PEDRO TAVARES SILVA

HUGO CARVALHO

CATARINA BOTELHO TORRES

SEGURANÇA

DOS

SISTEMAS DE INFORMAÇÃO

Gestão Estratégica da Segurança Empresarial

Portugal/2003

Reservados todos os direitos por Centro Atlântico, Lda. Qualquer reprodução, incluindo fotocópia, só pode ser feita com autorização expressa dos editores da obra.

Segurança dos Sistemas de Informação - Gestão Estratégica da Segurança Empresarial Colecção: Sociedade da Informação Autores: Pedro Tavares Silva, Hugo Carvalho e Catarina Botelho Torres Direcção gráfica: Centro Atlântico Revisão final: Centro Atlântico Capa: Paulo Buchinho © Centro Atlântico, Lda., 2003 Av. Dr. Carlos Bacelar, 968 - Escr. 1 - A 4764-901 V. N. Famalicão © Rua da Misericórdia, 76 - 1200-273 Lisboa Portugal Tel. 808 20 22 21 geral@centroatlantico.pt www.centroatlantico.pt Design e Paginação: Centro Atlântico Impressão e acabamento: Rolo & Filhos 1ª edição: Abril de 2003 ISBN: 972-8426-66-6 Depósito legal: 193.992/03 Marcas registadas: todos os termos mencionados neste livro conhecidos como sendo marcas registadas de produtos e serviços, foram apropriadamente capitalizados. A utilização de um termo neste livro não deve ser encarada como afectando a validade de alguma marca registada de produto ou serviço. O Editor e os Autores não se responsabilizam por possíveis danos morais ou físicos causados pelas instruções contidas no livro nem por endereços Internet que não correspondam às Home-Pages pretendidas.

Agradecimentos

Este e qualquer outro trabalho meu será sempre dedicado à Paula, ao Kukas e ao Kikas, pela extraordinária generosidade dela, que criou todo o tempo empregue neste projecto, e pela permanente e infinita compreensão, afecto e apoio de todos eles.

Pedro

À Filipa e ao Gugas, por tudo, ao Pedro pela energia e incentivo, e ao Fernando Almeida pela inspiração.

Hugo

Ao Nuno, à minha Mãe, à amiga Odete e em especial ao Diogo o meu pequenote, por todo o apoio e carinho que me permitiram participar neste projecto tão aliciante.

Catarina

Ao Rui São Pedro, Lisete Figueiredo, Manuel Lopes Rocha, Carlos Tomaz, Sandra Raimundo e Frederico Martins, muito obrigado por toda a disponibilidade e empenho demonstrados.

Os Autores

ÍNDICE

Agradecimentos 5 Introdução 13

Capítulo I - Teoria da Segurança 17 Princípios de Prevenção e Protecção 17

Relação Custo/Benefício 19 Concentração 19 Protecção em Profundidade 19 Consistência 20 Redundância 20

Modelos de Segurança 21 Fortaleza da Informação 21 Sobrevivência da Informação 23 Modelo de Maturidade 25

Os Actores da Segurança 26 Administração da Empresa 26 Utilizadores 27 Informáticos 29 Clientes 31 Parceiros 32 Pessoal Temporário 33

Conclusão 33

Capítulo II - Gestão do Risco 34 Identificação dos Riscos 34

Ameaças 36 Vulnerabilidades 38 Bens 39

8 SEGURANÇA DOS SISTEMAS DE INFORMAÇÃO – CENTRO ATLÂNTICO

Análises de Risco e de Impacto 40 Análise de Risco Quantitativa 40 Análise de Risco Qualitativa 42 Análise de Impacto no Negócio 45

Estratégia de Controlo 49 Arquitectura 49 Abordagens ao Controlo de Riscos 51 Maturidade 52 Análise Custo/Benefício 53

Conclusão 55

Capítulo III - Áreas da Segurança Empresarial 57 Segurança da Informação 57

Política, Normas e Procedimentos 57 Propriedade da Informação 58 Classificação da Informação 58 Confidencialidade 60 Integridade 60 Disponibilidade 61 Política de Dados 62

Segurança Física 64 Áreas 65 Localização dos Centros de Dados 66 Controlo de Acessos 67 Eliminação de Resíduos 68 Rasto 69

Segurança do Pessoal 70 Recrutamento 71 Documentação 73 Boas Práticas 74 Formação 75 Sensibilização 76 Segregação de Responsabilidades 79

Segurança Lógica 79

ÍNDICE 9

Autenticação e Controlo de Acesso 80 Criptografia 85 IPv6 88 Infra-Estrutura de Chaves Públicas 89 Kerberos 93 VPN 94 Antivírus 97 Filtragem de Conteúdos 100 Redundância 101 Armazenamento 102 Salvaguarda da Informação 105 Detecção de Intrusões 111 Resposta a Ataques 114 Segurança no Desenvolvimento 120

Conformidade 124 Testes e Auditorias 124

Auditoria Completa aos Sistemas 126 Testes de Intrusão 127 Detecção de Vulnerabilidades 128 Detecção de Pontos de Acesso Telefónico 128 Detecção de Pontos de Acesso WLAN 129 Engenharia Social 129

Conclusão 130

Capítulo IV - Segurança Face ao Desastre 133 Anatomia de um Desastre 133

Tipos de Desastre 134 Cronologia 134

Planeamento da Recuperação ou Continuidade do Negócio 136 Arranque do Projecto 137

Objectivos, Âmbito, Pressupostos e Terminologia 137 Modelo de Gestão do Projecto 140

Redução de riscos e avaliação do impacto 142

10 SEGURANÇA DOS SISTEMAS DE INFORMAÇÃO – CENTRO ATLÂNTICO

Análise de Risco 143 Controlo de Riscos 144 Análise de Impacto no Negócio 144

Desenvolvimento do Plano 145 Estratégias de Protecção 146 Plano de Contingência 151 Plano de Recuperação 154 Plano de Regresso à Normalidade 155 Plano de Gestão de Crise 156

Implementação do Plano 159 Aquisição de Meios 159 Plano de Testes 160 Sensibilização e Formação 162

Manutenção e Actualização 163 Plano de Exercícios e Sensibilização 163 Plano de Actualização 163

Conclusão 164

Capítulo V - Padrões e Legislação 165 Legislação nacional 165

Segurança Nacional 166 Criminalidade Informática 167 Protecção de Dados Pessoais 169 Comércio Electrónico 170 Assinaturas Digitais 171 Licenciamento de Software 173

Comissão Nacional de Protecção de Dados 174 O Standard ISO/IEC 17799 176

Certificação 177 Conclusão 178

ÍNDICE 11

Capítulo VI - Criação do Plano de Segurança 179 Os Documentos da Segurança 180

Plano Global de Segurança 180 Política de Segurança 180 Normas de Segurança 181 Procedimentos 182

Componentes do Plano Global de Segurança 182 Objectivos 183 Análise de risco 184 Estratégia 184 Plano de Acção 185

Como Vender Segurança à Administração 185 Os Papéis da Administração e do Responsável pela Segurança 186 Linguagem e Enquadramento 186 Obrigações Legais 189 Cenários Alternativos 190

Equipa de segurança 191 Dimensão 192 Responsabilidades 193 Enquadramento 194 Perfil 195 Orçamento 196

Acordos de Nível de Serviço 197 Classificação da Informação 197 Serviços de Segurança 199 Critérios de Disponibilização 201

Conclusão 202

Capítulo VII - Gestão do Programa de Segurança 205 Controlo de Gestão 205

Metodologias de Controlo de Gestão 206 Orçamento Simples 207

12 SEGURANÇA DOS SISTEMAS DE INFORMAÇÃO – CENTRO ATLÂNTICO

Orçamento Flexível 208 Balanced Scorecard 211 Avaliação de Desempenho 212 Fases da Gestão de Programas 213 Recolha de Informação 214

Planeamento 219 Calendário/Actividades 219 Afectação de Recursos 221 Matriz de Responsabilidades 222 Análise de Custos/Necessidade de Fundo de Maneio 224 Preços de Transferência 227 Qualidade 228

Implementação 230 Gestão da Equipa 230 Gestão da Mudança 231 Como Envolver o Negócio na Segurança 233 Timing para Adopção de Tecnologias 236

Controlo/Avaliação 238 Conclusão 246 Terminologia 249 Bibliografia 255

Introdução

O livro que tem em mãos introduz uma visão estratégica que lhe irá permitir encarar de forma integrada a segurança dos sistemas de informação da sua Empresa, considerando tanto o seu ponto de vista pessoal (quer seja técnico, de gestão ou outro) como as necessidades do negócio e a especificidade de todas as áreas téc-nicas inevitavelmente envolvidas.

Com esta obra espera-se transmitir a mensagem de que a segu-rança, mais do que um simples produto ou tecnologia que se pode adquirir, aplicar e esquecer, mais do que um comprimido (tecnoló-gico ou monetário) supressor de sintomas, é um processo contínuo e abrangente, com implicações em todas as áreas empresariais, desde a Administração aos colaboradores que executam as opera-ções quotidianas mais elementares. É um processo em permanente evolução, mutação e transformação, que requer um esforço cons-tante para o seu sucesso e uma forte capacidade para provocar e gerir mudanças, tanto nos hábitos instituídos como na infra-estru-tura de suporte da organização.

Como matéria transversal que é, a segurança deve envolver todos os níveis da Empresa e ser encarada como um facilitador dos pro-cessos e como forma de aumentar os níveis de confiança internos e externos. É este o grande argumento sobre o qual qualquer organi-zação poderá capitalizar o seu investimento nesta área. Ao imple-mentar este programa, estará a transmitir uma imagem de preocu-pação nesta matéria, cada vez mais importante e com maior visibili-dade, conseguindo simultaneamente gerir o risco a que se encontra sujeita. O programa de segurança serve, deste modo, vários objec-tivos: a criação de uma base de protecção e confiança sobre a qual é desenvolvida uma actividade; um sinal claro e inequívoco de que a organização tem preocupações fundamentais com a integridade e preservação dos seus activos (quer sejam processos, produtos,

14 SEGURANÇA DOS SISTEMAS DE INFORMAÇÃO – CENTRO ATLÂNTICO

informação ou outros); a afirmação pública de dedicação de um cuidado particular aos interesses de parceiros, clientes ou fornece-dores. São estes os resultados visíveis de quaisquer esforços neste campo.

É igualmente nestes factores que reside a força do argumento da segurança como opção estratégica e não apenas técnica ou tecno-lógica, com impacto positivo e inegável sobre a Empresa. Este livro pretende introduzir esta disciplina como um acto de gestão a curto, médio e longo prazo, no qual tem origem a alteração de processos e meios, de forma apontada às necessidades do negócio. Deste modo, o que se pretende é que o leitor olhe para além da sua área de conhecimento e reconheça a necessidade de trabalhar conti-nuamente a segurança, onde quer que ela seja precisa, de uma forma uniforme. Também aqui se pretende que o leitor olhe para além das medidas de segurança que tem ao seu dispor, encarando-as como ferramentas para atingir um objectivo: importa, então, con-siderar o resultado e não apenas as medidas. A tecnologia serve para um objectivo, não sendo nunca um fim em si mesma.

A criação de um programa de segurança é, então, um criterioso alinhamento de prioridades, um cuidadoso equilibrar dos mais variados factores, um exercício de abrangência e um processo negocial que, garantidamente, requer tempo, perserverança, bas-tante paciência e capacidade para atingir compromissos e gerir o nível de segurança percebido pelos nossos diversos clientes, dos internos aos externos.

Pretende-se aqui apresentar um manual de referência para todos aqueles que, independentemente do seu grau de conhecimento técnico, têm de lidar com a segurança empresarial. Este é um livro escrito para todos os profissionais das áreas das tecnologias e sis-temas de informação, responsáveis de segurança, directores, gesto-res ou chefes de departamentos técnicos ou de outras áreas do negócio, de programas ou projectos com componentes TI, bem como para consultores de segurança, responsáveis por informação crítica e para todos os que se encontrem de alguma forma envolvi-

INTRODUÇÃO 15

dos na definição, implementação e gestão de medidas de segu-rança empresarial. Nas próximas páginas irá encontrar um "canivete suíço", contendo as ferramentas necessárias para a gestão estraté-gica da segurança, um manual de instruções para a resolução do vasto puzzle que é a segurança empresarial.

Este livro inicia-se com uma base teórica, abordando de seguida um conjunto de questões mais práticas, que estarão inevitavelmente presentes em qualquer agenda empresarial. Assim, na primeira parte deste livro são introduzidos e desenvolvidos temas como a teoria da segurança, gestão do risco ou áreas da segurança, que constituem a base sobre a qual é construído um Programa de Segu-rança Empresarial. Na segunda parte, a abordagem é mais prag-mática, apresentando-se propostas para a criação, implementação e gestão das várias facetas da segurança, chamando a atenção para alguns obstáculos existentes ao longo do caminho e, sempre que possível, fornecendo indicações para os superar.

A tarefa de criação, implementação e gestão de um programa de segurança não é seguramente fácil. À primeira vista poderão existir enormes dificuldades, oposições internas ou problemas extrema-mente complexos cuja eliminação aparente ser praticamente impos-sível. Mas é neste elaborado processo de construção de um novo edifício, chamado “segurança”, que se encontra o grande desafio e o gozo de o superar.

Esperamos sinceramente que este livro o ajude levar a segurança à sua empresa.

Os Autores

Capítulo I - Teoria da Segurança

A segurança dos sistemas de informação (SI) engloba um número elevado de disciplinas que poderão estar sob a alçada de um ou vá-rios indivíduos. Entre estas disciplinas encontram-se as seguintes:

segurança de redes;

segurança física;

segurança de computadores;

segurança do pessoal;

segurança aplicacional;

criptografia;

gestão de projectos;

formação;

conformidade.

Neste primeiro capítulo iremos abordar alguns conceitos, princípios e modelos elementares da segurança dos SI, por forma a identificar uma base teórica de referência comum às diversas disciplinas, que permita a definição de um programa de prevenção e protecção equilibrado.

Princípios de Prevenção e Protecção

A preservação da confidencialidade, integridade e disponibilidade da informação utilizada nos sistemas de informação requer medidas de segurança, que por vezes são também utilizadas como forma de garantir a autenticidade e o não repúdio.

18 SEGURANÇA DOS SISTEMAS DE INFORMAÇÃO – CENTRO ATLÂNTICO

Todas estas medidas, independentemente do seu objectivo, neces-sitam ser implementadas antes da concretização do risco, ou seja, antes do incidente ocorrer. As medidas de segurança podem ser classificadas, em função da maneira como abordam as ameaças, em duas grandes categorias: prevenção e protecção.

A prevenção é o conjunto das medidas que visam reduzir a probabi-lidade de concretização das ameaças existentes. O efeito destas medidas extingue-se quando uma ameaça se transforma num inci-dente.

A protecção, por seu lado, é o conjunto das medidas que visam dotar os sistemas de informação com capacidade de inspecção, detecção, reacção e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. Naturalmente, estas medidas só actuam quando ocorre um incidente.

Exemplo: a vasta maioria das empresas implementa algumas actividades de prevenção contra incêndio, tais como a proibição de fumar em locais de risco (por exemplo, locais onde são armazenadas matérias inflamáveis) e actividades de protecção, tais como a disponibilização de extintores, para o caso de se iniciar um incêndio.

Um Programa de Segurança bem estruturado deverá reduzir as vulnerabilidades dos sistemas de informação e fazer evoluir as suas capacidades de inspecção, detecção, reacção e reflexo, assentando num conjunto universal de princípios que garanta o seu equilíbrio e eficiência.

Os princípios da segurança são, então, os seguintes:

relação custo/benefício;

concentração;

protecção em profundidade;

consistência do plano;

redundância.

TEORIA DA SEGURANÇA 19

Procuraremos em seguida descrever estes princípios.

Relação Custo/Benefício

A relação custo/benefício traduz a necessidade de garantir uma relação favorável entre os gastos associados à implementação de medidas de segurança e o retorno em matéria de prevenção e pro-tecção.

Embora assente no senso comum, este princípio é frequentemente esquecido, sendo normalmente considerados apenas os custos ou os benefícios isoladamente. Mais adiante, no capítulo “Gestão do Risco”, serão abordadas as fórmulas que permitem realizar o cál-culo do benefício.

Concentração

Este princípio defende a concentração dos bens a proteger em fun-ção da sua sensibilidade.

Tem como objectivo melhorar a eficiência da gestão das medidas de protecção, reduzindo as duplicações necessárias quando se tem de proteger diferentes repositórios de informação sensível com requisitos de protecção idênticos.

A observância deste princípio implica a classificação da informação quanto à sua sensibilidade, tópico esse que será detalhado em “Segurança da Informação”, no capítulo “Áreas da Segurança Empresarial”.

Protecção em Profundidade

A protecção em profundidade requer que os bens, e respectivas medidas de protecção, sejam dispostos de forma (física ou lógica) concêntrica, com os bens mais sensíveis no centro e os menos sensíveis no perímetro. Deste modo, a protecção é concebida sob a

20 SEGURANÇA DOS SISTEMAS DE INFORMAÇÃO – CENTRO ATLÂNTICO

forma de anéis concêntricos, que constituem barreiras sucessivas, gradualmente mais difíceis de transpor, à medida que o grau de sensibilidade da informação aumenta.

A aplicação deste princípio evita a existência de um conjunto de medidas de protecção distintas e avulsas, transformando-as numa sequência de obstáculos somados, adaptados aos fins a que se destinam. Na segurança física, por exemplo, as áreas contendo informação sensível não deverão, consequentemente, estar fisica-mente expostas pela presença de portas e janelas com abertura directa para a rua.

Consistência

O princípio da consistência afirma que as medidas de protecção dos bens com grau de sensibilidade equivalente deverão ser, também, equivalentes, ou seja, a protecção deverá ser homogénea face à sensibilidade dos bens protegidos.

A sua aplicação implica um grau de protecção idêntico em todos os acessos, independentemente da sua natureza (o acesso físico ou o acesso lógico) ou grau de utilização, o que significa, por exemplo, que deverá ser evitada a situação clássica do porteiro e câmaras na porta da frente e apenas uma fechadura, destrancada, na porta das traseiras.

Redundância

O princípio da redundância dita a necessidade de empregar mais de uma forma de protecção para o mesmo fim, de modo a impedir que a protecção de um bem seja comprometida por uma única falha (ponto único de falha).

Exemplos típicos da sua aplicação são a utilização de clusters, de firewalls redundantes, ou a utilização de medidas de controlo de acesso físico distintas, tais como a presença de um porteiro junto a uma porta com fechadura.

TEORIA DA SEGURANÇA 21

São estes os princípios que o responsável pela segurança deverá dominar e articular na definição e implementação do Programa de Segurança. Quanto mais íntimo for o seu conhecimento das carac-terísticas, implicações e interacção entre eles, maior será a eficácia e melhores os resultados dos esforços desenvolvidos.

Modelos de Segurança

A segurança dos sistemas de informação é uma disciplina que nas-ceu com os técnicos que criaram esses sistemas e que, com a crescente utilização dos computadores e redes por todas as áreas empresariais, transitou para as mãos de gestores, ocupados com a implementação e gestão de um conjunto de medidas que se estende da esfera humana ao domínio tecnológico.

Ao longo dos anos, assistiu-se ao desenvolvimento e afirmação de um modelo de segurança, que hoje é omnipresente no tecido empresarial, designado “Fortaleza da Informação”. Esse modelo tem vindo, contudo, a revelar algumas fraquezas, devido à rápida evolução da tecnologia, pelo que se encontra já disponível uma alternativa para a sua sucessão.

Fortaleza da Informação

O modelo de protecção tradicional, que tem como ícone máximo a firewall, é frequentemente designado “Fortaleza de Informação”, numa analogia de carácter militar. Este modelo, baseado num monitor de referência, central, que aplica uma política de segurança, assenta em três princípios:

política;

integridade do monitor;

secretismo.