| |
| Acadêmico(a): Fernando Lucio Cugik |
| Título: Software Livre para Verificação de Adequação de Servidores GNU/Linux a Norma de Segurança NBR ISO/IEC 27002 |
| |
| Introdução: |
Atualmente, na sociedade da informação, ao mesmo tempo que as informações são consideradas o principal patrimônio de uma organização, estão também sob constante risco, de forma como nunca estiveram antes. Com isso, a segurança de informações tornou-se um ponto crucial para a sobrevivência das instituições (DIAS, 2000, p. 40).
A evolução tecnológica permitiu o aumento da capacidade, barateamento e larga utilização dos computadores e redes, mas também trouxe maior preocupação com a segurança das informações. Esta se torna mais complexa quando se tem uma grande quantidade de informações, que podem estar disponíveis de diversas formas e acessadas simultaneamente por pessoas com privilégios diferentes. Além disso, são descobertas um número cada vez maior de vulnerabilidades e ameaças explorando estes sistemas informatizados.
Dias (2000, p. 40) diz que nunca foi tão fácil atacar os sistemas informatizados, já que os sistemas de informações institucionais conectados em redes externas aumentam significativamente os riscos de segurança, além de muitas ferramentas de ataque utilizadas antigamente apenas por agências de inteligência hoje estarem disponíveis a qualquer pessoa.
Observando os números do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (2007), em 2006 o total de incidentes reportados foi 191% maior do que o total de 2005 e ainda assim 37% superior a soma dos anos de 2004 e 2005. Um aumento significativo que leva a questionar se as ações de segurança seriam tomadas na mesma proporção. Para o ano de 2007, a estatística parcial até o mês de setembro mostra uma estabilização e redução de 6 % em relação ao mesmo período de 2006.
Percebe-se que as preocupações com segurança aumentam e a possibilidade de uma invasão, ataque, ou a quebra de confidencialidade impõe responsabilidades, exigindo das organizações ações apropriadas. Para orientar estas ações, surgiu a necessidade de criar padrões ou normas com o objetivo de definir e organizar os aspectos de segurança da informação.
Um dos primeiros esforços para criar recomendações de segurança, foi o Orange Book, conhecido oficialmente como Trusted Computer Evaluation Criteria – DoD 5200.28-STD, publicado pelo departamento de defesa dos Estados Unidos. O lançamento de seu primeiro rascunho foi em 1978 e pode ser considerado o marco inicial na busca de controles que permitam um ambiente computacional ser classificado de acordo com níveis de segurança.
Atualmente, as normas de segurança British Standard (BS) 7799 e a International Organization for Standardization (ISO) / International Engineering Consortium (IEC) 17799, renomeada para 27002, são as mais citadas quando se fala de segurança da informação. Em primeiro de julho de 2007, a ISO e a IEC publicaram uma correção técnica para a norma ISO/IEC 17799:2005, que altera o seu nome para ISO/IEC 27002 e a coloca na série 27000, criada para agrupar as normas de segurança da informação. Embora as pesquisas foram baseadas na norma anterior, este trabalho já se refere a nova norma, ou ao novo nome
corrigido.
Os administradores do sistema operacional GNU/Linux muitas vezes implementam a segurança do servidor de uma forma independente, básica ou otimizada, mas nem sempre padronizada com a política de segurança da organização, ou com as melhores práticas recomendadas. Sendo assim, como a norma visa atender de uma forma mais abrangente a todos os sistemas e processos das organizações, verificou-se a possibilidade de aplicar a especificidade dos controles e requisitos da norma ao sistema operacional GNU/Linux,
ajudando seus administradores no processo de auditoria e verificação de segurança nesses sistemas.
Uma ferramenta que seja construída de acordo com as recomendações da norma, com o objetivo de verificar o nível de aderência de servidores, serviços ou sistemas à norma de segurança NBR ISO/IEC 270021 seria de grande importância para as organizações que pretendem melhorar sua segurança em servidores GNU/Linux. |
| |
|
