Análise de segurança da informação em uma empresa de Médio Porte

...

MÉTODOS

Estudo descritivo transversal de prevalência realizado no setor de Tecnologia da informação (TI) de uma empresa prestadora de serviços de TI no município de Vitória – ES. Foram analisadas documentações relacionadas a infraestrutura, topologia de rede e possíveis vulnerabilidades na estrutura da empresa.

Antes de iniciar a abordagem dos métodos utilizados seguem alguns conceitos iniciais para melhor entendimento do leitor:

Vulnerabilidade: é a fraqueza, configuração incorreta, erro ou qualquer condição que poderiam possibilitar uma exploração indevida ou não autorizada.

Exploração de vulnerabilidades: exploração de qualquer tipo de fraqueza que possa comprometer a segurança da rede local da empresa.

Penetration-test: É o método utilizado para testar e descobrir possíveis vulnerabilidades em uma rede e mostrar como estas podem ser exploradas ou corrigidas.

Para realização de teste de penetração são contratados profissionais (ou pessoas internas à rede) para explorar a rede, da mesma forma que um cracker faria e em seguida são entregues os resultados indicando todas as falhas encontradas e como corrigi-las.

Escaneamento de portas: Análise e verificação de possíveis “portas abertas” ou portas possíveis de servirem como entrada para acessos não autorizados em uma rede local.

Sobre os métodos utilizados para análise da gestão da segurança da informação na empresa estudada, a exploração de vulnerabilidades foi realizada através da técnica penetration testing (pentest), onde foram realizados testes de mapeamento de DNS (Domain name server), testes de conectividade, escaneamento de portas, e o levantamento dos pontos fracos de segurança da informação.

Durante uma semana analisou-se documentações e logs referente a servidores Linux e Windows no que diz respeito a segurança da informação e possíveis vulnerabilidades na rede local e topologia do ambiente em abril do ano de 2012. Em seguida comparou-se o ambiente da empresa observada e a ISO 27001 com a finalidade de propor melhorias e criar um modelo de boas práticas de gestão da segurança da informação para empresas de médio porte.

Os dados foram analisados de forma descritiva com as variáveis que foram apresentadas como valores absolutos, percentuais. O software utilizado para a realização da análise estatística foi o microsoft excel 2010.

RESULTADOS

A organização analisada é uma empresa especializada em serviços de Tecnologia da informação, outsourcing, projetos e consultoria em TI, atuando a mais de 20 anos no mercado. Sua matriz esta localizada no estado do Rio de Janeiro e suas filiais nos estados de São Paulo, Espírito Santo, Minas Gerais e Paraíba. A empresa possui parceria com as empresas Microsoft, Trend Micro, CA, Red hat, Fortnet , Magic Software e Citrix.

Ao analisar a estrutura da topologia de rede foi constatado que a empresa está conectada as suas quatro filiais com links redundantes de operadoras distintas, sendo um link dedicado de 2Mbps e outro ADSL 15 Mbps.

Para a segurança de perímetro de todas as unidades existem 02 firewalls baseados em Linux, configurados de modo contingência. O controle de acesso a Internet pelo público interno é controlado por 2 servidores proxys baseados no software livre Squid, também configurados de modo contingência, que acelera os acessos devido ao armazenamento em cache de sites acessados, além de filtrar conteúdos.

A comunicação entre matriz e filiais passam por túneis criptografados denominados virtual private network (VPN) - site-to-site (rede a rede), fechados entre os firewalls das unidades, o que mitiga a possibilidade de intercepção do meio e consequente captura de dados. As estações de trabalho e servidores possuem instalados antivírus licenciados pela Trend Micro. Utiliza-se para backup o software ArcServe instalado em um servidor. Este servidor também funciona como File Server e Print Server. O backup é realizado de forma full e agendada para Fita dat todos os dias as 2 horas da manha e preenche toda a capacidade de armazenamento da fita, de acordo com as políticas de backup estabelecidas pela própria empresa. A gerência de TI está localizada na Matriz e nas filiais existem analistas subordinados que exercem a função de Administradores de Redes.

Como prevenção contra desastres são realizadas preventivas diárias e mensais baseadas em itens descritos em documento padrão, estabelecido pela gerência de TI da Organização. Na preventiva diária são verificadas funcionalidades de backups e restaurações em cada servidor além de antivírus, status do sistema, e acesso de serviços. Na manutenção preventiva mensal são verificados além dos itens da preventiva diária, atualizações de sistemas e programas, veracidade dos backups e restore, boot de sistema, logs e possíveis erros. Os logs depois de verificados são apagados do local atual e armazenados em um diretório especifico na própria máquina. São verificadas também atualizações de certificados e serviço de VPN.

Foram comparados os procedimentos utilizados atualmente em serviços na empresa selecionada para o estudo de caso, com a ISO 27001. Os resultados desse estudo mostraram que 87% dos itens analisados encontram-se adequados as normas da ISO 27001. Do total da amostra apenas 16 itens (13%) encontravam-se inadequados as normas (figura 1).

Dentre os itens inadequados verificou-se que a organização possui políticas de Segurança da Informação claramente descritas, entretanto, essa política foi criada e aprovada pelo Gerente responsável pela TI da empresa, não existindo a direção ou gerência de risco conforme descrita no item 4.2.1 B5 na ISO 27001. Também foram identificadas inadequações onde não existe o serviço de backup em alguns dos servidores de uma das filiais devido a falta de espaço no dispositivo de armazenamento. Além disso, não existe responsabilidade atribuída para qualquer pessoa sobre a gestão da segurança da informação, a função é gerenciada pela equipe de TI.

[pic 1]

Figura 1: Distribuição percentual dos procedimentos realizados pela empresa estudada em relação a segurança da Informação comparada com a ISO 27001 (Total de 123 itens analisados).

Ao verificar as possíveis vulnerabilidades na rede local da empresa, foi constatado que não existem portas abertas indevidamente. O acesso ssh é utilizado na porta padrão. Uma boa prática de segurança seria alterar