Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 SEGURANÇA E GOVERNANÇA DE TI, CYBERSECURITY E PRIVACIDADE DE DADOS 1 SUMÁRIO NOSSA HISTÓRIA ..................................................................................................... 2 1. INTRODUÇÃO .................................................................................................... 3 1.1 Sociedade da Informação: A Informação e sua Importância ................................................. 3 1.2 Conceitos Fundamentais ..................................................................................................... 4 1.3 Segurança da Informação .................................................................................................... 5 1.4 Conceitos de Segurança ...................................................................................................... 6 1.5 Princípios Fundamentais da Segurança da Informação ........................................................ 8 1.6 Confidencialidade ............................................................................................................... 9 1.7 Integridade ........................................................................................................................11 1.8 Disponibilidade ..................................................................................................................13 2. APROFUNDANDO NA SEGURANÇA DA INFORMAÇÃO ............................. 15 2.1 Hexagrama Parkeriano .......................................................................................................15 2.2 Risco ..................................................................................................................................16 2.3 Ameaças ............................................................................................................................17 2.4 Vulnerabilidade ..................................................................................................................18 2.5 Falhas.................................................................................................................................19 3. MECANISMOS E TECNOLOGIAS DE SEGURANÇA ..................................... 20 3.1 Uma Nova Abordagem Para a Segurança ............................................................................21 3.2 Pessoas ..............................................................................................................................24 3.3 Processos ...........................................................................................................................25 3.4 Ferramentas .......................................................................................................................27 3.4.1 Gestão da Segurança da Informação ..........................................................................28 3.4.2 Gestão de Identidade .................................................................................................29 3.4.3 Defesa Contra Ameaças .............................................................................................29 3.5 Criptografia das Informações .............................................................................................30 3.5.1 Fases da Criptografia ..................................................................................................31 REFERÊNCIAS ......................................................................................................... 34 2 NOSSA HISTÓRIA A nossa história inicia com a realização do sonho de um grupo de empresários, em atender à crescente demanda de alunos para cursos de Graduação e Pós-Graduação. Com isso foi criado a nossa instituição, como entidade oferecendo serviços educacionais em nível superior. A instituição tem por objetivo formar diplomados nas diferentes áreas de conhecimento, aptos para a inserção em setores profissionais e para a participação no desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua. Além de promover a divulgação de conhecimentos culturais, científicos e técnicos que constituem patrimônio da humanidade e comunicar o saber através do ensino, de publicação ou outras normas de comunicação. A nossa missão é oferecer qualidade em conhecimento e cultura de forma confiável e eficiente para que o aluno tenha oportunidade de construir uma base profissional e ética. Dessa forma, conquistando o espaço de uma das instituições modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, excelência no atendimento e valor do serviço oferecido. 3 1. INTRODUÇÃO Nos dias de hoje, as empresas dependem cada vez mais dos sistemas de informação e da Internet para fazer negócios, não podendo se dar ao luxo de sofrer interrupções em suas operações. Um incidente de segurança pode impactar direta e negativamente as receitas de uma corporação, a confiança de seus clientes e o relacionamento com sua rede de parceiros e fornecedores. Um incidente de segurança está diretamente relacionado com prejuízos financeiros, sejam eles devidos à parada de um sistema por conta de um vírus, ao furto de uma informação confidencial ou à perda de uma informação importante. Estima-se que worms e vírus que atingiram grandes proporções de propagação – como, por exemplo, MyDoom, Slammer, Nimda – tenham ocasionado prejuízos da ordem de bilhões de dólares no mundo. Em última instância, um incidente pode impedir, direta ou indiretamente, a organização de cumprir sua missão e de gerar valor para o acionista. Essa perspectiva traz a segurança da informação para um patamar novo, não apenas relacionada com a esfera da tecnologia e das ferramentas necessárias para proteger a informação, mas também como um dos pilares de suporte à estratégia de negócio de uma corporação. A gestão da segurança assume, então, um novo significado, pois passa a levar em consideração os elementos estratégicos de uma organização e evolui para a extensão da prática de gestão de riscos do negócio. 1.1 Sociedade da Informação: A Informação e sua Importância O termo “Sociedade da Informação” também é conhecido como “Globalização”, a qual se apresenta ainda em formação e em plena expansão, pois é caracterizada pelo seu dinamismo, uma vez que as tecnologias existentes são as fontes desse processo de mudança. Essas transformações implicam diretamente no comportamento social, econômico e cultural de uma sociedade, pois as novas tecnologias são uma fonte de poder inesgotável de produção de novos conhecimentos e estão enraizadas nessa nova sociedade, a chamada “Sociedade do Conhecimento”. 4 Esse novo paradigma de organização da sociedade, é caracterizado pela contínua geração de informação, estabelecendo um novo padrão de produção de novas riquezas visando acima de tudo o bem-estar dos cidadãos. Esse grau de exigência requer um maior desempenho profissional, pois o mercado de trabalho pede profissionais mais bem preparados, em virtude de as informações serem mais complexas e em grande quantidade, resultado das facilidades ofertadas pelas tecnologias. São nítidos os aspectos favoráveis ao uso das tecnologias em nossas vidas. Esse fato pode ser observado na medicina, por exemplo, possibilitando fazer cirurgias a distância; outro exemplo são as viagens espaciais, enfim, basta olhar para o lado e observar que as tecnologias estão introduzidas no seu cotidiano. As máquinas estão substituindo o homem em tarefas repetitivas que muitas vezes requerem apenas força bruta, precisão ou mesmo adentrar em locais de difícil acesso e perigosos, oportunizando ao homem desempenhar um papel de detentor do conhecimento, e a máquina, mera coadjuvante, um apoio na tomada de decisões. 1.2 Conceitos FundamentaisMuitas mudanças ocorreram com a introdução da Internet em nosso cotidiano, a informação, por exemplo, não era um ativo muito importante nas organizações há certo tempo; o importante eram os equipamentos, considerados o maior patrimônio de uma empresa. Com o passar dos tempos e a modernização das estruturas de trabalho, novos modelos de gestão foram surgindo e alguns ativos, anteriormente sem importância, assumiram a primeira posição. Atualmente, a informação é um ativo importantíssimo, que requer cuidados especiais e restrições de acessos, por ser um ativo intangível e abstrato, podendo facilmente sair da empresa em uma lata de lixo, na memória de alguém, em meio magnético, impressa em papel, enfim, é um ativo muito vulnerável, logo, demanda cuidados. Mas o que exatamente entendemos por Informação? Bem, entende-se por Informação, “ativos que, como qualquer outro ativo importante para os negócios, possuem valor para uma organização e consequentemente precisam ser protegidos adequadamente”, conforme ISO (InternationalOrganization for Standardization) e a IEC (InternationalElectrotechnicalCommission) nº 17799. 5 Fontes (2006, p.2) afirma que, “Informação é um recurso que move o mundo, além de nos dar conhecimento de como o universo está caminhando [...] É um recurso crítico para realização do negócio e execução da missão organizacional”. Acrescenta que “A informação é um recurso que tem valor para a organização e deve ser bem gerenciado e utilizado [...] é necessário garantir que ela esteja sendo disponibilizada apenas para as pessoas que precisam dela para o desempenho de suas atividades profissionais”. Podemos dizer então que informação é um conjunto de dados que, por sua vez, poderá gerar novas informações, consistindo em um ativo valioso para a organização. 1.3 Segurança da Informação A Segurança da Informação é um tema bastante discutido não somente em salas de aula, como também nas redes sociais e em outros meios de comunicação, por tratar-se de assegurar informações tanto pessoais como corporativos, que uma vez lidos ou até mesmo distribuídos, poderão ocasionar transtornos diretos e/ou indiretos à vítima. Há inúmeras definições de Segurança da Informação, pois há vários autores que discorrem a respeito do assunto, vamos então citar algumas: Para Alves (2006, p. 15), a Segurança da Informação “visa proteger a informação de forma a garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócios”. Há também um sistema especializado para padronização mundial, formado pela ISO (InternationalOrganization for Standardization) e a IEC (InternationalElectrotechnicalCommission) e definem Segurança da Informação “como uma proteção das informações contra uma ampla gama de ameaças para assegurar a continuidade dos negócios, minimizar prejuízos e maximizar o retorno de investimentos e oportunidade comerciais”. Sêmola (2003, p. 9) define Segurança da Informação como “uma Área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade”. Nesse contexto, a informação é um Ativo muito desejado e valioso tanto para uma pessoa como para uma organização, devendo obrigatoriamente estar protegido de acessos não autorizados. 6 Preservação da confidencialidade, integridade e disponibilidade da informação. Adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, também podem ser incluídas. Traduzindo essa definição formal, podemos dizer que a segurança da informação é a proteção da informação contra uma ampla gama de ameaças, a fim de garantir a continuidade dos negócios, minimizar os riscos de negócio e maximizar o retorno sobre os investimentos e as oportunidades de negócio. Figura 1: Segurança da Informação Quando se tem geração de dados em alta velocidade, e não é possível armazena-los totalmente, são utilizadas técnicas de amostragem, colhendo apenas uma fração dos dados mais representativos que não comprometem a análise. 1.4 Conceitos de Segurança Para entender como a segurança pode ser gerenciada, diversos conceitos importantes devem ser explicados primeiro. “Vulnerabilidade”, “ameaça”, “risco” e “exposição” são termos frequentemente usados para representar a mesma coisa, mesmo que tenham diferentes significados e relações entre si. É importante entender a definição de cada palavra, mas mais importante ainda é entender as suas relações com outros conceitos. 7 Antes de começarmos a definir uma estratégia de segurança, precisamos saber o que estamos protegendo e do que estamosprotegendo. A metodologia que empregamos para nos ajudar a obter algum conhecimento sobre isso é chamada de análise do risco. Existem várias formas de realizar uma análise do risco. Discutiremos diversas a seguir. Requisitos de segurança são identificados através de uma avaliação metódica de riscos de segurança. As despesas com controles devem ser equilibradas de acordo com os danos, resultantes de falhas de segurança, mais prováveis de ocorrer no negócio. Os resultados da avaliação do risco ajudarão a guiar e a determinar a ação apropriada de gestão e as prioridades para gerenciar os riscos de segurança da informação e para implementar os controles escolhidos para proteção contra riscos e ameaças. A avaliação do risco (análise do risco) deve ser repetida periodicamente para tratar qualquer mudança que possa influenciar os resultados da avaliação do risco. A segurança da informação é alcançada através da implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Esses controles precisam ser estabelecidos, implementados, monitorados, revisados e melhorados, onde necessário, para assegurar que os objetivos específicos de segurança e do negócio da organização sejam atendidos. Isso deve ser feito em conjunto com outros processos de gerenciamento de negócio. A abordagem de processo para a gestão da segurança da informação apresentada na ISO 27002:2013, “Código de prática para a segurança da informação” (Codeofpractice for informationsecurity), inclui a importância de: A. Compreender os requisitos de segurança da informação da organização e a necessidade de estabelecer políticas e objetivos para a segurança da informação. B. Implementar e operar controles para gerenciar os riscos de segurança da informação da organização no contexto dos riscos gerais de negócio da organização. C. Monitorar e revisar o desempenho e a eficácia do Sistema de Gerenciamento de Segurança da Informação (Information Security Management System – ISMS). D. Melhoria contínua baseada em medições objetivas. 8 A informação e os processos de apoio, os sistemas e as redes são ativos de negócio importantes. Definir, alcançar, manter e melhorar a segurança da informação pode ser essencial para manter a vantagem competitiva, o fluxo de caixa, a rentabilidade, a observância da lei e a imagem comercial. As organizações e seus sistemas de informação e redes enfrentam ameaças de segurança provenientes de um amplo leque de fontes, incluindo fraudes assistidas por computador, espionagem, sabotagem, vandalismo, incêndio ou inundação. As causas de danos, como códigos maliciosos, atividades de hacking em computadores e ataques de negação de serviço (ou denial-of-service) se tornaram mais comuns, mais ambiciosas e cada vez mais sofisticadas. A segurança da informação é importante tanto para os negócios públicos quanto para o setor privado, e para proteger infraestruturas críticas. Em ambos os setores a segurança da informação funcionará como uma facilitadora – por exemplo, para realizar e-government oue-business e para evitar ou reduzir os riscos relevantes. A interconexão de redes públicas e privadas e o compartilhamento dos recursos de informação aumentam a dificuldade de se conseguir controle de acesso. 1.5 Princípios Fundamentais da Segurança da Informação Um programa de segurança pode ter diversos objetivos, grandes e pequenos, mas os princípios mais importantes em todos os programas de segurança são a confidencialidade (exclusividade), integridade e disponibilidade. Estes são referidos como o triângulo CIA (confidentiality, integrity, availability). O nível de segurança requerido para executar esses princípios é diferente para cada empresa, pois cada uma tem sua própria combinação de objetivos e requisitos de negócio e de segurança. Todos os controles de segurança, mecanismos e proteções são implementados para prover um ou mais desses princípios, e todos os riscos, ameaças e vulnerabilidades são medidos pela sua capacidade potencial de comprometer um ou todos os princípios do triângulo CIA. Confidencialidade, integridade e disponibilidade são princípios críticos de segurança. Você deve compreender o seu significado, como eles são providos por diferentes mecanismos e como a sua ausência pode afetar negativamente um 9 ambiente. Tudo isso o ajuda a identificar melhor os problemas e a fornecer soluções adequadas. Figura 2: O triângulo CIA 1.6 Confidencialidade A confidencialidade, também chamada de exclusividade, se refere aos limites em termos de quem pode obter que tipo de informação. Por exemplo, os executivos podem estar preocupados com a proteção dos planos estratégicos de sua empresa em relação aos concorrentes; as pessoas, por outro lado, estão preocupadas com o acesso não autorizado aos seus registros financeiros. A confidencialidade assegura que o nível necessário de sigilo seja aplicado em cada elemento de processamento de dados e impede a divulgação não autorizada. Esse nível de confidencialidade deve prevalecer enquanto os dados residirem em sistemas e dispositivos na rede, quando forem transmitidos e quando chegarem ao seu destino. A confidencialidade pode ser fornecida através da criptografia de dados à medida que são armazenados e transmitidos, usando preenchimento de tráfego na rede (trafficpadding), estrito controle de acesso, classificação dos dados e treinamento de pessoal nos procedimentos apropriados. São exemplos de medidas de confidencialidade: 10 O acesso à informação é concedido com base na “necessidade de conhecer”. Não é necessário, por exemplo, que um funcionário do departamento financeiro seja capaz de ver relatórios de discussões com clientes. Os funcionários tomam medidas para garantir que a informação não vá para pessoas que não necessitem dela. Eles asseguram, por exemplo, que nenhum documento confidencial seja deixado sobre suas mesas enquanto estão ausentes (política da mesa limpa). O gerenciamento de acesso lógico assegura que pessoas ou processos não autorizados não tenham acesso a sistemas automatizados, base de dados e programas. Um usuário, por exemplo, não tem o direito de alterar as configurações do PC. É criada uma separação de funções entre a organização de desenvolvimento do sistema, a organização de processamento e a organização do usuário. O desenvolvedor não pode, por exemplo, fazer qualquer modificação nos salários. São criadas separações estritas entre o ambiente de desenvolvimento, o ambiente de teste e aceitação, e o ambiente de produção. No processamento e uso dos dados, são tomadas medidas para garantir a privacidade do pessoal e de terceiros. O departamento de Recursos Humanos (RH) pode ter, por exemplo, sua própria unidade de rede que não é acessível a outros departamentos. O uso de computadores por usuários finais é cercado de medidas, de forma que a confidencialidade da informação seja garantida. Um exemplo é a autenticação dos usuários autorizados por meio de uma combinação entre a identificação do usuário (ID), a senha e, às vezes, um “token de resposta a um desafio” que cria uma senha de uso único (one-time-password) para cada sessão de login, que, por sua vez, dá acesso ao computador e à rede. As camadas de rede são criptografadas, reduzindo a oportunidade de análise do tráfego. Ainda é possível, nessas condições, um atacante acessar o volume de tráfego na rede e observar o que entra e o que sai de cada sistema final. Uma contramedida para esse tipo de ataque é o preenchimento de tráfego (trafficpadding). O preenchimento de tráfego produz continuamente texto cifrado, mesmo na ausência de texto simples. Um fluxo contínuo de dados aleatórios é gerado. Quando um texto simples está disponível, ele é criptografado e transmitido. Quando não há um texto simples na entrada, dados aleatórios são criptografados e transmitidos. 11 Isso torna impossível para um atacante distinguir entre um fluxo de dados verdadeiro e um preenchimento de dados e, portanto, deduzir o volume de tráfego. O preenchimento de tráfego é essencialmente uma função de criptografia de enlace. Se apenas a criptografia fim-a-fim for empregada, então as medidas disponíveis para o defensor são mais limitadas. Se a criptografia for empregada na camada de aplicação, então o oponente pode determinar a camada de transporte, o endereço da camada de rede e os padrões de tráfego, os quais permanecerão todos acessíveis. 1.7 Integridade A integridade se refere a ser correto e consistente com o estado ou a informação pretendida. Qualquer modificação não autorizada de dados, quer deliberada ou acidental, é uma violação da integridade dos dados. Por exemplo, é esperado que dados armazenados em disco sejam estáveis – não se espera que eles sejam alterados aleatoriamente por problemas com os controladores de disco. De forma similar, espera-se que os programas de aplicação gravem as informações corretamente e não introduzam valores diferentes dos desejados. Donn Parker explica isso da seguinte forma: “minha definição para integridade da informação vem dos dicionários. Integridade significa que a informação é completa, perfeita e intacta (não necessariamente correta). Significa que nada está faltando na informação, ela está completa e em um desejado bom estado”. A afirmação do autor se aproxima de dizer que a informação está em um estado... correto. A informação pode ser incorreta ou não autêntica, mas possuir integridade, ou ser correta e autêntica, mas faltar integridade. Ambientes que reforçam e fornecem esse atributo de segurança asseguram que atacantes, ou erros de usuários, não comprometam a integridade dos sistemas ou dados. Quando um atacante insere um vírus, uma bomba lógica ou um backdoor em um sistema, a integridade do sistema é comprometida. Isso pode, por sua vez, afetar negativamente a integridade da informação contida no sistema através de corrupção, modificação maliciosa ou substituição de dados por dados incorretos. Controle de acesso estrito, detecção de intrusão e hashing podem combater essas ameaças. 12 Os usuários normalmente afetam o sistema ou a integridade de seus dados por erro (embora usuários internos também possam cometer atos maliciosos). Por exemplo, um usuário com disco rígido cheio pode involuntariamente apagar arquivos de configuração supondo equivocadamente que não haveria problema ao apagar o arquivo boot.ini, por não se lembrar de tê-lo usado em qualquer momento. Ou, por exemplo, um usuário pode inserir valores incorretos em uma aplicação de processamento de dados que acabe cobrando de um cliente $ 3.000.000,00 em vez de $ 300,00. Modificar incorretamente dados mantidos em banco de dados é outra forma comum de os usuários corromperem acidentalmente os dados, um erro que pode ter efeitos duradouros. São exemplos de medidas de integridade: Mudançasem sistemas e dados são autorizadas. Por exemplo, um membro da equipe atribui um novo preço a um artigo no website e outro verifica a validade desse preço antes de ser publicado. Onde possível, são criados mecanismos que forcem as pessoas a usar o termo correto. Por exemplo, um cliente é sempre chamado de “cliente”; o termo “freguês” não pode ser inserido na base de dados. As ações dos usuários são gravadas (logged) de forma que possa ser determinado quem modificou a informação. Ações vitais para o sistema, como, por exemplo, a instalação de novo soft-ware, não podem ser conduzidas por uma só pessoa. Ao segregar funções, posições e autoridades, ao menos duas pessoas serão necessárias para realizar mudanças que tenham graves consequências. A integridade dos dados pode ser garantida em grande parte por meio de técnicas de criptografia, o que protege a informação de acesso ou mudança não autorizada. Os princípios de política e de gestão para criptografia podem ser definidos em um documento de políticas separado. 13 1.8 Disponibilidade As características de disponibilidade são: Oportunidade: a informação está disponível quando necessário. Continuidade:a equipe consegue continuar trabalhando no caso de falha. Robustez:existe capacidade suficiente para permitir que toda a equipe trabalhe no sistema. Por exemplo, tanto uma falha de disco como um ataque de negação de serviço causam violação da disponibilidade. Qualquer atraso que exceda o nível de serviço esperado para um sistema pode ser descrito como uma violação da disponibilidade. A disponibilidade do sistema pode ser afetada pela falha de um dispositivo ou software. Dispositivos de backup devem ser utilizados para substituir rapidamente os sistemas críticos, e funcionários devem ser qualificados e estar disponíveis para fazer os ajustes necessários para restaurar o sistema. Questões ambientais como calor, frio, umidade, eletricidade estática e contaminantes também podem afetar a disponibilidade do sistema. Sistemas devem ser protegidos contra esses elementos, devidamente aterrados e monitorados de perto. Ataques de negação de serviço ou Denial-of-Service (DoS) são métodos populares que hackers usam para interromper a disponibilidade e a utilização do sistema de uma empresa. Esses ataques são montados para impedir os usuários de acessar recursos e informações do sistema. Para se proteger desses ataques, apenas os serviços e portas necessárias devem estar disponíveis nos sistemas, e sistemas de detecção de intrusão (IntrusionDetection Systems – IDS) devem monitorar o tráfego da rede e a atividade das máquinas. Certas configurações de roteadores e firewalls também podem reduzir a ameaça de ataques DoS e possivelmente impedi-los de acontecer. Exemplos de medidas de disponibilidade incluem: A gestão (e o armazenamento) de dados é tal que o risco de perder informações seja mínimo. O dado é, por exemplo, armazenado em um disco de rede, e não no disco rígido do PC. Os procedimentos de backup são estabelecidos. Os requisitos legais de quanto tempo os dados devem ser armazenados são levados em conta. A localização do 14 backup é separada fisicamente do negócio, a fim de garantir a disponibilidade nos casos de emergência. Os requisitos legais sobre quanto tempo os dados devem ser mantidos armazenados variam de país para país na União Europeia, nos EUA e em outros lugares. É importante checar as agências reguladoras individuais do governo para requisitos específicos. Procedimentos de emergência são estabelecidos para garantir que as atividades possam ser recuperadas o mais breve possível após uma interrupção de grande escala. 15 2. APROFUNDANDO NA SEGURANÇA DA INFORMAÇÃO Incidente pode ser definido como uma ação que pode interromper os processos normais de negócio, em virtude de alguns aspectos da segurança terem sido violados, seja intencionalmente ou não. Em segurança de informação, a palavra Ativo refere-se a tudo que representa valor para a organização. Caso esse ativo seja violado, poderá trazer impactos negativos para o prosseguimento das atividades da organização. Podemos citar como ativos as pessoas, os programas, os equipamentos, enfim, tudo que na sua ausência gera transtornos, implicando no bom funcionamento dos negócios. Quando falamos em problemas de segurança, há inúmeros fatores que acarretam a perda e/ou violação dos dados de uma empresa, como por exemplo,a má operação do sistema ou mesmo quando a segurança está sofrendo ameaça, risco, vulnerabilidade, falhas e desastres. A seguir abordaremos cada um desses fatores. 2.1 Hexagrama Parkeriano O hexagrama Parkeriano, ou Parkerianhexad, é um conjunto de seis elementos da segurança da informação proposto por Donn B. Parker. O termo foi cunhado por M. E. Kabay. O hexagrama Parkeriano soma mais três atributos aos três atributos clássicos de segurança do triângulo CIA (confidencialidade, integridade, disponibilidade – ou confidentiality, integrity, availability). Em segurança da informação, um backup ou o processo de fazer backup se refere a fazer cópias dos dados de forma que essas cópias adicionais possam ser usadas para restaurar o original após um evento de perda de dados. Essas cópias adicionais são tipicamente chamadas de “backups”. Em inglês, o verbo é backup, em duas palavras, enquanto o substantivo é backup (muitas vezes usado como um adjetivo em substantivos compostos). Os atributos do hexagrama Parkeriano são os seguintes: 1. Confidencialidade 2. Posse ou controle 3. Integridade 4. Autenticidade 16 5. Disponibilidade 6. Utilidade Esses atributos da informação são atômicos, no sentido de que não são divididos em outras partes constituintes; eles não se sobrepõem, já que se referem a aspectos únicos da informação. Qualquer violação da segurança da informação pode ser descrita como aquilo que afeta um ou mais desses atributos fundamentais da informação. Confidencialidade, integridade e disponibilidade foram mencionadas anteriormente. 2.2 Risco Praticamente, quase toda empresa e/ou usuário doméstico usa a Internet no seu dia a dia, uma ferramenta que possibilita facilidades e oportunidades tanto profissionais como de entretenimento e lazer. Seria muito difícil para estas pessoas viverem sem ela. Infelizmente, para aproveitar todos esses recursos, são necessários certos cuidados, pois os riscos são inúmeros, como por exemplo: Ao acessar a Internet, sua máquina já está exposta na rede, você poderá ter seus dados pessoais expostos, e caso sejam acessados por alguém mal intencionado, isso poderá lhe proporcionar grandes transtornos. Uma pessoa, uma vez com seus dados, poderá querer se passar por você na rede e usar sua identidade até mesmo para lhe expor, colocando em risco a sua reputação, ou cometer crimes como, estelionato, sequestro, pedofilia. Não é muito prudente você achar que não corre riscos; acreditar que ninguém tem interesse em se apropriar do seu computador, tablet ou celular é mero engano, pois muitos intrusos mal intencionados têm interesse em acessar grandes quantidades de máquinas, não importando quais. Um exemplo que tivemos aqui no Brasil foi o ataque ao site do governo federal, os sites presidencia.gov.br e o brasil.gov.br, deixando-os indisponíveis em função da grande quantidade de acessos, esses acessos poderiam estar sendo feitos pelo seu computador também, os chamados ataques de spam. As informações na Internet correm numa velocidade muito grande, o que em alguns momentos pode ser benéfico e, em outros, dependendo da situação, pode ser extremamente destrutivo. 17 Um risco é a probabilidade de um agente ameaçador tirar vantagem de uma vulnerabilidade e o correspondenteimpacto nos negócios. Se um firewall tem diversas portas abertas, há uma maior probabilidade de um invasor usar uma delas para acessar a rede de forma não autorizada. Se os usuários não forem treinados nos processos e procedimentos, haverá uma maior probabilidade de um funcionário cometer um erro, intencional ou não, que possa destruir dados. Se um sistema de detecção de intrusão não for implementado na rede, haverá maior probabilidade de um ataque não ser percebido até que seja tarde demais. O risco amarra a vulnerabilidade, a ameaça e a probabilidade de exploração ao impacto resultante nos negócios. Na prática: Um incêndio pode surgir na sua empresa. Um funcionário que não trabalha no departamento de RH obtém acesso a informações sensíveis ou privadas. Alguém aparece como um funcionário e tenta obter informação. Um hacker consegue obter acesso à rede de TI da empresa. 2.3 Ameaças Quando um ativo da informação sofre um ataque potencial, podemos entender como ameaça. Este ataque poderá ser efetuado por agentes externos (empresas, pessoas que não são funcionários da organização) ou internos (pessoas pertencentes à organização), se prevalecendo das vulnerabilidades apresentadas no sistema empresa. As vulnerabilidades são mais nítidas em sistemas de informação online e nos sistemas que utilizam os recursos das telecomunicações, por interligarem seus sistemas em vários locais, as chamadas intranets ou mesmo os extranets. Nesses casos, a exposição é muito grande, pois as ameaças aumentam substancialmente, uma vez que o sistema da empresa está na rede Internet. Muitas pessoas tentarão acessar informações mesmo sem autorização, se houver falhas de segurança. Esses sistemas que utilizam esses novos padrões de rede ampliam consideravelmente as vulnerabilidades, uma vez que a comunicação pode ser feita também pelas redes de dados sem fio, que por sua vez são difíceis de serem 18 protegidas em virtude dos vários pontos de acesso, possibilitando ainda mais a quebra da confidencialidade das informações. As redes empresariais precisam de muitos recursos tanto físicos como lógicos para proteger seus ativos das ameaças e fraquezas. Uma ameaça é um potencial causa de um incidente não desejado, o que pode resultar em prejuízo ao sistema ou à organização. A entidade que obtêm vantagem de uma vulnerabilidade é referida como agente ameaçador. Um agente ameaçador pode ser um invasor acessando a rede através de uma porta no firewall, um processo acessando dados de uma forma que viole a política de segurança, um tornado destruindo uma instalação ou um funcionário cometendo um erro não intencional que pode expor informações confidenciais ou destruir a integridade de um arquivo. As ameaças diferem em cada país dependendo do nível de desenvolvimento e do uso da internet. A segurança da informação é importante para governos, universidades, militares, saúde, etc. Terrorismo e guerras também são ameaças à segurança. 2.4 Vulnerabilidade Uma vulnerabilidade é uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Uma vulnerabilidade caracteriza a ausência ou a fraqueza de uma proteção que pode ser explorada. Essa vulnerabilidade pode ser um serviço rodando em um servidor, aplicações ou sistemas operacionais desatualizados, acesso irrestrito para entrada de chamadas no modem, uma porta aberta no firewall, uma segurança física fraca que permita a qualquer pessoa entrar em uma sala de servidores ou a não aplicação de gestão de senhas em servidores e estações de trabalho. Podemos entender por vulnerabilidades as falhas que um sistema possui, podendo provocar a indisponibilidade das informações, ou até mesmo a quebra do sigilo e alteração sem autorização, podendo ser decorrente de uma série de fatores, como falta de treinamento, falta de manutenção, falha nos controles de acesso, ausência de proteção de uma determinada área ameaçada. Por exemplo, a criação de contas no sistema sem especificar as restrições e permissões. A ocorrência de um incêndio poderá também estar associada à vulnerabilidade da empresa quanto a esse tipo de incidente, devido ao fato de a empresa não ter tomado as precauções adequadas contra incêndios. 19 Atualmente, quase todas as empresas são informatizadas e possuem um sistema que faz o seu gerenciamento, embora esses softwares auxiliem muito nas tarefas diárias e na tomada de decisão, infelizmente, apresentam muitas vulnerabilidades em relação aos sistemas manuais. Já imaginou a interrupção de energia elétrica por algumas horas, quantos transtornos poderão gerar aos negócios da empresa? Possivelmente, algum dano trará, porque muitos dos recursos de informação estão armazenados em uma base de dados que, por sua vez, só poderão ser acessadas caso haja energia elétrica. Empresas de grande porte, como bancos, companhias aéreas poderão terque arcar com prejuízos financeiros grandes, justamente pela indisponibilidade de seus dados. 2.5 Falhas É quando um sistema permite a quebra de alguns dos princípios da segurança da informação. Essas falhas podem ser humanas ou não, intencionais ou não. Mas a maioria dos problemas de segurança da informação está basicamente relacionada às falhas oriundas das fases de implantação e desenvolvimento de uma política de segurança. Nesse sentido, podemos citar algumas falhas bastante comuns que ocorrem em virtude dessas dificuldades, sendo elas: inexistência de uma política de segurança formalizada, gerenciamento dos acessos efetuados no sistema, backups atualizados, treinamentos e informativos aos usuários sobre como explorar com segurança os recursos tecnológicos e, não menos importante, a definição de uma gerência de Tecnologia da Informação – TI para implementar as regras e fazê-las vivas na empresa. É sempre importante a empresa manter uma política de segurança bem implementada e usual para que, em um momento de necessidade, não sofra nenhum dano, evitando consequências desastrosas aos negócios. 20 3. MECANISMOS E TECNOLOGIAS DE SEGURANÇA As fronteiras da segurança se expandem, continuamente, na medida do avanço tecnológico. O universo de novas tecnologias evolui rapidamente e de formas até imprevisíveis. Essa evolução contínua coloca os executivos de segurança em uma posição desconfortável, tentando estabelecer controle sobre um alvo que se move e se modifica continuamente. O aspecto mais curioso é que muitas das novas tecnologias à disposição dos usuários, quando utilizadas com os controles de segurança apropriados, são bastante valiosas como ferramenta de apoio aos negócios. Entretanto, quando funcionários incorporam essas tecnologias arbitrariamente em seu ambiente de trabalho, podem trazer ameaças desconhecidas à corporação. Alguns exemplos de tecnologias bastante populares utilizadas no escritório, mas que podem causar sérios danos quando usadas sem o devido cuidado ou de forma maliciosa, são: Telefones celulares com câmeraa podem ser verdadeiras ameaças à segurança, dependendo da característica do negócio da empresa e, em geral, não estão conectados a nenhuma plataforma que a corporação possa controlar de maneira efetiva. Qualquer pessoa no ambiente de trabalho, mal-intencionada, pode utilizar, sem autorização, um telefone com câmera para tirar fotos de algo confidencial – por exemplo, um documento sigiloso, o protótipo de um produto ainda em desenvolvimento – e divulgá-las com a finalidade de lesar a corporação. Dispositivos de armazenamento de dados portáveisconstituem uma ameaça latente à segurança. É só conectar um dispositivo de memória do tamanho de um chaveiro na porta USB de uma estação de trabalho e qualquer informação que possa ser acessada pode ser copiada. Um funcionário mal-intencionado pode gravar quantidades significativasde informação confidencial da rede corporativa e sair tranqüilamente pela porta da frente sem que ninguém se dê conta. Não apenas dispositivos de memória portáteis constituem uma ameaça, mas também os MP3 players, celulares e PDAs, que ganham cada vez mais capacidade de armazenamento de dados. Dispositivos sem fio cuja utilização cresce a cada dia, motivada, sobretudo, pela popularização da tecnologia WiFi presente em laptops e PDAs, abrem verdadeiras “janelas” nas redes corporativas. Torna-se cada vez mais barato e fácil 21 configurar redes sem fio, de maneira não controlada, dentro de uma organização. Basta configurar um dispositivo sem fio como, por exemplo, um laptop, para funcionar como ponto de acesso e qualquer outro dispositivo não autorizado pode acessar a rede corporativa através dele. Detectar uma rede WiFi clandestina numa corporação é uma tarefa relativamente simples, diante do desafio de minimizar os riscos à segurança quando um funcionário acessa a rede corporativa, utilizando seu laptop, via uma rede sem fio fora de seu escritório, em um hotel ou aeroporto, por exemplo. Caso as medidas de segurança não estejam todas devidamente implantadas (ex.: utilização de software de criptografia, de formação de rede privativa e de firewall no laptop), ou caso o usuário não esteja devidamente consciente dos riscos envolvidos, ele pode expor a rede de sua corporação a qualquer curioso ou pessoa mal- intencionada que programe um dispositivo sem fio para capturar informações confidenciais. Serviços peer-to-peer (ex.: transferência de arquivos, instantmessaging, comunicadores VoIP) e web-basedservices (ex.: aplicações de acesso remoto) são categorias de aplicações bastante distintas, mas que guardam similaridades importantes no que diz respeito à segurança. Ambas podem ser facilmente instaladas pelos funcionários em suas estações de trabalho, possuem o apelo do aumento de produtividade e, em geral, burlam a infra-estrutura da segurança corporativa confundindo-se com o tráfego tradicional de Internet ou até com aplicações de negócio. Estas aplicações podem abrir acesso remoto às estações de trabalho, em que estão instaladas, e não permitem que a equipe de segurança tenha o devido controle das máquinas que estão acessando remotamente a rede corporativa. Dessa forma, podem ser utilizadas por usuários não autorizados e mal-intencionados para furtar informações confidenciais ou até disseminar vírus na rede. 3.1 Uma Nova Abordagem Para a Segurança O impacto direto de incidentes de segurança nos resultados dos negócios, as crescentes e mais complexas ameaças, a expansão constante das fronteiras da segurança impulsionada pela tecnologia, além da necessidade de adequação a requisitos regulatórios, delineia um novo cenário que está modificando as perspectivas tradicionais da segurança da informação. A evolução da segurança, como uma disciplina integrada, participante dos contextos operacionais e organizacionais, 22 depende de abordagens e soluções que levam em consideração o novo modelo de organização dinâmica, distribuída e cada vez mais complexa. A visão da segurança, com viés de soluções tecnológicas, voltada apenas para a área de TI das corporações, começa a mudar. Essa abordagem distorce a realidade de que os elementos produtivos da organização – pessoas, ativos e processos – são o foco real de uma estratégia de segurança. O assunto da segurança começa a tomar dimensões maiores em nível organizacional, compreendendo esforços mais abrangentes, com foco em gerenciamento de riscos ligado a objetivos mais amplos, como continuidade dos negócios, redução de custos com incidentes de segurança, aumento da competitividade e inevitáveis exigências legais e regulatórias. A segurança começa a ser percebida como um problema de negócio e não apenas de tecnologia. Da perspectiva financeira, a segurança começa a ser encarada, em muitas corporações, como investimentos que auxiliam a organização a atingir seus objetivos de negócio. Dessa forma, os gestores de segurança necessitam justificar investimentos com base em métricas financeiras, similar a outros investimentos da organização. Torna-se cada vez mais comum a adoção de métricas de avaliação de investimento, que levem em consideração os custos e benefícios associados a uma iniciativa de segurança, facilitando a tomada de decisão e a priorização das diversas iniciativas. Uma das métricas mais populares é o retorno sobre investimento – ROI (ReturnonInvestment) – em que os benefícios são mensurados através de processos de avaliação de riscos e consistem, fundamentalmente, em custos que podem ser evitados, advindos de um possível incidente. Figura 3: Mudança de abordagem 23 Todas essas mudanças levam à necessidade de um framework, como instrumento de gestão da segurança, em nível corporativo. Esse framework ampara as ações de uma corporação em diversos planos: pessoas, processos e ferramentas. A gestão da segurança é uma mistura desses três elementos, em que cada um deles é complementar e interdependente. Pessoas: um dos elementos mais importantes na gestão da segurança, pois em essência são elas que executam e suportam os processos de uma corporação. Considera e trata os assuntos relacionados com as pessoas, seus papéis e responsabilidades na organização, indo desde a capacitação dos profissionais responsáveis pela segurança até a conscientização da organização como um todo. Processos: constituem a linha mestra da gestão da segurança no dia-a-dia. Compreendem desde a visão da corporação, sua estratégia de segurança, a definição das políticas, até os processos que colocam em prática as políticas, os procedimentos, a documentação de controle e os padrões de conformidade. Através de processos bem definidos, uma corporação torna a segurança uma responsabilidade de todos e não apenas da equipe de segurança, pois determinam diretrizes do que é ou não permitido. Ferramentas: são as soluções de segurança empregadas para suportar os processos delineados. São elas que facilitam a devida aplicação das políticas de segurança e seu monitoramento. Incluem diversas funcionalidades, desde a identificação dos usuários, criptografia de dados, defesa contra ameaças, até a gestão da segurança. Figura 4: Tríade da gestão de segurança 24 3.2 Pessoas A implantação de processos e ferramentas nem sempre é suficiente para garantir a segurança das informações. Sempre que a informação necessita ser manuseada por uma pessoa, ela está potencialmente em risco. À medida que as corporações permitem acesso mais abrangente e mais profundo às informações, os riscos de segurança aumentam exponencialmente com o número de usuários habilitados ao acesso. Há diversos meios para mitigar riscos tecnológicos. Processos falhos podem ser detectados em auditorias ou verificações de rotina. Mas, como garantir que as pessoas estão trabalhando de maneira adequada? Deve-se monitorar as atividades das pessoas o tempo todo? Vale a pena criar controles e mais controles para eliminar possíveis vulnerabilidades? A resposta mais viável, na maioria das vezes, é não. A melhor, e talvez única, maneira de garantir que as pessoas estejam trabalhando de modo seguro é conscientizá-las dessa necessidade. Riscos simples, como deixar papéis na impressora, fornecer informações por telefone ou deixar papéis com informações importantes em locais acessíveis, podem ser evitados conscientizando as pessoas do risco existente nesses comportamentos. Não se pode prever todas as possibilidades de vulnerabilidades quando pessoas estão envolvidas. Não há como desenvolver um treinamento específico para cada ocasião em que a ação indevida de uma pessoa possa comprometer a segurança da empresa. Os treinamentos devem procurar enfatizar a postura que um profissionaldeve ter em relação a possíveis riscos. Figura 5: Sigilo de informação pessoal 25 3.3 Processos Em tempos de grandes fraudes financeiras, que colocaram sob suspeita a credibilidade das informações contábeis, e de uma crescente dependência da tecnologia da informação nas empresas, deter uma certificação de segurança da informação é, certamente, um importante diferencial competitivo, que demonstra ao mercado a preocupação da empresa em manter suas informações confidenciais, íntegras e disponíveis. Recentes leis e acordos internacionais, como a Sarbanes-OxleyAct e Basiléia II, demonstram a preocupação dos governos com fraudes e outros problemas relativos à confiabilidade e disponibilidade de informações, que podem colocar sob suspeita as ações de empresas. Alguns requisitos dessas leis referem-se nitidamente à segurança da informação, como a disponibilidade de informações de sistemas de informação (logs), garantia de não-repúdio de transações, sistemas menos suscetíveis a fraudes, segregação de funções e controle rígido de acesso. Novas atribuições profissionais surgiram para suprir essa necessidade, como o CISO – ChiefInformation Security Officer, CSO – Chief Security Officer, funções normalmente encarregadas da gestão da segurança de uma corporação e das atividades de enquadramento das companhias às regulamentações de mercado. O papel desses profissionais tornou-se muito importante à medida que os sistemas de informação corporativos tornaram-se críticos e que os gestores da empresa passaram a ter responsabilidade cível sobre a precisão das informações corporativas. Dessa maneira, nada mais natural que a busca de um padrão único e reconhecido de práticas para a segurança da informação e sistemas. A normalização e certificação de sistemas de gestão têm sido freqüentes e usuais como, por exemplo, as Normas de Qualidade (ISO 9001), Meio Ambiente (ISO 14001), Segurança do Trabalho (OHSAS 18001), entre diversas outras que atestam a adequação dos processos de uma empresa em relação aos requisitos de uma norma específica. Nessa linha, o mercado reconhece a Norma ISO/IEC 17799 como a principal referência de melhores práticas para a gestão da segurança da informação. Essa norma teve como origem a BS 7799, da BSI – British Standards Institution, padrão britânico de segurança da informação e, ao contrário de outras normas ISO, como as séries ISO 9000 e ISO 14000, a ISO/IEC 17799 ainda não tem um guia de certificação. 26 Atualmente, a certificação de segurança da informação somente é possível pela Norma BS 7799-2:2002. Quando uma corporação adota a ISO/IEC 17799 como referência, ela adota naturalmente uma abordagem orientada para processos, que permite maior eficácia na gestão da segurança. Esse tipo de abordagem concentra-se nos processos que impactam diretamente os resultados do negócio, e não apenas em soluções tecnológicas que aumentam o nível de segurança. A corporação passa a avaliar e gerenciar os riscos inerentes a cada processo de negócio, e a segurança passa a ser incorporada naturalmente na gestão dos processos. Dessa maneira, a norma sugere a implantação do Sistema de Gestão da Segurança da Informação de maneira similar aos já conhecidos Sistemas de Gestão da Qualidade e Meio Ambiente, pelo ciclo contínuo de aprimoramento do Sistema. Esse ciclo, conhecido como PDCA (Plan – Do – Check – Act) é implementado da seguinte maneira: Figura 6: Ciclo PDCA PLAN Estabelecer um Sistema de Gestão de Segurança da Informação: Definir uma diretriz para a segurança da informação em consonância com os objetivos de negócio da corporação. Realizar um levantamento de todos os ativos de informação contidos na empresa. Atribuir um valor para cada ativo, conhecer suas vulnerabilidades e ameaças e o impacto associado a cada ameaça. 27 Definir, de acordo com as práticas da norma, quais controles devem ser introduzidos para reduzir o risco existente. DO Implementar e operar o Sistema de Gestão da Segurança da Informação: Definir planos de tratamento de riscos, que podem incluir a instalação de ferramentas, treinamentos, campanhas de conscientização, criação de procedimentos de trabalho, ou transferir o risco para terceiros (contratação de seguros) CHECK Monitorar e revisar o Sistema de Gestão da Segurança da Informação: Verificar se, no tratamento dos riscos identificados, os planos delineados foram adequados. Verificar se o Sistema está atingindo os objetivos esperados. ACT Manter e melhorar o Sistema de Gestão da Segurança da Informação: Verificar a adequação do Sistema de Gestão da Segurança da Informação em relação aos objetivos iniciais Propor melhorias do Sistema. Definir novos objetivos de segurança. 3.4 Ferramentas Mais do que processos de trabalho bem definidos, profissionais conscientes e capacitados, a segurança da informação requer ferramentas específicas para a implementação das regras contidas nas políticas de segurança. Muitos dos requisitos de controle e prevenção somente podem ser conseguidos com o uso de soluções de hardware e software. Por exemplo: a aplicação de uma política de acesso, para ser implementada, depende invariavelmente de firewalls, servidores de autenticação, equipamentos de rede. Atualmente, um executivo de segurança da informação tem, à sua disposição, um arsenal de ferramentas sem igual para garantir a segurança dos ativos de uma corporação. Os principais blocos de soluções estão enumerados a seguir: 28 Figura 7: Gestão da Segurança da Informação 3.4.1 Gestão da Segurança da Informação Soluções que permitem a gestão da segurança de maneira centralizada e fazem parte de uma categoria denominada SIM (Security Information Management). Existem dois grupos de funcionalidades que podem residir em uma ou em mais ferramentas: Monitoramento:Realizam a análise e correlação de eventos originados em diversos sistemas através de uma plataforma única, e permitem a análise forense de incidentes, oferecendo um painel de bordo às equipes de segurança. Configuração e administração:Permitem a verificação e a modificação de configuração de diversas plataformas e sistemas de maneira a garantirem a conformidade com as políticas de segurança. Como exemplos de atividades realizadas por essas ferramentas podemos citar a modificação de uma regra num firewall, ou a verificação das versões dos aplicativos, instalados nas estações de trabalho, para identificar a necessidade de atualizações. 29 3.4.2 Gestão de Identidade Ferramentas que permitem a correta identificação de um usuário para lhe conferir acesso de acordo com seu perfil: Identificação/Autenticação:Permitem identificar unicamente um usuário e verificar a autenticidade da sua identidade através de mecanismos variados, como, por exemplo, senhas pré-definidas, certificados digitais, biometria ou dispositivos portáteis (tokens, smartcards). Autorização/Controle de acesso:Possibilitam especificar as ações permitidas e níveis de privilégio diferenciados para cada usuário através do estabelecimento de políticas de uso. Public Key Infrastructure/CertificationAuthority:Realizam a geração e gestão de chaves e certificados digitais que conferem autenticidade aos usuários ou à informação. Outra aplicação dessa categoria de ferramentas é o fornecimento de chaves para suportar soluções de criptografia. 3.4.3 Defesa Contra Ameaças Diversas soluções atuando, de forma preventiva ou corretiva, na defesa contra ameaças à segurança de uma corporação: Proteção de perímetro:Permitem definir uma fronteira, lógica ou física, em torno de um conjunto de ativos de informação e implementar as medidas necessárias para evitar a troca de informação não autorizada através do perímetro. Osfirewalls representam as soluções mais comuns de proteção de perímetro, podendo realizar inspeção e filtragem de pacotes de dados, analisando as diversas camadas até o nível da aplicação. Existem dois tipos de firewalls: os tradicionais appliances de segurança instalados na rede ou os personal firewalls que podem ser instalados em estações de trabalho ou servidores. Detecção de anomalias e intrusão:Realizam o monitoramento de redes, plataformas e aplicações visando a detecção de atividades não autorizadas, ataques, mau uso e outras anomalias de origem interna ou externa. Empregam métodos sofisticados de detecção que variam desde o reconhecimento de assinaturas, que identificam padrões de ataques conhecidos, até a constatação de desvios nos padrões 30 de uso habituais dos recursos de informação. Os IntrusionDetection Systems (IDS) são as ferramentas mais utilizadas nesse contexto e atuam de maneira passiva, sem realizar o bloqueio de um ataque, podendo atuar em conjunto com outros elementos (ex.: firewalls) para que eles realizem o bloqueio. Uma evolução dos IDS são os IntrusionPrevention Systems (IPS), elementos ativos que possuem a capacidade de intervir e bloquear ataques. Tanto IDS como IPS podem existir na forma de appliances de segurança, instalados na rede, ou na forma de host IDS/IPS, que podem ser instalados nas estações de trabalho e servidores. Outras ferramentas importantes nesta categoria são os Network BehaviourAnomalyDetectors (NBAD) que, espalhados ao longo da rede, utilizam informações de perfil de tráfego dos diversos roteadores e switches para imediatamente detectar ataques desconhecidos, ataques distribuídos (DistributedDenialof Service – DDoS) e propagação de worms. Proteção contra infecção:Garantem que os sistemas e os recursos de informação neles contidos não sejam contaminados. Incluem, principalmente, os antivírus e filtros de conteúdo. Os antivírus ganham cada vez mais sofisticação, realizando a detecção e combate de ameaças que vão além dos vírus, incluindo trojans, worms, spyware e adware. Os filtros de conteúdo aplicam políticas de utilização da web, examinando conteúdo consumido durante a navegação (ex.: programas executáveis, plug-ins). Existem também os filtros de conteúdo voltados para e-mails, chamados ferramentas anti-spam. As ferramentas de proteção contra infecção são instaladas tipicamente nas estações de trabalho e servidores, mas já existem versões voltadas para a rede, ou seja, eliminam ameaças antes de chegarem ao usuário, bloqueando na própria rede os pacotes infectados. Backup/recovery:Permitem o backup, de forma automatizada, de informações contidas em estações de trabalho e servidores. Além disso, possuem funcionalidades de recuperação e restauração de informações perdidas em caso de incidentes. 3.5 Criptografia das Informações Mecanismos que garantem a confidencialidade da informação em diversas camadas, através da aplicação de algoritmos de criptografia. Variam desde a criptografia das informações gravadas em dispositivos de memória (ex.: discos rígidos, storage) até criptografia das informações em trânsito visando à comunicação segura. Os equipamentos mais conhecidos para a comunicação segura são os 31 chamados concentradores de VPN (Virtual Private Networks), que permitem a formação de redes virtuais seguras nas quais todo o tráfego trocado (entre dois nós de rede – site-to-site – ou entre uma estação remota e um nó de rede – client-to-site) é criptografado utilizando algoritmos como o IPSec ou, mais recentemente, o SSL (Security Socket Layer). As soluções para segurança experimentam uma fase de intensa inovação tecnológica e de crescente sofisticação motivadas, principalmente, pelo aumento constante das atividades maliciosas. É um mercado aquecido, haja vista os crescentes investimentos das corporações em soluções para aumentar seus níveis de segurança. O mercado de soluções de segurança é relativamente novo e apresenta um elevado nível de fragmentação. Nele coexistem diversas empresas, oferecendo soluções para cada uma das áreas ilustradas, e que se destinam, muitas vezes, apenas parte do problema. Exemplos de soluções pontuais são os firewalls e antivírus presentes na quase totalidade das corporações. A diversidade de soluções isoladas representa desafios de interoperabilidade, integração e gerenciamento para as equipes de segurança. A criptografia é um mecanismo de segurança mais eficaz atualmente, podendo ser entendido como a modificação de uma informação em outra,deixando-a ilegível para pessoas não autorizadas, para obter essas transformações na mensagem, faz- se uso de algoritmos predefinidos e uma chave secreta, que codifica a mensagem em outra e depois é decodificada quando chega ao seu destino com a chave secreta, dessa maneira, procurar-se-á garantir a privacidade e a integridade, impossibilitando que terceiros possam ler a mensagem original ou mesmo alterá-la. 3.5.1 Fases da Criptografia A criptografia, segundo Marçula&Benini Filho (2007), ocorre em fases, iniciando sua transformação antes da transmissão ao destinatário, recebendo uma chave para ser descaracterizada; na segunda fase, a mensagem é transmitida, caso seja interceptada não poderá ser decodificada, pois só será possível com a chave de criptografia e, por fim, na terceira fase, a mensagem já está no seu destino e para ler basta utilizar a chave da codificação. Vejamos o exemplo a seguir: O remetente deseja enviar a seguinte mensagem: BLADE RUNNER. 32 Primeiramente, será atribuído para cada letra um valor correspondente, sendo 00 para espaço, 01 para a letra A, 02 para a letra B e assim, sucessivamente, para todas as letras. Dessa forma, tem-se: Figura 8: Exemplo 1 de criptografia Os valores são agrupados em conjunto de cinco letras e o final deve ser preenchido com espaços em branco: Figura 9: Exemplo 2do processo de criptografia Utilizar como chave também um conjunto de cinco números, que deverão ser somados a cada conjunto correspondente da mensagem que deve ser codificada. No exemplo, a chave é 10 08 04 11 02 e o resultado será: Figura 10: Exemplo 3 do processo de criptografia Com esse conjunto de valores obtidos a partir da soma, utiliza-se novamente a correspondência entre valores e letras. O resultado será: 33 Figura 11: Exemplo 4 do processo de criptografia A mensagem transmitida é LTEOGJZYYPOZDKB. Quando chegar ao destinatário que possui a mesma chave de criptografia utilizada para codificá-la, ele fará o mesmo processo mostrado anteriormente, com a diferença que, ao invés de somar os valores da chave, subtrairá os valores, restituindo a mensagem original. CONTEÚDO COMPLEMENTAR https://www.youtube.com/watch?v=JrVS7YsGw8w https://www.youtube.com/watch?v=ff0llG4atYs 34 REFERÊNCIAS MELO, Araujo Daniel. Segurança no Desenvolvimento. Disponível em: < http://www.softwarelivre.serpro.gov.br/recife/downloadplaestras/Apresentacao%20Se guranca%20 Desenvolvimento.pdf> Acesso em: 06 set. 2019 SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS. Certificação Digital. Disponível em: < https://ccd.serpro.gov.br/egba/docs/perguntas.htm#0> Acesso em: 21 jan.2020. SISP. Sistema de Administração dos Recursos de Tecnologia da Informação. Política de Segurança da Informação e da Comunicação. Disponível em: <http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=13971979> Acesso em: 15 ag. 2020. SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Campus.2003.
Compartilhar