Prévia do material em texto
Os Princípios Fundamentais da Segurança da Informação SEGURANÇA DA INFORMAÇÃO Introdução Quase todo mundo concorda que as informações privadas devem ser seguras. Mas o que são informações seguras? Elas devem satisfazer três princípios fundamentais ou propriedades de informação Os três princípios são conhecidos como CID, acrônimo de: Confidencialidade; Integridade; Disponibilidade; Disponibilidade No contexto de segurança de informação, a disponibilidade geralmente é expressa como a quantidade de tempo que um usuário pode usar um sistema, aplicativo e dados. É a garantia que o usuário terá acesso à informação sempre que necessitar. Se o serviço é essencial, ele deverá estar disponível durante todo o tempo. Disponibilidade Medidas comuns de tempo de disponibilidade incluem as seguintes: Tempo de Utilização (uptime); Tempo de Paralisação (downtime); Cálculo de disponibilidade; Tempo médio para falha (Mean Time to Failure - MTTF); Tempo médio para reparo (Mean time to repair – MTTR); Objetivo de tempo de recuperação (Recovery Time Objective – RTO). Disponibilidade Tempo de utilização (uptime): É a quantidade de tempo total em que um sistema, aplicativo e/ou dados ficam acessíveis. Geralmente esse tempo é medido em segundos, minutos e horas dentro de um mês. Disponibilidade Tempo de paralisação (downtime): É a quantidade de tempo em que um sistema, aplicativo e/ou dados. Esse tempo também é medido em segundos, minutos e horas dentro de um mês. Quanto maior o tempo de paralisação menor é a qualidade do serviço. Disponibilidade Cálculo de disponibilidade: É obtido através de um cálculo matemático em que: D = (tempo de utilização total) / (tempo de utilização total + tempo de paralização) Disponibilidade Tempo médio para falha (Mean Time do Failure - MTTF): É o tempo médio entre a ocorrência de falhas de um sistema ou de componentes. Quanto for menor esse tempo, pior será o serviço e a sua qualidade. Aqui é considerado o tempo de vida útil de um componente ou de um sistema como um todo. Disponibilidade Tempo médio de reparo (Mean Time do Repair- MTTR): É a quantidade média de tempo necerrária para reparar um sistema, aplicativo ou componente. O objetivo é colocar o sistema ou o aplicativo em atividade novamente o mais rápido possível. Dependendo do tipo de serviço o reparo deve ser imediato. Disponibilidade Objetivo de tempo de recuperação (Recovery Time Objective - RTO): É a quantidade de tempo necessária para recuperar e tornar um sistema, aplicativo e dados disponíveis para uso após uma parada. Integridade Manter os dados íntegros significa que a informação deverá permanecer intacta sobre qualquer circunstância de erro. Esse princípio lida com a qualidade dos dados, sendo que estes são um dos bens mais preciosos de uma organização (exp: direitos autorais, ações, cálculos de projetos, patentes, banco de dados de clientes, etc.). Dados que não possuem integridade, ou seja, que não sejam precisos ou não válidos, não tem uilidade. Integridade Sabotagem e corrupção de integridade de dados são sérias ameaças para uma organização, principalmente se os dados forem críticos para a operações de negócios. Integridade Fonte: KIM, D.; SOLOMON, M. G. Fundamentos de Segurança de Sistemas de Informação. São Paulo: LTC, 2014. Confidencialidade Significa proteger informações de todos, exceto daqueles que tenham direito a elas. Somente pessoas com autorização terão acesso à informação. Esse princípio protege o acesso das informações pessoais de outras pessoas sem autorização para acessá-las. Confidencialidade Com o crescimento do comércio eletrônico, mais pessoas estão fazendo compras on-line com cartões de crédito, o que exige que elas insiram dados pessoais na Internet. Os consumidores devem ter o cuidado de proteger sua identidade pessoal e dados particulares. Confidencialidade Algumas medidas de controle de segurança que ajudam a reduzir riscos: Realizar treinamentos de conscientização de segurança para funcionários; Definir controles de segurança para TI; Adiocionar proteção nas diferentes camadas de uma infraestrutura de TI. Quanto mais camadas ou compartimentos bloquearem ou protegerem dados privados e propriedade intelectual, mais difícil será encontrá-los e roubá-los; Confidencialidade Algumas medidas de controle de segurança que ajudam a reduzir riscos: Realizar periódicas avaliações de segurança e testes de penetração em Web sites e na infraestrutura de TI. É assim que profissionais de segurança verificam se instalaram os controles adequadamente; Ativar o monitoramento de segurança nos pontos de entrada e saída para a Internet; Usar estação de trabalho automatizada, antivírus de servidor e proteção contra software malicioso. Esse é o modo de manter os vírus e software malicioso fora do seu computador; Confidencialidade Algumas medidas de controle de segurança que ajudam a reduzir riscos: Introduzir novas formas de autenticação, não só por senhas. Mesmo que seja por senha é preciso aumentar o número de digitos, envolvendo letras maiúsculas e minúsculas, números, caracteres especiais, etc; Atentar-se com os erros nos softwares, protegendo suas entradas (campos) e acessos como SQL injection e negação de serviço. Confidencialidade Proteger dados privados é o processo de garantir sua confidencia- lidade, na qual as organizações precisam usar controles de segurança apropriados, específicos como: Criar políticas, padrões, procedimentos e diretrizes de acordo com os objetivos da organização para proteção e manipulação dos dados confidenciais; Classificar os dados e garantir que eles recebam tratamento por toda sua infraestrutura de TI; Adicionar criptografia no dados, permitindo que mesmo que haja acesso a tal informação, o conteúdo não será compreendido; Confidencialidade Proteger dados privados é o processo de garantir sua confidencia- lidade, na qual as organizações precisam usar controles de segurança apropriados, específicos como: Criptografar dados que cruzem a Internet pública, bem como dados armazenados em bancos e dispositivos de armazenamento; Limitar o número de acesso a sistemas críticos. Confidencialidade Enviar dados para outros computadores usando uma rede significa que você precisa tomar medidas especiais para impedir que usuários não autorizados tenham acesso a dados confidenciais. Criptografia é a prática de ocultar dados e mantê-los longe de usuários não autorizados. Encriptação é o processo de transformar dados de texto claro para texto cifrado. Dados em texto claro são aqueles que qualquer um pode ler. Texto cifrado são os dados misturados que resultam da encriptação de texto claro. Confidencialidade Nunca inclua dados particulares em uma mensagem de e-mail em texto claro. Lembre-se de que o tráfego de e-mail é transmitido pela Internet em texto claro. Além disso, nunca informe dados particulares em um Web site, se não for um sistema confiável que possa ser verificado por telefone ou outros meios. Nunca informe dados particulares em um site ou aplicativo Web que não use criptografia. Fonte: KIM, D.; SOLOMON, M. G. Fundamentos de Segurança de Sistemas de Informação. São Paulo: LTC, 2014. Referências KIM, D.; SOLOMON, M. G. Fundamentos de Segurança de Sistemas de Informação. São Paulo: LTC, 2014.