GESTÃO DA SEGURANÇA DA INFORMAÇÃO

Depois de muitos anos de “insegurança da informação”, temos presenciado algumas vitórias importantes. Desta vez, com força de Norma, a gestão de segurança da informação é marcada pela distinção entre as empresas, com o mesmo impacto e diferencial causados pelas ISO 9001, 9002 e outras, que muitas empresas enfatizam com orgulho e vantagem competitiva no mercado. Finalmente isto poderá atingir, a curto prazo, os aspectos de segurança da informação das empresas, como autenticação da sua qualidade em segurança. No mês de agosto de 2001, a norma britânica BS 7799 – Gestão de Segurança da Informação, teve seu conteúdo aprovado pela ISO, para passar a ser ISO 17799.

Para as empresas em geral, a adoção deste padrão dar-se-á, em primeiro lugar, para que as mesmas mostrem ao mercado que existe efetivamente uma estrutura adequada e que garante a segurança da informação em função das suas necessidades de negócio e, em segundo lugar, para assegurar e demonstrar que o padrão existente é o melhor possível – definido em norma. Assim como as normas ISO voltadas à qualidade, esta tende a ser também um diferencial de competição para as empresas que estiverem aderentes a ela. A atual norma inglesa BS7799 não se limita a aspectos meramente técnicos de processamento, IT e redes, mas abrange todos os aspectos de segurança da organização. Os itens são:

Política de Segurança;
Organização da Segurança; 
Gestão de Ativos; 
Segurança de Pessoal; 
Gestão da Segurança Física;
Procedimentos de Operação de Processamento de Dados e de Rede; 
Controle de Acesso; 
Procedimentos de Desenvolvimento e Manutenção de Sistemas; 
Gestão da Continuidade de Negócios; 
Aderência à Legislação.

Ora, evidentemente a maioria das grandes empresas certamente já se preocupou em algum momento com alguns destes itens e, provavelmente já até os tenha implantado, no todo ou em parte. A questão que vem a seguir é que se o que existe atualmente está compatível com o conteúdo, ou o que preconiza a norma.

Caso, embora a empresa tenha despendido esforços para implantar alguns itens, estes não estejam de acordo, far-se-á necessária uma revisão total dos processos, contando com um diagnóstico inicial, um projeto de adequação e com o desenvolvimento de mecanismos de controle. De qualquer forma, esteja ou não implantada a segurança de forma adequada, estas normas trarão uma oportunidade de uma revisão abrangente no âmbito empresarial. Além disso, podemos concluir que esta análise consumirá recursos e exigirá pessoas experientes neste trabalho, o que tende a causar uma grande procura pelo mercado de profissionais gabaritados e conhecedores das normas mencionadas.

Carlos Caruso (caruso@planeta3.com.br) é Consultor em Segurança Empresarial e de Informações pelas empresas SegNet / C4 e atual vice-presidente do Chapter Brasil da ASIS – American Society for Industrial Security

Link original http://www.securenet.com.br

 

Roney Médice

Analista de Sistemas e Bacharel em Direito

DNS Reverso no Bind 9.x

Recentemente, tive um problema de configuração de DNS Reverso que me impossibilitou o envio de e-mails para determinados clientes, pois o servidor de SMTP (Simple Mail Transfer Protocol) do destinatário requisitava dns reverso para que a comunicação entre os servidores de SMTP fosse estabelecida.

Com isso, achei por bem solidifcar esse conteúdo que pode ser insignificante a primeira vista, mas com certeza algum dia, o adminstrador de rede irá se deparar com essa situação. A configuração no BIND 9.x, não é difícil, basta seguir um roteiro e pronto, ligar para a operadora da banda larga e solicitar um teste de transferência de zonas do master para o slave, que iremos tratar abaixo.

Primeiramente, no arquivo named.conf (/etc/named.conf) da distribuição Suse, edite o arquivo incluindo a zona reversa, respeitando a seguinte lógica para as zonas conforme o bloco de endereçamento de ip:

Observe na tabela abaixo o formato da zona que deve ser configurada, dependendo do bloco associado.

      Bloco                                          Zona

XXX.YYY.ZZZ.0/24              ZZZ.YYY.XXX.in-addr.arpa

XXX.YYY.ZZZ.0/26         0-63.ZZZ.YYY.XXX.in-addr.arpa

XXX.YYY.ZZZ.64/2       64-127.ZZZ.YYY.XXX.in-addr.arpa

XXX.YYY.ZZZ.128/26    128-191.ZZZ.YYY.XXX.in-addr.arpa

XXX.YYY.ZZZ.192/26    192-255.ZZZ.YYY.XXX.in-addr.arpa

 

Atenção na inversão dos octetos onde, XXX.YYY.ZZZ no bloco se transformam em ZZZ.YYY.XXX na zona.

Então, no named.conf, adicione a seguinte linha:

zone “<zona reversa>”  {

           type master;

           file “ZZZ.YYY.XXX.in-addr.arpa.zone”; (exempo para o bloco XXX.YYY.ZZZ.0/24 )

           allow-transfer { ip do provedor autorizado para receber as zonas; };

};

Na distribuição Suse, dentro de /var/lib/named, crie o arquivo ZZZ.YYY.XXX.in-addr.arpa.zone e adicione as informações pertinentes a um arquivo de zone, como SOA, NS, PTR e etc. Não esqueça de colocar o ip reverso, como por exemplo:

5    IN     PTR    exemplo.dominio.com.br.

Salve o arquivo e reinicie o named (service named restart) e teste as configurações com o comando host:

host XXX.YYY.ZZZ.5

A resposta deverá ser XXX.YYY.ZZZ.5 pointer to exemplo.dominio.com.br

 

Roney Médice

Analista de Sistemas e Bacharel em Direito

 

Inglaterra questiona segurança do TCP/IP

O protocolo TCP/IP, um dos pilares da internet, tem sérias falhas de origem, diz órgão do governo britânico.

Esse alerta foi dado pelo Centre for Protection of the National Infrastructure (CPNI), órgão do governo britânico que se ocupa de segurança digital. O CPNI publicou um relatório no qual

O CPNI ressalta que o protocolo TCP/IP está em atividade desde 1983, e nem todas as técnicas nele utilizadas são seguras. Para a agência do governo, dada a época em que foram concebidas, “muitas especificações de protocolos põem o foco apenas nos aspectos operacionais e deixam de lado as implicações de segurança”.

Ao longo do tempo vulnerabilidades foram descobertas e corrigidas. Mas o CPNI vê com reservas até mesmo a essas correções.  “Em muitos casos, os fornecedores implementam correções rápidas ao protocolo sem fazer uma análise cuidadosa de sua efetividade e de seu impacto sobre a interoperabilidade”, aponta o relatório.

“Em conseqüência”, conclui o relatório, “qualquer sistema construído no futuro de acordo com as especificações oficiais do TCP/IP pode ressuscitar falhas de segurança que já haviam afetados nos sistemas de comunicação no passado”.

O alerta do órgão de segurança digital do governo inglês é feito no mesmo momento em que dois pesquisadores na Suécia descobriram uma falha grave no protocolo TCP (veja nota sobre o assunto). Os pesquisadores expressaram certa dificuldade em chamar a atenção dos fornecedores para o problema. Talvez o alerta oficial do CPNI reforce a idéia.

O relatório apresenta uma série de recomendações sobre como trabalhar com segurança usando o protocolo TCP/IP, mas não chega a propor uma solução radical para o problema. Supostamente, uma solução para valer exigiria o desenvolvimento de nova versão dos protocolos. Mas isso é algo bastante complicado, tendo em vista a extraordinária difusão do TCP/IP, hoje usado universalmente tanto na internet como em redes internas.

Um resumo do relatório do CPNI está neste endereço:http://www.cpni.gov.uk/WhatsNew/3680.aspx

Fonte: Carlos Machado – 03/10/2008 – InfoWord

Roney Médice

Analista de Sistemas e Bacharel em Direito

Configurar notificação de novo e-mail no Outlook

Para habilitar a opção de notificação de um novo e-mail no programa Outlook, siga os passos abaixo descritos:

 

1)    Abra o Programa Outlook no computador no perfil (usuário desejado);

2)    Na barra de ferramentas que se encontra no canto superior da tela, clique na opção “Ferramentas” e depois em “Opções;

3)    Na janela que vai ser aberta após clicar em “opções”, clique na aba chamada “Preferências” e depois no botão “Opções de E-mail”, para alterar as configurações de controle de e-mail;

4)    O próximo passo é clicar no botão “Opções de e-mail avançadas” para abrir outra janela onde será feito a ativação de notificação de recebimento de um novo e-mail;

5)     Selecione a opção “Mostrar um ícone de envelope na área de notificação”. Para finalizar, clique no botão “OK”;

6)     Quando chegar um novo e-mail, no canto inferior direito da tela, próximo do relógio do Windows, aparecerá uma figura de um envelope, informando que um novo e-mail chegou na caixa postal e ainda não foi lido.

 

Roney Médice

Analista de Sistemas e Bacharel em Direito

Habilitar o corretor ortográfico no Programa de E-mail Outlook

Para habilitar a correção ortográfica de e-mail no programa Outlook, siga os passos abaixo descritos:

  

1)    Abra o Programa Outlook no computador no perfil (usuário desejado);

2)    Na barra de ferramentas que se encontra no canto superior da tela, clique na opção “Ferramentas” e depois em “Opções”;

 

3)    Na janela que vai ser aberta após clicar em “opções”, clique na aba chamada “Ortografia” para configurar a opção de correção ortográfica no e-mail. Após clicar na aba “Ortografia”, marque as duas opções abaixo: “Sempre verificar ortografia antes de enviar” e “Ignorar texto da mensagem original em respostas/encaminhamentos”;

4)     Clique no botão “OK” e a correção ortográfica estará habilitada;

 

5)      Antes de enviar um e-mail, o Outlook irá verificar a ortografia e quando encontrar um erro vai ser aberto uma janela com as opções de “Ignorar uma vez”, “Ignorar todas”, “Adicionar ao dicionário”, “Alterar”, “Alterar todas” ou “Cancelar”;

 

6)     Para corrigir uma palavra que foi digitada errada, verifique a sugestão dada pelo verificador ortográfico e clique em alterar. O e-mail antes de ser enviado, será corrigido e todas as palavras que estiverem erradas e a opção alterar for escolhida, o programa irá alterar a palavra errada pela correta e o e-mail será enviado com a ortografia correta;

 

7)     O e-mail será enviado com as devidas correções ortográficas, fazendo com que a mensagem seja recebida pelo destinatário sem erros grosseiros de digitação, transparecendo profissionalismo e conhecedor da língua portuguesa.

 

Roney Médice

Analista de Sistemas e Bacharel em Direito