COMO ESTABELECER OS NVEIS DE RISCOS DOS RECURSOS ENVOLVIDOS

Como estabelecer os nveis de riscos dos recursos envolvidos?

Ao criar uma poltica de segurana informtica, importante entender que a razo para criar tal politica em primeiro lugar, assegurar que os esforos investidos na rede so cuteaveis. Isto significa que se deve entender quais recursos da rede vale a pena proteger e que alguns recursos sao mais importantes que os outros.

Deve-se tambm identificar a fonte de ameaa dos recursos.. Na anlise de riscos deve-se determinar o seguinte: Que recursos necessrio proteger? De quem proteger tais recursos? Como protge-los? Os riscos classificam-se pelo nivel de importncia e pela severidade da perda. No se deve gastar mais protegendo recursos menos valiosos.

Na anlise de riscos necessrio determinar os seguintes factores: Estimao do risco de perda do recurso (Ri) Estimao da importncia(ou peso) do recurso (wi) Como um passo para a quantificao de riscos, possivel atribuir um valor numrico. Por exemplo, o risco (Ri) de perder um recurso, se lhe atribuirmos um valor na escala de 0-10, donde zero significa que no ha risco e dez o risco mais alto.

Da mesma maneira, a importncia de um recurso (wi) podemos lhe atribuir um valor na escala de 0-10, donde zero significa que no tem importncia e dez importncia mais alta. Assim a avalio ser o produto do valor do risco e sua importncia. Matematicamente, tem se: WRi= Ri*Wi Donde: WRi : o peso do risco do recurso ou ponderao Ri: o risco do recurso Wi: a importncia do recurso

Figura1.Esquema de uma rede. Uma rede simplificada com um router, um servidor e uma bridge

Como estabelecer os nveis de risco dos recursos envolvidos?

Os administradores da rede e de sistemas eles produziram as estimativas seguindo para o risco e a importncia de cada um dos dispositivos que formam a rede: Como se vem, a cada um dos componentes dos sistemas, foi nomeado um certo risco e uma certa importncia. necessrio realar que estes valores sejam completamente subjetivo, eles dependem exclusivamente do que ou que esto levando a cabo a avaliao. Temos:

Router: R1 = 6 W1 = 7 WR1 = R1 * W1 WR1 = 6 * 7 = 42 Bridge: R2 = 6 W2 = 3 WR2 = R2 * W2 WR2 = 6 * 3 = 1.8 Servidor: R3 = 10 W3 = 10 WR3 = R3 *W3 WR3 = 10 * 10 = 100

Conti
Neste caso, o recurso que devemos proteger mais o Servidor porque o risco ponderado dele muito alto. Ento, comearemos a procurar as causas provveis que podem causar problemas com os servios brindadas por ele. necessrio ter mesmo em conta que, ao levar a cabo a anlise de risco ,se que eles devem identificar todos os recursos (para mais trivial que eles parecem) de quem segurana est em risco de ser embriagado.

Os recursos que devemos considerar

Hardware: processadores, cartes, teclados, terminais, postos de trabalho, computadores pessoais, impressoras, unidades de disco, que comunicao enfileira, telegrafado da rede, servidores terminais, router, pontes(bridges). Software: programa fonte, objeto de programas, utilidades, programas de diagnsticos, sistemas operacionais, programas de comunicaes.

Conti
Dados: durante a execuo, armazenado online, arquivo fora de linha, back-up, bancos de dados, em trfico sobre meio de comunicaes . Pessoas: usurios, as pessoas que operar com sistemas. Documentao: sobre programas, hardware, sistemas, procedimentos sobre administrao local. Acessrios: papel, formulrios , fitas, informao registrada.

Conti
A pergunta que necessria formular, depois de ter feito o trabalho prvio, como protegemos nossos recursos agora. Talvez, esta a pergunta mais difcil de responder, porque, de acordo com o recurso a proteger. Primeiro, ns nos lembraremos do que queremos proteger. Se dos problemas causados pelo prprio pessoal ou de interferncias secretas que eles podem afetar a operao da organizao. necessrio se lembrar de que todos os estudos demonstra que 80% dos problemas vm das chamadas os clientes internos da organizao (os empregados ou elementos que agem na organizao), e s 20% permanecendo, vem de elementos externos

organizao. Uma aproximao sobre como proteger os recursos dos problemas

originado pelo cliente interno que consiste na identificao do uso correto desses mesmo por parte destes.

Conti
Mas primeiro, ns saberemos que so esses que faro uso desses recursos. Quer dizer ele / ela deveriam ser, previamente, com um conhecimento exato de todos os usurios que ns temos no sistema. Esta lista no obrigatoriamente individual, mas realmente, que pode ser uma lista para os grupos de usurios e as necessidades deles/delas no sistema. Isto , com segurana, a prtica mais estendida porque, definido a necessidade de um grupo de usurios, a coisa mais efetiva os incluir a tudo em a si mesmo grupo. Uma vez identificado os usurios (ou os grupos de usurios), pode ser levado a cabo a determinao dos recursos que eles faro uso e das licenas que tero. Isto simples de levar a cabo com mostra a tabela seguinte:

Tabela de Acesso
Recurso de Sistema Numero Nome Identificao do usurio Tipo de Acesso Licenas concedidas

Grupo de auditores 1 Dados Bsicos Local Leitura

Ruter 2500

Grupo mantimento comunicao

de Local e remoto de

Leitura e escrita

Exemplos
Este modelo, permitir preparar para cada usurio (ou os grupos de usurios), a informao do que lhes permitem fazer e como no. O outro problema que ns nos deparamos, das interferncias secretas. Aqui, necessrio se lembrar do tipo de recurso a proteger. Baseado nisto, sero dadas as polticas de segurana. A seguir alguns exemplos sobre o que uma organizao enfrenta: Como asseguramos que eles no esto entrando no nosso sistema para um aporte desprotegido ou no bem configurado? Como ter certeza que eles no esto usando caracterstica de programas do um sistema operacional ou aplicaes para entrar ao sistema de forma secreta? Como asseguramos que, antes de um corte de energia elctrica, o sistema, continuar em funcionamento? Como ter certeza que os meios de transmisso de informao sucessvel no so monitorados? Como a organizao age na frente da alienao de um integral?

Exemplos
A resposta para estas questes reside na possibilidade de adquirir felicidade de segurana por meio de ferramentas de controle e perseguio de acessos, usando conferir-lista para conferir pontos importantes na operao de e/ou de configurao dos sistemas e por meio de procedimentos que fazem na frente do diferente situaes.

Conti
muito aconselhvel prepara um calendrio com as tarefas que o devem levar a cabo regularmente, de forma que a perseguio dos dados obtidos efetivo e eles podem ser levados fora comparaes vlidas ao ter dados sequentes. Este calendrio, poderia estar em si mesmo um procedimento. O prximo exemplo procedimento de exame de eventos no sistema:

Conti
Diariamente: Extrair um logstico no volume de correio transportado. Extrair um logstico sobre as conexes de rede levadas nas ltimas 24 horas. Semanalmente: Extrair um logstico com as conexes externas levadas fora de nossa rede. Obter um logstico sobre os downloads de arquivos realizados e que os realizou. Obter grficos em trfico na rede. Obter logsticos sobre conexes realizadas em horrios normais (onde, que horas e com que destino). Mensalmente: Realizar um seguimento de todos os arquivos logsticos a fim de descobrir mudanas (realizadas com os arquivos de parte de trs-para cima do ms previamente).

Procedimento de alta conta de usurio

Quando um membro da organizao requer uma conta de negociao no sistema, voc deve preencher um formulrio contendo pelo menos as seguintes informaes:

Nome e Sobrenome;
Poste de Trabalho;

Procedimento de alta conta de usurio (cont.)

Chefe superior imediato que comprove o pedido; Descrio do trabalho a ser executado no sistema; Consentimento que suas atividades so susceptveis de ser auditado a qualquer momento e voc conhece as regras do "bom uso de recursos " (para o qual, deve ser dada uma

cpia de tal padro);

Explicaes breve mas clara como escolher a sua senha.

Procedimento de alta conta de usurio

(Cont.)

Alm disso, este formulrio deve ser outros elementos relativos parte

rea de execuo responsvel pelas informaes conta dados como:

Tipo de Conta; Data de validade;

Informaes sobre as permisses de acesso (por exemplo, tipos de

permisses para diferentes diretrios e / ou arquivos) Se voc tem restries de tempo para o uso de alguns recursos e / ou a entrada no sistema

Politicas e procedimento contas de usuario

de seguranca nas

As polticas podem ser consideradas como mais alto nvel de documentao da segurana da informao, enquanto nos nveis mais baixos podemos encontrar os padres, procedimentos e guias. Isto no quer dizer que as polticas sejam mais importantes que os guias, procedimentos e padres.

Politicas e procedimento de segurana nas contas de usurio (cont.) Procedimento de nveis operacionais: instrumentalizam o disposto nas normas e na politica , permitindo a sua directa aplicao nas

actividades.

Politica de nveis estratgicos: constitudo do presente documento,

define as regras do alto nvel que representas os princpios bsicos que

decide incorporar a sua deciso de acordo com viso estratgica de alta direo, serve como base para que as normas e procedimentos seja

criadas e detalhadas

PROCEDIMENTO DE BAIXA CONTA DE USURIO

O procedimento de baixa conta de usurio

utilizado quando um elemento se afasta organizao

ou quando algum pra de trabalhar por um certo

tempo (frias, viagens longas, demisso, etc.).

Desta forma no necessitando aceder ao sistema da

organizao.

Medidas a tomar na ausncia de um usurio do

sistema

Quando

um

usurio
ou

se

ausenta
numa

temporariamente

definitivamente

organizao necessrio definir um conjunto de

politicas de segurana que devem ser levada a

cabo que vai desde desabilitar a conta de

usurio, eliminar a conta do usurio.

Medidas a tomar na ausncia de um usurio do sistema

Desabilitar : Consiste em tornar inbil conta de determinado usurio temporariamente, para posteriomente ser usada quando activada.

Eliminar: Este procedimento consiste remover definitivamente conta de determinado usurio do nosso sistema.

em um

PROCEDIMENTO PARA DETERMINAR AS BOAS PASSWORDS As passwords so a primeira linha de defesa contra cibercriminosos. crucial escolher passwords fortes que so diferentes para cada uma das suas contas importantes e uma boa prtica actualizar as suas passwords regulamente.

PROCEDIMENTO PARA DETERMINAR AS BOAS PASSWORDS (cont.) Utilize uma passwords exclusiva para cada uma das suas contas importantes, como as contas de email e do banco online.
Guarde os lembretes das suas palavras-passe num local secreto, de difcil visualizao.

SUGESTES SOBRE A UTILIZAO DAS BOAS PASSWORDS No revele a sua password a ningum e tambm no a envie por correio electrnico. No introduza uma password e para um elemento sensvel, como uma conta bancria, num local no protegido, como por exemplo um site no seguro. Pode ser recolhida por algum que esteja a monitorizar o trfego na rede.

(CONT)
Use uma sequncia longa de caracteres aleatrios. Inclua uma combinao de letras maisculas e minsculas, nmeros, sinais de pontuao e (se o site ou o elemento o suportar) caracteres digitados enquanto mantm premida a tecla Opo.
Pode tambm optar por introduzir pontuaes, letra e nmeros adicionais. Por exemplo, "Os meus amigos Mesquita e Amimo enviam-me um email engraado por dia" e depois utilize nmeros e letras para a recriar. m3XKt44m1m0. uma passwords com muitas variaes. As boas password possuem mais de 8 caracteres e incluem uma combinao de muitos tipos de caracteres diferentes. Evite usar nomes de cidades, nomes de ruas, nomes de pessoas (reais ou fictcias), nomes de animais de estimao, palavras encontradas num dicionrio ou num livro popular, nmeros de telefone, datas de nascimento e aniversrios.

ONDE USAR BOAS PASSWORDS NO COMPUTADOR O Computador dever estar protegido por boas passwords nas seguintes reas: Password da conta de administrador. Esta password necessria para executar muitas tarefas no computador, incluindo a configurao das preferncias do sistema, a instalao de software e a administrao de contas de utilizador.

Password de contas de utilizador que permitem aos utilizadores aceder s suas pastas pessoais. muitas vezes designada por " password de incio de sesso".

[LTIMA MODIFICAO DO TPICO: 2013-03-25 PARA A POLITICA DA EXPIRAO DO PASSWORD DO MICROSOFT.]

CONFIGURAR PASSWORD DE UTILIZADOR PARA NUNCA EXPIRAR Na qualidade de administrador global do Microsoft Office 365 para empresas, pode utilizar o Windows Azure Active Directory Module for Windows PowerShell para configurar as passwords de utilizador para nunca expirar. Tambm pode utilizar cmdlets Windows PowerShell para remover a configurao que nunca expira ou para ver quais as passwords de utilizador configuradas para nunca expirar. Apenas as passwords das contas de utilizador no sincronizadas atravs da sincronizao de diretrios podem ser configuradas para nunca expirar.

CONFIGURAR PASSWORD DE UTILIZADOR PARA EXPIRAR

Se preferir definir as passwords dos utilizadores para expirarem aps um perodo de tempo maior em vez de nunca expirarem, pode definir uma poltica de expirao de passwords para os utilizadores.

EX.: DE PROTEGER SEU DOCUMENTO, PASTA DE TRABALHO OU APRESENTAO COM PASSWORD.

No Microsoft Office, Voc Pode Usar Passwords Para Ajudar A Impedir Que Outras Pessoas Abram Ou Modifiquem Seus Documentos, Pastas De Trabalho E Apresentaes. Importante Saber Que, Se Voc No Lembra Sua Password, A Microsoft No Pode Recuperar Passwords Esquecidas. Em um documento aberto, clique em Arquivo > Informaes > Proteger Documento.

Quando voc seleciona Criptografar com Password, a caixa de dilogo Criptografar Documento exibida. Na caixa Password, digite uma password. Importante: a Microsoft no pode recuperar passwords perdidas ou esquecidas, por isso, mantenha uma lista de suas passwords e os nomes de arquivo correspondentes em um local seguro.

Procedimentos de verificao de acessos.

O uso de alguns procedimentos simples pode ser suficiente para descobrir a maioria das actividades de invaso de um sistema. A associao desses procedimentos ao uso correto de ferramentas de monitorao confere alto grau de confiabilidade aos processos de auditoria.

(Cont.)
Estes Procedimentos devem explicar a forma de realizar as auditoras dos arquivos logsticos de ingresos a fim de detectar actividades anmalas. Tambem devem detectar o tempo entre as auditorias e como actuar en caso de detectar desvos.

(Cont.)
Esta tarefa realizada por programas que tem normas de qu e como comparar. Escanean arquivos de log com diferentes datas tomando en conta as regras dadas antes da deteco de um desvo e geram reprter informando o mesmo.

Monitorando o uso de sistemas:

O aspecto mais importante para monitorao de um sistema a frequncia com que isto feito. A escolha de um dia ao ms no confere segurana alguma a rede, pois um hacker precisa apenas de algumas horas para fazer seu trabalho. Uma efetiva monitorao, seja ela feita por software ou pelo administrador, deve ser capaz de descobrir a invaso a tempo de poder reagir ao ataque.

Ferramentas para monitorao do sistema:

a) Logins: examinar os arquivos de log regularmente considerado a primeira linha de defesa na deteco de intrusos e actividades no-autorizadas. Comparar os arquivos de log actuais com os histricos um procedimento muito eficiente para deteco de quebras de segurana. Os usurios possuem hbitos freqentes de login e logout.

( Cont.)
Mensagens de erro no usuais podem ser elucidativas a um ataque. Uma sequncia de logins failed em um curto espao de tempo pode sugerir algum tentando adivinhar senhas. Comandos que exibem os processos em execuo podem ser usados para identificar processos desautorizados inicializados por intrusos.

( Cont.)
b) Variando o schedule de monitorao: A execuo dos comandos mais freqentes de monitorao por parte do administrador acaba por automatizar a leitura da resposta a esses comandos. Um administrador acostumado a ler a resposta de um comando e de listar o arquivo de log ir identificar rapidamente desvios gritantes de conduta ou actividades no-autorizadas.

( Cont.)
Uma maior importncia deve ser dada ao facto de que no devem existir horrios fixos para monitorar os sistemas. A definio de padres rgidos de tempo (data e hora) para auditoria facilita o trabalho do hackers.

Ferramentas IDS, ou Intrusion Detection System

Esta ferramenta faz parte dos sistemas detectores de intruso e so sistemas automticos baseados em mecanismos de monitorao em tempo real que observam o comportamento do trfego de rede e ambientes operacionais.

(Cont)
Existem dois modelos distintos de IDS. So eles os IDSs de rede e os IDSs de host. Os IDS de rede, conhecidos como Network IDS (NIDS) so em geral programas que agem como sensores em pontos estratgicos de uma rede. Estes programas coletam os dados trafegados, fazem uma anlise sobre o contedo e detectam ou no uma actividade suspeita. Os IDSs de host monitoram as actividades no sistema operacional de um host. Estes programas avaliam logs do sistema, servios, integridade de arquivos, modulos carregados etc.

(Cont.)
Uma ferramenta IDS serve basicamente para fornecer informaes sobre a rede, tais como: Tentativas de ataques diarias; Tipo de ataque usado; Origem dos ataques.

Ambiente de testes do IDS

Trfico da rede Todo administrador de rede necessita compreender o trfego que passa em sua rede. Entender como a rede est sendo utilizada a chave para cumprir as normas de QoS. essencial saber o que realmente est acontecendo na rede e quem est utilizando o quanto da banda disponvel.

Trfico da rede (Cont.) Medir e caracterizar o trafego da rede so as principais actividades para se implementar e fazer cumprir uma politica de uso de um recurso limitado e caro que o acesso a internet.

Essa informao essencial para o administrador de redes,

pois d uma viso geral de como a rede est se comportando, diagnosticar padres de trfego problemtico e planejar estratgias para impedir futuros problemas no trfego de rede.

Procedimenntos para a verificao do trfico da rede Rever conceitos chave; Confirmar se membro do grupo Administradores; Instalar ferramentas do Monitor de rede; (Opcional) Se pretender certificar-se de que as capturas no excedem a memria disponvel no computador, modifique as definies de memria intermdia;

Procedimento para a verificao do trfico da rede

(Cont.)
(Opcional) Se pretender que o trfego de um determinado endereo de rede no seja capturado, crie um filtro de captura; (Opcional) Se pretender accionar uma captura quando aparecer

uma cadeia especfica num pacote, crie um accionador de

captura; (Opcional) Se pretender especificar determinados protocolos

ou endereos que pretende guardar num ficheiro, crie um filtro

de visualizao.

Gerenciamento de rede com NetFlow

O NetFlow uma tecnologia que parte integral do IOS da Cisco que considera os pacotes como parte de um fluxo, ao invs de simplesmente cont-los. Um fluxo, como

significa o nome, tem um princpio, meio e fim.

Recursos Chave NetFlow

Monitoramento da banda e anlise de trfego; Anlise da rede e gerncia de segurana; Monitoramento de aplicativos; Rastreamento da migrao de aplicativos;

Validao de QoS;
Planejamento de capacidade; Identificao de worms e malwares; Anlise de trfego de VPN e comportamento do acesso remoto; Calculando o custo total da propriedade de aplicativos.

Procedimentos para o monitoramento de correio electrnico

Qualquer correspondencia pode ser enviada pela internet. Qualquer pessoa que tenha um conhecimento tecnico pode intercepta-la bom

Seguranca em correio eletronico

Apesar das inmeras vantagens do correio electrnico, este propicia alguns problemas os quais podem se tornar bastante graves devido a sua vulnerabilidade quanto a segurana.

As polticas de segurana de informao nas empresas se tornam a cada dia mais relevante e necessria para permitir o uso saudvel de todos os recursos da rede computadores que estas possuem.

Uma politica de segurana da informao para o e-mail, na verdade deve abordar e conter basicamente os mesmos objectivos e finalidades da politica global de segurana de informao.

A partir do monitoramento electrnico pode-se ter o controle de uma grande problema encontrado na maioria das organizaes a perda de produtividade. Correios indesejveis , contendo propagandas , piadas , filosofia de vida Fotos, arquivos de udio e vdeo. Receitas de cozinha, Noticias falsas de vrus Utilizao de correio electrnico para interesses pessoais

Monitoramentos de correio electrnico

O monitoramento de correio electrnico realizado para garantir a aplicabilidade das normas de utilizao definidas na empresa/organizacao. A grande maioria das organizacoes tem seus proprios protocolos, sendo que o interesse comum monitorar situacoes como: Mensagens com arquivos executaveis; Mensagens com arquivos de grande tamanho; Arquivos confidenciais que no devem sair do ambiente corporativo; Calunias ou palavras de cunho sexual;

Softwares de monitoramento de correio eletronico

A principal funcao dos softwares de monitoramentos gerenciar o fluxo de mensagens de correio eletronico e disciplinar o seu uso pelos funcionarios. Estes fazem inspecao nas mensagens eliminando ou limitando o conteudo que podem ser enviado por email ou FTP,tornar o sistema sensivel a palavras chave relacionadas ao sigilo e a seguranca da empresa ou ao uso no professional da rede, possibilitando com que o administrador da rede tenha relatorios sobre o conteudo que esta trafegando na sua rede.

Principais caractersticas encontradas nos softwares de gerenciamento de correio electrnicos: Controlar o trfego excessivo na rede; No permitir o envio de mensagens de contedo inadequado; gerenciamento de informaes sigilosas;

Procedimento para o monitoramento de conexoes activas .

O objectivo desse procedimento previnir que alguns usurios que deixam suas contas abertas seja possivel que alguem use a sua conta. O procedimento efectuado por meio de programas que monitoram as actividades para as conexes do usurios. Quando detectam que uma terminal tem um certo tempo inactividade, encerra a conexo e gera um log com o ancotecimento. .