Baixe o app para aproveitar ainda mais
Prévia do material em texto
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Aline Zanin Conceitos básicos de segurança da informação Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: Identificar a importância da utilização da segurança da informação no contexto organizacional. Diferenciar as categorias de ativos existentes em uma empresa. Conceituar vulnerabilidade e ameaças dos ativos. Introdução A segurança da informação assume papel fundamental nas empresas, especialmente naquelas cujas informações representam diferenciais competitivos e, portanto, possuem valor próprio. A segurança da in- formação é responsável por garantir a confidencialidade, a integridade e a disponibilidade dos ativos de informação da empresa, afastando os riscos de ataques. As empresas devem sempre estar atentas às suas vulnerabilidades e ter conhecimento das ameaças existentes. Neste capítulo, você vai verificar a importância da segurança da in- formação no contexto organizacional, analisando motivos que levam as empresas a implementarem esse tipo de proteção. Você também vai estudar as diferentes categorias de ativos das empresas e vai analisar as vulnerabilidades e ameaças presentes no contexto das organizações. Segurança da informação no contexto organizacional O armazenamento de informações surgiu da necessidade de registrar hábitos, costumes e intenções nos mais diversos meios, de forma que esses registros possam ser utilizados e compreendidos futuramente pelo autor da informação e por outras pessoas. São exemplos de registros pré-históricos de informação os petróglifos, ou gravuras rupestres, que eram feitos nas pedras pelos nossos antepassados do período neolítico. Atualmente, as informações se constituem como objetos de valor para as empresas. Quando se fala em informação e, especialmente, em armazenamento e transporte de informações, o pensamento é remetido naturalmente para a tecnologia da informação e todas as facilidades que esta proporciona. No contexto organizacional, a informação pode estar relacionada, por exemplo, com os dados armazenados em software e o uso eficiente destes. Segundo Correa Junior (2011), estratégias de extração de dados podem ser utilizadas, por exemplo, para identificar um perfil de consumidor e, com isso, persona- lizar o negócio de uma empresa, estabelecendo um diferencial competitivo em relação à concorrência. Dessa forma, o conhecimento e a informação são pontos-chave nas or- ganizações, sendo necessário atentar para mecanismos que garantam a sua segurança. A segurança da informação tem como propósito proteger os ativos de informação. De acordo com Correa Junior (2011), um ativo de informação é qualquer objeto que retém partes da informação da empresa, nas suas mais diversas formas de representação e armazenamento: impressas em papel, armazenadas em discos rígidos de computadores, armazenadas na nuvem ou, até mesmo, retidas em pessoas. Segundo Correa Junior (2011) e a ABNT (2005), a segurança da informação tem como base os seguintes aspectos, denominados pilares da segurança da informação (Figura 1): Confidencialidade (confidentiality): capacidade de um sistema de im- pedir que usuários não autorizados “vejam” determinada informação que foi delegada somente a usuários autorizados a vê-la. Integridade (integrity): atributo de segurança que garante que a in- formação seja alterada somente de forma autorizada, sendo mantida, assim, correta e completa. Disponibilidade (availability): indica a quantidade de vezes que o sistema cumpriu uma tarefa solicitada sem falhas internas, para um número de vezes em que foi solicitado a fazer a tarefa. Conceitos básicos de segurança da informação2 Figura 1. Pilares da segurança da informação. Fonte: Adaptada de Dodt (2011). Con�dencialidade Segurança da Informação Integridade Disponibilidade Por que se preocupar com a segurança da informação? Existem diversos motivos para que as empresas se atentem à segurança de suas informações. Vamos falar sobre alguns deles. Roubo de dados e informações: para muitas empresas, o seu maior capital é a regra de negócios da empresa, isto é, o conhecimento retido por ela quanto ao “fazer negócio”. Por exemplo: imagine uma empresa que fábrica molhos de tomate e que tem um faturamento anual bem acima dos concorrentes, devido ao sabor diferenciado do molho. Em um dado momento, a receita do molho é descoberta pelos seus concorrentes, que começam a fabricar o mesmo molho. Dessa forma, essa empresa perde seu principal diferencial competitivo, apenas por ter perdido uma informação importante para a empresa. Impacto na operacionalização da empresa: muitas empresas dependem de seus sistemas computadorizados para o seu funcionamento. Imagine que uma invasão nos servidores de uma empresa tire seus sistemas do ar e faça com que a empresa pare de trabalhar por 24 horas. Tal fato certamente causará transtornos financeiros, operacionais e de confiança dos clientes. Sequestro de dados: nos casos em que os dados dos servidores de uma empresa são vitais para o seu funcionamento, é preocupante o risco de sequestro de dados, em que um invasor captura as informações da base de dados da empresa e cobra valores significativamente altos pelo seu resgate. 3Conceitos básicos de segurança da informação Vazamento de dados confidenciais de clientes: quando uma empresa armazena dados pessoais de clientes, por exemplo, documentação e dados financeiros, ela assume com o cliente um compromisso de responsabilidade com esses dados. Deixar o sistema vulnerável viola esse compromisso de responsabilidade, uma vez que os dados podem ser capturados direto do servidor se houver uma falha de segurança. Danos à imagem da empresa: todos os problemas citados acima causam uma quebra de confiança entre a empresa e seus clientes, o que pode causar perda de clientes e graves danos financeiros para a empresa. Mantenha sempre os softwares que utiliza nos computadores de sua casa ou empresa atualizados, inclusive o sistema operacional. É comum os fabricantes de software identificarem falhas de segurança e disponibilizarem aos seus clientes novas versões com as falhas corrigidas. Ativos de uma empresa Utiliza-se a palavra ativos para denominar tudo aquilo que possui valor para uma empresa e, por isso, precisa ser protegido (ABNT, 2005). Os ativos são elementos fundamentais da segurança da informação e a razão da existência dessa preocupação. O valor de um ativo pode estar no próprio ativo, como um servidor, ou no uso que se faz dele, como em um banco de dados, conforme leciona Correa Junior (2011). Os ativos de informação podem ser divididos nas seguintes categorias: Informações: toda e qualquer informação que a empresa possui, digi- talizada ou não. Software: esse grupo de ativos contém todos os programas de compu- tador utilizados nos processos de acesso, leitura, transmissão e arma- zenamento das informações de uma empresa. Hardware: todos os elementos físicos que apresentam valor importante para uma empresa no que diz respeito à informação; por exemplo, computadores e servidores. Conceitos básicos de segurança da informação4 Organização: nesse grupo, estão incluídos os aspectos que compõem a estrutura física e organizacional das empresas. Usuários: engloba os indivíduos que lidam com as informações no seu dia a dia de trabalho. De acordo com a norma ABNT NBR ISO/IEC 27002:2005: A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio (ASSOCIAÇÃO BRASILEIRADE NORMAS TÉCNICAS, 2005, documento on-line). Vulnerabilidade e ameaças a ativos O termo vulnerabilidade diz respeito à condição que torna um ativo um alvo mais predisposto a sofrer ameaças e invasões. Fazendo uma analogia, ao deixar a porta de sua casa aberta, você está deixando sua casa vulnerável a furtos e roubos. Isso não quer dizer que, obrigatoriamente, quando a porta estiver aberta, os ativos de sua casa serão furtados; contudo, indica que, com a porta aberta, o roubo ou furto é facilitado. O mesmo acontece em empresas com relação aos ativos de informação: ao não tomar os devidos cuidados com hardware ou software, os sistemas se tornam mais vulneráveis a ataques. Alguns exemplos de vulnerabilidades são listados a seguir, com base em Dantas (2011): Área física e do ambiente: diz respeito à vulnerabilidade na estrutura física da empresa; por exemplo, portas ou janelas desprotegidas, ins- tabilidade da energia, localização em área susceptível à inundação. 5Conceitos básicos de segurança da informação Hardware: susceptibilidade a problemas que podem danificar os equi- pamentos; por exemplo, variação de voltagem, de temperatura, poeira, umidade, radiação eletromagnética, falta de controle de mudança de configuração. Software: diz respeito às falhas em um software que facilitam a invasão ou a danificação do software e dos dados; por exemplo, falta de meca- nismo de identificação e autenticação, tabelas de senhas desprotegidas, alocação errada de direitos de acesso, falta de documentação, falta de backup. Comunicações: linhas de comunicações desprotegidas, falta de iden- tificação e autenticação de emissor e receptor, gestão inadequada da network, conexões de rede pública desprotegidas. Documentação: arquivo desprotegido, falta de controle para cópias, falta de cuidado na disponibilização da documentação. Pessoal: falta de pessoal, treinamento de segurança insuficiente, ausên- cia de conhecimento de segurança, utilização incorreta de software e hardware, falta de mecanismo de monitoramento, ausência de políticas para a utilização correta de mídia e de mensagens, procedimento ina- dequado para seleção. Os sistemas, em geral, precisam ser protegidos dessas vulnerabilidades, porque, quando elas são exploradas, podem causar diversos problemas para as empresas. Uma vulnerabilidade é geralmente explorada por uma ameaça. Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, podem provocar danos e perdas. Ameaças podem ser naturais, involuntárias ou intencionais, conforme le- ciona Dantas (2011). Uma ameaça natural é aquela que se origina de fenômenos da natureza, como terremotos, furacões, enchentes, maremotos, tsunamis, etc. Uma ameaça involuntária é aquela que resulta de ações não intencionais, mas que causam algum dano; geralmente são causadas por acidentes, erros, ou pela ação inconsciente de usuários, como é o caso de vírus eletrônicos que são ativados pela execução de arquivos anexados às mensagens de e-mail. Já uma ameaça intencional é aquela que tem por objetivo causar danos, como ataques de hackers, fraudes, vandalismos, sabotagens, espionagens, invasões e furtos de informações, dentre outras. Dantas (2011) aponta as principais ameaças a ativos apresentadas em pes- quisas sobre segurança da informação: Conceitos básicos de segurança da informação6 vírus, worm, cavalo de tróia (trojan horse); phishing, pharming e spyware; adware, spam; roubo de dados confidenciais da empresa e de clientes, da propriedade da informação e da propriedade intelectual; acesso não autorizado à informação; perda de dados de clientes; roubo de laptop, dispositivo portátil e hardware; má conduta e acesso indevido à network por funcionários e gerentes, bem como abuso de seus privilégios de acesso e utilização indevida da rede wireless; ataque de negação de serviço, invasão de sistemas e da network; acesso e utilização indevida da internet e dos recursos dos sistemas de informação; degradação da performance, destruição e/ou desfiguramento da network e do website; software de má qualidade, mal desenvolvido e sem atualização; fraude financeira e de telecomunicações; interceptação de telecomunicação (voz ou dados) e espionagem; sabotagem de dados e da network; desastres naturais; ciberterrorismo. É importante que as empresas conheçam as principais ameaças à segurança da informação, bem como as vulnerabilidades a elas associadas, para que seja possível evitar os transtornos causados pela concretização de uma ameaça. Nesse processo de análise, adentra-se no estudo do risco, que envolve entender como as ameaças ocorrem, verificar as vulnerabilidades a que a empresa está sujeita e analisar a probabilidade de concretização de ataques. Dessa forma, é possível efetuar um tratamento mais adequado aos riscos, de acordo com as reais condições da organização, conforme leciona Dantas (2011). 7Conceitos básicos de segurança da informação ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO 27002. Tecnologia da informação: técnicas de segurança: código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005. Disponível em: <http://www.fieb.org.br/download/ senai/NBR_ISO_27002.pdf>. Acesso em: 20 ago. 2018. CORREA JUNIOR, H. E. Segurança de sistemas: conceitos básicos: material adaptado da Academia Latino-Americana de Segurança - Microsoft. 2011. Disponível em: <https:// pt.scribd.com/document/84971695/aula1>. Acesso em: 20 ago. 2018. DANTAS, L. M. Segurança da informação: uma abordagem focada em gestão de riscos. Olinda, PE: Livro Rapido, 2011. DODT, C. Transformando sua política de segurança da informação em um ativo estratégico. 2011. Disponível em: <https://claudiododt.wordpress.com/2011/06/29/transformando- -sua-politica-de-seguranca-da-informacao-em-um-ativo-estrategico/>. Acesso em: 20 ago. 2018. FEDERAÇÃO DO COMÉRCIO DE BENS E DE SERVIÇOS DO ESTADO DE SÃO PAULO (FECOMÉRCIO-SP). Segurança da informação para empresas: soluções simples – grandes resultados. São Paulo: Fischer2, 2014. Disponível em: <http://www.coaliza.org.br/wp- -content/uploads/2014/05/Cartilha-Seguran%C3%A7a-da-Informa%C3%A7%C3%A3o- -para-pequenas-empresas.pdf>. Acesso em: 20 ago. 2018. Conceitos básicos de segurança da informação8 Conteúdo:
Compartilhar