Академический Документы
Профессиональный Документы
Культура Документы
Contedo
1. 2. 3. Introduo ............................................................................................................................. 3 Objectivo: .............................................................................................................................. 3 Apresentao da organizao ................................................................................................ 4
3. 1. Organizao........................................................................................................................... 4 3.2. Infra-estrutura das TIC ........................................................................................................... 5 4. Estado actual da segurana Informtica da Organizao .......................................................... 9 4.1. Identificao detalhada das medidas de segurana (fsica, lgica e de recursos humanos), existentes na organizao. ............................................................................................................. 9 4.2. Identificao das atividades crticas ..................................................................................... 10 4.3. Anlise e Gesto de Risco .................................................................................................... 10 4.3.1. Segurana lgica (servidores, postos de trabalho e outros)............................................... 10 4.3.2. Segurana fsica (servidores, postos de trabalho e outros) ........................................ 11 4.3.3. Segurana de recursos Humanos ............................................................................... 12 5. 6. 7. Plano de Recuperao ......................................................................................................... 12 Proposta de outras medidas de segurana ........................................................................... 13 Proposta de poltica de segurana ....................................................................................... 14
Poltica de Passwords .................................................................................................................. 15 Poltica de preveno de vrus .................................................................................................... 15 Polticas de cpia de segurana .................................................................................................. 16 Poltica de acesso a sala dos servidores ou servidores ............................................................... 16 8. Sntese das principais medidas de segurana propostas ...................................................... 17
1. Introduo
A necessidade de segurana um fato que vem transcendendo o limite da produtividade e da funcionalidade. Para a segurana da informao, minimizar as possibilidades de ataques e consequentes prejuzos s organizaes no dependem somente dos recursos tecnolgicos disponveis, mas tambm dos aspectos humanos, processuais, jurdicos e de negcios da organizao. Ela est em nossa vida quando retiramos dinheiro da caixa eletrnico, fazemos compras pela Internet e at quando tiramos algum documento. Viver sem a Internet hoje indispensvel. Conhecer melhor a rede e os seus perigos imprescindvel. O lado mais obscuro da computao atualmente a segurana, pois uma faca de dois gumes. Se voc sabe como invadir um sistema, sabe como proteg-lo. O presente trabalho pretende analisar algumas fragilidades da rede da Escola Secundria Ablio Duarte, atravs de uma auditoria de segurana informtica, visando a resoluo dos problemas e ao mesmo tempo criar polticas, sensibilizar os funcionrios e apresentar as medidas para fazerem face aos actuais problemas de segurana e de certa forma reduzir os efeitos negativos que estas podem causar na escola.
2. Objectivo:
Este trabalho destina-se a dar uma perspectiva dos riscos de segurana que a ESAD
pode estar enfrentando e apresentar possveis solues para diminuir estes riscos e o efeito dos mesmos, sensibilizar os utilizadores quanto sua importncia para a empresa, de forma a desencadear aces que permitem fazer face as ameaas que podem ser por muitos destes desconhecidos, o que torna necessrio a existncia de polticas de segurana para fazer face a esta situao.
3. Apresentao da organizao
3. 1. Organizao
Com o objectivo de aumentar a capacidade de resposta procura e o ingresso no ensino secundrio pblico no Concelho da Praia, a ESP - Escola Secundria de Palmarejo foi criada pela portaria n 4/2003 de 17 de Maro, publicada no B.O. n 8, I Srie. Funcionando nos dois perodos de manh e tarde, a ESP abriu as suas portas aos utentes e ao pblico em geral, desde de Outubro de 2002, com uma estimativa bastante aceitvel de populao educativa, com os dados estatsticos a apontar para um total de 1574 alunos, de todos os nveis de escolaridade, distribudos por 44 turmas e cobertas por um total de 85 professores e 20 trabalhadores do quadro auxiliar. Passados seis anos da sua existncia, a Escola orgulha-se de ter hoje uma avalanche de 2054 alunos, distribudos por 60 turmas, cobertas por um total de 96 professores, habilitados com o Curso Superior e formao pedaggica especifica para a rea e natureza de disciplina que ministram. A Escola alberga alunos de diferentes nveis acadmicos e reas opcionais, provenientes de quase todas as localidades do interior e bairros da Capital. Volvidos escassos anos de existncia, orgulha-se de ser hoje uma escola com uma identificao prpria que se impe pela Organizao, Disciplina e Qualidade de Ensino, traduzidos em verdadeiros ganhos e mais valia para o nosso quadro no desenvolvimento do seu potencial e dinamizao da populao que lhe diz respeito. Considerada uma das melhores ES do pas, j vai na 6 Edio dos Finalistas em distintas reas opcionais, sem grandes avalanches da desistncia ou abandono, com os prprios dados estatsticos a falarem por si., numa altura em que j conta com alunos formados e bem vinculados no mercado de trabalho, com outros ainda a estudar no pas e no exterior, em instituies e universidades. Na perspectiva de desenvolvimento de uma poltica educativa que se pretenda cada vez mais dotada de excelncia e de qualidade, visando introduzir melhorias no s
4
na gesto dos recursos humanos, mas tambm materiais por forma a assegurar melhor apoio tcnico-pedaggico para uma avaliao eficiente e eficaz no processo ensinoaprendizagem, conta hoje com o novo modelo digital do sistema de avaliao no Ensino Secundrio, com recurso s novas tecnologias de informao que se estende desde o controle de assiduidade e pontualidade do pessoal docente e no docente, passando pela as cadernetas do professor e dos directores de Turma, e bem assim o processamento de propinas, certificados, livro de termos, declarao, etc.
Topologia fsica
Total de 21 computadores distribudos em 7 salas de aula com pelo menos de uma em cada sala, sala da diretoria com 1 e mais duas tomadas de rede , administrao com 1 computador, secretaria laboratrios(fsica, qumica e de biologia) com pelo menos 1 na cada sala, sala de coordenao de disciplina com 1 computador, sala dos professores com pelo menos 3 computadores. H 2 witchs, uma situadas na sala dos professores e outra na sala frente a frente da diretora. Por fim a sala de bastidor, onde se encontra um bastidor e o router que liga diretamente a Nosi.
6
Piso 2
Nesse piso tem um total de 17 computadores, uma na biblioteca e mais uma na sala de atos e as restantes se encontra no total de 15 salas de aula. Na biblioteca tambm se encontra um witch de 24 portas.
Piso 3
No ultimo piso h duas salas de informtica, informtica 1 com 14 computadores no total e um switch de 24 portas. Na informtica 2 com 10 computadores. As restantes salas de aula com 9 computadores, um em cada sala. Nesse mesmo piso h uma antena wireless. Tem um cabo de rede que vai ate ao ginsio para dar acesso a rede duas salas com pelo menos um computador em cada uma delas.
4.1. Identificao detalhada das medidas de segurana (fsica, lgica e de recursos humanos), existentes na organizao.
Pontos fortes
Vigilncia fsica 24 hora; ptimas condies de trabalhos; Existncia de salas de entretenimentos, e espaos de lazer; Grades nas portas e janelas dificultando assim as aces de intrusos; Existe controlo de acesso rede em todos os computadores, ou seja existe restrio de perfil; Servidor de actualizaes que permite actualizar automaticamente todas as maquinas ligadas rede, diariamente mas de forma ordenada; Devido localizao do servidor (Nossi)h impossibilidade de qualquer pessoa pode ter acesso fsico a mquina e sabotar os equipamentos; Bastidores sem cadeados, apenas fechados com pinos de segurana de fcil remoo; Facilidade de acesso no autorizado aos Computadores instalados nas salas de informtica; Facilidade de acesso aos servidores; No se respeita o prazo de vida dos Hardwares
Pontos fracos Softwares e Sistemas Operativos piratas
Ausncia de um gerador elctrico; Ausncia de Dispositivos contra Incndios; Todos os utilizadores de momento tm as mesmas permisses quando esto conectados rede; A Sala do Servidor encontra-se vulnervel de momento, visto que de acesso fcil, encontra-se ao lado das salas de aulas;
9
A empresa apesar de possuir vigilncia, deparamos com muitos visitantes a circularem sem restries;
Servidores Falha ou descarga de energia elctrica; Roubo de servidores ou discos destes, visto que se encontra numa sala de fcil acesso; Incndio; Terramoto; Excesso de calor; Poeira em excesso: pode destruir fisicamente uma unidade de disco; Radiaes: podem provocar diversos problemas nos computadores; Gases corrosivos: danificar fisicamente o computador; Magnetismo: causa perda de dados em mdias magnticas; Trepidao: placas afrouxam, componentes em geral e destri discos rgidos; Foras da natureza; Paralisao dos servidores ou componentes deste.
Postos de trabalho Acesso s maquina dentro da escola, que pode sofrer vandalismo; Falha ou descarga de energia elctrica; Permisso de ligar qualquer mquina rede; Expostos a problemas como incndio e ou exploso; Terramoto; Variaes trmicas: excesso de calor; Poeira em excesso: pode destruir fisicamente uma unidade de disco; Radiaes: podem provocar diversos problemas nos computadores; Gases corrosivos: danificar fisicamente o computador; Magnetismo: causa perda de dados em mdias magnticas.
11
Outros
Existncias de Switchs que no se encontram bem protegidos; Paralisao da rede ou comunicao via Internet; A rede pode ser infectada por Worns; Os discos partilhados no possuem criptografia.
4.3.3. Segurana de recursos Humanos Em termos de recursos humanos h determinados informaes de uma funo qualquer que no dizem respeito a outras pessoas, e que por ventura em casos extremos podendo assim comprometer a prpria instituio. Com isso, por questes de segurana as informaes sensveis devem ser restritas a certas pessoas.
5. Plano de Recuperao
Segundo fomos informados quem faz o Backup Normalmente a Nosi, uma vez que o servidor fica na Nosi.
Sendo uma escola que trabalha com informaes importantes em formato electrnico, como os dados ligado aos servios financeiros, dados do trabalho dos funcionrios e dados relativos aos alunos e outros, no de se deixar de fazer cpias de segurana. Do nosso ponto de vista sugerssemos que eles adquirissem o seu prprio servidor e adoptassem o software apropriado e configurar o servio de Backup automtico, assim como tentar guardar em discos fora do edifcio.
12
Outros
Restringir o acesso fsico s mquinas das pessoas no autorizado; Utilizar Proxy com senhas prevenindo contra acesso indevido; Bloqueio automtico do computador desde que este no seja utilizado durante
a um UPS;
13
seguros;
Acesso restrito instalao de programas nos computadores da empresa; Respeitar a poltica de antivrus; Fazer a criptografia dos dados que so transportados; Respeitar todas as polticas e procedimentos aplicado as senhas; Todas as informaes sensveis devem ser protegidas nos servidores de rede.
Todos os sites e protocolos que se incluem na lista abaixo so filtrados: Pginas relacionadas com sexo, musica, vdeos,..etc ; Sites de download; Chat e mensagens instantneas; Ftp Externo; Spyware. Contudo todas as proibies devem ter uma excepo, por exemplo qualquer site em que o funcionrio justificar que para promoo do seu trabalho ou que beneficiar a escola pode ser criada uma excepes e ser desbloqueada.
14
Poltica de Passwords
As senhas so importante em termos de segurana, visto que protege as contas dos utilizadores, e uma pobre senha resulta no comprometimento srio da rede, e a segurana da prpria mquina. Sendo as senhas de grande importncia devem respeitar os seguintes tpicos: Alterar as senhas que vem por defeito em muitos equipamentos; Alterar as senhas que detm todos os privilgios (root, administrador, etc.) no mnimo todos os meses; No guardar senhas em documentos, e-mail, telemveis, etc; Fazer a criptografia das senhas que traficam pela rede; Solicitar a alterao das senhas dos colaboradores que trabalham nos servios financeiros; As senhas devem estar numa base de dados ou num documento em papel, acessvel s s pessoas de confiana; No disponibilizar a outras pessoas as nossas senhas, nem ao administrador caso seja por telefone.
No abrir nenhum ficheiro ou macro anexado aos e-mails vindo de desconhecidos; Apagar os SPAM e ou mensagens ditos lixos electrnicas; Utilizar software de actualizao de antivrus que baixam uma vez e faz uma rplica pelas demais mquinas da empresa;
15
computadores;
novo modelo
digital do sistema de avaliao no Ensino Secundrio, com recurso s novas tecnologias de informao que se estende desde o controle de assiduidade e pontualidade do pessoal docente e no docente, passando pela as cadernetas do professor e dos directores de Turma, e bem assim o processamento de propinas, certificados, livro de termos, declarao, etc. e com diversas aplicaes no de se prescindir das cpias de segurana, de modo a garantir a manuteno.
Recomendaes
Deve existir em todos os computadores uma pasta chamada Trabalho e nos discos partilhados facilitando assim o processo de Backup; Deve existir no mnimo duas cpias, uma na escola e outro fora.
17
Concluso Este projecto foi de estrema importncia, pois aprendemos que no vale somente ter um bom equipamento ou mquina topo de gama se ela no estiver protegida, pois a maioria das vezes as informaes so mais importante e muito mais cara que a prpria maquina. Por outro lado fiquei a conhecer de perto toda a estrutura TICS da ESAD, ficando um pouco decepcionado, visto que trabalha com
o
sistema de avaliao e com recurso s novas tecnologias de informao que se estende desde o controle de assiduidade e pontualidade do pessoal docente e no docente, passando pela as cadernetas do professor e dos directores de Turma, e bem assim o processamento de propinas, certificados, livro de termos, declarao, etc, e que no zelam pela sua segurana. Por outro lado compreensvel que exista tantas falhas de segurana na escola, uma vez que ainda se encontram em fase de instalao. Mas do nosso ponto de vista h muitas medidas que no acarretam custos e de fcil implementao. Do ponto de vista global as informaes foram dadas sem nenhuma restrio, pena que no tinham muito a dizer, ento para completarmos o projecto tivemos que basear em observaes e supor alguns pontos.
18