Falhas de Segurança – Como encontrar?

Falha de segurança em loja do shopping

Recentemente estava passeando pelo Shopping aqui da cidade e entrei numa grande loja de eletromésticos com o intuito de descobrir possíveis falhas de segurança. No andar de baixo, constatei que existem vários terminais para visualização de preços e geração de vendas por parte dos vendedores. Contudo, todos estavam em tela de login e senha e existem muitos vendedores que com toda a certeza perceberiam a ação de uma pessoa não autorizada a um terminal. Com isso percebi que seria difícil alguem conseguir alguma infomação e ou sair com alguma mercadoria, visto que nas saídas possuem sensores de código de barras instalados.
Clique aqui para ler mais!

Algumas piadinhas de TI

OLHA O CARA DA TI EXPLICANDO PRO FILHO COMO ELE NASCEU:

-Pai, como é que eu nasci? – pergunta o Joaozinho…
- Muito bem, tínhamos de ter esta conversa um dia… O que aconteceu foi o seguinte: Eu e sua mãe nos conhecemos num Chat desses da Net, que existem para se trocar idéias. O papai marcou uma interface com a mamãe num Cybercafé e acabamos plugados no banheiro dele. A seguir, a mamãe fez uns Downloads no Memory Stick do papai e quando estava tudo pronto para a transferência de arquivos, descobrimos que não havia qualquer tipo de Firewall conosco. Como era tarde demais para dar o ESC, papai acabou fazendo o Upload de qualquer jeito com a mamãe, e nove meses depois o Vírus apareceu e se instalou em casa…
Clique aqui para ler mais!

RAID

1. Conceitos Iniciais

O termo RAID ( “Redundant Array of Inexpensive Disks”) foi cunhado na Universidade da Califórnia em Berkeley em oposição a SLED (“Single Large Expensive Disk”). É um sistema de discos rígidos rápido e confiável, por meio de discos individuais.  O RAID trabalha com dois conceitos. O primeiro conceito é a divisão dos dados (data striping), que tem por objetivo aumentar o desempenho da máquina. Com a utilização do sistema de divisão de dados do RAID, os dados a serem armazenados são divididos em vários fragmentos e cada fragmento é armazenado em um disco rígido diferente e ao mesmo tempo. O segundo conceito é o espelhamento, que tem como objetivo aumentar a confiabilidade dos dados armazenados. Por meio do espelhamento, os dados armazenados em um disco rígido são imediatamente copiados para outro disco rígido. Caso o primeiro disco rígido falhe, o segundo entra imediatamente em ação substituindo o disco rígido defeituoso automaticamente.
Clique aqui para ler mais!

Modelo de Política de Segurança – Parte 8

MODELO DE POLITICA DE SEGURANÇA-Parte 8

Conclusão

Na primeira parte do capítulo é de suma importância que antes de qualquer implementação de uma política de segurança, o estudo da análise e avaliação dos riscos que a instituição possui, bem como a prioridade dos ativos e quão valiosa é a informação para a instituição.

A partir deste ponto iniciou-se as políticas externas. Neste tópico foram feitas medidas focalizadas principalmente quanto ao problema da engenharia social. Tais medidas são importantíssimas para que um atacante não consiga êxito em sua investida. Foram abordados apenas os pontos quanto ao cliente, fornecedor e filiais por serem comuns na maioria das instituições.
Clique aqui para ler mais!

Modelo de Política de Segurança – Parte 7

MONTAGEM DE UM MODELO DE POLITICA DE SEGURANÇA-Parte 7

Sobre as Penalidades

Serão listadas a seguir as penalidades referentes ao não cumprimento das medidas. Sendo eles:

1. O funcionário que não concordar com as medidas a ele relacionadas receberá aviso prévio de demissão.
2. O funcionário que for pego não efetuando alguma medida de segurança a ele cabível, receberá uma advertência por escrito, no caso da terceira reincidência não proposital o mesmo deverá receber um curso de segurança do trabalho e orientação das medidas de segurança feito pelo Setor de recursos humanos. Um terço de seu salário será descontado para cobrir os gastos.
3. Caso o funcionário tenha feito o por duas vezes e mesmo assim reincidir ao não cumprimento das medidas, este receberá aviso prévio de demissão.
4. No caso de reincidência proposital o funcionário receberá aviso prévio de demissão na terceira falta.
5. Toda a auditoria dos funcionários terão que ser feitas pelo Setor de TI e encaminhadas aos chefes de Setor.
6. O setor de TI deverá ser auditado pelo chefe de TI, que deverá encaminhar tais relatórios a diretoria.
7. O funcionário que souber que seu colega de trabalho não está cumprindo com as medidas de segurança, deverá obrigatoriamente notificar verbalmente o chefe de seu setor. Este por sua vez fará a advertência por escrito a ele.

As penalidades referentes as medidas são motivo de muita polemica, pois a questão jurídica deles deve ser muito bem consultada e analisada. Também vale ressaltar que sem as penalidades as políticas de segurança dificilmente serão utilizadas pelas pessoas.

Modelo de Política de Segurança – Parte 6

MONTAGEM DE UM MODELO DE POLITICA DE SEGURANÇA-Parte 6

Quanto a segurança física

Neste ponto será analisado a melhor forma de  prevenir o acesso não autorizado, danos e interferência ás informações e instalações físicas da instituição. Algumas medidas podem ser feitas para amenizar este problema sendo elas:

1. Só poderão ter acesso ao setor de TI os funcionários que fazem parte a ele.
2. Todos os funcionários de todos os setores deveram possuir crachás que identifiquem o setor ao qual estão lotados, juntamente com o nome e foto.
3. Será proibido o acesso de qualquer pessoa que não possua um crachá.
4. Cada sala que possua chave será de responsabilidade do Chefe de Setor, caso o mesmo não possa pegar ou entregar a chave no armário de chaves, este deverá nomear por escrito o responsável e entregar a nomeação ao setor de segurança.
5. Todas as chaves ficarão no setor de segurança.
6. A mesa de cada funcionário deverá estar limpa, não podendo possuir nenhum papel que possa ser extraviado, tampouco mídias e outros recursos que o usuário dispuser.
7. O ambiente de todos os setores deverão ser mantidos limpos, sem material no chão de nenhuma espécie. Facilitando assim o fluxo de pessoas que estiverem no setor.
8. O usuário deverá fechar qualquer documento que esteja redigindo quando necessitar se ausentar de sua mesa. Deixando-o na proteção de tela no modo de login ativado.
9. Caso seja necessário a visita de alguém que não seja da instituição, deverá ser entregue a ele um crachá de visitante mostrando seu nome e a data de visita.

10.  Os papéis que não são mais necessários antes de serem levados ao lixo devem ser passados na máquina fragmentadora.

11.  O uso de telefone da instituição deverá ser exclusivo a serviço. Não podendo de forma alguma ser utilizado para fins pessoais.

12.  A equipe de segurança deverá ter um uniforme diferenciado dos demais funcionários.

13.  O setor de TI deverá possuir um uniforme diferente dos funcionários e equipe de segurança.

14.  Cada setor deverá obrigatoriamente possuir um extintor de incêndio e cada funcionário receberá treinamento para o seu manuseio.

Este é um ponto onde existem muitas individualidades entre as instituições, podendo ser alteradas de acordo com o tipo e ramo que elas empregam e até mesmo a natureza de informações que possuem.

Quanto a contratação

Aqui estaremos implementando as políticas referentes a contratações, tais medidas antes de serem implementadas deverão ser consultadas pelo setor jurídico. Sendo elas:

1. Só serão contratadas pessoas que tenham encaminhado seu currículo por escrito ao departamento de recursos humanos.
2. Só serão contratadas pessoas que tenham sido aprovadas na entrevista.
3. Pessoas que possuem antecedentes criminais relativo a furtos e roubos deveram ser colocadas ao fim da lista de convocados a entrevista.
4. Pessoas que foram demitidas por justa causa do antigo emprego, deverão ser colocadas ao fim da lista de convocados a entrevista.
5. Pessoas com histórico de agressão física deveram ser colocadas no fim da lista de convocados a entrevista.
6. Pessoas que estiveram contratadas em instituições com medidas de segurança ativas, deveram ser colocadas no topo da lista de convocados.
7. Pessoas com curso em segurança da informação ou do gênero deveram ser colocados no inicio da lista de convocados.
8. Todos os convocados a entrevista deveram ler as medidas de segurança ao cargo que almeja e ter pleno conhecimento delas.
9. Todo novo funcionário que for contratado deverá passar pelo curso de segurança da informação fornecido pelo setor de recursos humanos.

Com toda certeza alguns pontos levantados acima podem ser retirados ou incrementados, também a medida não tem como objetivo excluir alguém, e sim a contratação de pessoas confiáveis e que estejam dispostas a seguir as políticas.

Modelo de Política de Segurança – Parte 5

MONTAGEM DE UM MODELO DE POLITICA DE SEGURANÇA-Parte 5

Quanto a política de senhas

Quanto ao cadastramento de senhas, deverá ocorrer da seguinte maneira:

1. Apenas o Chefe da TI deverá possuir uma senha mestre geral que deverá possuir no mínimo 12 caracteres com letras, números e caracteres especiais.
2. A senha de administrador de setor, deverá possuir no mínimo 8 caracteres e ter letras e números intercalados.
3. A senhas referente aos usuários deverão possuir no mínimo 6 caracteres, também devem possuir números e letras intercalados.
4. Todas as senhas não deverão ser derivadas de datas de aniversário, nome de parentes, time de futebol, esporte favorito, ou qualquer outro fator pessoal. Também não poderá estar em nenhum dicionário e jamais devem ser anotadas.

Quanto a manipulação de senhas, deverá ocorrer da seguinte maneira:

1. Todo usuário deverá obrigatoriamente decorar sua senha. Não podendo possuir nenhum lembrete por escrito referente a mesma.
2. Cada senha possuirá um tempo de validade de 6 meses, ao término deste período o usuário deverá cadastrar uma nova senha.
3. Não é permitido o uso conjunto de senha, caso o usuário esquecer a senha, poderá cadastrar outra junto ao Setor de TI.
4. A TI só poderá cadastrar ou recadastrar senhas, mediante a um pedido por e-mail e por escrito, quando for solicitado por e-mail, a pessoa responsável deverá dirigir-se ao usuário que fez a solicitação juntamente com o protocolo de pedido.

Vale ressaltar que as medidas acima descritas são de natureza geral e com toda a certeza devem ser incrementadas quando forem utilizadas em qualquer instituição.

Quanto ao uso do E-Mail

Quanto ao cadastro da conta de e-mail da instituição deverá ocorrer da seguinte maneira:

1. Assim que o funcionário for contratado, será encaminhado ao setor de TI o pedido de cadastro de uma conta de e-mail para o usuário. Este por sua vez deverá assim que se conectar a conta, alterar a senha. O sistema deverá fazer o pedido de mudança de senha assim que o usuário se conectar.
2. Caso o funcionário se esqueça da senha que cadastrou, deverá fazer um pedido por escrito solicitando a mudança de senha ao setor de TI. Este por sua vez lhe dará uma senha gerada pelo sistema, que por sua vez assim que for logado fará a solicitação da troca de senha.
3. O nome do e-mail de cada funcionário começará com o ultimo nome seguido de ponto e terminado com o primeiro nome.

Quanto a utilização da conta de e-mail, deverá ocorrer da seguinte maneira:

1. Só será permitido o uso de e-mail fornecido pela instituição, nenhum outro e-mail poderá ser utilizado pelo usuário.
2. Não será permitido o envio de arquivos pelos usuários para pessoas de fora da instituição. Este só poderá ser feito pelo Gerente do Setor.
3. Não será permitido o recebimento de arquivos pelos usuários de pessoas que não forem da instituição. Caso necessite da recepção de algum arquivo, este poderá ser recebido pelo Gerente do Setor.
4. Não será permitido o envio e ou recepção de e-mail de pessoas que não estejam ligadas diretamente a instituição.
5. Serão automaticamente bloqueados todos os e-mails que forem enviados a mais de 10 pessoas. Caso seja necessário o envio para uma quantidade maior de pessoas, deverá ser encaminhado um pedido a equipe de TI solicitando a autorização de um envio maior.
6. Cada usuário deverá organizar sua caixa de e-mail de forma que deverá apagar as mensagens não úteis e salvando no computador as úteis.
7. O Setor de TI fixará a cota de 100MB de espaço para caixa de e-mail dos usuários e 250MB para os gerentes de setor.
8. O Setor de TI deverá configurar o uso do protocolo IMAP para todas as contas de e-mail.
9. O Setor de TI deverá fazer o bloqueio automático de todos os e-mails enviados de outras pessoas que não estejam ligadas a instituição. Caso algum usuário deseje receber o envio de alguma pessoa que não seja da instituição, deverá encaminhar pedido por escrito juntamente com a justificativa.

10.  Cada conta será sujeita a possíveis auditorias, sendo o usuário responsável por tudo aquilo que lê e escreve em seus e-mails.

Muitas outras regras podem ser colocadas neste ponto, mas com as descritas acima observou-se o quão é importante fazer o uso correto do e-mail. Sendo sua utilização segura um dos fatores que fazem com que o ambiente de trabalho se torne mais seguro.

Modelo de Politica de Segurança – Parte 4

MONTAGEM DE UM MODELO DE POLITICA DE SEGURANÇA-Parte 4

Política Interna

Aqui serão descritas as políticas referentes as medidas de segurança internas. Abrangendo apenas os funcionários e pessoas que tem acesso as instalações internas da instituição.

Quanto a Informática

Neste ponto estaremos mostrando as políticas referente a utilização dos meios de tecnologia da instituição.

Quanto a utilização dos computadores e rede

Toda e qualquer pessoa que esteja conectada a rede de computadores estará incluída neste tópico. Deverão seguir os seguintes procedimentos:

1. Cada pessoa deverá obrigatoriamente ligar o computador e ao término de sua tarefa, o desligar. Caso necessite se ausentar por algum tempo qualquer, deverá deixar o computador com a tela travada.
2. O usuário é responsável por sua senha, pois todos os acessos e procedimentos feitos por ele deverão ser armazenados para futuras auditorias.
3. Caso o usuário necessite da instalação de qualquer software, plugin, ou atualização. Deverá encaminhar um pedido por e-mail para o setor de TI, este por sua vez responderá de forma imediata o tempo para a execução do serviço.
4. O Setor de TI deverá obrigatoriamente protocolar todos as solicitações que os usuários solicitarem e sempre antes de qualquer procedimento confirmar o horário para a execução do mesmo.
5. Ao usuário não será permitido o acesso a domínios não pertencentes ao seu setor.
6. Não serão permitidos o uso de jogos para computador, tampouco sites do mesmo gênero.
7. O comunicador instantâneo que o usuário poderá utilizar será o que a instituição fornecer, nenhum outro será permitido.
8. Os acessos a Web Sites ficam restritos aos que forem permitidos pela reunião de Diretoria junto a Gerencia de cada setor. A lista dos sites que podem ser acessados deverão obrigatoriamente ser protocolados junto a TI.
9. As impressões que o usuário deseja efetuar, só poderá ser referente a instituição. Não sendo autorizado a utilização de impressões de cunho pessoal.

10.  São proibidos o uso de material sexualmente explícito, bem como sua armazenagem, distribuição, edição e gravação nos computadores da instituição.

11.  O uso dos recursos da instituição para fins ilegais serão seriamente punidos mediante medidas pré estabelecidas.

12.  Os softwares que a instituição instalou para a segurança da rede, de maneira nenhuma devem ser desinstalados e tampouco re-configurados pelos usuários. Caso o usuário julgue necessário uma manutenção em seus softwares, deverá encaminhar um pedido por escrito para o setor de TI e confirmar por e-mail.

13.  Cada usuário deverá armazenar em seu e-mail os arquivos pertencentes a instituição, tornando-os confiáveis e íntegros.

Existem muitas outras medidas que podem ser colocadas neste ponto, mas tais procedimentos vão variar de instituição para instituição. Também deverão ser observadas as questões jurídicas e algumas medidas obrigatoriamente deverão ser aprovadas pela diretoria.

Modelo de Política de Segurança – Parte 3

MODELO DE POLITICA DE SEGURANÇA-Parte 2

Quanto ao Fornecedor

Deverá obrigatoriamente através de protocolo, notificar todos os fornecedores as políticas as quais a eles se referem. Deixando desta maneira todos cientes que deveram obedecer as seguintes regras:

1. O fornecedor deverá no momento de seu cadastro na instituição informar o e-mail no qual irá utilizar para atualizar periodicamente a lista de produtos junto ao departamento de vendas. O departamento só aceitará o contato feito pelo e-mail cadastrado e não mais.
2. Quando o departamento de vendas solicitar um pedido de produtos através de e-mail, o fornecedor deverá obrigatoriamente confirmar o recebimento de tal pedido por telefone.
3. O fornecedor deverá de forma antecipada informar a data e horário que os materiais solicitados serão entregues e também o nome das pessoas que farão a entrega por e-mail e confirmado por telefone.
4. A nota fiscal referente aos produtos deverá ser entregue no momento da entrega juntamente com o boleto de cobrança de forma protocolada por ambos os lados.

Quanto as filiais

Todas as filiais deveram ser notificadas por escrito das medidas de segurança pertencentes a ela. As filiais deverão sempre obedecer aos parâmetros outorgados pela matriz, obedecendo a hierarquia que a mesma dispor. Facilitando assim a organização da instituição e padronizando os procedimentos.

Sendo assim toda filial deverá de obedecer a todas as políticas de segurança que a matriz informar. Sendo as políticas internas igualmente implantadas. A diferença será que a filial deverá sempre proceder da seguinte maneira quanto as medidas externas:

1. Todos os procedimentos relativos a compras, deverão ser solicitados a matriz por meio eletrônico e confirmado por telefone. Caso a matriz autorize a compra pela filial, esta por sua vez efetuará as mesmas medidas que a matriz recorre.
2. A filial deverá ter os mesmos procedimentos quanto a matriz referentes ao atendimento a clientes.
3. O meio de comunicação entre a matriz e a filial deverá obrigatoriamente ser seguro, de forma que toda comunicação deverá ser criptografada e os e-mails de ambos os lados devem ser próprios da instituição.

As filiais são de certa forma “braços” da matriz, sendo assim, as medidas que a esta possuir valerá para ambos os lados.

Modelo de Política de Segurança – Parte 2

MODELO DE POLITICA DE SEGURANÇA-Parte 2

Política Externa

A política será dividida em grupos que serão listados a seguir:

Quanto ao Cliente

Aqui falaremos das medidas referentes ao cliente, iremos dividi-la em duas partes sendo elas o atendimento e informações por meio eletrônico. Com toda certeza mais módulos podem ser colocados, iremos abordar apenas estes tópicos. A inserção de mais tópicos dependerá de instituição pra instituição por causa do tipo de  ramo.

Atendimento

Todo cliente que solicitar um procedimento deverá seguir a seguinte regra para ser atendido:

1. O(a) cliente deve se identificar através de documentos pessoais, juntamente com cartão fornecido pela instituição(se houver). Caso não possua, o atendente não poderá efetuar o atendimento.
2. O(a) atendente deve sempre confirmar alguns dados pessoais que não estão na documentação do cliente, como endereço, telefone para contato, etc.
3. O(a) atendente fará a solicitação que o cliente solicitou que por sua vez assinará tal pedido.
4. Caso a solicitação seja feita pelo(a) próprio(a) atendente, o cliente deverá assinar um documento onde estará descrito todos os detalhes do atendimento juntamente com a data que fora feito tal atendimento.

As medidas acima descritas são extremamente importantes para se evitar que uma pessoa se passando por um cliente, possa extrair informações de outra pessoa. Evitando-se assim um ataque de engenharia social neste sentido.

Informações por meio Eletrônico

As informações pertencentes ao cliente que estarão disponibilizadas por meio eletrônico deverão seguir o seguinte padrão para serem acessadas:

1. O Web Site da instituição possuirá um campo onde estará descrito: ATENDIMENTO AO CLIENTE. O Cliente que deseja atendimento on-line, obrigatoriamente deverá selecionar este campo.
2. O cliente deverá na tela seguinte se identificar através de um login e senha no qual fora cadastrado na instituição no momento de seu cadastro. Caso não lembre da senha, poderá solicitá-la no campo ESQUECI MINHA SENHA. Este por sua vez enviará um e-mail para a conta cadastrada antecipadamente informando a senha do mesmo.
3. Na tela seguinte o cliente encontrará seus dados pessoais e poderá atualizá-los. Também poderá imprimir segunda via de boletos.
4. Caso o cliente queira outro procedimento deverá obrigatoriamente procurar a instituição.