Baixe o app para aproveitar ainda mais
Prévia do material em texto
Tecnologias da SegurançaTecnologias da Segurança AUTORIA Marcel Santos Silva Introdução Não é de hoje que a informação possui uma enorme importância na vida das pessoas e das organizações. Com a constante evolução da tecnologia, a capacidade de coleta, armazenamento e processamento das informações evoluiu substancialmente, criando uma forma de uso diferenciada, seja para produção de novos conhecimentos, seja para identi�cação de padrões comportamentais de consumo, por exemplo. Consequentemente, aumentou-se a necessidade de proteção das informações e conhecimentos produzidos que, cada vez mais, são transacionados por meio da rede de computadores, principalmente pela Internet. No entanto, a segurança não abrange somente a informação digital, é preciso considerar outros aspectos ao se avaliar a segurança, como, o lixo convencional e computacional, as conversas informais em ambientes abertos, a técnicas de engenharia social, as cópias de segurança em dispositivos móveis entre outros. Neste capítulo serão discutidos os conceitos básicos de dados e informações, as principais características que se referem a classi�cação das informações para, a partir daí, iniciarmos o entendimento em relação a segurança da informação e suas especi�cidades. Este documento está organizado em 15 temas, organizados de forma que se relacionam entre si, conforme apresentado a seguir. O tema 1 trata dos princípios de segurança da informação, desde os conceitos de dados e informação, formas de classi�cação e os aspectos principais da segurança da informação frente ao avanço tecnológico. O segundo tema apresenta as normativas e padrões que estabelecem um sistema de gestão de segurança da informação, tendo como principais as normativas da ABNT 27001, 27002, 27005, 27007 entre outras que convencionam as melhores práticas referente ao tratamento da informação no ambiente tecnológico. O tema 3 aborda os aspectos que se referente a identi�cação, tratamento e gestão dos riscos em sistemas de informação, detalhando o que estabelecem as normas ABNT NBR ISO/IEC 27005 e ABNT NBR ISO/IEC 31000. A quarta parte apresenta o plano de contingencie e continuidade de acordo com as normas e padrões, além de evidenciar o plano de emergência e plano de recuperação de desastre. Ainda se discute o processo de elaboração de um plano de continuidade do negócio de acordo com as melhores práticas. O tema 5 apresenta com detalhes a estruturação, suas principais características e etapas para elaboração de uma política de segurança da informação, atendendo as necessidades de cada organização. A sexta parte apresenta os princípios de auditoria de sistemas, destacando cada uma das etapas na realização de um programa de auditoria, com foco em sistemas de informação. No tema 7 são discutidos os conceitos, tipos de ameaças e vulnerabilidades, classi�cando essas como de hardware, de comunicação, de armazenamento, humanas e físicas. Trata ainda as principais ameaças aos sistemas computacionais, formas de prevenção, detecção e recuperação, no caso de ocorrência de algum incidente. Já o oitavo tema trata especi�camente dos tipos de vírus trojans e malwares, categorizando-os e apresentando suas formas de invasão e mecanismos de mitigação. A aula 9 trata especi�camente de fraudes, detalhando o furto de identidade, phishing, o boato e, por �m, o footprinting que consiste na coleta do máximo de informações relacionadas ao alvo que se deseja invadir. A décima parte apresenta as vulnerabilidades de redes de computadores, com destaque para o snif�ng, spoo�ng e Man in the Middle, suas características e formas de atuação quando utilizada por um invasor. O foco da parte 11 está na apresentação de técnicas de avaliação de sistemas, destacando as etapas de desenvolvimento, desde a de�nição da necessidade do negócio até a validação �nal pela área de qualidade de software. A parte 12 trata de uma das técnicas mais utilizadas atualmente, a Engenharia Social, que consiste na manipulação de sentimentos e mecanismos de persuasão para conseguir aquilo que se deseja de uma pessoa. Já o tema 13 discuti os tipos de criptogra�a, detalhando os sistemas de chaves simétrica e assimétrica, e os principais objetivos de uso da criptogra�a no processo de segurança da informação. A parte 14 discorre sobre os principais aspectos que tratam a Lei Geral de Proteção aos Dados, seus princípios e abrangência. A penúltima parte é uma continuidade da anterior, onde se discute a privacidade dos usuários e as vulnerabilidades à que estão suscetíveis, formas de mitigação dos riscos e os princípios fundamentais. Por �m, o tema �nal apresentado está relacionado à forense computacional, as etapas de investigação e a importância da cadeia de custódia para um processo judicial. Princípios de Segurança da Informação AUTORIA Marcel Santos Silva Dados e Informação Antes mesmo de se de�nir os conceitos de segurança da informação, é necessário entender os aspectos iniciais que alicerçam essa evolução e formas de utilização por meio da tecnologia. O termo dados, por si só, possui inúmeras formas de de�nição, portanto analisaremos algumas a seguir. De acordo com Sordi (2015), dado é uma coleção de evidências relevantes sobre um determinado fato que está sendo observado, e coleção apresenta o conceito de conjunto, ou seja, diversas evidências referentes a esse fato. Por dados, entende-se o material bruto que alimenta um determinado sistema, permitindo a construção de uma informação. Alguns autores ainda de�nem dado como qualquer elemento identi�cado em sua forma bruta que, por si só, não conduz a uma compreensão de determinada situação. O poder da informação é indiscutível, porém, o que tem revolucionado os processos tradicionais de utilização da informação é a forma como ela é rapidamente processada e utilizada para diversos objetivos conforme o modo de sua apresentação. Sordi (2015) de�ne informação como a interpretação de um conjunto de dados, conforme um propósito relevante e de consenso para um determinado público alvo. A informação exige, invariavelmente, a mediação humana para se de�nir um propósito que será entendido pelo processamento de dados a ser executado, NA PRÁTICA A informação é um conjunto organizado de dados capazes de reduzir as incertezas ou incrementar o conhecimento sobre algo, ou seja, a informação pode ser: as notícias apresentadas em jornais e até mesmo o conteúdo dessa aula é uma informação. De forma prática, o dado, dentro de uma organização, pode ser um salário do funcionário, pois o salário sozinho não possui um signi�cado para a organização. No entanto, quando esse dado é organizado, surge aí o conceito de informação, por exemplo, a folha de pagamento com os salários e os nomes dos funcionários. conforme uma unidade de análise. Há também o entendimento que informação é o resultado do processamento e manipulação de um conjunto de dados, de forma que os tornem signi�cativos e úteis. E não podemos deixar de contextualizar os sistemas de informação, que são de�nidos como um conjunto de componentes que se relacionam para a coleta, processa, armazena e distribui informações destinadas a apoiar a tomada de decisões e o controle em uma organização” (LAUDON; LAUDON, 2004). Classi�cação da Informação A classi�cação da informação é o processo de identi�car e de�nir níveis e critérios de proteção adequada para as informações, de forma a garantir a segurança. Toda organização deve ter a capacidade de atribuir valor a informação para garantir sua con�dencialidade, integridade e disponibilidade. A forma mais comum de classi�cação utilizada se refere ao grau de sigilo, porém, vale destacar que outras formas podem ser adicionadas, tais como: Ao seu gestor e custodiante; Ao tempo de retenção em cópias de segurança por questões legais; A qual o encaminhamento que deve ser dado à informação, quando do encerramento das atividades da organização. Uma dúvida que surge duranteo processo de classi�cação se refere ao nível de granularidade que se deve utilizar, por exemplo, arquivo, campo, conjunto de campos, registro do arquivo entre outros. O nível de granularidade da informação a ser utilizada para a classi�cação em relação ao sigilo deve ser um nível que o gestor entenda e seja signi�cativo para ele. No ambiente computacional, per�l gestor, a referência pode ser por transações, telas geradas por transações, relatórios gerados por transações. Já no ambiente computacional, no per�l técnico, pode-se considerar que o nível de sigilo de um arquivo deve ser igual ao maior nível de sigilo do conjunto de transações que tomam por base esse arquivo. Para que se obtenha uma classi�cação correta das informações, sugere-se o cumprimento das seguintes etapas: �. Elaboração de uma política de classi�cação; �. Coleta das informações; �. Classi�cação das informações coletadas; �. Implementação da política de classi�cação; �. Revisão periódica das informações classi�cadas. Uma vez identi�cadas e classi�cadas todas as informações levantadas na organização, partimos para a contextualização da segurança da informação. CONCEITUANDO “A granularidade é o nível de detalhamento que se espera de uma determinada informação. Esse nível de detalhe está diretamente ligado ao negócio que se pretende estudar. Por exemplo, uma determinada empresa precisa saber qual foi o seu faturamento em certo período. Imaginemos que o período seja de um ano especi�co, então a granularidade nesse exemplo serão os anos que se necessita saber o faturamento. Se outra empresa precisa da mesma informação, porém com faturamento diário, então a granularidade nesse caso é o tempo em dias. Geralmente a granularidade de um modelo está diretamente ou indiretamente ligada ao tempo.” (OLIVEIRA, 2010, p. 17-18). Segurança da Informação Para Nieles, Dempsey e Pillitteri (2017), segurança da informação se de�ne como a proteção de informações e sistemas de informações contra acesso, uso, divulgação, interrupção, modi�cação ou destruição não autorizada, a �m de garantir con�dencialidade, integridade e disponibilidade. Estes três últimos termos formam o que é conhecido como a tríade CIA, do acrônimo em inglês para con�dentiality, integrity e availability. De acordo com a NBR ISO/IEC 27002 (2013): A segurança da informação é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessário, para assegurar que os objetivos do negócio e a segurança da informação da organização são atendidos. A segurança da informação é constantemente desa�ada a cumprir seus pilares, onde, geralmente, nos problemas enfrentados eles são referência. Dentro do contexto de tecnologia e sistemas de informação, a segurança da informação possui três pilares que sustentam seus objetivos, conforme �gura 1. A Con�abilidade garante que a informação só será acessada por usuários autorizados, tendo como base o sigilo da informação. Objetivando garantir a con�dencialidade são usados controles de acessos, que garantem a não divulgação da informação sem permissão, como: autenticação por senha e permissão de Figura 1 – Pilares da Segurança da Informação. Fonte: Elaborado pelo Autor (2020). acesso. Vale destacar que este princípio no mundo corporativo garante o sigilo e protege o capital intelectual pertencente a organização, principalmente, com relação às vantagens competitivas e diferenciais de mercado. A Disponibilidade possibilita que a informação esteja disponível para acesso quando se deseja, para todos àqueles que tenham acesso, desta forma se garante a continuidade do serviço. Esse princípio está diretamente ligado à e�cácia do sistema e no seu perfeito funcionamento. Uma das formas mais comuns para se garantir a disponibilidade é a realização de serviços redundantes, além de cópias de segurança. A Integridade garante que a informação não seja modi�cada por indivíduos não autorizados, de forma a garantir suas características exatas desde a origem até o destino, sem sofrer qualquer alteração ou violação em todo o processo de transporte. Uma das formas comumente utilizadas para se garantir a integridade da informação transacionada é a criptogra�a. Além dos três pilares que sustentam a segurança da informação em sistemas, há quatro princípios que norteiam e possibilitam os meios adequados para a manutenção de um sistema organizado, seguro e con�ável. São eles: Autenticidade Con�rma a identidade do indivíduo emissor da informação, por meio do qual garante que a informação procede da fonte apresentada. A assinatura digital é um dos mecanismos que compreende este princípio. CONECTE-SE Você sabia que o Governo Federal Brasileiro possui um Departamento de Segurança Nacional que, além de ser responsável pelo planejamento e supervisão da atividade de segurança da informação nacional, trata ainda da estratégia nacional de Segurança Cibernética. Acesse o site do DSIC pelo endereço: https://go.eadstock.com.br/Vw Não repúdio ou irretratabilidade Esse princípio comprova que o emissor não negue a criação de determinado documento ou assinatura, não sendo possível eximir a sua autoria. Legalidade Seguir inteiramente as Leis e Regulamentações vigentes de determinado local ou País na utilização da tecnologia da informação. Privacidade Con�rma quais informações são disponibilizadas e quem são os usuários que possuem acesso. A autenticidade e a con�dencialidade são princípios que contribuem para a manutenção da privacidade. Leis, Normas e Padrões de Segurança da Informação AUTORIA Marcel Santos Silva Normas Uma norma pode ser de�nida como a medida para a realização de uma determinada atividade. Ela tem como premissa básica, de�nir regras e instrumentos de controle para garantir a conformidade de um processo, um produto ou um serviço. Conforme estabelece a ABNT ISO/IEC Guia 2 (2006), o objetivo do documento de normalização consiste na de�nição de soluções, em consonância dos envolvidos, para temas que possuem caráter repetitivo, tornando-se uma poderosa ferramenta na autodisciplina de agentes ativos dos mercados. Garante, ainda, evidência aos legisladores se há necessidade de regulamentações especí�cas em matérias que não são cobertas por normas. Importante destacar que uma norma, de�nida por um órgão o�cialmente normativo, é considerada uma referência idônea perante o mercado a que se destina, passando a ser utilizada em processos de regulamentação, de certi�cação, de metrologia, de acreditação entre outros. A �gura 1 apresenta todos os objetivos da normalização, conforme a ABNT ISO/IEC Guia 2:2006. Figura 1 – Objetivos da normalização. Fonte: ABNT Disponível aqui A aplicação de normas de segurança em ambientes computacionais é muito mais do que modismo, na verdade, é uma maneira de assegurar coerência nas ações dos responsáveis pelas atividades de administração em ambientes computacionais. Aderir a padrões de segurança reconhecidamente e�cientes reduz problemas de incidentes intrinsecamente ligados às operações executadas por computadores. Vejamos a seguir as normas criadas para a segurança da informação. http://www.abnt.org.br/normalizacao/o-que-e/objetivos Normas em segurança da informação A segurança para sistemas de informações foi um dos primeiros temas a se criarem padrões. A gestão de segurança da informação tem por objetivo identi�car riscos, prever sua possibilidade de ocorrência e implantar medidas que, de forma efetiva, reduzam sua realização. A �gura 2 apresenta o histórico de evolução das normas relacionadas à segurança da informação. Fonte: o autor. A Associação Brasileira de Normas Técnicas (ABNT) criou um conjunto de normas direcionadas para a Segurança da Informação, sempre tendo como referência ospadrões de�nidos pela Organização Internacional de Padronização, conhecida como ISO. A seguir, apresentamos as principais normativas em vigência. ABNT NBR ISO/IEC 27003:2011 – Tecnologia da informação – Técnicas de segurança – Diretrizes para implantação de um sistema de gestão da segurança da informação. ABNT NBR ISO/IEC 27004:2010 – Tecnologia da informação – Técnicas de segurança – Gestão da segurança da informação – Medição ABNT NBR ISO/IEC 27005:2019 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação. ABNT NBR ISO/IEC 27007:2012 – Diretrizes para auditoria de sistemas de gestão da segurança da informação. ABNT NBR ISO/IEC 27037:2013 – Tecnologia da informação – Técnicas de segurança – Diretrizes para identi�cação, coleta, aquisição e preservação de evidência digital. ABNT NBR ISO 22301:2013 – Segurança da sociedade — Sistema de gestão de continuidade de negócios – Requisitos. ABNT NBR 16167:2013 – Segurança da Informação – Diretrizes para classi�cação, rotulação e tratamento da informação. Existem ainda duas normas que merecem um pouco mais de destaque que são: ABNT NBR ISO/IEC 27001:2013 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Esta norma estabelece os requisitos principais para a de�nição do escopo do Sistema de Gestão da Segurança da Informação, além da avaliação de riscos, a identi�cação dos ativos e a e�cácia dos controles internos implementados. Ela promove a adoção de uma abordagem de processo para o estabelecimento e implementação, operação, monitoramento, análise crítica e evolução do SGSI dentro da organização. Vale ressaltar que o processo para a gestão de segurança da informação apresentada por esta norma, contribui para que os usuários destaquem a importância de alguns aspectos, como: Compreensão dos requisitos de segurança da informação e a necessidade de estabelecimento de uma política e objetivos claros; Implantação e inserção de controles para a gestão de riscos no contexto de negócio global da organização; Monitoramento e análise crítica do desempenho e e�cácia do SGSI; Melhoria contínua baseada em indicadores objetivos. ABNT NBR ISO/IEC 27002:2013 – Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação. CONECTE-SE Acesse e conheça as demais normas da família 27000. Sistema de Gestão de Segurança da Informação O sistema de gestão de segurança da informação (SGSI) é o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, de�nem como são reduzidos os riscos para a segurança da informação. https://go.eadstock.com.br/Vy Figura 2 – Implementação do SGSI pelo PDCA. Fonte: elaborada pelo autor (2020). Para cada uma das fases do PDCA, são estabelecidos um conjunto de ações para a implementação do Sistema de Gestão de Segurança da Informação, conforme apresentado a seguir. Fase 1 – PLAN – Estabelecer o SGSI Para a fase 1, que consiste no planejamento, a atividade principal é o estabelecimento do Sistema de gestão de segurança da informação, que compreende as seguintes atividades: Estruturação do SGSI; Plano Diretor de Segurança; Diagnóstico de Segurança; Avaliação, Tratamento dos Riscos e Seleção dos Controles de Segurança; Declaração de Aplicabilidade. Fase 2 – DO – Implementar o SGSI A fase 2 consiste na implementação do sistema de gestão de segurança da informação, composta das seguintes atividades: Criação do Comitê de Segurança da Informação; Estabelecimento da Política de Segurança; Classi�cação da Informação; Plano de Continuidade dos Negócios de TI; Treinamento e Conscientização. Fase 3 – CHECK – Monitorar e revisar o SGSI Esta fase tem como responsabilidade o monitoramento e a revisão do sistema de gestão de segurança da informação, e compreende apenas quatro etapas: Monitoração dos Controles de Segurança; Gestão de Incidentes; Revisão dos níveis de risco residual; Auditoria Interna do SGSI. Fase 4 – ACT – Manter e aprimorar o SGSI A última fase, representada pelo Act, consiste na manutenção e aprimoramento do sistema de gestão de segurança da informação, contemplando as seguintes atividades, conforme abaixo. Implementação de melhorias; Ações corretivas e preventivas; Comunicação das ações e resultados para alta administração e partes interessadas; Assegurar que as Melhorias foram implementadas e atenderam às expectativas. Análise de Riscos em Sistemas de Informação AUTORIA Marcel Santos Silva Analisar o risco em segurança da informação consiste em identi�cá-los e medir seus possíveis danos ao ambiente, desta forma, servindo de parâmetros para justi�car os mecanismos de controles de segurança, além de rastrear as áreas de riscos do sistema e de�nir medidas e�cazes para combate. A probabilidade de sucesso no ambiente tecnológico está intrinsicamente ligada à uma análise de risco e�ciente, pois permite o alinhamento dos objetivos de segurança com os requisitos do negócio, além de garantir melhores resultados e suprimir qualquer tipo de surpresa. O risco está diretamente relacionado à exploração de vulnerabilidade do sistema, por meio de ameaças, que impactam negativamente os recursos tecnológicos e a atividade da organização. Para alguns autores, o risco é composto pelos seguintes critérios: causa raiz, que é a origem do risco; efeito, que é a consequência gerada; probabilidade, que são as chances de que efetivamente se concretize; e, impacto que é o resultado ocorrido quando da efetivação do evento. O planejamento do sistema de gestão de segurança da informação a ser elaborado pela organização deve contemplar a determinação dos riscos e oportunidades que deverão assegurar que os resultados sejam alcançados, que se consiga reduzir ou prevenir os efeitos indesejados e se alcance a melhoria contínua. Para isso, deve-se partir da realidade para a abordagem teórica que melhor se adapte à organização naquele momento, de�nir a ameaça como a ação de uma pessoa, ambiente, recurso NA PRÁTICA Analisando um risco: imagine que você digitou um arquivo e o salvou no computador, no entanto, você não fez nenhum backup e, ao desligar, notou que seu computador fez um barulho estranho. Alguns dias depois, ao tentar ligar seu equipamento, ele não ligou e apresentou um erro no dispositivo de armazenamento (HD), ou seja, você perdeu o arquivo que estava gravado nele. A causa raiz foi não ter feito o backup, pois desta forma �cou à mercê do risco. O efeito foi o fato de perder o arquivo; a probabilidade são as chances do seu HD corromper que eram altas, pois ele já havia emitido barulhos estranhos; e o impacto foi o sentimento de não ter sido produtivo, pois já que todo o trabalho feito estava perdido. Com isso se conclui que a causa raiz está ligada à probabilidade e o efeito ao impacto do evento, portanto, exposição ao risco = probabilidade x impacto. ou fenômeno que seja considerado um perigo para a organização e, por �m, de�nir o risco como chance – considerando as contramedidas existentes de uma ameaça se transformar em realidade. O objetivo principal de uma análise de impacto no negócio nem sempre é ter o valor exato de um bem de informação ou da ocorrência de uma ameaça, mas identi�car a prioridade com que se devem tratar os riscos. Se não existe incerteza, ou seja, se é impossível de acontecer ou se tem uma certeza sobre um fato, não existe risco. Quanto mais clara a dinâmica dos riscos, seus impactos e as causas da sua concretização, menos a organização estará exposta a eles. Para calcular os riscos existem duas abordagens. A primeira usa métodos objetivos e é utilizada quando existe histórico consistente de dados. A segunda usa métodos subjetivos e é utilizada quando não existe histórico consistente. Nesse caso, são utilizadas escala de valores e avaliação do grau de criticidadede cada risco. Ao identi�car um risco a organização tem a opção de executar contramedidas que poderão eliminar, reduzir, absorver ou transferir o risco. Essas consequências poderão ser absorvidas pela própria organização ou por parceiros. Porém, alguns riscos especí�cos poderão não ser controlados por contramedidas. Nesse caso, devem ser documentados e apresentados ao nível diretivo da organização. Conforme estabelece a ABNT NBR ISO/IEC 27001 (2013), a organização deve de�nir e aplicar um processo de avaliação dos riscos que compreenda os seguintes aspectos: Estabelecer e manter critérios de segurança da informação que contemplem aceitação e desempenho das avaliações dos riscos; Garantir que as frequentes avaliações de riscos de SI produzam resultados comparáveis, válidos e consistentes; Identi�car os riscos associados a perda de con�dencialidade, integridade e disponibilidade dentro do escopo do SGSI; Identi�car os responsáveis dos riscos; Analisar os riscos de acordo com suas consequências potenciais, probabilidade da ocorrência e determinação dos níveis de risco; Avaliar os riscos e priorizar o tratamento. De acordo com a ABNT NBR ISO/IEC 27005 (2011), o processo de gestão de risco compreende a aplicação sistemática de procedimentos, políticas e práticas para tarefas que envolvam comunicação, de�nição do contexto, análise e avaliação, tratamento, monitoramento, análise crítica e aceitação do risco, conforme ilustrado pela �gura 1. Figura 1 – Processo de gestão de risco em segurança da informação Fonte: adaptada de ABNT NBR ISO/IEC 27005 (2011). O processo de gestão de riscos de segurança da informação pode ser iterativo para avaliação ou para as atividades de tratamento do risco. Com foco iterativo na execução do processo de avaliação de riscos, se torna possível o aprofundamento detalhado da avaliação em cada repetição. Tal enfoque permite minimizar o tempo e o esforço despendidos na identi�cação de controles, além de assegurar que, riscos de alto impacto ou de alta probabilidade, possam ser adequadamente avaliados. Conforme ilustrado pela �gura 1, a primeira etapa é o estabelecimento do contexto. Posteriormente, se executa um processo de avaliação de riscos. Caso sejam fornecidas informações su�cientes para se determinar ações de redução dos riscos a um nível aceitável, então se completa a tarefa e o tratamento do risco pode ser iniciado. No entanto, caso as informações sejam insu�cientes, realiza-se outra etapa de iteração do processo de avaliação de risco, revisando o contexto, como por exemplo, reavaliando os critérios de avaliação, aceitação ou de impacto do risco. O contexto para gestão de riscos de segurança da informação compreende a de�nição de critérios básicos, a de�nição do escopo e dos limites da gestão de risco e, por �m, o estabelecimento de uma organização apropriada para operacionalizar a Gestão de Riscos de Segurança da Informação. A norma direciona para que os riscos sejam identi�cados, quanti�cados ou descritos qualitativamente, também podendo ser priorizados em função dos critérios de avaliação de riscos e dos objetivos relevantes da organização. A análise/avaliação de riscos é composta da análise de riscos, que consiste na identi�cação e estimativa de Riscos; e, da avaliação de riscos. Vale ressaltar ainda que, as opções para o tratamento dos riscos devem ser selecionadas e que o Plano de Tratamento do Risco seja de�nido. A �gura 2 apresenta tais opções. Figura 2 – Opções de tratamento do risco Fonte: adaptada de ABNT NBR ISO/IEC 27005 (2011). Por convenção, a ABNT NBR ISO/IEC 31000 (2018) sugere que o processo de gestão de risco esteja incutido diretamente na tomada de decisão e seja parte da estrutura, operações e processos da organização. Podendo ser aplicado nos níveis estratégico, operacional, de sistemas ou de projetos. Já a ABNT NBR ISO/IEC 27005 (2011) sugere que a gestão de riscos de segurança da informação seja um processo contínuo. E ainda, que esse processo de�na o contexto interno e externo, avalie os riscos e trate os riscos usando um plano de tratamento, objetivando a implementação das recomendações e decisões. Destaca, por conseguinte, que a gestão de riscos analise as possíveis ocorrências e suas consequências antes de decidir o que, e em que momento será feito, a �m de reduzir os riscos a um nível aceitável. Plano de Contingência e Continuidade AUTORIA Marcel Santos Silva No dia a dia da organização, quando surge um evento inesperado, quais ações devem ser tomadas e como os funcionários devem proceder para que essa ocorrência não gere maiores prejuízos. Essa é a razão de se antecipar à possíveis eventos, seja ele um desastre físico, uma descontinuidade do negócio entre outros. Um evento ou interrupção nos serviços de uma organização, apesar de se apresentarem de forma rara, pode ocorrer a qualquer momento e de forma inesperada, causado pelos mais diversos tipos de ameaças. Tais ameaças podem vir de ambiente interno, por meio de falhas nos processos ou sistemas, fraudes �nanceiras ou contábeis; e do ambiente externo, causados por desastres naturais e economia, entre outros (FERNANDES, 2014). Qualquer evento que potencialmente possa impedir a organização de atingir seus objetivos deve ser considerado uma ameaça. É neste ponto que a ação a ser realizada consiste na medição da probabilidade de que essa ameaça se torne realidade, essa postura é conhecida como gestão de risco, em que se identi�cam as ameaças e continuamente avaliação suas possibilidades de ocorrência. Para Fontes (2008), existem dois momentos, antes e depois da ocorrência do evento. Antes do evento é necessário que sejam executadas ações preventivas com objetivo de minimização dos riscos. Ou aspecto importante é a realização de ações de �exibilização operacional, pode meio da gestão de mudanças, gestão de recursos e gestão de problemas. Já no momento pós-evento, é necessário executar o plano de crise, que pode ser classi�cado em três: plano de contingência, plano de recuperação de desastre e plano de emergência. Vejamos cada um deles a seguir. Plano de Contingência O plano de contingência dever ser elaborado em situações em que há perda de recursos, no entanto, esses recursos podem ser recuperados por meio de ações com menor impacto para a organização. Por exemplo, como plano de contingência, a organização opta por possuir dois servidores (equipamentos) com as mesmas con�gurações e capacidades para suportar um determinado serviço. Caso ocorra uma falha grave em um dos servidores, é possível que o outro equipamento assuma totalmente a disponibilização do serviço, causando assim, um impacto momentâneo de indisponibilidade, que se refere a ajustes de redirecionamento e reestabelecimento do serviço no novo servidor. Plano para Recuperação de Desastre O plano para recuperação de desastre dever ser construído para atendimento a situações em que ocorram perdas ou rupturas de recursos que exigem um esforço considerável para a recuperação de cada recurso perdido. Podemos citar como exemplo a destruição física de um local onde os equipamentos centrais da organização (servidores) estão alocados, obrigando a utilização de outro espaço para disponibilização dos recursos. Plano de Emergência O plano de emergência tem como característica atender situações em que, na maioria das vezes, não há perda de recurso, mas um sofrimento desse recurso. Por exemplo, a imagem da organização é afetada por uma falha em determinado produto que pode ser um lote de determinado remédio que causa efeitos colaterais, uma peça de um veículo que precisa ser trocada, pois pode causar um acidente entre outros. Plano de Continuidade Todos os planos já apresentados buscam o mesmo objetivo que é a continuidade do negócio, porém vale destacar que o plano de continuidade de negócio deve extrapolar os recursos computacionais. O principal objetivo é o planejamento de ações que serão executadas quando o eventoocorre, de forma a garantir que a organização mantenha, ao menos, suas atividades críticas em um nível aceitável, que fora de�nido pela sua área estratégica. Fontes (2008) alerta que as organizações devem realizar uma avaliação sincera da sua capacidade para enfrentar situações de contingência. O mais importante é possibilitar que a organização, principalmente a alta direção, tome conhecimento dos pontos fortes e das vulnerabilidades em relação à continuidade de negócio. O plano de continuidade tem como principal objetivo a construção de padrões de procedimentos que serão executados em situações adversas, de forma a proporcionar à organização a recuperação e retomada dos processos para continuidade das atividades vitais para o negócio, minimizando danos mais profundos que possam gerar prejuízos �nanceiros e, acima de tudo, de imagem (BARRETO et al., 2018) Para uma análise realista, devem-se considerar alguns aspectos e realizar algumas ações, como a de�nição do cenário dos recursos, do escopo organizacional e das ameaças consideradas. É preciso ainda identi�car a situação de maior risco de ocorrência e de maior impacto para a empresa. De acordo com Fontes (2008), para facilitar a identi�cação das vulnerabilidades e se preparar para construção de um plano de continuidade e�ciente, pode-se seguir uma classi�cação de maturidade do negócio, seno o nível mais alto, a melhor situação. Nessa proposta, o autor complementa que os níveis são cumulativos, ou seja, para se alcançar o nível imediatamente superior é obrigatório que todos os itens do nível em questão tenham sido satisfatoriamente atendidos. A seguir, as características de cada um dos níveis: NÍVEL ZERO Não existem cópias de segurança dos dados, dos programas aplicativos, das ferramentas de apoio e dos sistemas operacionais. NÍVEL UM Há um pro�ssional responsável pela gestão das cópias de segurança, garantindo o cumprimento das ações de�nidas. As cópias de segurança são guardadas em local diferente do local principal. O local alternativo que guarda as cópias de segurança possui proteção física adequada. Há recursos de tecnologia alternativos dentro do ambiente principal, garantindo a continuidade do ambiente computacional para contingências parciais. NÍVEL DOIS Há recursos de tecnologia e de escritórios alternativos em outro local distante dos principais. Foi realizada uma análise de impactos (�nanceiro, de imagem e operacional) no negócio junto aos usuários para identi�car a prioridade de recuperação dos processos e dos serviços críticos. NÍVEL TRÊS Há um monitoramento dos recursos utilizados pelos processos ou serviços, com o objetivo de proativamente identi�car, minimizar ou eliminar situações de indisponibilidade. São realizados, pelo menos duas vezes por ano, testes (mesmo que parciais) para garantir a efetividade da solução de recursos alternativos. Os testes realizados são planejados, documentados, avaliados e contam com a participação das áreas envolvidas. NÍVEL QUATRO Há planos alternativos documentados que serão utilizados pelos usuários, quando de uma indisponibilidade dos recursos tecnológicos. São realizados, ao menos, dois testes (mesmo que complementares) no período de um ano pelos usuários para tais procedimentos alternativos. NÍVEL CINCO Os planos de procedimentos alternativos e de tecnologia são atualizados e validados pelo menos duas vezes por ano. Os responsáveis por esses planos estão claramente de�nidos e há uma política de contingência assinada pela alta direção da organização. Elaborar um Plano de Continuidade Para que um plano de continuidade seja e�ciente, é necessário seguir algumas etapas durante o processo de sua elaboração. As primeiras características que devem ser consideradas é a de�nição do escopo, que consiste na identi�cação dos recursos, das ameaças e dos ambientes que farão parte deste plano. Uma vez identi�cadas as ameaças, estabelece-se o cenário em que poderá ocorrer o referido desastre, criando assim diferentes versões explícitas e em quais circunstâncias serão consideradas a efetivação do contingenciamento. A próxima etapa consiste basicamente na avaliação das ameaças e riscos, que devem levar em consideração o escopo e cenários criados para cada uma destas. Por conseguinte, deve-se analisar o potencial impacto no negócio, seja �nanceiro, operacional ou de imagem, para caso um determinado recurso esteja indisponível. Vale destacar que esta indisponibilidade deve ser medida de forma a se quanti�car o suportável. Em seguida, devem ser avaliadas as opções de processamento alternativo para a informação, de forma a atender as necessidades da organização. O próximo passo é a construção de documentos e manuais que comporão o plano de continuidade do negócio, que servirá para formação dos envolvidos e validação em caso de necessidade de execução, considerando que todas as atividades necessárias estão previstas, no caso de efetivação do desastre. Por �m, são necessários ainda, dois planos, o de teste que consiste na elaboração de procedimentos de forma a garantir, por meio de treinamentos, que os envolvidos mantenham o entendimento na execução dos planos, além de identi�car possíveis situações não previstas que necessitam ser incorporadas; e o plano de manutenção, que estabelece as normativas de manutenção do plano, ou seja, a evolução por meio de manutenção periódica e para situações especí�cas. A continuidade na elaboração de planos cada vez mais completos, possibilitará a organização caminhar e alcançar o plano de continuidade de negócio necessário e completo para a organização. Como não podemos deixar de falar em normas e padrões, a ABNT publicou em 2020 a ABNT NBR ISO 22301:2020 – Segurança e resiliência – Sistema de gestão de continuidade de negócios – Requisitos, que especi�ca os requisitos para implementação, manutenção e melhoria do sistema de gestão para que as organizações possam se proteger, reduzir a probabilidade de ocorrência, se preparar, responder e se recuperar de disrupções quando de sua ocorrência. Em conjunto com esta norma, foram publicadas ainda as seguintes: ABNT NBR ISO 22313:2020 - Segurança e resiliência — Sistemas de gestão de continuidade de negócios — Orientações para o uso da ABNT NBR ISO 22301; ABNT NBR ISO 22316:2020 - Segurança e resiliência — Resiliência organizacional — Princípios e atributos; ABNT ISO/TS 22317:2020 - Segurança da sociedade — Sistemas de gestão de continuidade de negócios — Diretrizes para análise de impacto nos negócios (BIA); ABNT NBR ISO 22320:2020 - Segurança e resiliência — Gestão de emergências — Diretrizes para gestão de incidentes; ABNT NBR ISO 22322:2020 - Segurança da sociedade – Gestão de emergências – Diretrizes para aviso público, que fornece diretrizes para o desenvolvimento, gestão e implementação de avisos públicos antes, durante e após incidentes. Nota-se que, assim como a tecnologia, é preciso que as organizações estejam cada vez mais preparadas, de forma a identi�car e se antecipar a eventos que podem causar qualquer tipo de prejuízo, independentemente do seu grau. Política de Segurança da Informação AUTORIA Marcel Santos Silva A Segurança da Informação tem seu início por meio da elaboração de uma política clara e concisa no que se refere a proteção das informações. É pela Política de Segurança da Informação (PSI) que a empresa formaliza suas estratégias e abordagens para a preservação de seus ativos. Para Ferreira e Araújo (2008), a PSI compreende o conjunto de normas, procedimentos e métodos utilizados para manutenção da segurança da informação dentro da organização, devendo ser formalizada e amplamente divulgada para os usuários que utilizam os ativos de informação. A ABNT NBR ISO 27002 (2013) de�ne como objetivo da PSI “Prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.” Ainda de acordo com a ABNT NBR ISO27002 (2013), é importante que a alta direção seja a precursora da PSI, estabelecendo a abordagem da organização para o gerenciamento dos objetivos que tratam da segurança da informação. A norma destaca que a PSI deve contemplar os seguintes requisitos: Da estratégia do negócio; De regulamentações, legislação e contratos; Do ambiente de ameaça da segurança da informação, atual e futuro. Outro ponto a ser considerado pela PSI estão relacionadas as declarações relativas a: De�nição da segurança da informação, objetivos e princípios; Atribuição de responsabilidades, gerais e especí�cas, para os papéis de�nidos; Processos para o tratamento dos desvios e exceções. A PSI tem a incumbência de capacitar a organização com instrumentos processuais, jurídicos e normativos. Estes, devem compreender as estruturas tecnológicas, físicas e administrativas, de maneira a garantir os princípios da integridade, disponibilidade e con�dencialidade das informações organizacionais. Para Ferreira e Araújo (2008) a PSI pode ser dividida em três blocos que são: As Diretrizes possuem papel estratégico e tem por objetivo expressar a importância que a organização dá aos ativos de informação, além de demonstrar claramente seus valores aos funcionários; As Normas estão vinculadas diretamente no segundo nível da política onde se detalha ambientes, situações e processos especí�cos, fornecendo subsídios para o uso adequado das informações; Já os Procedimentos estão presentes na política em maior quantidade por se tratar especi�camente de ações operacionais. É nesta camada que são especi�cados os meios de se atingir os objetivos estabelecidos pelas diretrizes. Para um melhor entendimento da relação dos blocos da PSI com a estrutura organizacional, apresenta-se a �gura 1. CONECTE-SE Você sabia que o Comitê Gestor da Internet no Brasil (CGI), possui uma área denominada NIC.br, que é o Núcleo de Informação e Coordenação do Ponto BR, criou o Grupo de Resposta a Incidentes de Segurança para a Internet no Brasil (CERT.br), cuja responsabilidade é tratar incidentes de segurança em computadores que envolvam redes conectadas à Internet no Brasil. Dentre diversos documentos, eles elaboraram uma cartilha que estabelece as Práticas de Segurança para Administradores de Redes Internet. Acesse o site cert.br e conheça essas práticas. https://go.eadstock.com.br/Vz Figura 1 – Diagrama do conceito dos componentes da PSI e seus pilares. Fonte: adaptada de Ferreira e Araújo (2008). A política deve ser construída antes da ocorrência de eventos que podem impactar na segurança da organização ou após, de forma a evitar a reincidências. Uma das premissas básicas é a criação de um Comitê de Segurança da Informação, que deve envolver diversos setores, tais como, tecnologia da informação, jurídico, engenharia, infraestrutura, recursos humanos e outros que forem necessários. Ferreira e Araújo (2008) apresentam um plano organizado em quatro fases para o desenvolvimento de uma política de segurança da informação, conforme explicitados a seguir. Fase 1 – Levantamento de informações A fase de levantamento de informações possui quatro subfases, que compreendem os seguintes as atividades principais: Aquisição de padrões, normas e procedimentos de segurança já existentes; Identi�cação das necessidades e uso dos recursos da tecnologia da informação; Coleta de informações sobre os processos de negócios, tendências de mercado e controles de risco; Aquisição de informações sobre o ambiente tecnológico. Fase 2 – Desenvolvimento do conteúdo da política e normas de segurança A segunda fase é responsável pela consolidação dos conteúdos necessários para a PSI, possuindo também quatro subfases, em que são realizadas as seguintes atividades: Gerenciamento da política, por meio da de�nição da segurança da informação, do objetivo do gerenciamento, dos fatores críticos de sucesso e da manutenção da política. De�nição de regras e responsabilidades, em que se deve criar o comitê, de�nir o proprietário e os usuários das informações, os recursos humanos e a auditoria interna; De�nição dos critérios de classi�cação das informações, por níveis, reclassi�cação, armazenamento e descarte; Elaboração dos procedimentos de segurança da informação, por exemplo, uso de internet, correio eletrônico e realização de cópias de segurança, entre outros. Fase 3 – Elaboração dos procedimentos de segurança da informação A terceira fase consiste na construção dos procedimentos de segurança da informação, subdivididos em três etapas: Busca e identi�cação das melhores práticas em SI usadas pelo mercado; Elaboração de procedimentos e padrões, para apresentação e discussão com a alta gerência da organização e alinhamento as necessidades do negócio; Formalização dos procedimentos no processo de integração às políticas corporativas. Fase 4 – Revisão, aprovação e implantação das políticas, normas e procedimentos de segurança da informação A última fase está organizada em apenas duas etapas, que consistem na revisão e aprovação das políticas, normas e procedimentos de SI. E, por �m, na implantação concreta destas políticas, normas e procedimentos, atuando diretamente na divulgação, envolvimento e publicidade da Política de Segurança da Informação para todos os funcionários da organização. CONCEITUANDO Um dos principais fatores de sucesso de implementação de uma Política de Segurança da informação consiste na sua divulgação. Portanto apresentamos quatro aspectos que devem ser considerados nesse processo: �. Todos devem ter acesso, um completo entendimento dos controles e objetivo da PSI; �. Devem ser realizadas as mais diversas formas de divulgação (e- mail, comunicado, workshop, cartilhas, etc.); �. Deve-se criar um programa de reciclagem, divulgação periódica aos novos funcionários; e �. Para toda alteração, revisão da PSI deve-se realizar novamente o processo de divulgação. Auditoria de Sistemas AUTORIA Marcel Santos Silva Quando o assunto é segurança da informação em sistemas, há obrigatoriamente a necessidade de se identi�car os usuários que realizaram as ações e em que momento essas ações foram executadas. Portanto, é de extrema necessidade a criação de um mecanismo para gravação e recuperação de todas as ações ou eventos que foram realizados no sistema. Uma característica importante neste mecanismo é a precisão das informações geradas, pois comporão as trilhas de auditoria. O trabalho em rede e o compartilhamento de recursos tornam a auditoria um processo complexo, além de aumentar a sua aplicabilidade nos sistemas de informações. As conhecidas trilhas de auditoria proveem um ferramental de aperfeiçoamento e proteção contra as principais vulnerabilidades e ameaças, nas tentativas de acesso, violação do sistema e na correção de riscos identi�cados. Para se planejar um sistema de auditoria, são necessários alguns pontos básicos, como a geração de trilhas de auditoria, análise e forma de armazenamento que são de�nidas conforme a necessidade da aplicação. Princípios de Auditoria A ABNT NBR ISO 19011 (2018) apresenta os princípios relacionados aos auditores, de forma a possibilitar uma conclusão de auditoria relevante, independente com conclusões mais próprias da realidade. Os princípios apresentados pela norma são: Integridade: o fundamento do pro�ssionalismo. Espera-se o desempenho do trabalhado de forma ética, honesta, imparcial e com responsabilidade; Apresentação justa: a obrigação de reportar com veracidade e exatidão. O resultado da auditoria deve se pautar na veracidade e precisão das atividades de auditoria. A comunicação deve ser verdadeira, objetiva, clara e completa. Devido cuidado pro�ssional: aplicação de diligência e julgamento em auditoria. Ser pro�ssional e exercer com o cuidado conforme a importância da tarefa que está sendo executada. Ter a capacidade de realizar julgamentos ponderados em todas as situações de auditoria. Con�dencialidade: segurança da informação.Importante que haja total discrição das informações obtidas e não ocorra o uso inapropriado para ganhos pessoais. Deve se manusear de forma apropriada a informação sensível ou con�dencial. Independência: a base para a imparcialidade da auditoria e objetividade das conclusões de auditoria. A independência do auditor é imprescindível para o sucesso da auditoria, de forma a não ocorrer con�itos de interesse e tendenciosidade. Abordagem baseada em evidência: método racional para alcançar conclusões de auditoria con�áveis e reprodutíveis em um processo sistemática de auditoria. A evidência deve ser veri�cável, uma vez que o uso apropriado de amostras está diretamente ligado à con�ança que se deposita nas conclusões de auditoria. Abordagem baseada em risco: uma abordagem de auditoria que considera riscos e oportunidades. Tem por objetivo in�uenciar o planejamento, a execução e o relato de auditorias, de forma a assegurar que aa auditorias tenham como foco assuntos efetivamente relevantes para o cliente. Ferreira e Araújo (2008) destacam a di�culdade em se transformar a considerável quantidade de informações disponibilizadas por meio dos logs registrados nos mais diversos sistemas, sejam servidores, aplicativos, �rewalls, roteadores entre outros, que, geralmente, são formatos distintos e nem sempre compatíveis entre si. Importante ressaltar que há alguns tipos de categorias de logs especí�cas para usuários, sistemas, redes, aplicações, processos e sistemas de arquivos. As organizações são amparadas por processos que possuem uma relação de dependência de ativos físicos, humanos e tecnológicos, que naturalmente estão sujeitos a falhas de segurança em algum nível. Estas vulnerabilidades são exploradas por ameaças, que se efetivadas, geram impacto nos ativos, afetando os processos e, por consequência, o negócio. Já tratamos a necessidade de se ter uma visão completa dos riscos dentro das organizações, uma vez que é necessária a continuidade do negócio para aqueles que dependem de infraestrutura operacional e riscos controlados. Um dos maiores problemas em segurança da informação é a identi�cação do causador do evento. No entanto, por meio da gravação e guarda da trilha de ações realizadas no sistema, essa identi�cação é possível. Qualquer sistema que precise de um nível mais alto de segurança, principalmente no que tange a controles de acesso, necessita também de auditoria. É imprescindível o acompanhamento do desempenho do sistema segurança e corrigir possíveis falhas, além da detecção de usuários maliciosos. O planejamento de um processo de auditoria requer alguns pontos que antecedem a auditoria em si. Que são: Ações É preciso analisar quais ações precisam efetivamente ser registradas, pois o fato de registrar tudo pode ocasionar problemas de espaço para armazenamento, lentidão no sistema e di�culdade na recuperação da informação desejada. Ao se registrar poucas ações pode ainda não conseguir encontrar a informação desejada, por não estar armazenada. Privacidade Veri�car até que ponto o registro de ações não invada a privacidade dos usuários, podendo ocasionar outros problemas. Análise da trilha Só há necessidade de análise de trilha quando da ocorrência de um problema de segurança. Armazenamento Veri�car as formas de armazenamento que impeçam o acesso de usuários maliciosos, que poderão utilizar o acesso às trilhas com forma de ação ilícita e exclusão de históricos, entre outros. Programa de Auditoria A auditoria consegue validar o atendimento dos requisitos para segurança da informação, garantindo assim a segurança nos dados organizacionais. No entanto, para que se atinja os objetivos, há um �uxo de processos de gerenciamento de uma auditoria, de�nido pela ABNT NBR ISO 19011 (2018), conforme apresentado pela Figura 1. Figura 1 – Fluxo do processo de gerenciamento de um programa de auditoria Fonte: adaptada de ABNT NBR/ISO 19011 (2018). O programa de auditoria deve incluir informação e identi�car recursos para permitir que elas sejam conduzidas de forma e�ciente e e�caz, cumprindo os prazos estabelecidos. Conforme de�nido pela ABNT NBR ISO 19011 (2018), a informação deve incluir: Objetivos para o programa de auditoria; Riscos e oportunidades relacionados ao programa de auditoria; Escopo de cada auditoria no programa; Agendamento de auditorias; Tipos de auditoria, podem ser interna ou externa; Critérios de auditoria; Métodos de auditoria a serem empregados; Critérios para seleção de membros de equipe de auditoria e Informação documentada pertinente. Etapas da Auditoria A auditoria de tecnologia da informação não é baseada somente na segurança, mas dispõe à organização inovar, intermediar, controlar e gerir processos, produtos ou serviços de forma contínua, objetivando a construção de diferenciais competitivos. Esta deve ser dividida em etapas, apresentando claramente os objetivos, o escopo e os critérios estabelecidos. As etapas, conforme ilustrado pela Figura 2, compõem o alinhamento das expectativas da organização, o planejamento e levantamento das informações, análise dos negócios e tecnologia da informação, apresentação dos relatórios das análises e testes de controles e, por �m, a comunicação dos resultados e do plano formal de ações. Figura 2 – Etapas da auditoria Fonte: elaborada pelo autor (2020). Todas as etapas do processo de auditora devem produzir documentos para a organização, pois possuem informações sobre os processos, os riscos encontrados e a avaliação destes riscos, os controles em conformidade ou não com as normativas, além de recomendações de melhoria. Conceitos, Tipos de Ameaças e Vulnerabilidades AUTORIA Marcel Santos Silva Vulnerabilidades As vulnerabilidades são falhas que comprometem o sistema, ferindo os pilares da segurança da informação. Basicamente são divididas em quatro tipos principais. Vulnerabilidades de hardware, de comunicação, de armazenamento, humanas e físicas. Vulnerabilidades de Hardware São equipamentos de hardware que, por serem mal instalados ou desenvolvidos, acabam se apresentando com maior facilidade para diversos tipos de ataques. Os ataques realizados em equipamentos de hardware ocorrem por conta de má instalação e drivers desatualizados. Os modens são os hardwares, em geral, mais acessíveis para um ataque malicioso, já que os atacantes aproveitam o uso de senha fracas ou padronizadas para acessarem os painéis de controle do dispositivo. Vulnerabilidades de Comunicação Consiste em quando as redes privadas são acessadas sem o devido cuidado ou quando alguém com habilidades técnicas avançadas conseguem invadir a rede privada e capturar informações. As redes privadas são onde ocorrem a troca e visualização de pacotes de dados, quando alguém explora essas vulnerabilidades, acaba atingindo o princípio da con�dencialidade, podendo também atingir o princípio da integridade. Vulnerabilidades de Armazenamento São as que afetam dispositivos de armazenamento, como pen drives, HDs externos, SSDs, que são os cartões de memória de máquinas e celulares entre outros. Tal vulnerabilidade pode ser explorada por ataques simples como vírus de script, podem assim apagar todas as informações ali contidas. Vulnerabilidades Humanas Dentre as apresentadas, as vulnerabilidades humanas são as mais comuns, pois é a ação realizada pelo próprio usuário que compromete a segurança, criando chances para que os ataques ocorram. É também a mais perigosa, pois, por falta de treinamento, acabam ocorrendo com maior frequência. As principais formas que representam este tipo de vulnerabilidade são download de aplicações inseguras, senhas fracas/simples e sua repetição para vários sistemas distintos. Vulnerabilidades Físicas São as que afetam as instalações prediais fora do padrão, sala de equipamentos mal planejadas, ausência de sistemas de proteção ambiental, que possibilitam acesso físico de pessoas não autorizadas. Ameaças Uma ameaça é a ação praticadapor softwares com intenções maliciosas, quando exploram as vulnerabilidades do sistema com sucesso. Consiste em uma possível violação de um sistema computacional e pode ser acidental ou intencional. Uma ameaça acidental (não intencional) é aquela que não foi planejada. Pode ser, por exemplo, uma falha no hardware (um defeito no disco rígido) ou uma falha de software (bug do sistema). Já uma ameaça intencional, como o nome diz, está associada à intencionalidade premeditada. Pode ser desde um monitoramento do sistema até ataques so�sticados, como aqueles feitos por hackers ou crackers. Algumas das principais ameaças aos sistemas de computadores envolvem destruição de informações ou recursos, modi�cação ou deturpação da informação, roubo, remoção ou perda de informação, revelação de informações con�denciais ou não, chegando até a interrupção de serviços de rede. Já um ataque ocorre quando uma ameaça intencional é realizada. Os ataques ocorrem por motivos diversos. Variam desde por pura curiosidade, pelo interesse em adquirir conhecimento e pelo teste de capacidade até o extremo, envolvendo ganhos �nanceiros, extorsão, chantagem de algum tipo, espionagem industrial, venda de informações con�denciais e – o que está muito na moda – ferir a imagem de um governo ou uma determinada organização. NA PRÁTICA Ataques acidentais é quando um usuário, sem intenção de causar prejuízos, por imprudência, imperícia ou negligência acaba causando danos que comprometem os pilares da segurança da informação. Como exemplo, imagine um funcionário de uma empresa que recebeu um e-mail, nele informava que ele foi sorteado e que ganharia um carro, devendo abrir o arquivo que estava em anexo e executá-lo em sua máquina. Sem pensar que este ato poderia dani�car sua máquina, o funcionário executa o arquivo e seu computador é infectado. Intencionalidade das Ameaças Basicamente, as intenções das ameaças podem ser categorizadas em três: Naturais Que são os fenômenos da natureza (incêndio, terremoto, tempestade, etc.). Involuntárias Que são causadas quase sempre pelo desconhecimento (acidentes, erros, etc.). Voluntárias Que são causadas propositalmente por agentes humanos (hackers, espiões, ladrões, invasores, etc.). Sistemas Computacionais e suas Ameaças As ameaças inerentes aos sistemas computacionais são classi�cadas em: Vazamento Ocorre quando um usuário legítimo fornece informação para um ou mais receptores não autorizados. Isto pode ocorrer propositalmente, ou não. Violação Ocorre quando uma informação legítima sofre alteração não autorizada (incluindo programas). Furto de recursos Ocorre quando alguém não autorizado bene�cia-se das facilidades dos sistemas computacionais. Vandalismo Quando alguém não autorizado, interfere, causando danos às operações dos sistemas, sem ganhos próprios. Evitando as Ameaças A �m de evitar a concretização dessas ameaças e ataques, existem três aspectos básicos que um sistema de segurança da informação deve conter. Prevenção Proteção de hardware: também conhecida como segurança física, impede acessos físicos não autorizados à infraestrutura da rede, prevenindo roubos de dados, desligamento de equipamentos e demais danos possíveis quando se está �sicamente no local. Proteção de arquivos e dados: providenciado por autenticação, controle de acesso e antivírus. No processo de autenticação, é veri�cada a identidade do usuário. No processo de controle de acesso, só são disponibilizadas as transações realmente pertinentes ao usuário. O antivírus garante a proteção do sistema contra programas maliciosos. Proteção de perímetro: ferramentas de �rewall cuidam desse aspecto, mantendo a rede protegida contra invasões de usuários não autorizados. Detecção Alertas: ferramentas para detecção de intrusos alertam os responsáveis pela segurança da rede em momentos que identi�cam tentativa de invasão ou mudança suspeita no ambiente computacional, que possa sugerir um padrão de ataque. Os alertas podem ser por e-mail, mensagem direta ao administrador da rede entre outras. Auditoria: em períodos especí�cos deve-se analisar os níveis críticos do sistema em busca de alterações suspeitas. Tal ação pode ser realizada por ferramentas que identi�cam modi�cações com alteração de tamanho de arquivos de senhas, usuários inativos, etc. Recuperação Cópia de segurança dos dados: é importante a atualização e a realização de testes nas cópias de segurança dos arquivos, mantendo-os separados das suas fontes originais. Aplicações de Backup: aplicativos que possibilitam a recuperação rápida e con�ável dos dados mais atualizados, na ocorrência de evento que pode ter causado a perda dos dados. Redundância do Hardware: a existência de redundância de hardware pode ser justi�cada levando-se em consideração qual será o custo de uma interrupção do sistema, de forma a determinar a importância da tecnologia da informação para a organização. É possível mitigar os riscos dos ativos computacionais de uma organização seguindo algumas recomendações básicas contra as ameaças disponibilizadas pelas diversas formas virtuais que circulam atualmente pela web: Atualização do antivírus: os programas de antivírus devem ser atualizados rotineiramente, principalmente quando da descoberta de um novo vírus ou vulnerabilidade, pois a maioria dos ataques por vírus se utilizam de falhas em sistemas operacionais e aplicativos. Bloquear arquivos executáveis: quando se necessita enviar um e-mail com um arquivo executável, utiliza-se do processo de compactação de arquivo. Somente usuários especí�cos têm reais motivos para enviar, por e-mail, arquivos com extensões desse tipo. Vale lembrar que muitos aplicativos de webmail bloqueiam tais arquivos, mesmo compactados. Bloqueio de programas de mensagens instantâneas: os aplicativos de mensagens instantâneas possibilitam o compartilhamento de arquivos. Desta forma, o usuário corre o risco de infectar o seu equipamento ao realizar o download do arquivo, mesmo existindo um programa de antivírus instalado e um controle de �rewall. Autenticação Segura: no uso da Internet para realizar transações comerciais, é necessária a veri�cação do site visitado e se ele utiliza o protocolo de segurança seguro. Outras providências para a segurança da informação em sistemas estão relacionadas especi�camente aos serviços de correio eletrônico. As principais são: Visualização de e-mail: desabilitar o recurso de visualização do sistema de correio eletrônico. Essa função exibe o conteúdo de uma mensagem eletrônica antes do usuário optar por realmente abri-la. Há diversos vírus que são ativados por meio da pré-visualização da mensagem infectada. Arquivos anexos: não se deve abrir arquivos anexados diretamente no aplicativo de correio eletrônico. Orienta-se baixar o arquivo no disco rígido e, em seguida, realizar a varredura do antivírus. Mensagens de origem desconhecida: não se deve abrir e-mails com arquivos sem o devido conhecimento do emissor. Além dos possíveis danos causados, existe o risco de mensagens maliciosas redirecionarem automaticamente para uma página da web, possibilitando assim que o invasor roube as informações pessoais do equipamento infectado. Mensagens inesperadas de conhecidos: suspeitar de mensagens inesperadas, principalmente com anexos de algum remetente conhecido. O envio pode ter sido realizado sem o consentimento da pessoa, que provavelmente está com a máquina infectada. Uso de criptogra�a: se a informação a ser enviada pela internet for con�dencial, a solução é a utilização de algoritmos de criptogra�a que se criam chaves e só podem ser decifradas por quem tem acesso à chave gerada. Alguns algoritmos de criptogra�a já são incorporados em sistemas gerenciadores de correio eletrônico, mas existe a possibilidade de se adquirir separadamente. Vírus, Trojans e Malwares AUTORIA Marcel Santos Silva Ameaças e Ataques Existem diversos tipos de ataques, conhecidos como malware, que possuemações especí�cas. O termo malware se refere especi�camente a programas desenvolvidos para executar ações danosas em computadores. Os principais são: vírus, trojan, backdoors, spyware, keylogger, worms e rootkits. Vírus É um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção. Os vírus podem se propagar por e-mails, por meio de scripts, na execução de macros e por telefone celular. Importante ressaltar que, na maioria das vezes, eles se mantêm ocultos, infectando os arquivos que estão armazenados no disco rígido e executando sem o conhecimento do usuário. Trojan É um programa, normalmente recebido como um "presente", que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente danosas e sem o conhecimento do usuário. Eles podem ser instalados por intrusos que alteram programas já existentes para desempenhar funções maliciosas, além das originais. Algumas das funções maliciosas que podem ser executadas por um cavalo de Troia são: Instalação de keyloggers ou screenloggers; Furto de senhas e outras informações sensíveis, como números de cartões de crédito; Inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador. Backdoor Normalmente um atacante procura garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos métodos utilizados na realização da invasão. Na maioria dos casos, também é intenção do atacante poder retornar ao computador comprometido sem ser notado. A sua inclusão consiste em disponibilizar um novo serviço alterado, em geral, incorporando recursos que possibilitam o acesso remoto. Os programas mais comuns de acesso remoto como backof�ce, netbus, subseven e vnc, se não forem con�gurados corretamente ou utilizados sem a devida autorização do usuário, podem ser caracterizados como backdoors. Spyware Refere-se a uma categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Atividades realizadas por esse tipo de malware são: Monitoramento de endereços acessados enquanto o usuário navega na Internet; Varredura dos arquivos armazenados no disco rígido e Monitoramento e captura de informações inseridas em outros aplicativos, como editores de texto. Eles podem ser legítimos, quando há o consentimento da instalação na máquina do usuário; e malicioso, quando as ações executadas comprometem a privacidade dos dados do usuário e a segurança do equipamento instalado. Keylogger É um programa capaz de capturar e armazenar as teclas digitadas pelo usuário. Dentre as informações capturadas podem estar o texto de um e-mail, dados digitados na declaração de Imposto de Renda e outras informações sensíveis, como senhas bancárias e números de cartões de crédito. Worm Código capaz de propagar-se automaticamente por meio de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros softwares ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá por meio da exploração de vulnerabilidades existentes na con�guração de aplicações instaladas. Os worms são notadamente responsáveis por consumir muitos recursos. Detectar a presença de um worm em um computador não é uma tarefa fácil. Muitas vezes os worms realizam uma série de atividades, incluindo sua propagação, sem que o usuário tenha conhecimento. Rootkits Um invasor, ao realizar uma invasão, pode utilizar mecanismos para esconder e assegurar a sua presença no computador comprometido. O conjunto de programas que fornece estes mecanismos é conhecido como rootkit. Ele pode fornecer programas com as mais diversas funcionalidades, dentre eles: programas para esconder atividades e informações deixadas pelo invasor, tais como arquivos, diretórios, processos, conexões de rede; programas para remoção de evidências em arquivos de logs; sniffers, backdoors e scanners, outros tipos de malware, como cavalos de Troia, keyloggers, ferramentas de ataque de negação de serviço entre outros. Os códigos maliciosos possuem características próprias que os de�nem e os diferenciam dos demais, por exemplo, forma de obtenção, instalação, propagação e ação maliciosa. Com o objetivo de facilitar essa conceituação e classi�cação o Cert.br (2020) apresenta uma tabela comparativa, conforme tabela 1. Tabela 1 – Comparativo entre os códigos maliciosos CÓDIGOS MALICIOSOS Vírus Worm Trojan Spyware Backdoor Rootkit Como é obtido: Recebido automaticamente pela rede x Recebido por e-mail x x x x Baixado de sites na Internet x x x x Compartilhamento de arquivos x x x x Uso de mídias removíveis infectadas x x x x Redes sociais x x x x Mensagens instantâneas x x x x Inserido por um invasor x x x x x Ação de outro código malicioso x x x x x Como ocorre a instalação: Execução de um arquivo infectado x Execução explícita do código malicioso x x x Via execução de outro código malicioso x x Exploração de vulnerabilidades x x x Como se propaga: Insere cópia de si próprio em arquivos x Envia cópia de si próprio automaticamente pela rede x Envia cópia de si próprio automaticamente por e-mail x Não se propaga x x x x Ações maliciosas mais comuns: Altera e/ou remove arquivos x x x Consome grande quantidade de recursos x Furta informações sensíveis x x Instala outros códigos maliciosos x x x Possibilita o retorno do invasor x x Envia spam e phishing Desfere ataques na Internet x Procura se manter escondido x x x x Fonte: Adaptada de Cert.br (2020). Fraudes AUTORIA Marcel Santos Silva Olá, alunos! Quando o assunto é fraude, há dois tipos conhecidos: os fraudadores internos e os externos. Ambos são preocupantes, pois a intenção dos dois é uma só: prejudicar a empresa ou pessoa. No entanto, para que uma fraude efetivamente ocorra, de acordo com Fontes (2008), são necessários ao menos três aspectos: A motivação, que está exclusivamente ligada à pessoa e não há como intervir; A ausência de controle, que permite que uma determinada vulnerabilidade seja aproveitada. A criação de controles e monitoramento de vulnerabilidade é uma das formas de mitigar as ações maliciosas; A oportunidade, que é o momento em que o usuário tem a chance de realizar a ação maliciosa. Geralmente há vulnerabilidades, porém, a pessoa não conseguiu identi�cá-las. Portanto, o conjunto desses três aspectos garante uma alta probabilidade de realização de uma fraude. Com isso, ressalta-se a importância de ações de detecção, prevenção e, como última maneira, recuperação das informações posterior à ocorrência de uma fraude. Em geral não é uma tarefa simples atacar e fraudar dados em um servidor de uma instituição bancária ou comercial. Por isso, golpistas e fraudadores vêm concentrando esforços na exploração das fragilidades dos usuários. Utilizando técnicas especí�cas e por diferentes meios e discursos, eles buscam enganar e persuadir as vítimas em potencial a fornecer informações sensíveis ou a realizar ações tais como executar códigos maliciosos e acessar páginas falsas. Com as informações pessoais das vítimas, os fraudadores podem realizar uma série de ações, tais como: transações �nanceiras, acesso a sites, envio de mensagens eletrônicas e criação de contas bancárias ilegítimas, entre outras atividades maliciosas. Atualmente, há muitos tipos de fraudes no meio digital e os mais comuns são: furto de identidade, fraude de antecipação de recursos, phishing, golpes de e-commerce e o famoso boato. Furto de Identidade O furto de identidade, também conhecido como identity theft, é o ato pelo qual uma pessoa tenta se passar poroutra, atribuindo-se uma falsa identidade, com o objetivo de obter vantagens indevidas. De posse dos dados, alguém cria um per�l em outro nome em uma rede social, acessa sua conta de e-mail e envia mensagens se passando pela pessoa ou falsi�ca os campos de e-mail, fazendo parecer que ele foi enviado por ela. Figura 1 - Exemplo de uso de Furto de Identidade. Fonte: adaptada de Goa Disponível aqui A �gura 1 mostra um exemplo prático da ação de fraudadores no recebimento de restituição de tributos, como por exemplo, imposto de renda de pessoa física. Acompanhe a imagem de acordo com a numeração descrita. �. Usando informações pessoais do contribuinte, é realizado o envio de mensagem pelo fraudador reivindicando um reembolso junto ao serviço da Receita Federal; �. A Receita Federal emite reembolso fraudulento ao fraudador; �. Os arquivos legítimos do contribuinte são enviados pelo contribuinte à Receita Federal; https://www.gao.gov/assets/gao-16-508.pdf �. A Receita Federal envia noti�cação ao contribuinte sobre o preenchimento duplicado; �. O contribuinte reconhece um problema e alerta a Receita Federal sobre a fraude no reembolso de identidade. Fraude de Antecipação de Recursos A fraude de antecipação de recursos, também conhecida como advance fee fraud, é aquela na qual um golpista busca induzir seu alvo a fornecer informações con�denciais ou a realizar um pagamento adiantado com a promessa de futuramente receber algum tipo de benefício. A seguir, são apresentados alguns exemplos desse tipo de fraude: Loteria internacional a vítima recebe um e-mail informando que ela foi sorteada em uma loteria internacional, no entanto, para receber o prêmio a que tem direito, precisa fornecer seus dados pessoais e informações sobre a sua conta bancária; Crédito fácil a vítima recebe um e-mail com uma oferta de empréstimo ou �nanciamento com taxas de juros muito inferiores às praticadas no mercado. Após o seu crédito ser supostamente aprovado, a vítima é informada que precisa realizar um depósito bancário para o ressarcimento das despesas; Doação de animais pessoas que desejam adquirir um animal de uma raça consideravelmente cara e, ao pesquisar por possíveis vendedores, descobre que há sites oferecendo tais animais para doação. Após entrar em contato, é solicitado que a vítima realize o depósito de um valor para despesas de transporte; Oferta de emprego a vítima recebe uma mensagem em seu celular contendo uma proposta tentadora de emprego. Para efetivar a contratação, no entanto, é necessário que ela informe detalhes de sua conta bancária; Noiva russa o fraudador deixa um recado na rede social da vítima contendo insinuações sobre um possível relacionamento amoroso entre eles. Esta pessoa mora em outro país, geralmente na Rússia, e após alguns contatos iniciais, sugere que se encontrem pessoalmente, mas, para que ela possa vir até o país da vítima, necessita de ajuda �nanceira para as despesas de viagem. CONECTE-SE O Cert.br, que é o Centro de Estudos, Resposta e tratamento de incidentes de segurança no Brasil possui uma in�nidade de publicações que tratam dos riscos na internet. Um dos materiais disponíveis apresenta de forma clara e leitura simples os principais golpes aplicados na rede de computadores, com foco especial, no Brasil. Phishing O phishing é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e �nanceiros de um usuário por meio da utilização combinada de meios técnicos e engenharia social. As ações mais comuns são: páginas falsas de comércio eletrônico ou Internet Banking, páginas falsas de redes sociais ou empresas conhecidas, mensagens contendo formulários de cadastro, mensagens contendo links para códigos maliciosos e solicitação de recadastramento, entre outros. https://go.eadstock.com.br/VA Phishing – Pharming Existe ainda o pharming, que é um tipo especí�co de phishing que envolve o redirecionamento da navegação do usuário para sites falsos por meio de alterações no serviço de DNS (Domain Name System). Neste caso, quando a vítima tenta acessar um site legítimo, o seu navegador Web é redirecionado de forma transparente, ou seja, sem a percepção do usuário, para uma página falsa. Fonte: Freepik. Site Fraudulento de E-Commerce Neste golpe, o hacker cria um site fraudulento com o objetivo especí�co de enganar os possíveis clientes que, após efetuarem os pagamentos, não recebem as mercadorias. Para aumentar as chances de sucesso, o golpista costuma utilizar artifícios tais como enviar spam, fazer propaganda via links patrocinados, anunciar descontos em sites de compras coletivas e ofertar produtos muito procurados e com preços abaixo dos praticados pelo mercado. Site de Compras Coletivas Golpistas criam sites fraudulentos e os utilizam para anunciar produtos nos sites de compras coletivas e, assim, conseguir grande quantidade de vítimas em um curto intervalo de tempo. Além disso, sites de compras coletivas também podem ser usados como tema de mensagens de phishing. Fraudadores costumam enviar mensagens como se fossem originárias do site o�cial e, desta maneira, tentam induzir a vítima a acessar uma página falsa e a fornecer dados pessoais, como número de cartão de crédito e senhas. Site de Leilão e Venda de Produtos Os sites de leilão e venda de produtos são aqueles por meio dos quais um comprador ou vendedor age de má-fé e não cumpre com as obrigações acordadas, ou ainda utiliza os dados pessoais e �nanceiros envolvidos na transação comercial para outro �m. Exemplos desse tipo de fraude são quitação de dívidas em menor valor e compra e venda cruzada, em que o fraudador faz o papel de intermediário oculto. Boato Também conhecido como hoax, o boato é uma mensagem que possui conteúdo alarmante ou falso e que, na maioria das vezes, tem como remetente alguma instituição, empresa importante ou órgão governamental. Por meio de uma leitura minuciosa de seu conteúdo, normalmente é possível identi�car informações sem sentido e tentativas de golpes, como correntes e pirâmides. Para legitimação dos boatos, os fraudadores utilizam de diversos meios e técnicas, veja: Engenharia social; Falsi�cação de documentos em geral; Roubo ou criação de "identidades" (pessoas e empresas); "Marketing" ativo; Simulação de situações e fatos; Representação "teatral" de apoio; Técnicas neurolinguísticas e de persuasão; Técnicas de sedução; Disfarce, mentira e sonegação de informações; Ações legais de "contenção" ou "terrorismo"; Ameaças e medo e Uso extensivo da Internet para criação de "referências". Footprinting O objetivo aqui é coletar o máximo de informações úteis sobre o alvo para que os ataques sejam realizados de forma mais precisa. O resultado deve ser um per�l do alvo que é uma imagem aproximada, mas que fornece dados su�cientes para planejar a próxima fase – o escaneamento, conhecida como scanning. As ferramentas mais utilizadas são: Pesquisa geral; Ping e Traceroute; Sites de emprego; Whois (internic e arin); DNS Zone Transfer; Google; Archive.Org; Mail tracking. A seguir, apresentam-se algumas técnicas utilizadas para o reconhecimento, que consiste na busca por informações especí�cas do alvo espalhadas pela Internet. Veri�cação de E-mail Para veri�car se um determinado e-mail está em alguma lista de vazamento de informações de sites na Internet, essa consulta pode ser realizada acessando o endereço haveibeenpwned.com. Basta digitar o endereço de e-mail desejado, e será http://haveibeenpwned.com/ apresentado se o e-mail pode estar em algumas das listas já disponibilizadas na web por hackers, conforme a imagem a seguir: Whois O serviço de diretório Whois apresenta as informações completas sobre os registros autorizados pelos administradores de domínio, por exemplo, no Brasil, o Registro.br. Há também outros sites, como o “Whats My IP” (www.whatsmyip.org/whois-dns- lookup), onde é possível realizar a consulta das informações cadastrais dos responsáveis
Compartilhar