A proposta de um modelo para a construo de poltica de segurana da informao na implementao de atividades em redes corporativas.

Nome: Paula Raquel Sales do Nascimento (UNINORTE) Email: rakelsales@hotmail.com Nome: Alex Fabiano Pimenta dos Santos (UNINORTE) Email: alex.saantos@hotmail.com Nome: Bruno Costa de Oliveira (UNINORTE) Email: bruno_warley@hotmail.com

Nome: Larcio Pereira da Silva Jnior (UNINORTE) Email: laerciojr_roop@hotmail.com Nome: Ismael Izidro da Silva Filho (UNINORTE) Email: maelizidro@gmail.com Nome: Jandecy Cabral Leite (UNINORTE) Email: jandecycabral@hotmail.com

1 Introduo Com o passar dos anos as redes de computadores foram alvos de invasores de redes, mais conhecidos como hackers e cracker, tais invasores tm como finalidade passar pela poltica de segurana da rede implantada e capturar informaes como senhas de contas, projetos ou at mesmo arquivos confidenciais. Hoje com a grande facilidade de compartilhamento de arquivos pela rede, essas tticas de invases foram se tornando cada vez mais comuns, sendo assim grande parte das organizaes esto mudando o foco de suas empresas e investindo cada vez mais em segurana, para que estas estejam protegidas contra estes tipos de ataques. comum hoje uma empresa perder milhes ou bilhes da noite para dia ao saber que suas informaes foram roubadas, mas no comum ouvir que uma empresa investe milhes em proteo, este artigo tem como um dos objetivos principais criar uma poltica de segurana confivel e apresentar solues concretas para diminuir os riscos de um ataque. O uso da Poltica de Segurana deve proteger informaes, diminuir os riscos e perdas associadas com recursos de rede e segurana. As PSI e a segurana constituem um risco misso acadmica. A perda de dados ou a revelao no autorizada da informao em pesquisa e computadores educativos, registros estudantis, e sistemas financeiros podem afetar muito a faculdade e estudantes. Os pontos a ser tratados na poltica de segurana devem estabelecer polticas para proteger as redes e sistemas de computador do uso imprprio. Os mecanismos de Polticas de Segurana ajudaro na identificao e a preveno do abuso de sistemas de computador e redes. Essas Polticas fornecem um mecanismo para responder a reclamaes e perguntas sobre redes e sistemas de computador. As Polticas de Segurana estabelecem mecanismos que protegero e satisfaro responsabilidades legais s suas redes e conectividade de sistemas de computador Internet mundial. Os mecanismos de PSI apoiaro os moldes das polticas existentes. A responsabilidade pela segurana dos recursos computacionais depende dos administradores de sistema que dirigem tais recursos. Usualmente, redes corporativas no so desenvolvidas e implementadas com os aspectos de segurana em mente ou normativo, mas sim para terem uma funcionalidade e eficincia mximas. Embora isto seja bom do ponto de vista empresarial, os problemas de segurana certamente aparecero depois, e as empresas gastaro dinheiro para resolv-los na direta proporo do tamanho de suas redes. Muitas redes corporativas e privadas funcionam baseadas no princpio cliente-servidor, onde os usurios utilizam estaes de trabalho para conectarem-se aos servidores e compartilharem informaes.

Tendo em vista que a poltica de segurana da informao deve ser muito bem definida dentro de uma empresa este trabalho visa demonstrar o aumento do nvel de segurana ao ser desenvolvido um estudo de caso embasado nas principais informaes que devem ser protegidas dentro de um ambiente corporativo, alm de definir a poltica usada para assegurar a proteo da rede ir ser abordado ferramentas como firewalls, tcnicas de ataques externos, tipos de criptografia, tipos de ferramentas de anlise de redes para fundamentar melhor nossa avaliao sobre o estudo feito. Este trabalho ir assegurar uma poltica de segurana de redes capaz de proteger todos os ativos existentes dentro de um ambiente corporativo e criar um novo conceito de prticas administrativas para uma melhor avaliao da rede de dados 2 Metodologia e Organizao de Poltica de Segurana da Informao do ITEGAM Tendo em vista que os padres adotados por leis para manter a segurana das redes um documento de praticidade para o bom entendimento da poltica de segurana e que cada organizao adote uma PSI que como visto no captulo III um modelo adotado por padro para cada empresa para operar e trabalhar de uma forma harmnica. Ao ser criado uma PSI importante reunir todas as informaes associadas ao instituto e estas serem organizadas e atualizadas por uma equipe de gestores e colaboradores capazes de transferir todas as informaes necessrias para que o ambiente de redes possa ser desenvolvido, aps esta etapa necessrio aplicar um treinamento com todos os colaboradores do ITEGAM e que estes conheam as regras e padres adotados pelo instituto, preciso que todos estes entendam que as regras devem ser seguidas para que no coloque em risco a segurana da rede. O ITEGAM desenvolve trabalho de pesquisa muito empresas do distrito, realiza e contribui para o bem estar da humanidade, estabelece solues inovadoras capazes de atender demandas nas seguintes reas: Educao, produo Industrial e Tecnologia. O ITEGAM o nico instituto localizado em Manaus que desenvolve projeto de P&D aprovado pela ANEEL (Agncia Nacional de Energia Eltrica). A poltica de segurana da empresa hoje inadequada para o que ela representa no mercado, neste contexto as solues de tecnolgicas e de redes esto sendo desenvolvidos neste trabalho, todos os parmetros adotados levam em consideraes toda a integridade dos ativos existentes do ITEGAM. O ITEGAM apresenta uma estrutura de equipamentos atualizadas facilitando o desenvolvimento do projetos cabe ressaltar que grande parte de toda a rede transmitida hoje via wireless. J conhecendo o perfil da empresa e juntando com os perfis dos gestores e colaboradores so possveis estabelecer uma linha de administrao a ser seguida e iniciando o processo a ser descrito sobre a poltica de segurana da informao. Tal processo de construo do processo da PSI deve ser bem claro e objetivo, pois estes devem ser entendidos com clareza por quem l para que no haja dvidas por qual motivo preciso de tantos cuidados. Agora com boa parte das informaes recolhidas iremos preparar e protocolar cada documento descrito para que este faa parte do nosso projeto de implementao da PSI, iremos assegurar tais informaes realizando testes com uma pequena parte do grupo ITEGAM o ideal que estes no faam parte do corpo tcnico que est preparando o projeto para assegurar que estes no conheam as regras da organizao e testar a veracidade das informaes que foram coletadas ou at mesmo verificar o nvel de integridade e disponibilidade das mesmas, na maior parte dos projetos esse perodo dura e torno de dois meses. Antes de qualquer implementao iremos disponibilizar ao instituto palestras necessrias para apresentao das idias principais e do objetivo a ser alcanado e tirar dvidas sobre o projeto. A fase final do projeto concretizada aps ser implantado todo o projeto em todo o instituto ITEGAM essa fase do projeto deve ser minuciosamente acompanhada para que no haja falhas na implementao. necessrio que mensalmente haja uma reviso para assegurar possveis acessos de intrusos ou invasores na rede, realizando essa varredura possvel que seja preciso revisar alguns aspectos no contexto do trabalho a fim de evitar qualquer risco, e aps um ano de poltica implantada necessrio realizar atualizaes das regras da organizao para que estas possam atender as necessidades do ITEGAM. O fluxograma abaixo mostra a idia inicial para se implementar uma PSI na instituio escolhida.

10

J existe uma PSI ?

Cria um comit gestor

Conhecer a empresa

Trenamento de Segurana

Organizaes das ideias

Escrever a poltica Reviso

Testar a poltica

Resultado esperado

Implementao

Apresentao

Anotar resultado

Avaliao dos Resultados

Passou 1 ano

Figura 1: Metodologia de Poltica de Segurana da Informao

Quanto ao processo de construo organizao da poltica fundamental abordar as metodologias utilizadas no ITEGAM, iremos a seguir demonstrar determinados itens que podem influenciar na PSI da organizao: 1. Segurana Fsica: A parte fsica deve ser muito bem estruturada revisando toda a parte eltrica e tenses das tomadas, estas devem estar identificadas nas tenses corretas todo ambiente deve estar assegurado contra incndio ou desastre tal poltica deve definir proteo aos equipamentos do instituto e viabilizar sadas de emergncias tal processo de contingencia deve ser bem elaborado para no colocar em risco a parte lgica da empresa. 2. Segurana Lgica: esta parte da PSI cuida do acesso as informaes para que no haja acesso indevido por pessoas no autorizadas, este processo preciso que seja averiguada a identificao do usurio junto da autenticao, pois tais quesitos so relevantes na segurana da informao a ser acessada, estes, porm devem possuir um login e senha capaz de realizar um registro no banco das vezes que estas informaes foram acessadas pelo usurio. 3. Segurana Perimetral: j uma poltica definida nas bordas da rede. Em uma poltica de segurana da informao pode influenciar na maneira como o trfego entre as redes, ou entre as sub-redes da corporao sero delimitadas. Por exemplo, atravs das ACLs e firewalls pode ser definido um documento onde fiquem definidos quais trfegos so permitidos a partir de um determinado grupo. Tambm podem ser utilizados os relatrios e logs dos componentes dessa metodologia para revisar a PSI a cada ano.

11

4.

5.

Segurana em Redes sem Fio: define a maneira como o sistema de telecomunicaes sem fio ser protegido. importante deixar claro em uma poltica de segurana quais tipos de autenticao sero usados para cada rede Wi-Fi. Com a utilizao do padro IEEE 802.1x pode se deixar claro que a autenticao ser feita por usurio, ficando isento de utilizar apenas uma senha, assim, os fica fcil monitorar os usurios que no cumprirem as normas e padres da PSI. VPN: no ITEGAM a VPN se torna essencial pois na maioria das vezes o acesso remoto para pesquisa fundamental. Como a poltica de segurana da Informao um documento que visa reger a organizao de leis de segurana, pode se definir nela a obrigatoriedade do uso de conexes VPN para acesso remoto.

Figura 3: Pilares da segurana da informao

3. Proposta de Implementao da Poltica de Segurana da Informao Aplicada a Redes de Computadores do ITEGAM Abaixo apresentado um exemplo de poltica de segurana da informao aplicada a redes de computadores baseada nos conceitos apresentados no item 3.1. 3.2.1 Apresentao A Poltica de Segurana da Informao tem como principal objetivo manter a integridade dos ativos e informaes de uma organizao em seu ambiente computacional, principalmente no que diz respeito a redes de computadores e sistemas de telecomunicao. Este documento tem como propsito definir uma poltica de segurana aplicada a redes de computadores, sendo elaborada de acordo com as normas NBR ISO/IEC 17799 e 27001 que tratam da Gesto da Segurana da Informao. 4.2.2 Objetivo Este documento tem como objetivo definir uma poltica de segurana da informao, com diretrizes, restries e requisitos a serem aplicados no campo computacional da organizao a fim de garantir a integridade dos ativos, bem como a integridade do sistema de redes e telecomunicaes. 3.2.3 Normas e Diretrizes 1. Esta poltica abrangente a todos que utilizam os recursos de redes da organizao. 2. Os recursos de rede esto presentes para facilitar o desenvolvimento do trabalho. Portanto, devem ser utilizados apenas ao que condiz com as funes exercidas na organizao. 3. O acesso ao ambiente fsico da organizao (salas, corredores, etc) s sero permitidos atravs da identificao por crachs, tanto para funcionrios, quanto para visitantes. 4. O acesso s salas que armazenam os servidores, dispositivos de rede e fitas de backup, s sero feitos atravs de identificao prpria (biometria ou senhas). 5. As instalaes e manutenes eltricas e de redes sero feitas de acordo com a poltica de recuperao de desastres a complementar este documento. 6. O acesso rede s ser feito aps a autenticao no sistema atravs de login e senha. Cada usurio deve ter um login e uma senha prprios e intransferveis, ficando a cada um responsvel pela maneira de utiliz-los.

12

7.

8. 9.

10.

11.

Alm do processo de autenticao por login e senha, cada usurio dever utilizar de seu certificado digital, a fim de garantir o no-repdio, principalmente no envio de documentos e mensagens por e-mail. Devero ser respeitados os sites autorizados de acordo com este documento, bem como os filtros e redes autorizados na poltica de firewall e ACL. Sero permitidos sites relacionados ao desenvolvimento das funes exercidas por cada funcionrio, bem como sites de notcias, entretenimento, esportes, humor, etc. Ficando proibidos sites com contedo adulto, pornogrfico, racista, pedofilia, hacker, terrorista e armas. Visando o respeito da poltica de firewall e ACL, no permitida a alterao das configuraes de endereos IPs, Gateways, e/ ou DNS. Tambm no permitido o uso de proxies ou outro sistema para burlar os filtros. Periodicamente dever ser feita uma auditoria em todos os PCs, de acordo com os resultados de relatrios e logs de IDS/ IPS e firewalls, a fim de manter a integridade da rede.

3.4 Configuraes de Topologias de Segurana O uso da rede sem fio ser feita atravs da autenticao de login e senha, prprios de cada usurio. As mesmas normas referentes ao uso da rede padro (rede cabeada), so vigentes para as redes sem fio. Os usurios que necessitarem exercer suas funes remotamente devero utilizar da VPN Corporativa. Todo usurio que necessitar se conectar na VPN dever solicitar sua senha pessoal e intransfervel equipe de suporte.

5. Estudo de Caso
O estudo de caso foi realizado numa organizao no governamental (Instituto de Tecnologia Galileu da Amaznia - ITEGAM), instituio de pesquisa e tecnologia, com atuao nacional e internacional em estgio inicial de suas atividades. Ele realiza contribuies tecnolgicas para o avano e o bem-estar da humanidade, bem como estabelecer solues inovadoras capazes de atender as reas pretendidas. Ela mantm um servidor de informaes sobre clientes e sobre a prpria empresa.

Figura 2: Instituto de Tecnologia Galileu da Amaznia - ITEGAM

13

Toda e qualquer empresa que lida com informaes necessita que estas sejam mantidas seguras, principalmente em se tratando de informaes de terceiros. O seu vazamento pode acarretar processos judiciais, inclusive criminais, alm da perda causada na imagem da empresa diante do mercado. Uma vez que no se pode estimar o grau de risco ao qual a empresa estava exposta, pois este nunca havia sido medido antes, adotou-se uma metodologia que poderia ser implantada, levando em considerao a quantidade de usurios, o custo e o tempo. Em primeiro lugar foi realizado um levantamento para apurar dos colaboradores da empresa informaes a cerca da poltica a ser implantada, considerando os critrios adotados pelo instituto, o qual fornece cursos de doutorados, mestrados, especializaes, alem de realizar pesquisas tecnolgicas. Foram definidas as seguintes fases para testes de implantao:

Identificao dos recursos a serem protegidos hardware, rede, software, dados, informaes pessoais, documentao, suprimentos; Identificao dos riscos (ameaas) - que podem ser naturais ou causadas por pessoas; Anlise dos riscos (vulnerabilidades e impactos) - identificar as vulnerabilidades e os impactos associados; Avaliao dos riscos (probabilidade de ocorrncia) - levantamento da probabilidade da ameaa vir a acontecer, estimando o valor do provvel prejuzo; Tratamento dos riscos - maneira como lidar com as ameaas; Monitorao da eficcia dos controles adotados para minimizar os riscos identificados; Reavaliao dos riscos em intervalos de tempo no superiores a seis meses;

Outro ponto foi adaptao da poltica de segurana realidade da empresa, bem como as regras de gerncia da segurana.

5.6.1 Recursos da empresa Os recursos do instituto foram vistos e catalogados na entrevista inicial com os colaboradores, logo aps o aceite do projeto. Eles foram divididos em trs grupos: recursos de hardware, software e recursos humanos. Os Principais recursos de hardware so: 1 Athlon XP 3000 1gb Ram hd 160Gb Servidor Web Internet roteador*** 1 Athlon XP 3000 1gb Ram hd 120Gb Servidor Banco de dados / arquivos *** 50 Dell Windows 7 Core i3 4 gb Ram hd 500GB Hosts Linksy 2.4 Ghz 54 Mbps Roteador 3com 24 portas gerencivel - Switche Alm desses ainda existem itens como dados e cdigos impressos, ao quais deve-se dar ateno. Principalmente em termos de arquivamento e descarte. Recursos Softwares:

6 Windows 2000 Pro Banco de dados contendo informaes alunos*** Banco de dados contendo informaes prprias*** cdigos fonte** softwares livres diversos

Os asteriscos so relativos ao grau de importncia dado a cada item. Quanto aos recursos humanos da empresa, todos os colaboradores so da rea de tecnologia da informao, sendo Doutores, Mestres e Graduados. 5.7 Tratamento dos riscos Foi definida uma boa parte das necessidades da empresa em relao segurana e suas trilhas de auditoria. 1- instalao de um firewall; 2- atualizao de patches de segurana dos fabricantes;

14

3- instalao de um sistema de monitoramento; 4- separar servidores; 5- por segurana utilizar um banco de dados para guardar tambm os arquivos; 6- criar uma rotina de atualizao dos antivrus, nas mquinas e servidor, esta poder ser automtica por agendamento e diria; 7- centralizao dos registros de log em um servidor.

5.7.1 Trilhas de Auditoria: a tcnica que permite o acompanhamento de todas as atividades que afetam um determinado conjunto de informaes, como um registro de dados, desde o momento em que ele entra no sistema at o instante em que removido. As trilhas de auditoria permitem documentar, por exemplo, quem efetuou uma determinada alterao e quando isso ocorreu. As trilhas de auditoria podem ser geradas por vrios componentes de aplicativos e da infra-estrutura para fins diferentes: servidores de VPN e firewalls podem gerar eventos para ajudar a detectar invases externas, componentes de middleware podem gerar dados de instrumentao para ajudar a detectar anomalias de desempenho, etc. No caso ser usado logs de eventos do sistema, do firewall, logs de acesso, do antivrus, alm de registros de eventos semelhantes aos usados em helpdesk, que ser preparado pelo administrador da rede, para mapear possveis problemas e um registro com todas as propriedades de acesso dos usurios. Depois que os dados de auditoria tiverem sido produzidos, eles precisam ser coletados e armazenados. Existem dois modelos principais a serem considerados: distribudo e centralizado. No modelo distribudo, geralmente os dados de auditoria permanecem no sistema em que foram gerados. Com a abordagem centralizada que foi a escolhida, os dados so enviados para uma instalao central de armazenamento e coleta de dados. Uma vez coletados, os dados podem ser processados e analisados de maneira automtica ou manual. As auditorias sero realizadas a cada seis meses, sempre por algum capaz e externo a empresa para garantir imparcialidade. No caso de uma crise ou invaso um auditor ser chamado independente do tempo transcorrido e, se necessrio, a poltica ser revista. 5.8 Solues apresentadas para Rede A proposta inicial era mudana dos servidores e estaes para Linux, pois neste SO mais difcil a propagao de vrus, e at a quantidade deles menor. Mas apesar de uma vez implantada a rede sua administrao ser fcil, ela depende de algum conhecimento por parte dos administradores e usurios. O que ficou acertado nas reunies realizadas com os colaboradores, foi criao de servidor de dados comum para banco de dados, dicionrio de dados e arquivos diversos. Para isso ser ampliada a memria e espao em disco de um Athlon XP 3000.Esse servidor foi implementado em Linux na distribuio Debian 6.0, tambm comportara o servidor de Samba, para integrao com as mquinas Windows. Para primeiro passo foi abordado o tipo de topologia estrela como modelo para a rede levando em considerao o recebimento da internet por um modem Adsl da net, tendo um roteador como firewall, um servidor de dados, web e correio.

15

Figura 5: Esquema a ser usado na rede

Foi observado a necessidade de um novo computador Athlon XP 3000, 1Gb de Ram HD 160Gb, para rodar Squid (proxy), o roteador, o DNS, o DHCP e o PostFix de correio eletrnico. O squid exige uma boa quantidade de memria para disponibilizar um acesso de qualidade internet. O squid proporciona a personalizao do tipo de acesso por usurio e grupo de usurios a internet, podendo bloquear sites, o que somado ao fato de ser grtis o torna bastante atrativo. Na soluo Firewall, tambm ficou acertada a necessidade de um roteador que ser usado como firewall usando regras para autenticao na rede. Tanto os dados como os cdigos fonte sero armazenados em banco de dados (MySQL) para facilitar a auditoria e aumentar a segurana. Os logs do MySQL facilitam e muito a consulta sobre quem realizou alteraes, deleo, etc. Apresentando mquina e usurio. J na soluo do pessoal, foi atentado a necessidade da assinatura de um documento por parte de alunos e colaboradores tomando conhecimento das regras estabelecidas para a poltica de segurana do instituto, alm disso receberam treinamento sobre as tcnicas de engenharia social e como evitar o contgio de vrus e outros softwares maliciosos, alem da prpria poltica. As novas regras a seguir foram somadas as diretrizes da poltica apresentada: Fica proibido o lanche em frente ao micro. Os usurios devero utilizar o email da empresa somente para fins da empresa, emails pessoais podero ser lidos em webmail respeitando as regras. No abrir emails de desconhecidos ou que tenham ttulos suspeitos. No abrir os anexos de email. Procurar ler os e-mails no formato Text e no Html. Os dados dos colaboradores no devem ser compartilhados com ningum e no devem sair da instituio. Todas as alteraes feitas em cdigos fonte devem ser devidamente registradas e esclarecidas ao administrador de redes. As senhas de rede devem ser guardadas em local seguro e fora da vista e trocadas com o administrador. Protetores de tela devero ter cdigo e sero acionados se ausente mais de cinco minutos. As punies sero na proporo dos danos causados, por exemplo a maquina estragou por desleixo do usurio ele vai pagar o conserto, se no chegar a causar danos, vai receber uma advertncia, na terceira paga multa de R$100,00 Os usurios devem informar se virem um colega quebrando as regras, seno dividem com ele a multa. Foi dada uma sugesto interessante em relao s senhas em uma das reunies, que o uso de um software para criao de senhas randmicas, que seria usado para imprimir em um carto que ficaria sob a responsabilidade do

16

usurio, que ao final de uma semana seria entregue ao administrador da rede para ser destrudo e um novo impresso. No plano de contingncia e continuidade foi observado em termos de continuidade de negcios, o instituto no tem o nvel de processamento de informaes que justifique a necessidade de implementar um sistema com RAID ou servidores de alta disponibilidade. O custo do tempo parado para retornar o sistema, no justifica pelo menos em seu estagio atual, o custo da implantao dos mesmos. Porm o plano de contingncia ser implementado. O plano de contingncia consiste da documentao de todos os processos de implementao dos servidores e estaes, bem como a criao de manuais de restaurao destes e dos backups dos dados. Cpias dos Cds com os softwares necessrios para a recriao da estrutura da rede e seus servios foram feitas e deixadas junto aos manuais. Bem como todas as atualizaes feitas nos sistemas tambm em um CD a parte. A cada vez que so feitas atualizaes no sistema, deve-se incluir no cd, e na lista de atualizaes no manual. Backups esses que so realizados apenas dos dados e elementos de trabalho, no de sistema operacional nem de programas. So realizados diariamente. 6 Concluses Acessos s redes no podem ser controlados totalmente, pois a possibilidade de violao existe e ocorre quando menos se espera, sendo as solues de segurana as nicas que podem servir como base para a soluo. Um dos objetivos da norma NBR ISO/IEC 17799, garantir que a integridade, a disponibilidade, e a confiabilidade dos recursos incorporados informao, estejam presentes. Os controles essenciais, bem como as boas maneiras, tambm so tratados pela norma, os quais precisam ser separados para que o check-list fique consistente. Realizando-se uma anlise do presente trabalho, observa-se que o objetivo principal foi atingido, foi implementado um poltica de segurana no rgo escolhido, utilizando de recursos bsicos, levando em considerao que no havia um documento ou metodologia a ser seguida com relao segurana da informao. A metodologia criada permite que sejam includos novos tpicos e perguntas, o que permite adequlo, rapidamente, s mudanas da norma ou da empresa. Vale lembrar, que no somente normas de segurana so importantes, outras normas tambm possuem sua grande importncia, isto pode ser comprovado pela procura dessa padronizao, e pelas organizaes que j adotaram estes padres. O produto final gerado, a partir deste trabalho, est pronto para ser utilizado em um processo de avaliao da segurana da informao de uma organizao.

6 - REFERNCIAS VON SOLMS, R. Information security management: why standards are important. Information Management & Computer Security, v. 7, n. 1, p. 5057, 1999. SCHELL, R. R. Information security: science, pseudoscience and flying pigs. In: 17th Computer Security Applications Conference. [S.l.]: ACSAC, 2001. p. 205216.

17

ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 17799: Tecnologia da informao - cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro, 2002.MAY, C. Dynamic corporate culture lies at the heart of effective security strategy. Computer Fraud & Security, v. 2003, n. 5, p. 1013, May 2003. POSTHUMUS, S.; VON SOLMS, R. A framework for the governance of information security. Computers & Security, v. 23, n. 8, p. 638646, Dec. 2004. WILLIAMS, P. Information security governance. Information security technical report, v. 6, n. 3, p. 6070, Nov. 2001. TONG, C. K. S. et al. Implementation of ISO17799 and BS7799 in picture archiving and communication system: local experience in implementation of BS7799 standard. International Congress Series, v. 1256, p. 311 318, 2003. MARCINCOWSKI, S. J.; STANTON, J. M. Motivational aspects of information security policies. In: IEEE International Conference on Systems, Man and Cybernetics. Oakland, California: IEEE Society, 2003. v. 3, p. 25272532. STANTON, J. M. et al. Examining the linkage between organizational commitment and information security. In: IEEE International Conference on Systems, Man and Cybernetics. Oakland, California: IEEE Society, 2003. v. 3, p. 25012506. HNE, K.; ELOFF, J. Information security policy: what do international information security standards say? Computers & Security, v. 21, n. 5, p. 402409, Oct. 2002. WOOD, C. C. Why information security is now multi-disciplinary, multi-departmental, and multiorganizational in nature. Computer Fraud & Security, v. 2004, n. 1, p. 1617, Jan. 2004. WOOD, C. C.; PARKER, D. B. Why ROI and similar financial tools are not advisable for evaluating the merits of security projects. Computer Fraud & Security, v. 2004, n. 5, p. 810, May 2004. SMITH, K. B. Typologies, taxonomies, and the benefits of policy classification. Policy Studies Journal, v. 30, n. 3, p. 379395, Aug. 2002. WEIMER, J.; PAPE, J. C. A taxonomy of systems of corporate governance. Corporate G RYAN, L. V. Corporate governance and business ethics in North America: the state of the art. Business & Society, v. 44, n. 1, p. 4073, Mar. 2005. TURNBUL, S. The science of corporate governance. Corporate Governance, v. 10, n. 4, p. 261277, Oct. 2002. SHULOCK, N. The paradox of policy analysis: If it is not used, why do we produce so much of it? Journal of Policy Analysis and Management, v. 18, n. 2, p. 226244, 1999. TAKAHASHI, T. Sociedade da Informao no Brasil: Livro verde. Braslia: Ministrio da Cincia e Tecnologia, 2000.

18

MINISTRIO DA CINCIA E TECNOLOGIA. Livro Branco: Cincia, tecnologia e inovao. Braslia: Ministrio da Cincia e Tecnologia, 2002. CASTELLS, M. A sociedade em rede. 7. ed. So Paulo: Paz e Terra, 2003. COSTA, I. T. M. Informao, trabalho e tempo livre: polticas de informao para o sculo XXI. Cincia da Informao, v. 28, n. 2, p. 1719, Maio/Ago. 1999. MCGARRY, K. O contexto dinmico da informao. Braslia: Briquet de Lemos, 1999. MIRANDA, A. Cincia da Informao: teoria de uma rea em expanso. Braslia: Thesaurus, 2003. FUNDAO GETLIO VARGAS. Mapa da Excluso Digital. Rio de Janeiro: Centro de Polticas Sociais Fundao Getlio Vargas, 2003. FERREIRA, R. da S. A sociedade da informao no Brasil: um ensaio sobre os desafios do Estado. Cincia da Informao, v. 32, n. 1, p. 3641, jan./abr. 2003. CORNELLA, A. Information policies in Spain. Government Information Quarterly, v. 15, n. 2, p. 197220, 1998. MAXWELL, T. A. The public need to know: emergencies, government organizations, and public information policies. Government Information Quarterly, v. 20, n. 3, p. 197220, July 2003. INFORMATION SYSTEMS AUDIT AND CONTROL FOUNDATION. Information security governance: guidance for boards of directors and executive management. Rolling Meadows, Illinois, 2001. 6.1 Webgrafia

ALECRIM, Emerso. Firewall: conceitos e tipos. Disponvel em: <http://www.infowester.com/firewall.php> Acesso em 12 de Nov. de 2011 WIKIPEDIA. Filtro de pacotes. Disponvel em: <http://pt.wikipedia.org/wiki/Filtro_de_pacotes> Acesso em 12 de Nov. de 2011.. DILLARD.Kurt. Intrusion Detection FAQ: What is a bastion host?. Disponvel em: <http://www.sans.org/security-resources/idfaq/bastion.php> Acesso em 12 de Nov. de 2011.

CUNHA. Adriano Reis da. NAT - Network Address Translation. Disponvel em: < http://www.gta.ufrj.br/grad/98_2/adriano/nat_index.> Acesso em 12 de Nov. 2011. KRISHNA. Balanceamento de Carga. Disponvel em: <

http://www.agentelinux.com.br/artigos/zope-howto_new/node12.html> Acesso em 12 de Nov. 2011. FORD, W. Standardizing information technology security. StandardView, ACM, v. 2, n. 2, p.6471, 1994. Disponvel em: <http://doi.acm.org/10.1145/202949.202951>. Acesso em 10 nov 2011.

19

THIAGARAJAN, V. Information Security Management: BS 7799.2:2002 Audit Check List. Bethesda, Maryland, 2003. Disponvel em: <http://www.sans.org/score/checklists/ISO_17799_checklist.pdf>. Acesso em: 3 ago. 2011.

SANS.

Email

use

policy.

Bethesda,

Maryland,

2002.

Disponvel

em:

<http://www.sans.org/resources/policies/Email_Policy.pdf>. Acesso em 12 ago. 2011.

IT GOVERNANCE INSTITUTE. COBIT Management Guidelines. 3rd. ed. Chicago, 2000. Disponvel em: <www.isaca.org>. Acesso em: 13 set. 2011.

WALTON, J. P. Developing an enterprise information security policy. In: Proceedings of the 30th annual ACM SIGUCCS conference on User services. Providence, Rhode Island, USA: ACM, 2002. p. 153156. Disponvel em: <http://doi.acm.org/10.1145/588646.588678>. Acesso em: 2 ago. 2004.

ANDERSON, R. Why cryptosystems fail. In: Proceedings of the 1st ACM Conference on Computer and Communications Security. Fairfax, Virginia, United States: ACM, 1993. p.215227. Disponvel em: <http://doi.acm.org/10.1145/168588.168615>. Acesso em: 2 ago. 2011.

MARCONDES, C. H.; JARDIM, J. M. Polticas de informao governamental: a construo do governo eletrnico na Administrao Federal do Brasil. DatagramaZero - Revista de Cincia da Informao, v. 4, n. 2, Abr. 2003. Disponvel em: <http://www.dgzero.org/abr03/Art_04.htm>. Acesso em 5 de out. 2011.

ORGANISATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT. Civil Society and the OECD. Paris, 2002. Disponvel em: <http://www.oecd.org>. Acesso em 14 de nov. 2011.

ORGANISATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT. Guidelines for the security of Information Systems and Networks: towards a culture of security. Paris, 2002. Disponvel em: <http://www.oecd.org/dataoecd/16/22/15582260.pdf>. Acesso em 14 de nov. 2011.

Nome: Paula Raquel Sales do Nascimento (UNINORTE) Endereo: Rua 65, N 04, Quadra 138, Conj. Nova Cidade, Bairro: Cidade Nova, Manaus / Amazonas Brasil. Cep: 69097 388 Telefones: (92) 9137 2559 / 8192 2006 / 3212 2827. Email: rakelsales@hotmail.com Nome: Alex Fabiano Pimenta dos Santos (UNINORTE) Endereo: Rua Rio Negro, N 279, Bairro: Educandos, Manaus / Amazonas Brasil. Cep: 69070 130 Telefones: (92) 3631 2333 / 8244 - 4506 Email: alex.saantos@hotmail.com Nome: Bruno Costa de Oliveira (UNINORTE) Endereo: Rua Juruti, Lot. Campos Sales, Bairro: Tarum, Manaus / Amazonas Brasil. Cep: 69021 435 Telefones: (92) 9174 6093 / 2123 - 2225

20

Email: bruno_warley@hotmail.com

Nome: Larcio Pereira da Silva Jnior (UNINORTE) Endereo: Rua Roraima, N 266, Bairro: So Jos, Manaus / Amazonas Brasil. Cep: 69085 220 Telefones: (92) 3231 1538 / 9119 - 6991 Email: laerciojr_roop@hotmail.com

Nome: Ismael Izidro da Silva Filho (UNINORTE) Endereo: Rua Saldanha Marinho, N586, Centro, Manaus / Amazonas Brasil. Cep: 69010 040 Telefones: (92) 9329 - 6364 Email: maelizidro@gmail.com

Nome: Jandecy Cabral Leite (UNINORTE) Endereo: Calle Cuiab, N 26, Bairro: Nossa Senhora das Graas, Manaus / Amazonas Brasil. Cep: 69050 000 Telefones: (92) 9204 7925 / 3584 6145 / 3248 2646. Email: jandecycabral@hotmail.com

21