3 Segurança da informação - Vulnerabilidade, ameaça e risco

•

ESTÁCIO

Maia Maia

28/12/2022

Prévia do material em texto

Segurança da Informação:
Vulnerabilidade,
Ameaça e Risco
Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05

SST
Schirigatti, Jackson Luis
Segurança da Informação: Vulnerabilidade, Ameaça e
Risco / Jackson Luis Schirigatti
Ano: 2020
nº de p. : 10
Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados.
Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05
Segurança da Informação:
Vulnerabilidade, Ameaça e
Risco
3
Apresentação
Neste material, vamos conhecer alguns termos importantes, frequentemente utilizados
com relação à segurança da informação, entendo o que cada um deles significa e
como eles devem ser tratados para a garantia da segurança das informações.
Vulnerabilidade
Para a ISO 27001:2013, a vulnerabilidade é uma fraqueza de um ativo ou grupo
de ativos que pode ser explorada por uma ou mais ameaças. A vulnerabilidade
caracteriza a ausência de uma proteção que pode ser explorada.
Segundo Machado (2014, p. 52), “[...] as vulnerabilidades são
pontos que, ao serem explorados por pessoas mal-intencionadas,
afetam a confidencialidade, a disponibilidade e a integridade das
informações de um indivíduo ou empresa”.
Atenção
A vulnerabilidade é a condição intrínseca ao corpo, objeto receptor ou informação
receptora que, com interação com a magnitude do evento ou acidente, caracteriza
os efeitos adversos, medido em termos de intensidade dos possíveis dados
ocorridos. “Vulnerabilidade pode ser um software, hardware, ou falha de um
processo que pode fornecer a um ataque uma porta aberta que ele está à procura,
para entrar em um computador ou rede e ter acesso não autorizado aos recursos
[...]” (MACHADO, 2014, p. 53).
Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05
4
Ameaça
Ameaça é “qualquer perigo potencial para a manutenção dos princípios da
segurança da informação” [(integridade, disponibilidade e confiabilidade)]
(MACHADO, 2014, p. 53).
Para a ISO 27001:2013, ela é um potencial causa de um incidente não desejado,
resultado em prejuízos ao sistema ou à organização.
Já para Galvão (2015, p. 18), ameaça é “[...] todo e qualquer fator capaz de,
eventualmente, causar um incidente ou problema que possa prejudicar uma
organização de alguma forma”.
Ameaça
Plataforma Deduca (2020).
Sêmula (2003 apud GALVÃO, 2015, p. 18) comenta ainda que “[...] podemos
considerar ameaças, agentes ou condições que geram incidentes que afetam
a integridade das informações e outros ativos, por meio da exploração de
vulnerabilidades, provocando perdas que causem impactos aos negócios da
empresa”.
Para o autor, as ameaças são classificadas em:
• Desastres naturais;
• Humanos;
• Não maliciosos;
• Maliciosos;
• Colaboradores desgostosos ou revoltados;
• Pessoas externas, como: hackers, criminosos ou concorrência.
Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05
5
Podemos ainda somar a essa lista:
• Vazamentos de informações;
• Violação de integridade;
• Indisponibilidade de serviços de informática;
• Acesso e uso não autorizados.
Com relação às ameaças de vazamentos de informações ou a disponibilização
externa de dados de uma empresa, elas podem ser voluntárias e involuntárias.
Segundo Machado (2014), as informações involuntárias são provocadas por falha
de hardware, desastres naturais, mensagem enviada a um endereço incorreto,
erros de programação. Já as falhas voluntárias são provocadas por pessoas mal-
intencionadas e consiste no roubo deliberado de dados, espionagem entre empresas
ou organizações, fraudes por meio de adulteração de dados com identificação de
usuários roubada, sabotagem, invasão de sites por hackers.
A ameaça de acesso e de uso não autorizado acontece quando
um recurso de um sistema, site ou rede (um programa, dados,
relatórios) é utilizado por uma pessoa não autorizada ou de forma
não autorizada (MACHADO, 2014).
Curiosidade
Esses ataques são ameaças aos processos e aos canais de comunicação. Nos
dois casos, o ataque pode vir de um computador conectado à rede ou pode vir de
um atacante em potencial que esteja conectado de maneira não autorizada. Um
processo projetado para manipular informações de pedidos pode receber uma
mensagem de qualquer outro processo e não ser capaz de identificá-lo.
Servidores
Os servidores de computadores, sejam eles de correio eletrônico, de arquivos,
de impressões, de banco de dados ou web, podem receber pedidos de
diversos clientes diferentes, mas determinadas identificações podem ser
falsas.
Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05
6
Ataques
Com relação aos ataques aos canais de comunicação, um invasor
pode manipular ou inserir mensagens quando elas trafegam na rede de
computadores e em sistemas conectados à rede, como rotadores e switches.
Violação de integridade
A ameaça de violação de integridade compreende “o comprometimento
da consistência de dados ou do sistema por intermédio de alterações não
autorizadas de dados.” (MACHADO, 2014, p. 61).
Pode ser considerada violação de integridade qualquer alteração de uma página de
um site, um erro de software, manipulação de um banco de dados etc. As ameaças
de violação de integridade dependem de ataques de entrada ao sistema e na rede de
computadores.
Violação de integridade
Plataforma Deduca (2020).
Veja que as ameaças precisam burlar a identificação para entrarem na rede de
computadores ou enviarem identificações falsas, para realizarem a tentativa de
violação da integridade das informações, como salvar cópias de mensagens e
reproduzi-las posteriormente para o uso indevido. Ou até mesmo a modificação ou
destruição das informações de um servidor de correio eletrônico, de sistema de
arquivos ou de um banco de dados.
Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05
7
A ameaça de indisponibilidade de serviços de informática é “o impedimento
deliberado de acesso aos recursos computacionais por usuários autorizados ou
não.” (MACHADO, 2014, p. 61).
Tais ameaças podem ser ataques a servidores web para que sejam impedidos
de executar as tarefas nos sites. Após o invasor violar o acesso à rede de
computadores e aos servidores, bem como a integridade das informações, as
ameaças podem violar o princípio de indisponibilidade de serviços de informática
que podem ser a de “negação de serviço”.
Essa é uma forma de ataque que interfere nas atividades dos usuários autorizados,
gerando uma sobrecarga nos serviços, como alto processamento, redução da largura
de banda, solicitações de acessos inválidos, disponibilidade de armazenamento e
outras ameaças.
Risco
Risco “[...] é um pouco semelhante ao conceito de ameaça, já que se apresenta
como situações potenciais, ou seja, que não aconteceram ainda, mas que podem
acontecer e, portanto, ser evitadas” (GALVÃO, 2015, p. 23).
Para a ISO 27001:2013, um risco é a probabilidade de um agente ameaçador tirar
vantagem de uma vulnerabilidade e o correspondente impacto nos negócios.
A ameaça é o evento ou incidente, enquanto a vulnerabilidade é a fragilidade que será
explorada para que a ameaça se torne concreta. Ameaças podem assumir diversas
formas, como furto de equipamentos, mídia e documentos, escuta não autorizada,
incêndio, inundação e radiação eletromagnética, até fenômenos climáticos e sísmicos.
Por exemplo, um computador cuja senha seja do conhecimento de todos sofre
ameaças, como roubo, destruição ou alteração de informações; a vulnerabilidade que
permite que estas ameaças se concretizem é justamente a senha ser conhecida e
compartilhada por todos (BEZZERA, 2013, p. 47).
Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05
8
A gestão dos riscos
Fonte: Plataforma Deduca (2020)
Já um exemplo da relação de vulnerabilidade, risco e ameaça em um cenário
organizacional é a contaminação de um vírus de computador como possível ameaça
a um servidor debanco de dados. As informações em uma base de dados em um
servidor estão vulneráveis a essa ameaça (contaminação de vírus).
O risco de um vírus destruir os dados de um banco de dados é uma situação
provável, pois depende do tipo do vírus (agente de ameaça), das condições de
segurança da base de dados, da segurança da rede de comunicação etc. Lembrando
que o risco é um evento que pode ocorrer, mas que não ocorreu ainda.
Um agente de ameaça pode ser um intruso que venha a acessar uma
rede por meio de uma porta firewall [(um dispositivo de uma rede de
computador que aplica uma política de segurança em determinado
ponto da rede, realizando bloqueios e monitoramentos)], um
determinado processo de sistemas que viole as políticas de
segurança, como um furacão (tempestade), destruindo uma
instalação de um centro de processamento de dados, ou um
empregado que venha a cometer um erro não intencional que
poderia expor informações ou destruir a integridade dos dados de
um arquivo (MACHADO, 2014, p. 53).
Curiosidade
Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05
9
Fechamento
Embora os termos vulnerabilidade, ameaças e riscos sejam próximos entre si,
carregam diferenças no sentido e ainda na forma como devem ser abordados e
tratados dentro de uma organização.
Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05
10
Referências
GALVÃO, M. da C. Fundamentos em Segurança da informação. São Paulo: Pearson.
2015.
KOLBE JÚNIOR, A. Sistemas de segurança da informação na era do conhecimento.
Curitiba: Intersaberes, 2017.
MACHADO, F. N. R. Segurança da informação: princípios e controle de Ameaças. 1
ed. São Paulo: Érica, 2014.
Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05