Visão geral da segurança da informação

Prévia do material em texto

Visão geral da segurança da informação
Não devemos subestimar o impacto de incidentes de segurança, que podem levar à perda de dados, vazamentos de informações pessoais, desperdício de tempo e disseminação de vírus. Essa preocupação, porém, já existia em tempos remotos: a história da segurança da informação começa com a segurança do computador. 
A necessidade de proteger locais físicos, hardware e software contra ameaças surgiu ainda durante a Segunda Guerra Mundial, quando as primeiras máquinas desenvolvidas para auxiliar os cálculos de quebra de código em comunicação foram colocadas em uso.
Vários níveis de segurança foram implementados para proteger tais equipamentos e manter a integridade de seus dados. O acesso a informações sensíveis em zonas militares, por exemplo, era controlado por meio de crachás, chaves e reconhecimento do pessoal autorizado pelos guardas de segurança. A crescente necessidade de manter a proteção acabou levando a uma segurança informática mais complexa e tecnologicamente mais sofisticada. 
Durante aqueles primeiros anos, a segurança da informação era um processo direto composto predominantemente por segurança física e esquemas simples de classificação de documentos. As ameaças primárias à segurança consistiam no roubo físico de equipamentos, em espionagem contra os produtos dos sistemas e em sabotagem.
EXPLICANDO
Um dos primeiros problemas de segurança detectados e documentados ocorreu no ano de 1960, quando um administrador de sistemas estava trabalhando em um arquivo de “mensagem do dia”, e outro administrador estava editando a senha do arquivo. Um bug de software misturou os dois arquivos, e a senha do arquivo foi armazenada no arquivo final. 
Com a crescente ocorrência de problemas de tal natureza, foi possível segmentar a segurança da informação em períodos bem distintos.
DE 1960 À ATUALIDADE
Durante a Guerra Fria, vários computadores foram dispostos a operar on-line para realizar tarefas sofisticadas, como por exemplo o IBM 701 (conhecido como Calculadora da Defesa), que interligava centrais de defesa aérea continental a bunkers terrestres, nos EUA. Este computador não foi o primeiro adotado para realizar tais ações em um contexto de guerra. Durante a Segunda Guerra Mundial, uma máquina de criptografia denominada Enigma (Figura 1) já havia sido usada para (des)criptografar códigos de guerra.
Figura 1. Enigma. Fonte: Adobe Stock. Acesso em: 20/08/2019.
A partir das décadas seguintes, foi necessário que esses computadores se comunicassem por meio de um processo menos complicado do que o envio de fitas magnéticas entre os centros de computação, até então usual. Em resposta a tal necessidade, a Agência de Projetos de Pesquisa Avançada (ARPA) começou a examinar a viabilidade de um sistema redundante de comunicação em rede para apoiar a troca de informações dos militares. Larry Roberts, conhecido como o fundador da Internet, concebeu e desenvolveu o projeto, que foi chamado de ARPANET. De certa forma, pode-se dizer que a ARPANET é a predecessora da internet.
CURIOSIDADE
Os britânicos e norte-americanos conseguiram, após a guerra, quebrar versões mais complexas da máquina. Como no caso da “submarino”, que causou constrangimento considerável às forças aliadas. A informação retirada após descriptografarem foi útil para antecipar ações das forças armadas alemãs. 
Na década seguinte, a ARPANET se tornou popular e mais amplamente utilizada, e seu uso indevido cresceu. Em dezembro de 1973, Robert M. “Bob” Metcalfe, a quem é creditado o desenvolvimento do padrão Ethernet, um dos mais populares protocolos de rede, identificou um problema significativo relacionado à segurança da ARPANET: sites remotos individuais não usavam controles, tampouco dispunham de proteções para preservar os dados de usuários remotos não autorizados. Após esse problema, outros foram encontrados:
· Vulnerabilidade de estrutura e formatos de senha;
· Ausência de procedimentos de segurança para conexões discadas;
· Identificação inexistente de usuário e autorização para o sistema.
Números de telefone foram amplamente distribuídos e publicamente divulgados nas paredes de cabines telefônicas, oferecendo aos hackers acesso fácil à ARPANET. Devido ao alcance e à frequência do computador, violações de segurança e à explosão no número de hosts e usuários na ARPANET, a rede foi rotulada como insegura. Em 1978, um famoso estudo intitulado “Relatório Final de Análise de Proteção” foi publicado, tendo como objetivo relatar, por iniciativa da própria ARPA, as vulnerabilidades da segurança da rede. 
O movimento em direção à segurança que alcançou resultados além da proteção de locais físicos começou com um único relatório patrocinado pelo Departamento de Defesa Norte-Americano, que tentou definir os múltiplos controles e mecanismos necessários à proteção de um sistema de computador multinível. O documento foi sigiloso por quase dez anos e agora é considerado o início do estudo da segurança informática.
A segurança dos sistemas, compartilhando recursos dentro do Departamento de Defesa, foi trazida à atenção dos pesquisadores na primavera e no verão de 1967. Àquela época, os sistemas estavam sendo adquiridos em um ritmo rápido, e assegurá-los era uma preocupação urgente para ambos os contratantes, militares e de defesa.
Em junho de 1967, a Agência de Projetos de Pesquisa Avançada formou uma força-tarefa para estudar o processo de garantia de sistemas de informação classificados. A força-tarefa foi montada em outubro de 1967 e se reuniu regularmente para formular recomendações, que acabaram se tornando o conteúdo do Relatório Rand R-609. Esse relatório foi o primeiro documento publicado amplamente reconhecido a identificar o papel das questões de gestão e política na segurança informática. Foi observado que a ampla utilização de componentes de rede em sistemas de informação nas forças armadas introduziu riscos de segurança que não poderiam ser mitigados pelas práticas de rotina usadas para proteger esses sistemas. 
Esse relatório sinalizou um momento crucial no histórico de segurança do computador – quando o escopo de segurança expandiu significativamente a partir da segurança de locais físicos e hardware para incluir as seguintes premissas:
Clique nos botões para saber mais
Grande parte da pesquisa inicial sobre segurança de computadores centrou-se em um sistema chamado Serviço de Informação e Computação Multiplexada (MULTICS). Embora seja obsoleto, hoje em dia, o MULTICS é digno de reconhecimento, porque foi o primeiro sistema operacional a integrar segurança em suas funções principais. Foi um mainframe (um computador de grande porte dedicado normalmente ao processamento de um volume enorme de informações), contendo um sistema operacional de compartilhamento de tempo desenvolvido no meio da década de 1960 por um consórcio da General Electric (GE), Bell Labs e do Massachusetts Institute of Technology (MIT).
Em meados de 1969, pouco após a reestruturação do projeto MULTICS, vários de seus desenvolvedores (Ken Thompson, Dennis Ritchie, Rudd Canaday e Doug McIlroy) criaram um sistema operacional chamado UNIX. Enquanto o sistema MULTICS implementou múltiplos níveis e senhas, o sistema UNIX não o fez. Sua função principal, processamento de texto, não exigia o mesmo nível de segurança que o de seu predecessor. Na verdade, só no início dos anos 1970 o componente mais simples de segurança, a função de senha, tornou-se um componente do UNIX.
Ao final dos anos 1970, o microprocessador trouxe o computador pessoal a uma nova era de computação. O PC tornou-se o cavalo de batalha da computação moderna, tirando-a da função de centro de dados. Essa descentralização dos sistemas de processamento de dados nos anos 1980 deu origem à interconexão em rede, ou seja, a interconexão de computadores pessoais e computadores servidores, o que permitiu que a comunidade global de computação fizesse todos os seus recursos funcionarem juntos.
Ao final do século XX, as redes de computadores se tornaram mais comuns, assim como a necessidade deconectar essas redes umas às outras. Isso deu origem à internet, a primeira rede global. A internet foi disponibilizada ao público geral nos anos 1990, tendo sido anteriormente um domínio do governo, da academia e da indústria dedicada a profissionais. Ela trouxe conectividade a praticamente todos os computadores que pudessem dispor de uma linha telefônica ou uma rede local (LAN) conectada à internet. 
Depois que a internet foi comercializada, a tecnologia foi difundida, alcançando quase todo o globo com uma variedade crescente de usuários. Desde a sua criação como uma ferramenta para compartilhar informações do Departamento de Defesa, a internet tem se tornado uma interconexão de milhões de redes. 
No início, essas conexões foram baseadas em normas de fato, porque os padrões da indústria para a interconexão de redes não existiam naquele momento. Esses padrões pouco fizeram para garantir a segurança da informação, embora essas tecnologias precursoras tenham sido amplamente adotadas e se tornado padrões da indústria, ao introduzirem um certo grau de segurança. No entanto, a segurança precoce da implantação da internet tratou o fenômeno como uma baixa prioridade. 
De fato, muitos dos problemas que afligem os e-mails na internet atualmente são o resultado dessa falta precoce de segurança. Naquela época, quando todos os usuários de internet e e-mail, teoricamente confiáveis, eram cientistas da computação, a autenticação de servidor e a criptografia de e-mail não pareciam necessárias. 
As abordagens iniciais de computação dependiam da segurança que foi construída no ambiente físico dos Data Centers, que abrigavam os computadores. Como a rede de computadores se tornou o estilo dominante de computação, a capacidade de proteger fisicamente uma rede foi se perdendo e as informações armazenadas ficaram mais expostas a ameaças de segurança.
Hoje, a internet é ampla, com possibilidade de haver diferentes dispositivos conectados com algum tipo de vulnerabilidade diferente que, se afetados, podem comprometer as redes de computadores. Atualmente, é vista uma consciência crescente da necessidade de melhorar a segurança da informação, a ponto de se afirmar que tal tópico de conhecimento é importante para a defesa nacional. 
A crescente ameaça de ataques cibernéticos tornou governos e empresas mais conscientes da necessidade de defender sistemas de comando e controle, e outras infraestruturas críticas. Há também crescente preocupação com os países envolvidos na guerra de informação e a possibilidade de os sistemas de informações pessoais e de negócios estarem expostos a ações indevidas.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO 
Conforme deixa claro o autor Edison Fontes ao longo de seu livro Segurança da informação: o usuário faz a diferença, de 2006, segurança da informação é o conjunto de orientações, normas, procedimentos, políticas e demais ações que têm por objetivo proteger a informação, possibilitando que o negócio da organização seja realizado e sua missão seja alcançada.
Vários termos e conceitos são essenciais a qualquer discussão em segurança da informação, como:
ACESSO
Usuários autorizados têm acesso legal a um sistema; hackers, não. Controles de acesso regulam essa habilidade.
ATIVO
É o recurso organizacional que está sendo protegido. Um ativo pode ser físico, como um computador, ou objeto tangível ou lógico, como informações e dados. Ativos de informação são o foco dos esforços de segurança, ou seja, esforços que estão tentando proteger.
ATAQUE
Um ato intencional ou não intencional que pode causar danos ou comprometer informações e/ou os sistemas que o suportam. Os ataques podem ser ativos ou passivos, intencionais ou não intencionais, e diretos ou indiretos. A situação de alguém lendo casualmente informações não destinadas ao seu uso configura um ataque passivo. Um hacker tentando invadir um sistema de informação, por sua vez, diz respeito a um ataque intencional. Um relâmpago que causa um fogo em um prédio é um ataque não intencional. Em outro exemplo, um ataque direto é um hacker usando um computador para invadir um sistema; um ataque indireto é um hacker comprometer um sistema e usá-lo para invadir outros sistemas, por exemplo, como parte de uma botnet (gíria para “rede de robôs”). Este grupo de computadores comprometidos, executando software de escolha do atacante, pode operar de forma autônoma ou sob o controle direto do atacante para atacar sistemas e roubar informações do usuário ou realizar ataques distribuídos de negação de serviço. Ataques diretos se originam da ameaça em si. Os ataques indiretos se originam de um sistema comprometido ou recurso que está funcionando mal ou está sob o controle de uma ameaça.
CONTROLE, SALVAGUARDA OU CONTRAMEDIDA
Mecanismos, políticas ou procedimentos de segurança que podem combater ataques com sucesso, reduzir riscos, resolver vulnerabilidades e outras melhorias de segurança dentro de uma organização.
EXPLOIT
Trecho de software ou sequência de comandos ou dados usados para explorar potenciais vulnerabilidades de um sistema. Agentes de ameaças podem tentar explorar um sistema ou outro ativo de informação usando-o ilegalmente para seu ganho pessoal. Um exploit também pode ser um processo documentado para tirar vantagem de uma vulnerabilidade ou exposição, geralmente em software, que é inerente ao software ou é criado pelo atacante. Exploits fazem uso de ferramentas de software existentes ou componentes de software personalizados.
EXPOSIÇÃO
Uma condição ou estado de exposição. Em segurança da informação, a exposição existe quando uma vulnerabilidade conhecida de um invasor está presente.
PERDA
Uma única instância de um ativo de informação que sofreu danos ou modificação, ou ainda divulgação não autorizada. Quando as informações de uma organização são roubadas, há uma perda.
PERFIL DE PROTEÇÃO OU POSTURA DE SEGURANÇA
Todo conjunto de controles e salvaguardas, incluindo política, educação, treinamento, conscientização e tecnologia que a organização implementa (ou falha em implementar) para proteger o ativo. Às vezes, os termos são usados de forma intercambiável com o termo “programa de segurança”, embora esse programa geralmente inclua aspectos gerenciais de segurança, incluindo planejamento pessoal e programas subordinados.
RISCO
É a probabilidade de algo indesejado acontecer. As organizações devem minimizar o risco para corresponder à quantidade e à natureza do risco que estão dispostas a aceitar.
ATACANTES E ALVOS
Um computador pode ser o autor de um ataque, um agente usado para conduzir o ataque ou o alvo de um ataque. Um computador pode ser atacante e alvo de um ataque, quando, por exemplo, ele é comprometido por um ataque (alvo) e é usado para atacar outros sistemas (atacantes).
AMEAÇA
Risco ou possível perigo de que uma situação, objeto ou determinada circunstância possa levar para sua própria vida ou de terceiros. Ameaças estão sempre presentes e podem ser intencionais ou não direcionadas. Por exemplo, hackers intencionalmente ameaçam sistemas de informação desprotegidos, enquanto tempestades severas incidentalmente ameaçam edifícios e seu conteúdo.
AGENTE DE AMEAÇA
É a instância específica ou um componente de uma ameaça. Por exemplo, todos os hackers no mundo apresentam uma ameaça coletiva, enquanto Kevin Mitnick, que foi condenado por invadir sistemas de telefonia, é um agente de ameaça específica. Da mesma forma, um relâmpago, granizo, ou tornado é um agente de ameaça que faz parte da ameaça de tempestades severas.
VULNERABILIDADE
Deficiências ou falhas em um sistema ou mecanismo de proteção que o tornam vulnerável a ataques ou danos. Alguns exemplos de vulnerabilidades são uma falha em um pacote de software, uma porta do sistema desprotegida e uma porta destrancada. Algumas vulnerabilidades conhecidas foram examinadas, documentadas e publicadas, outras permanecem latentes ou não descobertas.