I UNIVERSIDADE ESTÁCIO DE SÁ ALEXANDRE LUIZ DE OLIVEIRA GESTÃO DA SEGURANÇA DA INFORMAÇÃO NO ACESSO AOS PORTAIS FINANCEIROS BRASILEIROS RIO DE JANEIRO 2009 II ALEXANDRE LUIZ DE OLIVEIRA GESTÃO DA SEGURANÇA DA INFORMAÇÃO NO ACESSO AOS PORTAIS FINANCEIROS BRASILEIROS Dissertação apresentada à Universidade Estácio de Sá como requisito parcial para a obtenção do grau de Mestre em Administração e Desenvolvimento Empresarial Orientador: Prof. Dr. Antônio Augusto Gonçalves. RIO DE JANEIRO 2009 III Dados Internacionais de Catalogação na Publicação (CIP) O48 Oliveira, Alexandre Luiz de Gestão da segurança de informação no acesso aos portais financeiros brasileiros. / Alexandre Luiz de Oliveira. - Rio de Janeiro, 2009. 130 f. Dissertação (Mestrado em Administração e Desenvolvimento Empresarial)- IV V À minha esposa Érica, amor da minha vida, fonte de inspiração e exemplo de dedicação. VI ARADECIMENTOS Antes de tudo agradeço a Deus por todas as superações necessárias que foram providas desde o inicio do mestrado com as aulas em disciplinas isoladas, até a consolidação de mestrando e a conclusão ao titulo de mestre. Agradeço ao Professor, Dr. Antônio Augusto Gonçalves pela paciência que foi testada durante todo o período de orientação. Agradecer ao Professor Dr. Jesús Domech Moré pela cativa participação na avaliação do trabalho e ao professor Dr Carlos Eduardo Costa Vieira da Fundação Oswaldo Aranha que foi o Doutor externo na avaliação desta dissertação. Agradeço à Unimed Federação Rio pela compreensão necessária para o desenvolvimento deste trabalho. Agradecer ao Sr. Carlos Correa e ao Sr. Ralf Batista. Agradeço à minha família que durante a construção deste mestrado deve um aumento com a vinda do meu lindo filho, Alexander Luiz de Oliveira. Momento depois sofreu uma grande Perda, o meu querido avô, José João da Silva, um autêntico batalhador Brasileiro. Agradeço ao meu pai, um fresador que sempre se privou das vaidades capitalistas para poder dar educação aos filhos e a minha mãe com o poder fiscalizador nas ações acadêmicas deste o jardim. Finalmente obrigado pelo apoio e carinho que a minha esposa prestou durante não apenas este mestrado, mas sim, durante toda a minha vida. Muito Obrigado pela ajuda de todos! VII RESUMO O sistema de autenticação tradicional de usuário usado normalmente pelos sites WEB, que utiliza senha, é um ponto explorado pelos “assaltantes cibernéticos”. Os usuários de sites do setor financeiro são as vítimas preferenciais. Os fraudadores empregam desde a construção e divulgação de falsos sites até programas maliciosos para a obtenção não autorizada das senhas de acesso dos usuários. Os bancos brasileiros mantêm sites de Internet banking nos quais os clientes podem efetuar transações bancárias. Para agregar maior segurança, o processo de autenticação dos sites de Internet banking passou a utilizar teclados virtuais e, em determinadas transações, utiliza-se também uma terceira autenticação de usuário baseada em senha, normalmente denominada pelos bancos de assinatura eletrônica. Outros sistemas de autenticação de usuário possuem maior sofisticação, dificultando a ação dos criminosos em obter as senhas de acesso: tokens OTP (One Time Password) geram um único código de acesso, válido por determinado período; utilização de chaves assimétricas que são armazenadas em arquivos ou em smart cards e PIN, utilizado em conjunto com dispositivos como token. Esta pesquisa tem o objetivo de comparar as características destes sistemas de autenticação de usuário, verificando a sua aderência com a norma ISO NBR 17799:2005 Como resultado, apresenta o nível de segurança das instituições financeiras. Palavras-chave: segurança TI; internet; autenticação; segurança de acesso. VIII ABSTRACT The traditional user authentication system used normally by the WEB sites, based in passwords, is a point explored by the “cybernetic assailants” and the users of the financial sites are the preferential victims. The robbers employ since the construction and disclosure of fake sites until malicious programs to get the users' password. The Brazilian banks maintain Internet banking sites, which the clients can perform banking transactions. To add greater security, the authentication process of the Internet banking sites started to use virtual keyboards and, in specific transactions, also uses a third user authentication based on passwords, called by the banks as electronic signature. Others types of user authentication are more sophisticated, complicating the action of the criminals in obtain the access passwords: tokens OTP (One Time Password) generate only one access code, valid for a period of time; utilization of asymmetrical keys stored in files or smart cards and PIN, used together with devices as tokens. This research has the objective of compare the characteristics of these types of user authentication, as check compliances with security information ISO NBR 17799:2005. As result, it presents a security level of financial companies Keywords: IT security; internet; authentication; security access. IX SUMÁRIO 1.INTRODUÇÃO 1 1.2 PROBLEMÁTICA 4 1.3 OBJETIVO GERAL 4 1.4 OBJETIVOS ESPECÍFICOS 4 1.5 JUSTIFICATIVAS DA PESQUISA 4 1.5 ESCOPO DO TRABALHO 7 2. REFERENCIAL TEÓRICO 10 2.1 QUADRO TEÓRICO 11 2.2 ECONOMIA DIGITAL 12 2.2.1 COMÉRCIO ELETRÔNICO 14 2.2.2 MODELOS DE COMÉRCIO ELETRÔNICO 16 2.3 SERVIÇOS ELETRÔNICOS 19 2.3.1 LOJAS ELETRÔNICAS 19 2.3.2 SERVIÇOS FINANCEIROS ELETRÔNICOS 21 2.3.3 O USO DO HOME BANKING 22 2.3.4 AMEAÇAS PARA AMBIENTE DOS PORTAIS FINANCEIROS 23 2.4 SEGURANÇA DA INFORMAÇÃO 23 2.4.1 GESTÃO DA INFORMAÇÃO 26 2.4.2 NORMAS: GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO 30 2.4.3 GOVERNANÇA EM TI 32 2.4.4 LEI SARBANES-OXLEY 33 2.4.5 GESTÃO DE TECNOLOGIA DA INFORMAÇÃO – FRAMEWORK COBIT 35 2.4.6 BIBLIOTECA DE BOAS PRÁTICAS DE TI – ITIL 40 2.4.7 NORMAS NBR ISO/IEC 27.001:2006 43 2.4.8 NORMAS ABNT NBR ISO/IEC 17.799 (ISO/IEC 27.002) 47 2.4.9 POLÍTICA DA SEGURANÇA DA INFORMAÇÃO 53 2.4.10 EVIDÊNCIAS DE CONFORMIDADE 55 2.4.11 MÉTODOS DE ATAQUE 57 2.4.12 ESTRATÉGIA DE DEFESA 59 2.4.13 SEGURANÇA DA INFORMAÇÃO EM SITES FINANCEIROS 68 X 2.4.14 AMEAÇAS PARA OS PORTAIS FINANCEIROS 71 2.4.15 AMEAÇAS INTERNAS 72 2.4.16 AMEAÇAS EXTERNAS 73 2.4.17 PRINCIPAIS AMEAÇAS 75 2.4.18 SERVIÇOS DE SEGURANÇA 75 2.5 SEGURANÇA DA INFORMAÇÃO NOS PORTAIS FINANCEIROS 78 2.5.1 CICLO DE VIDA DA INFORMAÇÃO 79 2.5.2 MECANISMOS DE SEGURANÇA – USO DE SENHAS 81 2.5.4 NORMAS DE SEGURANÇA 82 2.5.5 CONFORMIDADES COM A NOMA NBR ISO IEC 17799:2005 83 3 METODOLOGIA 86 3.1 MODELO DE ANÁLISE 89 3.1.1. CONTROLE DE ACESSO 97 3.1.2 - POLÍTICA PARA O USO DE CONTROLES DE CRIPTOGRAFIA (Q1) 97 3.1.3 - TÉCNICA E TIPOS DE CRIPTOGRAFIA (Q2) 98 3.1.4 - ASSINATURA DIGITAL (Q3) 99 3.1.5 – SERVIÇOS DE NÃO REPÚDIO (Q4) 100 3.1.6 – EXISTÊNCIA DO USO DE CHAVES (Q5) 101 3.1.7 – TIPO DE CHAVES UTILIZADAS (Q6) 102 3.1.8 – CRIPTOGRAFIA DAS CHAVES (Q7) 103 3.1.9 – RESPOSTA DE QUAISQUER REQUISIÇÕES (Q8) 104 3.1.10 – RESPOSTA DE REQUISIÇÕES PRÓPRIAS E FALSAS. (Q9) 104 3.1.11 – LIMITAÇÃO DE HORÁRIOS (Q10) 106 4. RESULTADOS 107 4.1 APRESENTAÇÃO DOS RESULTADOS 107 4.2 ANALISE DOS RESULTADOS 108 5. CONCLUSÕES E RECOMENDAÇÕES 114 5.1 BENEFÍCIOS 115 5.2 OPORTUNIDADES DE PESQUISA 116 REFERÊNCIAS 118 GLOSSÁRIO 122