Universidade de Cabo Verde Engenharia de Informtica 4 Ano

1 Trimestre - Ano Lectivo 2012/2013

Segurana na Informtica numa Instituio Escola Secundaria Ablio Duarte

Discentes: Jacqueline Miranda Ivanildo Tavares

Docente: Isaas Barreto

Contedo
1. 2. 3. Introduo ............................................................................................................................. 3 Objectivo: .............................................................................................................................. 3 Apresentao da organizao ................................................................................................ 4

3. 1. Organizao........................................................................................................................... 4 3.2. Infra-estrutura das TIC ........................................................................................................... 5 4. Estado actual da segurana Informtica da Organizao .......................................................... 9 4.1. Identificao detalhada das medidas de segurana (fsica, lgica e de recursos humanos), existentes na organizao. ............................................................................................................. 9 4.2. Identificao das atividades crticas ..................................................................................... 10 4.3. Anlise e Gesto de Risco .................................................................................................... 10 4.3.1. Segurana lgica (servidores, postos de trabalho e outros)............................................... 10 4.3.2. Segurana fsica (servidores, postos de trabalho e outros) ........................................ 11 4.3.3. Segurana de recursos Humanos ............................................................................... 12 5. 6. 7. Plano de Recuperao ......................................................................................................... 12 Proposta de outras medidas de segurana ........................................................................... 13 Proposta de poltica de segurana ....................................................................................... 14

Poltica de Passwords .................................................................................................................. 15 Poltica de preveno de vrus .................................................................................................... 15 Polticas de cpia de segurana .................................................................................................. 16 Poltica de acesso a sala dos servidores ou servidores ............................................................... 16 8. Sntese das principais medidas de segurana propostas ...................................................... 17

1. Introduo
A necessidade de segurana um fato que vem transcendendo o limite da produtividade e da funcionalidade. Para a segurana da informao, minimizar as possibilidades de ataques e consequentes prejuzos s organizaes no dependem somente dos recursos tecnolgicos disponveis, mas tambm dos aspectos humanos, processuais, jurdicos e de negcios da organizao. Ela est em nossa vida quando retiramos dinheiro da caixa eletrnico, fazemos compras pela Internet e at quando tiramos algum documento. Viver sem a Internet hoje indispensvel. Conhecer melhor a rede e os seus perigos imprescindvel. O lado mais obscuro da computao atualmente a segurana, pois uma faca de dois gumes. Se voc sabe como invadir um sistema, sabe como proteg-lo. O presente trabalho pretende analisar algumas fragilidades da rede da Escola Secundria Ablio Duarte, atravs de uma auditoria de segurana informtica, visando a resoluo dos problemas e ao mesmo tempo criar polticas, sensibilizar os funcionrios e apresentar as medidas para fazerem face aos actuais problemas de segurana e de certa forma reduzir os efeitos negativos que estas podem causar na escola.

2. Objectivo:
Este trabalho destina-se a dar uma perspectiva dos riscos de segurana que a ESAD

pode estar enfrentando e apresentar possveis solues para diminuir estes riscos e o efeito dos mesmos, sensibilizar os utilizadores quanto sua importncia para a empresa, de forma a desencadear aces que permitem fazer face as ameaas que podem ser por muitos destes desconhecidos, o que torna necessrio a existncia de polticas de segurana para fazer face a esta situao.

3. Apresentao da organizao
3. 1. Organizao
Com o objectivo de aumentar a capacidade de resposta procura e o ingresso no ensino secundrio pblico no Concelho da Praia, a ESP - Escola Secundria de Palmarejo foi criada pela portaria n 4/2003 de 17 de Maro, publicada no B.O. n 8, I Srie. Funcionando nos dois perodos de manh e tarde, a ESP abriu as suas portas aos utentes e ao pblico em geral, desde de Outubro de 2002, com uma estimativa bastante aceitvel de populao educativa, com os dados estatsticos a apontar para um total de 1574 alunos, de todos os nveis de escolaridade, distribudos por 44 turmas e cobertas por um total de 85 professores e 20 trabalhadores do quadro auxiliar. Passados seis anos da sua existncia, a Escola orgulha-se de ter hoje uma avalanche de 2054 alunos, distribudos por 60 turmas, cobertas por um total de 96 professores, habilitados com o Curso Superior e formao pedaggica especifica para a rea e natureza de disciplina que ministram. A Escola alberga alunos de diferentes nveis acadmicos e reas opcionais, provenientes de quase todas as localidades do interior e bairros da Capital. Volvidos escassos anos de existncia, orgulha-se de ser hoje uma escola com uma identificao prpria que se impe pela Organizao, Disciplina e Qualidade de Ensino, traduzidos em verdadeiros ganhos e mais valia para o nosso quadro no desenvolvimento do seu potencial e dinamizao da populao que lhe diz respeito. Considerada uma das melhores ES do pas, j vai na 6 Edio dos Finalistas em distintas reas opcionais, sem grandes avalanches da desistncia ou abandono, com os prprios dados estatsticos a falarem por si., numa altura em que j conta com alunos formados e bem vinculados no mercado de trabalho, com outros ainda a estudar no pas e no exterior, em instituies e universidades. Na perspectiva de desenvolvimento de uma poltica educativa que se pretenda cada vez mais dotada de excelncia e de qualidade, visando introduzir melhorias no s
4

na gesto dos recursos humanos, mas tambm materiais por forma a assegurar melhor apoio tcnico-pedaggico para uma avaliao eficiente e eficaz no processo ensinoaprendizagem, conta hoje com o novo modelo digital do sistema de avaliao no Ensino Secundrio, com recurso s novas tecnologias de informao que se estende desde o controle de assiduidade e pontualidade do pessoal docente e no docente, passando pela as cadernetas do professor e dos directores de Turma, e bem assim o processamento de propinas, certificados, livro de termos, declarao, etc.

3.2. Infra-estrutura das TIC

Topologia fsica

Planta do edifcio e distribuio de equipamentos de rede Piso 1

Total de 21 computadores distribudos em 7 salas de aula com pelo menos de uma em cada sala, sala da diretoria com 1 e mais duas tomadas de rede , administrao com 1 computador, secretaria laboratrios(fsica, qumica e de biologia) com pelo menos 1 na cada sala, sala de coordenao de disciplina com 1 computador, sala dos professores com pelo menos 3 computadores. H 2 witchs, uma situadas na sala dos professores e outra na sala frente a frente da diretora. Por fim a sala de bastidor, onde se encontra um bastidor e o router que liga diretamente a Nosi.
6

Piso 2

Nesse piso tem um total de 17 computadores, uma na biblioteca e mais uma na sala de atos e as restantes se encontra no total de 15 salas de aula. Na biblioteca tambm se encontra um witch de 24 portas.

Piso 3

No ultimo piso h duas salas de informtica, informtica 1 com 14 computadores no total e um switch de 24 portas. Na informtica 2 com 10 computadores. As restantes salas de aula com 9 computadores, um em cada sala. Nesse mesmo piso h uma antena wireless. Tem um cabo de rede que vai ate ao ginsio para dar acesso a rede duas salas com pelo menos um computador em cada uma delas.

4. Estado actual da segurana Informtica da Organizao

4.1. Identificao detalhada das medidas de segurana (fsica, lgica e de recursos humanos), existentes na organizao.
Pontos fortes

Vigilncia fsica 24 hora; ptimas condies de trabalhos; Existncia de salas de entretenimentos, e espaos de lazer; Grades nas portas e janelas dificultando assim as aces de intrusos; Existe controlo de acesso rede em todos os computadores, ou seja existe restrio de perfil; Servidor de actualizaes que permite actualizar automaticamente todas as maquinas ligadas rede, diariamente mas de forma ordenada; Devido localizao do servidor (Nossi)h impossibilidade de qualquer pessoa pode ter acesso fsico a mquina e sabotar os equipamentos; Bastidores sem cadeados, apenas fechados com pinos de segurana de fcil remoo; Facilidade de acesso no autorizado aos Computadores instalados nas salas de informtica; Facilidade de acesso aos servidores; No se respeita o prazo de vida dos Hardwares
Pontos fracos Softwares e Sistemas Operativos piratas

Ausncia de um gerador elctrico; Ausncia de Dispositivos contra Incndios; Todos os utilizadores de momento tm as mesmas permisses quando esto conectados rede; A Sala do Servidor encontra-se vulnervel de momento, visto que de acesso fcil, encontra-se ao lado das salas de aulas;
9

 A empresa apesar de possuir vigilncia, deparamos com muitos visitantes a circularem sem restries;

4.2. Identificao das atividades crticas

Todas as atividades realizadas na instituio so de extrema importncia e todas elas esto voltadas a uma que mais importante de todas que dar e assistir aulas.

4.3. Anlise e Gesto de Risco

4.3.1. Segurana lgica (servidores, postos de trabalho e outros)

Servidores A nvel de servidor no podemos dizer muita coisa uma vez que esta no encontra-se instalada no edifcio da ESAD, mas sim no Nosi que garante a sua segurana. Embora o servidor no se encontra na instituio do ensino, existe uma sala que atualmente se encontra um bastidor com o router que se interliga com a Nosi. Supostamente essa tal sala vir ser ocupada pelo respetivo servidor, uma vez que essas medidas de segurana referida ao servidor se enquadram perfeitamente como se o prprio servidor estivesse no edifcio. Com certeza se o servidor estivesse no edifcio, a questo de sehurana seria bem resolvida. Postos de trabalho As mquinas possuem Sistemas Operativos desactualizados assim como o antivrus; Podem ser explorados as vulnerabilidades do sistema e dos programas que possuem; Podem ser infectado por vrus enviados atravs de partilha de informaes rede; Podem instalar programas maliciosos ou no nas mquinas;
10

4.3.2. Segurana fsica (servidores, postos de trabalho e outros)

Servidores Falha ou descarga de energia elctrica; Roubo de servidores ou discos destes, visto que se encontra numa sala de fcil acesso; Incndio; Terramoto; Excesso de calor; Poeira em excesso: pode destruir fisicamente uma unidade de disco; Radiaes: podem provocar diversos problemas nos computadores; Gases corrosivos: danificar fisicamente o computador; Magnetismo: causa perda de dados em mdias magnticas; Trepidao: placas afrouxam, componentes em geral e destri discos rgidos; Foras da natureza; Paralisao dos servidores ou componentes deste.

Postos de trabalho Acesso s maquina dentro da escola, que pode sofrer vandalismo; Falha ou descarga de energia elctrica; Permisso de ligar qualquer mquina rede; Expostos a problemas como incndio e ou exploso; Terramoto; Variaes trmicas: excesso de calor; Poeira em excesso: pode destruir fisicamente uma unidade de disco; Radiaes: podem provocar diversos problemas nos computadores; Gases corrosivos: danificar fisicamente o computador; Magnetismo: causa perda de dados em mdias magnticas.

11

Outros

Existncias de Switchs que no se encontram bem protegidos; Paralisao da rede ou comunicao via Internet; A rede pode ser infectada por Worns; Os discos partilhados no possuem criptografia.

4.3.3. Segurana de recursos Humanos Em termos de recursos humanos h determinados informaes de uma funo qualquer que no dizem respeito a outras pessoas, e que por ventura em casos extremos podendo assim comprometer a prpria instituio. Com isso, por questes de segurana as informaes sensveis devem ser restritas a certas pessoas.

5. Plano de Recuperao
Segundo fomos informados quem faz o Backup Normalmente a Nosi, uma vez que o servidor fica na Nosi.

Sendo uma escola que trabalha com informaes importantes em formato electrnico, como os dados ligado aos servios financeiros, dados do trabalho dos funcionrios e dados relativos aos alunos e outros, no de se deixar de fazer cpias de segurana. Do nosso ponto de vista sugerssemos que eles adquirissem o seu prprio servidor e adoptassem o software apropriado e configurar o servio de Backup automtico, assim como tentar guardar em discos fora do edifcio.

12

6. Proposta de outras medidas de segurana Recursos Humanos

Antes da contratao: entendimento e aceitao das responsabilidades e papis, reduzindo o risco de roubo, fraude ou mau uso dos recursos; Durante a contratao: conscincia das ameaas e preocupaes relativas SI, apoio PSI nos seus trabalhos normais e consequente reduo do risco humano; Encerramento ou mudana de contratao: assegurar que as pessoas deixem a organizao ou mudem de trabalho de forma ordenada. Devoluo de ativos: controle da devoluo de todos os ativos da organizao que estejam em posse da pessoa aps o encerramento de suas atividades. Equipamentos, documentos corporativos e software; Dispositivos de computao mvel, cartes de acesso, manuais, mdias; Documentao dos conhecimentos da pessoa que so considerados importantes para a organizao. Acesso fsico tais como chaves, cartes de identificao; Alterao das senhas de acesso que a pessoa utilizava.

Outros
Restringir o acesso fsico s mquinas das pessoas no autorizado; Utilizar Proxy com senhas prevenindo contra acesso indevido; Bloqueio automtico do computador desde que este no seja utilizado durante

um tempo definido pelo administrador do sistema;

Manter comida e bebida longe dos postos para evitar eventuais acidentes que

podem deteriorar o equipamento;

Nenhum computador deve estar ligado directamente corrente elctrica mas sim

a um UPS;
13

 Guardar portteis da organizao que contm informaes sensveis em locais

seguros;
Acesso restrito instalao de programas nos computadores da empresa; Respeitar a poltica de antivrus; Fazer a criptografia dos dados que so transportados; Respeitar todas as polticas e procedimentos aplicado as senhas; Todas as informaes sensveis devem ser protegidas nos servidores de rede.

7. Proposta de poltica de segurana

Esta poltica visa fazer com que os utilizadores da rede faam o melhor uso possvel da Internet, isto , dentro dos limites da Poltica de monitoramento e filtragem dos contedos dos sites e de forma responsvel, no usando a largura de banda de forma desnecessria, prezando tambm com segurana da rede.
Filtragem das pginas visitadas

Todos os sites e protocolos que se incluem na lista abaixo so filtrados: Pginas relacionadas com sexo, musica, vdeos,..etc ; Sites de download; Chat e mensagens instantneas; Ftp Externo; Spyware. Contudo todas as proibies devem ter uma excepo, por exemplo qualquer site em que o funcionrio justificar que para promoo do seu trabalho ou que beneficiar a escola pode ser criada uma excepes e ser desbloqueada.

14

Poltica de Passwords
As senhas so importante em termos de segurana, visto que protege as contas dos utilizadores, e uma pobre senha resulta no comprometimento srio da rede, e a segurana da prpria mquina. Sendo as senhas de grande importncia devem respeitar os seguintes tpicos: Alterar as senhas que vem por defeito em muitos equipamentos; Alterar as senhas que detm todos os privilgios (root, administrador, etc.) no mnimo todos os meses; No guardar senhas em documentos, e-mail, telemveis, etc; Fazer a criptografia das senhas que traficam pela rede; Solicitar a alterao das senhas dos colaboradores que trabalham nos servios financeiros; As senhas devem estar numa base de dados ou num documento em papel, acessvel s s pessoas de confiana; No disponibilizar a outras pessoas as nossas senhas, nem ao administrador caso seja por telefone.

Poltica de preveno de vrus

Os maiores problemas dos sistemas actuais que estes so frequentemente infectados por vrus e necessitam de constantes actualizaes do antivrus para diminuir os efeitos dos danos que estes podem causar.
Processos recomendados

No abrir nenhum ficheiro ou macro anexado aos e-mails vindo de desconhecidos; Apagar os SPAM e ou mensagens ditos lixos electrnicas; Utilizar software de actualizao de antivrus que baixam uma vez e faz uma rplica pelas demais mquinas da empresa;
15

 No baixar ou usar programas desconhecidos de fontes suspeitas;

Fazer uma verificao de todos os dispositivos externos, quando ligados ao

computadores;

Polticas de cpia de segurana

Sendo a ESAD uma escola de grande porte, trabalhando com
o

novo modelo

digital do sistema de avaliao no Ensino Secundrio, com recurso s novas tecnologias de informao que se estende desde o controle de assiduidade e pontualidade do pessoal docente e no docente, passando pela as cadernetas do professor e dos directores de Turma, e bem assim o processamento de propinas, certificados, livro de termos, declarao, etc. e com diversas aplicaes no de se prescindir das cpias de segurana, de modo a garantir a manuteno.
Recomendaes

Deve existir em todos os computadores uma pasta chamada Trabalho e nos discos partilhados facilitando assim o processo de Backup; Deve existir no mnimo duas cpias, uma na escola e outro fora.

Poltica de acesso a sala dos servidores ou servidores

Sabendo que no servidor que se encontra os dados da escola e grande parte dos servios esto a funcionar no servidor, por este motivos devemos zelar pela segurana do servidor, visto a importncia deste para a escola. Desta forma segue um conjunto de medidas para o bom uso desse equipamento: Acesso apenas a pessoas autorizadas; Devem estar numa sala isolada e segura; Deve estar numa sala climatizada; Devem estar numa sala equipada com dispositivos contra incndio; Correr servios nos servidores com mnimo de privilgios possveis, e apenas os necessrios.
16

8. Sntese das principais medidas de segurana propostas

Todas as medidas ditas nas alneas anteriores de estrema importncia para o bom funcionamento de qualquer organizao/instituio que usa a tecnologia para implementar os seus negcios. Em particular as medidas que de momento de estrema importncia para a ESAD, so as medidas relacionadas com a Poltica de Segurana nos postos de trabalho e com a cpia de segurana. No posso dizer que os outros no so importantes, mas de momento o que pesa mais. Para fazer uma sntese das principais medidas para garantir uma boa segurana numa rede informtica posso salientar: Restringir o acesso fsico s mquinas das pessoas no autorizado; Utilizar Proxy com senhas prevenindo contra acesso indevido; Nenhum computador deve estar ligado directamente corrente elctrica mas sim a um UPS; Todas informaes sensveis devem ser protegidos nos servidores da rede; Filtragens de paginas que diminui o desempenho ou leva a distraco dos funcionrios; Alterar as senhas que vem por defeito em mquinas ou equipamentos; Ter antivrus e as demais aplicaes sempre actualizadas; Definir os tipos de perfis dos utilizadores e fazer as atribuies dos privilgios; Proteco e cuidado especial sobre a sala dos servidores.

17

Concluso Este projecto foi de estrema importncia, pois aprendemos que no vale somente ter um bom equipamento ou mquina topo de gama se ela no estiver protegida, pois a maioria das vezes as informaes so mais importante e muito mais cara que a prpria maquina. Por outro lado fiquei a conhecer de perto toda a estrutura TICS da ESAD, ficando um pouco decepcionado, visto que trabalha com
o

novo modelo digital do

sistema de avaliao e com recurso s novas tecnologias de informao que se estende desde o controle de assiduidade e pontualidade do pessoal docente e no docente, passando pela as cadernetas do professor e dos directores de Turma, e bem assim o processamento de propinas, certificados, livro de termos, declarao, etc, e que no zelam pela sua segurana. Por outro lado compreensvel que exista tantas falhas de segurana na escola, uma vez que ainda se encontram em fase de instalao. Mas do nosso ponto de vista h muitas medidas que no acarretam custos e de fcil implementao. Do ponto de vista global as informaes foram dadas sem nenhuma restrio, pena que no tinham muito a dizer, ento para completarmos o projecto tivemos que basear em observaes e supor alguns pontos.

18