1. FACULDADE DE TECNOLOGIA DO NORDESTE
SEGURANÇA DE SISTEMAS – ADS-04
Professor Izequiel
CSC AUDITORIA
Auditores: FRANCISCO WAGNER COSTA
KLAUS FISCHER GOMES SANTANA
RAFAEL ARAUJO DE FREITAS
MARCOS MEIRELES
SERGIO ANDRADE
Fortaleza, novembro de 2011
2. SUMÁRIO
1. APRESENTAÇÃO ............................................................................................................. 3
2. INTRODUÇÃO................................................................................................................... 3
2.1 O que é Informação ..................................................................................................... 3
2.2 O que é Segurança ...................................................................................................... 3
2.3 O que é Segurança da Informação .............................................................................. 4
2.4 Como Garantir a Segurança das Informações ............................................................. 4
3. OBJETIVOS....................................................................................................................... 5
4. ABRANGÊNCIA................................................................................................................. 5
4.1 Identificação das necessidades de segurança da Organização ................................... 5
4.2 Recomendação de controles e medidas de proteção emergenciais adequados .......... 6
5. METODOLOGIA ................................................................................................................ 6
6. EQUIPE DE AUDITORIA ................................................................................................... 6
7. ANÁLISE GERAL DE SEGURANÇA ................................................................................. 7
7.1 Segurança Tecnológica ............................................................................................... 7
7.1.1 Sistema de Anti-Vírus ............................................................................................ 7
7.1.2 Controle da Internet............................................................................................... 7
7.1.3 Controle dos Notebooks ........................................................................................ 8
7.1.4 Atualização Periódica dos Softwares..................................................................... 8
7.1.5 Checagem Periódica de Vulnerabilidades ............................................................. 8
7.1.6 Equipe ou Profissional Responsável pela Segurança............................................ 8
7.1.7 Teste de Invasão Interno e Externo Periódico ....................................................... 8
7.1.8 Análise de Senhas para a Rede e de Senhas Pessoais ........................................ 8
7.2 Segurança Organizacional ........................................................................................... 8
7.2.1 Análise das Necessidades e Procedimentos Utilizados pela Organização ............ 9
7.2.2 Identificação dos Processos Críticos ..................................................................... 9
7.2.3 Classificação da Informação ................................................................................. 9
7.2.4 Existência e conformidade de normas, práticas, políticas e procedimentos para
técnicos e usuários ...................................................................................................... 10
7.2.4.1 Definição de um plano de testes de recuperação a desastres ou teste do
plano de contingência .............................................................................................. 10
7.3 Segurança Física ....................................................................................................... 10
7.3.1 Controle de Acesso Físico ................................................................................... 10
7.3.2 Energia Elétrica ................................................................................................... 10
7.3.3 Detecção e Combate a Incêndios........................................................................ 11
7.3.4 Backup e armazenamento de mídias .................................................................. 11
7.4 Resumo das Ameaças e Riscos Atuais ...................................................................... 11
7.4.1 Principais Riscos Identificados ............................................................................ 11
7.4.2 Principais Falhas Encontradas ............................................................................ 11
8. CONCLUSÃO .................................................................................................................. 12
9. RECOMENDAÇÕES ....................................................................................................... 12
9.1 Implantação do Plano de Ação Emergencial .............................................................. 12
9.2 Regularização da Instalação Elétrica ......................................................................... 13
9.3 Instalação de Cabeamento Estruturado ..................................................................... 13
9.4 Normatização dos Equipamentos de Informática ....................................................... 13
9.5 Estruturação da Rede Local ....................................................................................... 13
10. CONSIDERAÇÕES FINAIS ........................................................................................... 13
11. ANEXO – Checklist ........................................................................................................ 15
3. CSC Auditoria
1. APRESENTAÇÃO
A presente auditoria, realizada pela Empresa CSC Auditoria, formada por
alunos do Curso Superior de Tecnologia em Análise e Desenvolvimento de
Sistemas, disciplina de Segurança de Sistemas, da Faculdade de Tecnologia do
Nordeste – FATENE, tem a finalidade de aplicar os conhecimentos e conceitos
adquiridos para estudar e analisar os processos relativos à Tecnologia da
Informação da Empresa R&L Extintores Ltda, e ao seu término sugerir por meio
deste relatório, conforme diagnóstico obtido, melhorias nos processos gerenciais e
operacionais da Empresa auditada no tocante a Tecnologia da Informação,
doravante denominada TI.
2. INTRODUÇÃO
Para a correta evolução no entendimento do trabalho, enfatizamos aqui
alguns conceitos básicos:
2.1 O que é Informação
Existem diversas definições para informação, a que melhor se adapta ao
caso, é a definição do British Standards Institute, descrita abaixo:
Informação é um recurso que, como outros importantes recursos de
negócios, tem valor a uma organização e por conseguinte precisa ser protegido
adequadamente [BS 7799 -1: 1999, British Standards Institute].
2.2 O que é Segurança
A melhor definição para segurança pode ser obtida através do Dicionário
Aurélio, conforme descrito abaixo:
3
4. CSC Auditoria
segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição
daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção. seguro.
[Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado,
garantido. 8. Em quem se pode confiar. 9. Certo, indubitável, incontestável. 10.
Eficaz, eficiente. [Dicionário Aurélio]
2.3 O que é Segurança da Informação
A Segurança da Informação protege a informação de uma gama
extensiva de ameaças para assegurar a continuidade dos negócios, minimizar os
danos organizacionais e maximizar o retorno em investimentos e oportunidades. A
Segurança da Informação é caracterizada pela preservação da confidencialidade,
integridade e disponibilidade. [BS 7799 -1: 1999, British Standards Institute]
Para garantir a Segurança da Informação, é necessário que os seguintes
princípios básicos sejam respeitados:
• Confidencialidade: assegurar que a informação será acessível somente por
quem tem autorização de acesso;
• Integridade: assegurar que a informação não foi alterada durante o processo de
transporte da informação;
• Disponibilidade: assegurar que usuários autorizados tenham acesso a
informações e a recursos associados quando requeridos.
Recentemente, estão sendo abordados mais dois conceitos:
Autenticidade e Legalidade.
2.4 Como Garantir a Segurança das Informações
Foram criados diversos mecanismos de proteção, que somente tornam-se
efetivos, se forem devidamente conjugados de acordo com a necessidade e infra-
estrutura tecnológica de cada organização.
Para garantir a segurança a níveis aceitáveis, é necessário conhecer e
corrigir as vulnerabilidades presentes tanto no ambiente tecnológico, como no
4
5. CSC Auditoria
organizacional. Além disso, deve-se implementar uma política de segurança
eficiente, que discipline os acessos aos recursos, possua atualização constante e
gerenciamento sistêmico, pois soluções isoladas apenas criam um falso ar de
segurança.
O processo necessário para salvaguardar informações é composto de três
etapas: análise das vulnerabilidades, implantação e manutenção contínua de
segurança. O presente instrumento enquadra-se na primeira etapa.
3. OBJETIVOS
Dentro do escopo da inspeção técnica em segurança da informação no
que tange a Empresa auditada, foram estabelecidos os seguintes objetivos:
• Análise da atual estrutura de TI (parque tecnológico);
• Análise dos processos realizados pela Empresa com recursos de TI;
• Análise dos sistemas de TI utilizados pela a Empresa.
4. ABRANGÊNCIA
4.1 Identificação das necessidades de segurança da Organização
• Verificação dos riscos da organização, onde as ameaças aos patrimônios são
identificadas, vulnerabilidades e ameaças são avaliadas.
• Verificação do conjunto de princípios, objetivos e necessidades para o
processamento de informações.
• Identificação das necessidades básicas contratuais, de políticas definidas,
processos documentados e regulamentos entre a organização, seus parceiros,
colaboradores, contratados e provedores de serviço.
5
6. CSC Auditoria
4.2 Recomendação de controles e medidas de proteção
emergenciais adequados
Um ou mais mecanismos de controle ou de proteção adequados são
associados à cada ameaça grave, identificada na fase de análise de segurança e
processos, para garantir que os riscos serão reduzidos a um nível aceitável. Esta
seleção é baseada na criticidade da vulnerabilidade, em relação à redução dos
riscos, e levando-se em consideração as perdas potenciais.
5. METODOLOGIA
Para o trabalho em questão, foi aplicada uma metodologia, centrada na
análise de vulnerabilidades, para atender os requisitos de eficiência e tempo.
Baseando-se na norma ISO/IEC – 27001, dentre todos, foram escolhidos os
seguintes pontos de controle:
• Segurança física;
• Confidencialidade;
• Obediência à legislação em vigor;
• Eficiência e eficácia;
• Fidelidade e integridade da informação em relação ao dado.
6. EQUIPE DE AUDITORIA
• Francisco Wagner Costa Moreira;
• Klaus Fischer Gomes Santana;
• Rafael Araújo de Freitas;
• Sérgio Andrade Silva;
• Marcos da Silva Meireles.
6
7. CSC Auditoria
7. ANÁLISE GERAL DE SEGURANÇA
7.1 Segurança Tecnológica
Verificar nível de segurança das estações de trabalho, dispositivos móveis
e serviços disponíveis, que estão diretamente relacionados com os sistemas de
missão crítica, checando vulnerabilidades e configurações dos mesmos.
Outros equipamentos como modem, roteador, firewall, testados, que
também podem causar sério impacto na continuidade das operações, não foram
checados devido ao curto período de tempo disponível.
Com os procedimentos adotados, ficou constatado que a ausência de
profissionais especialistas em segurança da informação, bem como a falta de
dispositivos tecnológicos adequados, e principalmente normas de trabalho
seguras, culminou no quadro que vamos desenhar:
• Todos os equipamentos analisados apresentaram múltiplas vulnerabilidades
consideradas críticas no mais alto nível;
• Em todas as máquinas, tinha pelo menos uma vulnerabilidade que habilitava o
invasor a ter acesso irrestrito ao equipamento;
• As vulnerabilidades encontradas são consideradas primárias para qualquer
especialista em segurança;
• Em sumo, a integridade, disponibilidade e confidencialidade das informações de
todos os sistemas do ambiente, estão atualmente seriamente comprometidas.
7.1.1 Sistema de Anti-Vírus
O sistema de anti-vírus atual é o NOD32 licenciado para todas as
estações de trabalho e atualizado.
7.1.2 Controle da Internet
Não existe profissional responsável capacitado para esse trabalho.
7
8. CSC Auditoria
7.1.3 Controle dos Notebooks
Existem notebooks a disposição dos gerentes. A despeito disso, não há
controle sobre eles, e são conectados na rede interna sem qualquer reserva.
7.1.4 Atualização Periódica dos Softwares
Somente os navegadores de internet e o antivírus são atualizados
periodicamente.
7.1.5 Checagem Periódica de Vulnerabilidades
Não é aplicada.
7.1.6 Equipe ou Profissional Responsável pela Segurança
Não identificamos equipe ou profissional responsável pela segurança da
informação.
7.1.7 Teste de Invasão Interno e Externo Periódico
Como no caso do controle da Internet, não existe profissional responsável
capacitado para esse trabalho.
7.1.8 Análise de Senhas para a Rede e de Senhas Pessoais
Não existe uma política de controle de senhas para a rede e quanto ao
acesso as estações de trabalho, esta senha é compartilhada por todos usuários.
7.2 Segurança Organizacional
Trata de questões como procedimentos envolvendo informações
proprietárias, classificação das informações, entendimento do perfil da organização,
funcionamento da organização, fluxo que a informação possui da sua origem ao seu
destino no Workflow organizacional, dentre outros relacionados ao contexto
organizacional, entendimento de quem manipula as principais informações do órgão
8
9. CSC Auditoria
e qual segurança e responsabilidade destes usuários, quais setores precisam
acessar quais informações segundo o princípio “Need to Know”(quem realmente
necessita saber da informação).
7.2.1 Análise das Necessidades e Procedimentos Utilizados pela Organização
Nessa etapa são confrontados os procedimentos executados na
organização, que tenham relevância para o sistema focado, com a atual realidade da
execução dos processos. Levando-se em consideração todos os processos
informatizados ou não, que possam afetar direta ou indiretamente a segurança.
Após análise, verificou-se que poucos processos estão definidos na
empresa.
7.2.2 Identificação dos Processos Críticos
Após a checagem dos procedimentos, devem ser identificados os
processos considerados críticos à organização, ou seja, aqueles que contém
informações sensíveis aos negócios da organização.
• Sistema de cobrança bancária (Bancos Itau e Bradesco);
• Sistema de folha de pagamento;
• Controle de fornecedores, clientes e funcionários.
7.2.3 Classificação da Informação
Não existe hoje na organização, uma hierarquia de confidencialidade
definida para as informações.
Sendo assim não é possível assegurar que as informações recebam um
nível apropriado de proteção, pois as informações são classificadas para indicar a
necessidade, as prioridades e o grau de proteção. Tais como:
• Uso Confidencial - aplicada às informações de grande valor a organização, se
divulgadas indevidamente podem causar danos e prejuízos a organização ou a
seus parceiros. Seu uso e disseminação devem ser restritos e controlados.
9
10. CSC Auditoria
• Uso Interno - aplicada às informações restritas aos funcionários e a terceiros.
• Uso Público - Informações que podem ser divulgadas para o público em geral,
incluindo clientes, fornecedores, imprensa, etc.
7.2.4 Existência e conformidade de normas, práticas, políticas e procedimentos
para técnicos e usuários
As normas, políticas e procedimentos que devem ser seguidos pelos
funcionários da organização, não estão completas ou não foram especificadas.
Com base no check-list (em anexo) efetuado com a gestora da célula de
TI, devemos salientar os seguintes pontos:
7.2.4.1 Definição de um plano de testes de recuperação a desastres ou teste
do plano de contingência
O plano de contingência ou plano de recuperação é um plano que contém
as diretrizes que a organização deve seguir em caso de parada no processamento,
decorrente de desastre ou falhas. Este tem como objetivo auxiliar na recuperação
imediata do processamento das informações, levando em consideração a criticidade,
de modo que minimize eventuais prejuízos à organização.
Não há um plano de contingência englobando todas as possibilidades de
falhas possíveis, e também inexiste rotina de teste periódica.
7.3 Segurança Física
A estrutura de segurança física está configura de forma muito primária e
ineficiente.
7.3.1 Controle de Acesso Físico
A atual configuração não contempla níveis de acesso, e os respectivos e
adequados controles.
7.3.2 Energia Elétrica
Não existe controle de prevenção quanto a quedas de energia.
10
11. CSC Auditoria
7.3.3 Detecção e Combate a Incêndios
Os controles de detecção foram identificados de acordo com as normas
vigentes.
7.3.4 Backup e armazenamento de mídias
O controle de backup é manual é feito por meio de HD’s externos, que
muitas vezes ficam na própria empresa.
7.4 Resumo das Ameaças e Riscos Atuais
7.4.1 Principais Riscos Identificados
• Acesso e/ou cópia indesejada de dados;
• Alteração e/ou fabricação de dados;
• Deleção indesejada de dados;
• Extravio de documentos;
• Roubo de ativos importantes;
• Fragilidade a engenharia social;
• Fraude.
7.4.2 Principais Falhas Encontradas
• Intolerância a acidentes e falhas em ativos, sistemas, processos e infraestrutura;
• Conectividade externa e interna sem a devida segurança;
• Política de senhas não aplicada;
• Falta de controle sistêmico dos processos;
• Não identificação dos invasores externos e internos;
• Falta de controle de acesso e insegurança física nas instalações;
• Inexistência de controle das impressões.
11
12. CSC Auditoria
8. CONCLUSÃO
Conforme constatamos, a Empresa auditada não tem uma Política de
Segurança da Informação definida, bem assim, não tem um parque tecnológico
adequado para suas atividades atuais.
9. RECOMENDAÇÕES
9.1 Implantação do Plano de Ação Emergencial
a) Definição da equipe interna responsável pela implantação e
manutenção da segurança desvinculada das outras atividades
operacionais
a. Treinamento básico de segurança da informação para a
equipe.
b) Implementação das medidas de segurança básicas
a. Análise de compartilhamentos desprotegidos;
b. Troca do sistema de Firewall;
c. Desativação do serviço de acesso remoto;
d. Redefinição e aplicação das regras de conexões internas e
permissões;
e. Implantação de autenticação forte, e login único de usuários
e objetos;
f. Atualização do sistema de Backup e restauração de dados, e
aquisição de novas licenças;
g. Definição da política de segurança de notebooks;
h. Criação de uma política segura de acesso à Internet;
c) Remodelação da célula de informática
d) Construção do regimento interno
e) Implantação das novas rotinas de auditoria interna e externa
f) Implantação dos sistemas pendentes
12
13. CSC Auditoria
a. Levantamento das customizações indispensáveis;
b. Coordenação do treinamento dos usuários;
9.2 Regularização da Instalação Elétrica
• Aterramento unificado para todos os equipamentos de informática;
• Troca de tomadas de baixa qualidade;
• Instalação de No-Break inteligente;
9.3 Instalação de Cabeamento Estruturado
• Substituição do cabeamento atual;
9.4 Normatização dos Equipamentos de Informática
• Aquisição de pelo menos um servidor, novas estações e periféricos
necessários;
• Inventário geral de equipamentos com selagem destes e instalação
de travas nos gabinetes;
• Implementação de controle geral de ativos de informática, hardware
e software, com ocorrências e histórico.
9.5 Estruturação da Rede Local
• Migração dos dados, aplicativos e de pastas pessoais das estações
para o servidor;
• Implantação de permissões e política de uso local nas estações;
• Criação de CD’s de imagem dos perfis das estações;
10. CONSIDERAÇÕES FINAIS
Em sumo do que foi analisado e evidenciado nesse trabalho, definir níveis e
controles de segurança é como receitar um medicamento. Se muito fraco ou em
doses mínimas (abaixo do necessário para prover segurança), o problema persistirá
ou será reduzido a um nível insatisfatório. Por outro lado, comprar um remédio
13
14. CSC Auditoria
caríssimo para combater uma gripe simples certamente reduzirá seu potencial de
investimento destinado a prevenir ou combater doenças mais graves.
Outro ponto importante a ser considerado é o impacto dos controles sobre os
serviços da organização, pois um processo "engessado" demais pode ser traduzido
em prejuízos para a administração.
14