cartilha usuário · 2018-02-23 · cartilha do segurança da informação janeiro de 2016 usuário...
TRANSCRIPT
1
Cartilha doSegurança da Informação
Usuário
2 3
Cartilha doSegurança da Informação
Janeiro de 2016
Usuário
Tribunal de Contas do Estado de Minas GeraisPresidenteConselheiro Sebastião Helvecio Ramos de CastroVice-PresidenteConselheiro Cláudio Couto TerrãoCorregedorConselheiro Mauri José Torres DuarteConselheirosJosé Alves Viana (Ouvidor)Wanderley Geraldo de ÁvilaAdriene Barbosa de Faria AndradeGilberto Pinto Monteiro Diniz Conselheiros SubstitutosLicurgo Joseph Mourão de OliveiraHamilton Antônio Coelho
Ministério Público junto ao Tribunal de ContasProcurador-GeralDaniel de Carvalho GuimarãesSubprocurador-Geral Elke Andrade Soares de Moura SilvaProcuradoresMaria Cecília Mendes BorgesGlaydson Santo Soprani MassariaSara Meinberg Schmidt Andrade DuarteMarcílio Barenco Corrêa de MelloCristina Andrade Melo
ELABORAÇÃO
Diretoria de Tecnologia da InformaçãoCristiana Siqueira Veloso de Andrade | Diretora
Supervisão de Segurança Institucional da InformaçãoDanilo de Souza Macieira | Supervisor
Cintia Pinto AvelarFabiano Discacciati PintoFlávio Regis C.M. Castro
Paulo César LacerdaViviane Vieira de Oliveira
EXPEDIENTE
Diretoria GeralRaquel Miranda de Oliveira Simões
Diretoria de ComunicaçãoLúcio Braga Guimarães
Realização | Coordenadoria de Publicidade e Marketing Bárbara Couto | Coordenadora
André OliveiraAndré Zocrato
Bruna PellegrinoBlenda Pinheiro
Eliana Sanches EnglerLívia Maria Barbosa Salgado
Produção EditorialVivian de Paula
FotosArquivo TCEMG
SUMÁRIO1 / INTRODUÇÃO / 7
2 / OBJETIVO DA CARTILHA / 09
3 / O QUE É SEGURANÇA DA INFORMAÇÃO ? / 10
4 / O QUE É POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ? / 12
5 / CONFIDENCIALIDADE E TRANSPARÊNCIA / 14
6 / OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO / 14
7 / AS NORMAS TÉCNICAS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO / 16
8 / O QUE É UM INCIDENTE DE SEGURANÇA DA INFORMAÇÃO E COMO REPORTÁ-LO ? / 18
9/ O QUE GANHO COM A SEGURANÇA DA INFORMAÇÃO? / 23
10 / QUE RISCOS CORREMOS SEM A SEGURANÇA DA INFORMAÇÃO? / 24
11/ PLANO DE SEGURANÇA DA INFORMAÇÃO DO TCEMG / 26
12 / MENSAGEM FINAL / 39Tribunal de Contas do Estado de Minas Gerais
Av. Raja Gabaglia, 1.315 - LuxemburgoCEP: 30.380-435 - Belo Horizonte - MG
Tel: (31) 3348-2111www.tce.mg.gov.br
6 7
1 / INTRODUÇÃOA tecnologia transformou a execução do trabalho na sociedade. Hoje temos a grande maioria dos negócios sendo sustentados por tecnologias. Antes haviam fronteiras físicas, as informações não chegavam instantaneamente ao seu destino, além de estarem materializadas em mecanismos físicos, palpáveis.
Na Sociedade digital, em que a mobilidade e as mídias sociais estão presentes diariamente na rotina das pessoas, não há mais fronteiras, a informação pode ser compartilhada de maneira global, de forma instantânea e reproduzida inúmeras vezes.
Diante deste cenário, em que os dados estão mais acessíveis, e a tecnologia possibilita sua rápida transmissão e propagação, a Segurança da informação ganha um papel protagonista. Desta forma, a segurança deve acompanhar a informação, independente do lugar aonde ela esteja, tornando-se, também, uma segurança digital.
Sumário
8 9
2 / OBJETIVO DA CARTILHAEsta cartilha objetiva conscientizar e informar todos os servidores, prestadores de Serviços e jurisdicionados do TCEMG, sobre a importância do tema Segurança da Informação para o Tribunal e para todas as pessoas envolvidas em suas atividades.
Sumário
10 11
3 / O QUE É SEGURANÇA DA INFORMAÇÃO ?A informação é um ativo que, como qualquer outro ativo importante, é essencial para as atividades do Tribunal e, consequentemente, necessita ser adequadamente protegida. A Segurança da Informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os objetivos propostos e às suas oportunidades. A Segurança da Informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo Política, Normas, processos, procedimentos, estrutura organizacional e funções de software (programas de computador) e hardware (equipamentos de informática).
Sumário
12
4 / O QUE É POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ?Podemos dizer que Política de Segurança da Informação deve atender a três requisitos básicos relacionados aos recursos que a compõem: confidencialidade, integridade e disponibilidade.
A Confidencialidade é a garantia que as pessoas não tomem conhecimento de informações, de forma acidental ou proposital, sem que possuam autorização para tal procedimento.
Exemplo: alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas ;
A Integridade é a garantia de não violação dos dados com intuito de alteração, gravação ou exclusão, seja ela acidental ou proposital.
Exemplo: alguém obtém acesso não autorizado ao seu computador e altera informações de processo que tramita no Tribunal
A Disponibilidade é a garantia de prestação contínua do serviço, sem interrupções no fornecimento de informações para quem é de direito
Exemplo: a rede sofre uma grande sobrecarga de dados, ou um ataque de hacker, e por este motivo você fica impossibilitado de fechar o processo de uma licitação em andamento
Assim, Política de Segurança da Informação é a relação de normas e melhores práticas para se preservar a CONFIDENCIALIDADE, INTEGRIDADE e DISPONIBILIDADE das informações.
Sumário
14 15
5 / CONFIDENCIALIDADE E TRANSPARÊNCIAA Confidencialidade é um dos princípios básicos da Segurança da Informação. Como já definido, a Confidencialidade diz respeito à disponibilidade da informação somente a pessoas autorizadas. Importante estar claro que esta definição não conflita com as definições de Transparência, aplicadas a administração pública em geral, e exigida através das várias Leis criadas, como a LAI (Lei de Acesso a Informação). Uma instituição possui um arcabouço grande de informações. Algumas são de cunho pessoal, de terceiros, estratégicas para fins e continuidade da organização, protegidas por força de lei e outras de caráter público. Desta forma a confidencialidade, tratada aqui como princípio da Segurança da Informação, passa a ser um processo de apoio da proposta da transparência pública.
6 / OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Adequar o sistema de controles à crescente complexidade operacional;
Gerenciar os riscos e reduzir os impactos de descontinuidade, parcial ou total, das operações do Tribunal;
Gerenciar os riscos e reduzir a possibilidade de vazamentos de informações não autorizadas, de fraudes e do não cumprimento de obrigações legais;
Proteger o Tribunal de riscos e contingências legais relacionados ao mau uso da informação, uso não autorizado, vazamento de informação confidencial, danos a terceiros, crime e fraude eletrônica, invasão de privacidade, outros;
Atender às recomendações da controladoria interna e externa;
Adequar o processo de gestão de riscos em TI aos padrões de mercado;
Comunicar formalmente o que é permitido ou proibido em relação à manipulação de informações e uso de sistemas no Tribunal;
Dar ciência que existem sanções ao não cumprimento da mesma;
Garantir que na hipótese de investigação de um incidente, o Tribunal possa usar as provas coletadas, possa praticar monitoramento, sem que isso gere riscos legais;
Servir como diretriz para que todas as áreas do Tribunal revejam seus procedimentos, sistemas, ativos de informação e serviços prestados com o objetivo de tornarem-se conformes à nova política
Ressaltamos que a Política de Segurança da Informação é um documento no modelo de Resolução que traz todas as regras, padrões e procedimentos obrigatórios, para proteção dos ativos e atividades do Tribunal cada vez mais dependente da informática, da internet, do e-mail, sendo essencial para que esta Corte esteja em conformidade com as leis em vigor e, devendo atender as melhores práticas vigentes para o tema.
Garantir que os contratos estão adequados em nível de responsabilidades relacionadas a geração, uso e manuseio da informação;
Todos as pessoas que atuam nas atividades do Tribunal (sejam servidores, prestadores de Serviços ou Jurisdicionados) são responsáveis por cumprir a Política de Segurança da Informação.
Sumário
16 17Sumário
7 / AS NORMAS TÉCNICAS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃOA Política de Segurança da Informação vem acompanhada de uma série de normas técnicas específicas que detalham o aspecto operacional, da utilização dos recursos e serviços de TI.
As normas estão agrupadas em dimensões de acordo como sugere a ABNT NBR ISO/IEC 27002 (Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação). As dimensões, e respectivos exemplos, são:
Organização da Segurança da Informação: agrupamento de normas cujo foco está associado a garantir a adequada gestão e governança dos recursos de Tecnologia da Informação no TCEMG, proporcionando uma melhor gestão da Segurança da Informação. Exemplo : Norma para definir Propriedade da Informação e dos ativos de informação do TCEMG, ou Norma que descreva a responsabilidade de Instalação e desinstalação de programas de computador
Segurança em Aplicações: agrupamento de normas cujo foco está associado a garantir a aplicação eficiente de medidas associadas a disciplina de Aquisição, desenvolvimento e manutenção de sistemas de Informação no TCEMG. Exemplo: Norma para Avaliação de segurança da informação nos processos de aquisição, desenvolvimento e manutenção de sistemas de informação
Gerenciamento das Operações e Comunicações: agrupamento de normas cujo foco está associado a garantir a aplicação eficiente de medidas associadas a gerenciamento das redes de computadores, envolvendo as transações informatizadas do TCEMG, seja no escopo de redes locais, redes de longa distância, ou processamento da informação. Exemplo: Norma para regular o Acesso e utilização da rede de comunicação de dados do TCEMG
Gestão de Ativos: agrupamento de normas cujo foco é garantir a proteção de todos os ativos de TI, sejam eles vinculados a microinformática ou dispositivos móveis, como coletores de dados, smartphones, tablets e afins, ou vinculados a processamento de sistemas / serviços / armazenamento de dados, instalados ou não no DATACENTER do Tribunal, quer
sejam de propriedade do TCEMG, ou estejam sob sua guarda e responsabilidade, ou estejam conectados à infraestrutura de rede do Tribunal. Exemplo: Norma que trata Alteração na configuração e uso de equipamentos, Norma para Registro de logs de acesso a equipamentos servidores
Gestão de Acessos: agrupamento de normas cujo foco está associado a garantir a aplicação eficiente de medidas associadas a gestão do acesso a Internet, a sistemas, sites, portais e sistemas em quaisquer plataformas tecnológicas.. Exemplo : Norma que define a Política de Segurança e Privacidade do Portal Internet do TCEMG e Norma para regulamentar o acesso a aplicações armazenadas em tecnologia do tipo “Cloud” (nuvem)
Segurança Física e do ambiente: agrupamento de normas cujo foco é garantir a integridade física dos ativos que garantam a sustentação dos serviços de Tecnologia da Informação disponibilizados para o TCEMG, assim como prevenção do acesso físico não autorizado.. Exemplo: Norma que especifica Instalações físicas das salas de processamento de dados
Segurança em Recursos Humanos: agrupamento de normas cujo foco é assegurar que servidores, fornecedores, prestadores de serviços e jurisdicionados entendam suas responsabilidades e atuem de acordo com os seus papéis. Exemplo : Norma que apresente a conduta ética e segurança digital para prestadores de serviços do TCEMG;
Gestão de incidentes de Segurança da Informação: agrupamento de normas que assegure um enfoque consistente e efetivo na gestão de incidentes de segurança da informação. Exemplo : Norma técnica que estabelece as regras para criação e notificação de eventos de monitoramento de sistemas, alertas e vulnerabilidades.
Gestão de Continuidade de Negócios: agrupamento de normas que visam minimizar os impactos oriundos de uma interrupção dos serviços críticos de tecnologia da informação. Exemplo: Norma que descreva o Plano de atuação da equipe de Tecnologia em uma situação declarada como Crise
Gestão da Conformidade: conjunto de normas que visam evitar a violação de obrigações legais, estatutárias, regulamentares ou contratuais e de quaisquer outros requisitos importantes de Segurança da informação. Exemplo: Norma que determina a adoção de softwares legalizados.
18 19
8 / O QUE É UM INCIDENTE DE SEGURANÇA DA INFORMAÇÃO E COMO REPORTÁ-LO ?
Um incidente de Segurança da Informação é indicado por um simples, ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham probabilidade de comprometer as operações do Tribunal e ameaçar a Segurança da Informação. Os incidentes de Segurança devem se catalogados e classificados e para que isso ocorra existe um processo para informação e identificação dos mesmos. Para melhor entendimento, citamos alguns exemplos:
1. Indisponibilidade de sistemas: em função de alguma vulnerabilidade existente de um sistema na WEB, o acesso ao sistema fica bloqueado para os usuários, ou então fica com performance tão lenta que sua utilização torna-se inviável;
2. Cópia de dados/informações: por algum motivo, seja por um código malicioso (programa do tipo malware) instalado no computador, dados do usuário, ou de sistemas, são capturados e disponibilizados de forma indevida, sem a devida autorização, e muitas vezes sem o devido conhecimento
3. Sequestro de dados: através da instalação de um código malicioso (malware) no computador, normalmente em função de acesso a páginas internet inseguras, arquivos (dados) armazenados no computador são retirados, ou codificados, de forma que o seu acesso torna-se inacessível, ficando a disponibilidade do mesmo, em alguns casos, vinculada ao pagamento de “resgate”
É extremamente importante registrar os incidentes em Segurança da Informação. Muitos serão detectados pela própria equipe da DTI. Mas cada usuário de TI do Tribunal pode, e deve, registrar eventos que julgam ser do tipo incidente. Cabe a equipe que cuida da Segurança da Informação do TCEMG, junto com as demais equipes da DTI, avaliar estes registros,
investigando, contendo e corrigindo o incidente, identificando inclusive a necessidade de desenvolvimento de planos de ação ou projetos para eliminar as vulnerabilidades no ambiente do Tribunal. Os registros de incidentes de Segurança da Informação podem ser notificados através do Site da Segurança da Informação, na Intranet do TCEMG (https://intranet.tce.mg.gov.br/segurancadainformacao). Dado o tipo de incidente, cabe à equipe que administra a Segurança da Informação, avaliar se devemos notificar o CERT.BR, que é o Grupo que registra, e também traça respostas, para os incidentes de segurança da informação em computadores que envolvem redes conectadas à Internet Brasileira. A notificação ao CERT.BR, além de proporcionar apoio na solução de incidentes críticos, também alimenta estatística sobre o problema no Brasil.
Fonte: CERT.BR (Centro de Estudos, Resposta e tratamento de Incidentes de Segurança no Brasil)
Sumário
20 21
Fonte: CERT.BR (Centro de Estudos, Resposta e tratamento de Incidentes de Segurança no Brasil)
Fonte: CERT.BR (Centro de Estudos, Resposta e tratamento de Incidentes de Segurança no Brasil) - Período 2014
TENTATIVAS DE FRAUDES REPORTADAS
Páginas Falsas (21.24%)
Direitos Autorais (72.79%)
Outras (0.77%)
Cavalos de Tróia (5.20%)
Sumário
22 23
9 / O QUE GANHO COM A SEGURANÇA DA INFORMAÇÃO?É importante destacar que a Segurança da Informação está se tornando um dos fatores críticos para a sobrevivência das empresas em um ambiente competitivo. A adoção de medidas relativas a Segurança da Informação pode aprimorar as atividades do Tribunal, reduzindo custos e melhor administrando os riscos das atividades em que está envolvido; fortalecendo a sua imagem e criando valor para si, para os servidores, para seus terceirizados, jurisdicionados e para o cidadão. Por outro lado, a ausência de processos e controles de segurança pode acarretar diversos impactos que poderão levar, por exemplo, à perda de credibilidade, e elevação de despesas.
Por isso, todos ganham! Servidores, fornecedores, prestadores de serviço, jurisdicionados e também o Tribunal, já que passamos a ter maior credibilidade, pois, além de um ambiente seguro para desenvolver as tarefas diárias, ganhamos conhecimento das melhores práticas em gestão de segurança da informação.
Sumário
24 25
10 / QUE RISCOS CORREMOS SEM A SEGURANÇA DA INFORMAÇÃO?Sem dúvida, o risco é grande, a começar pela estrutura tecnológica do Tribunal, que é dever de todos preservar. Outro fator determinante está associado a sanções previstas em Leis e Estatutos, em função do cumprimento das determinações previstas que possuem relação com o tema. Podemos citar :
Estatuto da Criança e Adolescente Lei 8.069 (armazenamento de material pedófilo na rede de computadores) e Lei 11.829, Combate a Pornografia Infantil;
Lei 9.610 (Direitos Autorais)
Código Penal (Art. 154-A: “Invadir dispositivo informático alheio, conectado ou não à rede de computadores.....”)
Lei 12.965 (Marco Civil da Internet)
Além disso, o Tribunal realiza inúmeras auditorias externas, e é importante o conhecimento dos critérios de segurança para todos os procedimentos adotados na atividade fim do TCEMG.
São inúmeros pontos que nos levam a estruturar e seguir a Política de Segurança da Informação. Alguns foram citados, mas é preciso conhecer todas as normas que fazem parte da política, acessando o Site da Segurança da Informação, através da Intranet:
https://intranet.tce.mg.gov.br/segurancadainformacao
Sumário
26 27
11 / PLANO DE SEGURANÇA DA INFORMAÇÃO DO TCEMGConjunto de Projetos e ações, visando garantir os princípios básicos da segurança da informação (confidencialidade, integridade e disponibilidade), envolvendo o tratamento de Processos, Pessoas, Ambiente e Tecnologia
O Plano de Segurança da Informação será implementado através de:
Política de Segurança da Informação;
Plano de Comunicação efetivo;
Plano de Gestão em situação de crise;
Plano de Continuidade de Negócios e gestão da continuidade de negócio;
Plano de Auditoria
Para melhor entendimento, o Plano de Comunicação abordará as estratégias, e ações de comunicação, para divulgação e cor-reto entendimento dos projetos, e trabalhos a serem executados, e na criação da Cultura da Segurança da Informação na casa.
O Plano de gestão em situação de crise focará o mapeamento, documentação, nomeação de papéis e responsabilidades, em caso de ações de correção a incidentes, visando reestabelecer, o mais rápido possível, o funcionamento dos processos de negócio sustentados pelos serviços de Tecnologia da Informação e Comunicação (TIC), considerados como críticos.
O Plano de Continuidade de Negócios (ou PCN) estabelecerá um plano de trabalho que garanta a continuidade dos trabalhos do Tribunal, nas situações que venham ocorrer uma interrupção total ou parcial dos ativos de TIC, podendo acionar o processamento dos seus sistemas, em outro local. Já o Plano de Gestão da Continuidade de Negócios (ou GCN) tem um papel
complementar ao PCN, e tem como finalidade principal garantir com que os trabalhos, processos e procedimentos definidos no PCN estejam atualizados, refletindo continuamente a realidade das atividades desenvolvidas pelo Tribunal.
Por fim o Plano de Auditoria visa criar um processo de auditoria interna em Segurança da Informação, para garantir o cumprimento da Política definida, identificar problemas com o não cumprimento das normas definidas, mapeando os riscos, impactos e vulnerabilidades associadas e, consequentemente, melhorar o processo da governança da Segurança da Informação.
ATENÇÃO ! Algumas dicas.À partir deste ponto esta Cartilha abordará alguns conceitos, para que os usuários de serviços de TI possam entender claramente como estão envolvidos com a Segurança da Informação, trazendo a mesma para situações do nosso dia-a-dia.
Esteja atento ! Estatuto da Criança e do Adolescente ( ECA ) : Art. 241-A - Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente. Pena: reclusão, de 3 (três) a 6 (seis) anos, e multa.
Sumário
28 29
A Internet não é uma terra sem lei.A internet proporciona uma falsa sensação de segurança e de anonimato em seus usuários. Contudo, precisamos utilizá-la com os mesmos valores e princípios éticos que aplicamos em nossas atitudes realizadas no mundo presencial. Dessa forma, com relação aos conteúdos acessados a partir dos recursos fornecidos pelo Tribunal, recomendamos que os servidores, prestadores de serviços e jurisdicionados evitem armazenar, utilizar, compartilhar ou transmitir qualquer informação ou conteúdo que sejam Impróprios ou que atentem contra a legislação vigente, à moral, ao Código de Ética, ao Regulamento Interno, ou as políticas, normas e procedimentos da empresa. Pense antes de agir na Sociedade Digital, pois tudo deixa rastro.
Uma atenção especial precisa ser tratada com o acesso a páginas internet com conteúdo de cunho racista, obsceno e pornográfico, principalmente a imagens associadas a adolescentes e crianças.
Liberdade com responsabilidadeAs mídias sociais, a exemplo do Facebook, LinkedIn, Instagram, Pinterest e Twitter, facilitam a comunicação, o compartilhamento e a troca de informações entre pessoas. Mas, tudo que está publicado nestes ambientes se perpetua no tempo e pode ser visto fora do contexto em que foi escrito de forma globalizada e ilimitada. Em virtude disso, recomendamos que as mídias sociais sejam utilizadas de maneira ética, segura e legal, independentemente, quando autorizado, se para fins do Tribunal, ou particulares (que deve ser tratado fora do ambiente do Tribunal). Liberdade de expressão exige responsabilidade e impõe limites. Escolha bem os termos, palavras, frases, textos e imagens, antes de publicá-las. É importante lembrar que não é permitido publicar qualquer informação ou conteúdo em nome do Tribunal. Essa tarefa só é permitida por servidores previamente autorizados e treinados para tanto.
Esteja atento ! Cuidado com o envio e/ou compartilhamento de recursos protegidos pela Lei de Propriedade Intelectual. A grande maioria dos programas de computador são amparados por esta lei.
Sumário
30 31
Utilize corretamente o email do TCEMGO correio eletrônico (email) do Tribunal possibilita o envio e o recebimento de mensagens e conteúdos em nome ou representando o TCEMG, e de maneira rápida. Contudo, não podemos esquecer os cuidados que devemos ter quando utilizamos essa facilidade tecnológica. Faça uso do email do Tribunal somente para transmitir e receber informações e conteúdos profissionais ou efetuar comunicações em seu nome. Por isso, não retransmita mensagens do tipo corrente pirâmide ou conteúdo de natureza político-partidária, brincadeiras, piadas, jogos, publicidades, propagandas, atividades comerciais, pornografia (sobretudo infantil), conteúdo pirata ou qualquer tipo de material não compatível com suas atividades, cargo, função ou infrinjam os princípios éticos e legais.
Códigos maliciosos (malware)Códigos maliciosos (malware) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são:
pela exploração de vulnerabilidades existentes nos programas instalados;
pela auto-execução de mídias removíveis infectadas, como pen-drives;
pelo acesso a páginas Web maliciosas;
pela ação direta de atacantes que, após invadirem o computador, incluem arquivos contendo códigos maliciosos;
pela execução de arquivos previamente infectados, obtidos em anexos de mensagens eletrônicas, via mídias removíveis, em páginas Web ou diretamente de outros computadores (através do compartilhamento de recursos).
Uma vez instalados, os códigos maliciosos passam a ter acesso aos dados armazenados no computador e podem executar ações em nome dos usuários, de acordo com as permissões de cada usuário.
Alguns tipos de malwares existentes e suas definições:
Vírus - programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos.
Spyware – programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros
Cavalo de tróia (trojan) - programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário.
Bot e botnet – programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente
Backdoor - programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim.
Sumário
32 33
O que fazer ?Para manter o seu computador livre da ação dos códigos maliciosos existe um conjunto de medidas preventivas que você precisa adotar. Essas medidas incluem manter os programas instalados com as versões mais recentes e com todas as atualizações disponíveis aplicadas, não instalar programas de origem duvidosa e usar programas de segurança de abordagem ampla (antimalware que combate vírus, trojans, spywares, etc).Cada tipo de malware possui características próprias que o define e diferencia dos demais. A tabela seguinte visa entender melhor como os vários tipos de malwares são obtidos, instalados, propagados e os impactos gerados, permitindo desta forma ações preventivas de cada usuário.
Engenharia socialO termo é utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.A engenharia social visa explorar as pessoas no intuito de ocasionar a perda, a indisponibilidade ou a violação da informação.
Exemplos(Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O último exemplo apresenta um ataque realizado por telefone.)
A: você recebe uma mensagem e-mail, onde o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco. Na mensagem, ele diz que o serviço de Internet Banking está apresentando algum problema, e que tal problema, pode ser corrigido se você executar o aplicativo que está anexado à mensagem. A execução deste aplicativo apresenta uma
CÓDIGOS MALICIOSOS
VÍRU
S
WOR
M
BOT
TROJ
AN
SPYW
ARE
BACK
DOOR
ROOT
KIT
COMO É OBTIDO:Recebido Automaticamente pela redeRecebido por e-mailBaixado de sites na InternetCompartilhamento de arquivosUso de mídias removíveis infectadasRedes sociaisMensagens instantâneasinserido por um invasorAção de outro código maliciosoCOMO OCORRE A INSTALAÇÃO:Execução de um arquivo infectadoExecução explícita do código malicioso Via execução de outro código maliciosoExploração de vulnerabilidadesCOMO SE PROPAGA:Insere cópia de si própio em arquivosEnvia cópia de si própio automaticamente pela redeEnvia cópia de si própio automaticamente por e-mailNão se propagaAÇÕES MALICIOSAS MAIS COMUNS:Altera e/ou remove arquivosConsome grande quantidade de recursosFurta informações sensíveis Instala outros códigos maliciosos Possibilita o retorno o invasorEnvia spam e phishingDesfere ataques na InternetProcura se manter escondido
Sumário
34 35
tela análoga àquela que você utiliza para ter acesso à conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para furtar sua senha de acesso à conta bancária e enviá-la para o atacante.
B: você recebe uma mensagem de e-mail, dizendo que seu computador está infectado por um vírus. A mensagem sugere que você instale uma ferramenta disponível em um site da Internet, para eliminar o vírus de seu computador. A real função desta ferramenta não é eliminar um vírus, mas sim, permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados.
C: algum desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor. Nesta ligação, ele diz que sua cone-xão com a Internet está apresentando algum problema e, então, pede sua senha para corrigi-lo. Caso você entregue sua se-nha, este suposto técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a Internet e, portanto, relacionando tais atividades ao seu nome.
Estes casos mostram ataques típicos de engenharia social, pois, os discursos apresentados nos exemplos procuram induzir o usuário a realizar alguma tarefa, e o sucesso do ataque depende única, e exclusivamente, da decisão do usuário em fornecer informações sensíveis ou executar programas.
Abaixo apresentamos algumas dicas para evitarmos ser vítimas da Engenharia Social:
Não dê informação sobre a empresa ou sua vida pessoal a pessoas desconhecidas e/ou não autorizadas;
Evite discutir trabalho fora do tribunal, sempre terá alguém interessado na sua conversa;
Cuidado ao usar o Notebook em locais públicos (Aeroportos, Rodoviárias, Restaurantes etc.), as informações da empresa podem ser vistas por alguém;
Não responda e-mail ou atenda ligações telefônicas onde informações sobre o tribunal são pedidas por pessoas desconhecidas. Uma informação que pode parecer simples poderá acarretar perda para a instituição;
Não deixe papéis sobre sua mesa, informações confidenciais podem estar à vista.
Golpes na InternetNormalmente, não é uma tarefa simples atacar e fraudar dados em um servidor de uma instituição bancária ou comercial e, por este motivo, golpistas vêm concentrando esforços na exploracão de fragilidades dos usuários. Utilizando técnicas de engenharia social e por diferentes meios e discursos, os golpistas procuram enganar e persuadir as potenciais vítimas a fornecerem informações sensíveis ou a realizarem ações, como executar códigos maliciosos e acessar páginas falsas.
De posse dos dados das vítimas, os golpistas costumam efetuar transações financeiras, acessar sites, enviar mensagens eletrônicas, abrir empresas fantasmas e criar contas bancárias ilegítimas, entre outras atividades maliciosas.
SenhasUma senha (password) na Internet, acesso à rede ou em qualquer sistema computacional, serve para autenticar o usuário, ou seja, é utilizada no processo de verificação da identidade do usuário, assegurando que este é realmente quem diz ser.
Portanto, a senha merece consideração especial, afinal, ela é de sua inteira responsabilidade.
Esteja atento ! Muitos dos golpes aplicados na Internet podem ser considerados crimes contra o patrimônio, tipificados como estelionato. Dessa forma, o golpista pode ser considerado um estelionatário. Tenha cuidado para não facilitar estes golpes.
Sumário
36 37
O que é uma boa senha ?Uma boa senha deve ter pelo menos oito caracteres (letras, números e símbolos), deve ser simples de digitar e, o mais importante, deve ser fácil de lembrar.
Normalmente, os sistemas diferenciam letras maiúsculas das minúsculas, o que já ajuda na composição da senha. Por exemplo, “pAraleLepiPedo” e “paRalElePipEdo” são senhas diferentes. Entretanto, são senhas fáceis de descobrir utilizando softwares para quebra de senhas, pois, não possuem números e símbolos, além de conter muitas repetições de letras.
Como elaborar uma boa senha ?Nomes, sobrenomes, números de documentos, placas de carros, números de telefones e datas deverão estar fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa mal intencionada, possivelmente, utilizaria este tipo de informação para tentar se autenticar como você.
Existem várias regras de criação de senhas, sendo que uma regra muito importante é jamais utilizar palavras que façam parte de dicionários. Existem softwares que tentam descobrir senhas combinando e testando palavras em
diversos idiomas e geralmente possuem listas de palavras (dicionários) e listas de nomes (nomes próprios, músicas, filmes, etc.).
Quanto mais “bagunçada” for à senha melhor, pois, mais difícil será descobri-la. Assim, tente misturar letras maiúsculas, minúsculas, números e sinais de pontuação. Uma regra realmente prática e que gera boas senhas difíceis de serem descobertas é utilizar uma frase qualquer e pegar a primeira, segunda ou a última letra de cada palavra.
Por exemplo, usando a frase “estou conhecendo a segurança da informação do tribunal” podemos gerar a senha “!Ecsit” (o sinal de exclamação foi colocado no início para acrescentar um símbolo à senha). Senhas geradas desta maneira são fáceis de lembrar e são, normalmente, difíceis de serem descobertas.
Troque sua senha com frequência. Malwares podem estar instalados no seu computador e tentarem capturar sua senha, aguardando qualquer momento para utilizá-las. A troca rotineira de senha dificulta muito a ação do malware.
Tenha senhas seguras e memorizadas, não passe sua senha para NINGUÉM. A responsabilidade é toda sua.
É MELHOR TER UMA SENHA FÁCIL E MEMORIZADA, A TER UMA SENHA DIFÍCIL E ANOTADA !
Esteja atento ! Escolha senhas que são fáceis de ser lembradas apenas por
você. Fuja de datas comemorativas, nomes de parentes ou placa de carro;
Evite deixar seu computador ligado e aberto quando você estiver longe da estação. Pratique bloqueio do equipamento;
Cuidado com comunidades online. Sem querer, você pode se envolver com algum conteúdo que possa gerar problemas legais, tanto no âmbito civil, como no criminal;
Não passe informações de CPF, cartão de crédito e dados de conta bancária por e-mail sem um nível mínimo de segurança da informação;
Evite abrir e-mail de estranhos;
Cuidado com suas senhas, não as empreste para ninguém, nem coloque anotada em papéis ou post-its;
Evite clicar em links diretos na mensagem. Sempre verifique se o endereço do site realmente está correto. Na dúvida, se suspeitar que seja um Spam ou fraude eletrônica, sempre verifique a informação do e-mail acionando a equipe da segurança da informação.
Sumário
38 39
Porque devo me preocupar com a segurança do meu computador ?É importante que você se preocupe com a segurança de seu computador pois, você, provavelmente, não gostaria que:
Suas senhas de acesso ao sistema e números de cartões de crédito fossem furtados e utilizados por terceiros;
Sua conta de acesso à Internet fosse utilizada por alguém não autorizado;
Os dados armazenados fossem alterados, destruídos ou visualizados por terceiros;
Seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema ter sido apagado, etc.
Esteja atento ! Os sistemas de segurança do Tribunal identificam quase 2500 tentativas, por semana, de acesso externo indevido !
Boa parte do email que recebemos é classificado como SPAM ! Não use o email do Tribunal em cadastros de lojas e comércio em geral. Isso reduz a proliferação de SPAM. Use seu email pessoal nestas situações !
Altere constantemente suas senhas. Isso reduz a probabilidade de acesso indevido.
Porque alguém iria querer invadir meu computador?Computadores são utilizados para realizar inúmeras tarefas, tais como: transações financeiras, sejam elas bancárias ou mesmo compra de produtos e serviços; comunicação, por exemplo, através de e-mails; armazenamento de dados, etc
Os motivos pelos quais alguém tentaria invadir seu computador são inúmeros. Alguns destes motivos podem ser:
Utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor;
Utilizar seu computador para lançar ataques contra outros computadores;
Utilizar seu disco rígido como repositório de dados;
Destruir informações;
Disseminar mensagens alarmantes e falsas;
Ler e enviar e-mails em seu nome;
Propagar vírus de computador;
Furtar números de cartões de crédito e senhas bancárias.
Na dúvida não ultrapasse
12 / MENSAGEM FINALMantenha-se informado: novas formas de golpes podem surgir, portanto ́ e muito importante que você se mantenha informado. Use o Site da Segurança da Informação do TCEMG. Em caso de dúvidas, encaminhe email para [email protected] ou ligue para os ramais da equipe que cuida da nossa Segurança da Informação. Estaremos sempre dispostos a esclarecer quaisquer dúvidas. Lembre-se:
Sumário
Tribunal de Contas do Estado de Minas GeraisAv. Raja Gabaglia, 1.315 - Luxemburgo | 30380-435 | Belo Horizonte-MG
www.tce.mg.gov.brwww.tce.mg.gov.br/falecomotce
Telefone: (31) 3348-2111