indispensável e estamos sujeitos ao ataque dos vírus, entendo

que estes são programas que se encaixa nos arquivos da máquina alvo.

Durante a anexação, o código original do vírus é

anexado nos arquivos da vítima. Esse procedimento é denominado

infecção, após a infecção, este se converte em um arquivo comum

portador, daí em diante o arquivo infectado tem a possibilidade de infectar 

os demais arquivos “sadios”. Processo esse denominado replicação,

através da replicação o vírus pode alastrar-se por todo o disco rígido,

podendo ocasionar problemas de software e de hardware.

Page 42: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 42/47

(www.modulo.com.br,14 de agosto de 2005, 18:30)

Um vírus biológico costuma introduzir-se num organismo,

apossando-se das células e obrigando-as a reproduzir milhares de cópias do

vírus original. O vírus do computador, imitando o da natureza, atua de maneirasemelhante: trata-se de um pequeno programa (conjunto de instruções) cujo

objetivo, além de instalar-se, é reproduzir-se e dominar o organismo que o aloja.

( www.guiadohardware.net , 14 de agosto de 2005, 18:50).

Os vírus são programas geralmente são pequenos e

invisíveis, para a detecção do sistema operacional, eles não são

referenciados em nenhuma parte dos seus arquivos e não costumam

exibir-se antes do ataque. Em linhas gerais, um vírus completo (entenda-

e por completo o vírus que usa todas as formas possíveis de contaminar e

e ocultar) chega até a memória do computador de duas formas.

 A primeira e a mais simples são a seguinte: em qualquer 

disco (tanto disquete, quanto HD) existe um setor que é lido primeiro pelo

sistema operacional quando o computador o acessa. Este setor identifica o disco

e informa como o sistema operacional (SO) deve agir. O vírus se aloja

exatamente neste setor, e espera que o computador o acesse.

 A partir daí ele passa para a memória do computador eentra na segunda fase da infecção. Mas antes de falarmos da segunda fase,

vamos analisar o segundo método de infecção: o vírus se agrega a um arquivo

executável (fica pendurado mesmo nesse arquivo!). Acessar o disco onde este

arquivo está não é o suficiente para se contaminar. É preciso executar o arquivo

contaminado. O vírus se anexa, geralmente, em uma parte do arquivo onde não

interfira no seu funcionamento (do arquivo), pois assim o usuário não vai 

  perceber nenhuma alteração e vai continuar usando o programa infectado.

( www.anti-hackers.com.br,17 de agosto de 2005, 13:50  )

9.6.1. COMO ATUAM

Os vírus atuam de forma discreta, anexando-se aos

arquivos e após a execução destes, ficam armazenados na memória do

computador infectando todos os discos ligados a esta máquina, alojando-

Page 43: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 43/47

se no setor de boot 15 , pois desta forma, toda vez que o computador for 

reiniciado e a área de boot  for acionada automaticamente o vírus será

ativado e estará pronto para infectar todos os discos rígidos utilizados

nesta máquina, desta forma o vírus irá se alastrar. Os vírus em alguns

casos contaminam o mesmo arquivo vários vezes, que este passa a

ocupar um espaço maior que o devido, em contra partida outros, se

encondem entre os espaços do programa original para não ser detectado.

( www.anti-hackers.com.br,17 de agosto de 2005, 15:00  )

Cada vírus possui sua particularidade e maneira de

ataque, como exemplo:

- Arquivos apagados;

- Travamentos no sistema operacional;

- Documentos não salvos;

- Mensagens inofensivas;

- Estragos irreparáveis no disco rígido;

- Ataque por data, como exemplo: o vírus mais

famoso Sexta-Feira 13 e um dos mais temidosChemobil (Win.CIH) dia 26 de todos os meses e

mais maldoso dia 26 de abril;

- Dentre outros.

Uma outra espécie de vírus, chamados de "Vírus de

Macro", não contaminam arquivos executáveis, mas sim documentos de

aplicativos que possuem linguagem de programação, como o Word, da

Microsoft. Nestes aplicativos, é possível escrever programinhas para

automatizar uma série de tarefas, e os vírus consistem em programas que

alteram as características do aplicativo, retirando opções dos menus, salvando

arquivos vazios ou com nomes errados, etc. Mesmo estes vírus, que se

15 BOOT é o processo básico que o microcomputador realiza para carregar qualquer tipo

de sistema operacional,

geralmente.

Page 44: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 44/47

escondem dentro de documentos, precisam ser abertos (ou lidos) no aplicativo

que o criou para que a contaminação seja feita. Após contaminado, o aplicativo

faz uma cópia do

vírus para todos os documentos abertos após a contaminação, alastrando aindamais o problema. Dependendo do grau de "liberdade" que a linguagem macro

contida nestes aplicativos possui, um vírus de macro pode até mesmo apagar 

todos os seus arquivos. Os antivírus mais novos detectam e corrigem arquivos

com estes vírus. ( www.anti-hackers.com.br , 17 de agosto de 2005, 16:15  )

Os vírus podem utilizar-se de várias formas de

infestação, sendo:

- Criação: um programa é desenvolvido com objetivo

de inserir-se em outros programas, proliferando-se

e executando as tarefas a que está programado

em um dado momento;

- Disseminação: quanto um vírus fica atrelado a um

  software que se torna seu “cavalo de tróia”,

propagando-se toda vez que o usuário do software

  troca softwares com outros usuários por meio de

redes públicas ou disquetes;

- Contágio: quanto mais o programa hospedeiro se

propaga, mais o vírus se reproduz e logo está se

difundindo com outros usuários;

- Ataque: quando o vírus é programado para

funcionar, através de época determinada, ou pode

vir do relógio/calendário interno que oscomputadores utilizam para controlar seu

processamento, para começar a atacar o

computador. 

Atualmente, estamos sofrendo ataques de vírus

polimórficos, estes são vírus são chamados de polimórficos quando não

Page 45: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 45/47

podem ser detectados com as chamadas máscaras de vírus - as partes

do código específico do vírus não modificável. Isso é feito de duas formas,

através da criptografia do código principal do vírus com uma chave não

constante, constituída de conjuntos aleatórios de comandos de

descriptografia ou pela modificação do código executável do vírus.

Existindo outros exemplos poucos exóticos de

polimorfismo, por exemplo: o vírus de DOS “Bomber” não é criptogrado,

mas a seqüência de instruções que passa o controle para o corpo do

vírus é totalmente polimórfica. (www.modulo.com.br , 17 de agosto de

2005, 16:30)

10. ENGENHARIA SOCIAL

A engenharia social é uma tática muito usada pelos

crackers há muito tempo. É o que a lei chama de estelionato. Consiste

em enganar uma pessoa para conseguir vantagens. O termo engenharia

social pode parecer num primeiro momento algo distante da área de

tecnologia. Basicamente significa “garimpagem” de informações vitais

sobre uma determinada pessoa, empresa, produto ou organização. Essas

informações são provenientes quase sempre de pessoas próximas ao

indivíduo a ser invadido ou do próprio quadro de funcionários e/ou

clientes, no caso de empresas.

11. CONCLUSÃO

De fato, Segurança da Informação é um assunto

muito sério, e não pode ser deixado de lado. Deve ter um lugar de

destaque, não apenas para as pessoas que trabalham diretamente na

área de informática, como técnicos, analistas, programadores, como

Page 46: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 46/47

também para as pessoas que, de alguma forma, utilizam a informática

como ferramenta para facilitar seus trabalhos, pois, a informação não tem

preço. Nas palavras de Felipe Moniz16: “ as empresas não têm

discernimento entre boas e más soluções em segurança da informação” ,

que trazem assim graves problemas, como um HD danificado ou os

perigos de um ataque.

12. REFERÊNCIAS BIBLIOGRAFICAS

12.1. SITES

www.modulo.com.br 

www.securenet.com.br 

www.juliobattisti.com.br 

www.securenet.com.br 

www.guiadohardware.com.br 

12.2. LIVROS

Mattar, João A. Neto. Metodologia Cientifica na Era da Informática.

1º edição. Editora Saraiva. 261 páginas.

Soares, Luiz Fernando Gomes, Redes de Computadores.

2º Edição

Rio de Janeiro. Editora Campus, 1995. 705 páginas.

Coleção InfoExame, HACKERS

4º edição

São Paulo, 2003. 114 páginas.

16 Felipe Moniz: Fundador da N-Stalker Inc., empresa voltada para aSegurança da Informação.Exímio programador autodidata, construíu osoftware N-Stealth, considerado um dos melhores scanners devulnerabilidades para servidores web da atualidade.

Page 47: Monografia Final V4

5/12/2018 Monografia Final V4 - slidepdf.com

http://slidepdf.com/reader/full/monografia-final-v4 47/47

Assunção A. Flávio Marcos, Guia do Hacker 

Editora Visual Books

Florianópolis, 2002. 189 páginas

Ulbrich, Henrique César, Universidade Hacker 

4º edição

Editora Digerati Books

São Paulo, 2003. 348 páginas