Prévia do material em texto
Segurança da Informação: Vulnerabilidade, Ameaça e Risco Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05 SST Schirigatti, Jackson Luis Segurança da Informação: Vulnerabilidade, Ameaça e Risco / Jackson Luis Schirigatti Ano: 2020 nº de p. : 10 Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados. Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05 Segurança da Informação: Vulnerabilidade, Ameaça e Risco 3 Apresentação Neste material, vamos conhecer alguns termos importantes, frequentemente utilizados com relação à segurança da informação, entendo o que cada um deles significa e como eles devem ser tratados para a garantia da segurança das informações. Vulnerabilidade Para a ISO 27001:2013, a vulnerabilidade é uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. A vulnerabilidade caracteriza a ausência de uma proteção que pode ser explorada. Segundo Machado (2014, p. 52), “[...] as vulnerabilidades são pontos que, ao serem explorados por pessoas mal-intencionadas, afetam a confidencialidade, a disponibilidade e a integridade das informações de um indivíduo ou empresa”. Atenção A vulnerabilidade é a condição intrínseca ao corpo, objeto receptor ou informação receptora que, com interação com a magnitude do evento ou acidente, caracteriza os efeitos adversos, medido em termos de intensidade dos possíveis dados ocorridos. “Vulnerabilidade pode ser um software, hardware, ou falha de um processo que pode fornecer a um ataque uma porta aberta que ele está à procura, para entrar em um computador ou rede e ter acesso não autorizado aos recursos [...]” (MACHADO, 2014, p. 53). Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05 4 Ameaça Ameaça é “qualquer perigo potencial para a manutenção dos princípios da segurança da informação” [(integridade, disponibilidade e confiabilidade)] (MACHADO, 2014, p. 53). Para a ISO 27001:2013, ela é um potencial causa de um incidente não desejado, resultado em prejuízos ao sistema ou à organização. Já para Galvão (2015, p. 18), ameaça é “[...] todo e qualquer fator capaz de, eventualmente, causar um incidente ou problema que possa prejudicar uma organização de alguma forma”. Ameaça Plataforma Deduca (2020). Sêmula (2003 apud GALVÃO, 2015, p. 18) comenta ainda que “[...] podemos considerar ameaças, agentes ou condições que geram incidentes que afetam a integridade das informações e outros ativos, por meio da exploração de vulnerabilidades, provocando perdas que causem impactos aos negócios da empresa”. Para o autor, as ameaças são classificadas em: • Desastres naturais; • Humanos; • Não maliciosos; • Maliciosos; • Colaboradores desgostosos ou revoltados; • Pessoas externas, como: hackers, criminosos ou concorrência. Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05 5 Podemos ainda somar a essa lista: • Vazamentos de informações; • Violação de integridade; • Indisponibilidade de serviços de informática; • Acesso e uso não autorizados. Com relação às ameaças de vazamentos de informações ou a disponibilização externa de dados de uma empresa, elas podem ser voluntárias e involuntárias. Segundo Machado (2014), as informações involuntárias são provocadas por falha de hardware, desastres naturais, mensagem enviada a um endereço incorreto, erros de programação. Já as falhas voluntárias são provocadas por pessoas mal- intencionadas e consiste no roubo deliberado de dados, espionagem entre empresas ou organizações, fraudes por meio de adulteração de dados com identificação de usuários roubada, sabotagem, invasão de sites por hackers. A ameaça de acesso e de uso não autorizado acontece quando um recurso de um sistema, site ou rede (um programa, dados, relatórios) é utilizado por uma pessoa não autorizada ou de forma não autorizada (MACHADO, 2014). Curiosidade Esses ataques são ameaças aos processos e aos canais de comunicação. Nos dois casos, o ataque pode vir de um computador conectado à rede ou pode vir de um atacante em potencial que esteja conectado de maneira não autorizada. Um processo projetado para manipular informações de pedidos pode receber uma mensagem de qualquer outro processo e não ser capaz de identificá-lo. Servidores Os servidores de computadores, sejam eles de correio eletrônico, de arquivos, de impressões, de banco de dados ou web, podem receber pedidos de diversos clientes diferentes, mas determinadas identificações podem ser falsas. Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05 6 Ataques Com relação aos ataques aos canais de comunicação, um invasor pode manipular ou inserir mensagens quando elas trafegam na rede de computadores e em sistemas conectados à rede, como rotadores e switches. Violação de integridade A ameaça de violação de integridade compreende “o comprometimento da consistência de dados ou do sistema por intermédio de alterações não autorizadas de dados.” (MACHADO, 2014, p. 61). Pode ser considerada violação de integridade qualquer alteração de uma página de um site, um erro de software, manipulação de um banco de dados etc. As ameaças de violação de integridade dependem de ataques de entrada ao sistema e na rede de computadores. Violação de integridade Plataforma Deduca (2020). Veja que as ameaças precisam burlar a identificação para entrarem na rede de computadores ou enviarem identificações falsas, para realizarem a tentativa de violação da integridade das informações, como salvar cópias de mensagens e reproduzi-las posteriormente para o uso indevido. Ou até mesmo a modificação ou destruição das informações de um servidor de correio eletrônico, de sistema de arquivos ou de um banco de dados. Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05 7 A ameaça de indisponibilidade de serviços de informática é “o impedimento deliberado de acesso aos recursos computacionais por usuários autorizados ou não.” (MACHADO, 2014, p. 61). Tais ameaças podem ser ataques a servidores web para que sejam impedidos de executar as tarefas nos sites. Após o invasor violar o acesso à rede de computadores e aos servidores, bem como a integridade das informações, as ameaças podem violar o princípio de indisponibilidade de serviços de informática que podem ser a de “negação de serviço”. Essa é uma forma de ataque que interfere nas atividades dos usuários autorizados, gerando uma sobrecarga nos serviços, como alto processamento, redução da largura de banda, solicitações de acessos inválidos, disponibilidade de armazenamento e outras ameaças. Risco Risco “[...] é um pouco semelhante ao conceito de ameaça, já que se apresenta como situações potenciais, ou seja, que não aconteceram ainda, mas que podem acontecer e, portanto, ser evitadas” (GALVÃO, 2015, p. 23). Para a ISO 27001:2013, um risco é a probabilidade de um agente ameaçador tirar vantagem de uma vulnerabilidade e o correspondente impacto nos negócios. A ameaça é o evento ou incidente, enquanto a vulnerabilidade é a fragilidade que será explorada para que a ameaça se torne concreta. Ameaças podem assumir diversas formas, como furto de equipamentos, mídia e documentos, escuta não autorizada, incêndio, inundação e radiação eletromagnética, até fenômenos climáticos e sísmicos. Por exemplo, um computador cuja senha seja do conhecimento de todos sofre ameaças, como roubo, destruição ou alteração de informações; a vulnerabilidade que permite que estas ameaças se concretizem é justamente a senha ser conhecida e compartilhada por todos (BEZZERA, 2013, p. 47). Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05 8 A gestão dos riscos Fonte: Plataforma Deduca (2020) Já um exemplo da relação de vulnerabilidade, risco e ameaça em um cenário organizacional é a contaminação de um vírus de computador como possível ameaça a um servidor debanco de dados. As informações em uma base de dados em um servidor estão vulneráveis a essa ameaça (contaminação de vírus). O risco de um vírus destruir os dados de um banco de dados é uma situação provável, pois depende do tipo do vírus (agente de ameaça), das condições de segurança da base de dados, da segurança da rede de comunicação etc. Lembrando que o risco é um evento que pode ocorrer, mas que não ocorreu ainda. Um agente de ameaça pode ser um intruso que venha a acessar uma rede por meio de uma porta firewall [(um dispositivo de uma rede de computador que aplica uma política de segurança em determinado ponto da rede, realizando bloqueios e monitoramentos)], um determinado processo de sistemas que viole as políticas de segurança, como um furacão (tempestade), destruindo uma instalação de um centro de processamento de dados, ou um empregado que venha a cometer um erro não intencional que poderia expor informações ou destruir a integridade dos dados de um arquivo (MACHADO, 2014, p. 53). Curiosidade Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05 9 Fechamento Embora os termos vulnerabilidade, ameaças e riscos sejam próximos entre si, carregam diferenças no sentido e ainda na forma como devem ser abordados e tratados dentro de uma organização. Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05 10 Referências GALVÃO, M. da C. Fundamentos em Segurança da informação. São Paulo: Pearson. 2015. KOLBE JÚNIOR, A. Sistemas de segurança da informação na era do conhecimento. Curitiba: Intersaberes, 2017. MACHADO, F. N. R. Segurança da informação: princípios e controle de Ameaças. 1 ed. São Paulo: Érica, 2014. Licensed to Adriana da Silva maia - drickamaia@hotmail.com - 098.848.067-05