Prévia do material em texto
SEGURANÇA DA INFORMAÇÃO João Roberto Ursino da Cruz , 2 SUMÁRIO 1 INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO...................................... 3 2 ESTRUTURA DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ....... 19 3 NORMAS VIGENTES SOBRE SEGURANÇA DA INFORMAÇÃO .................. 33 4 APLCIAÇÃO DE NORMAS, PADRÕES INTERNACIONAIS E CERTIFICAÇÕES ... 49 5 FIREWALLS, SISTEMAS DE DETECÇÃO DE INTRUSÃO E VPN ................... 62 6 DESAFIOS ÉTICOS, SOCIAIS E DE SEGURANÇA DA TECNOLOGIA DA INFORMAÇÃO .......................................................................................... 79 , 3 1 INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Apresentação Com o avanço da tecnologia, capacidades de pensamento computacional se tornam cada dia mais necessárias. O pensamento computacional envolve uma nova forma de pensar a respeito da resolução de problemas e, no mundo moderno, possuir essa habilidade traz uma série de benefícios. Porém, assim como o acesso à computação traz benefícios, ele também traz riscos, e estes riscos estão cada vez mais presentes no dia a dia das pessoas, mesmo aquelas que não são usuárias constantes de microcomputadores. Frente a isso, é importante ressaltar que o pensamento computacional funciona para ambas as partes: a) Aqueles que desejam atacar; e b) Aqueles que desejam se proteger. Neste bloco, vamos tratar dos princípios da segurança da informação e explicar como eles estão relacionados ao pensamento computacional. Além disso, vamos apresentar as principais ameaças enfrentadas pela segurança, bem como os crimes cibernéticos mais comuns. Por fim, vamos descrever as principais técnicas para o gerenciamento da segurança da informação. 1.1 Pilares da segurança da informação Na Era Digital, informações são ativos organizacionais valiosos; então, protegê-las é fundamental, não só para as corporações, mas também para as pessoas físicas. Os chamados ativos tecnológicos corporativos envolvem desde os computadores, notebooks e outros dispositivos de acesso dos usuários, à infraestrutura de rede, como servidores e equipamentos de rede. Mas não são apenas os dispositivos físico que fazem parte dos ativos tecnológicos de uma empresa. Softwares, sistemas , 4 operacionais e, principalmente, os dados também compõem os ativos tecnológicos de uma corporação. Da mesma forma, as pessoas físicas também possuem ativos tecnológicos que precisam de segurança da informação, e que muitas vezes são negligenciados por essas mesmas pessoas. Exemplos de ativos tecnológicos de pessoas físicas são seus dispositivos físicos, como computadores, notebooks e/ou celulares, e principalmente seus dados cadastrais. Sejam ativos corporativos, sejam ativos pessoais, diferentes controles de segurança podem ser aplicados para garantir que estes ativos estejam sempre seguros. Fonte: dotshock Via: Shutterstock Figura 1.1 – Exemplo de Ativo Tecnológico Corporativo Dessa forma, segurança da informação é um conjunto de estratégias utilizadas para o gerenciamento de processos, ferramentas e políticas necessário para a prevenção, a detecção, a documentação e o combate de ameaças, acessos, alteração ou destruição não autorizados de informações, sejam elas digitais ou não. Atualmente, os sistemas de segurança são procedimentos, políticas, dispositivos e mecanismos projetados para a mitigação de vulnerabilidades de modo explícito. Em outras palavras, de acordo com o National Institute of Standards and Technology, o termo “segurança da informação” significa “a proteção da informação e dos sistemas https://www.shutterstock.com/g/shock , 5 de informação contra acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição, a fim de fornecer integridade, confidencialidade e disponibilidade”. Estes são os três pilares da segurança da informação, os quais abordaremos em detalhes a seguir: Fonte: Autor, 2022 Figura 1.2 – Pilares da segurança da informação • Confidencialidade: O primeiro pilar é a confidencialidade. Ele diz respeito ao acesso a dados e informações de pessoas, processos ou dispositivos autorizados. A confidencialidade deve garantir que esses dados sejam acessados somente pelas pessoas corretas; • Integridade: O segundo pilar é o da integridade. Esse pilar diz respeito à garantia de que, uma vez que um dado é gerado ou armazenado, ele não será adulterado em nenhum momento. A integridade deve garantir que nenhum dado será alterado de forma incorreta e que, caso esse dado seja alterado, por qualquer motivo esperado, será possível auditar esta informação, garantindo com isto que qualquer informação segura seja também confiável; • Disponibilidade: O terceiro pilar é a disponibilidade, que é a garantia de que os dados estarão disponíveis sempre que necessário, uma vez que uma informação indisponível é uma informação não utilizável. , 6 1.1.1 Diferença entre dados e informação Três conceitos que aparentemente são bem simples, mas que costumam causar muitas dúvidas em quem começa a estudar segurança da informação, são os conceitos de Dado, Informação e Conhecimento. Em muitos locais, eles são considerados semelhantes ou até sinônimos, mas quando estudados sob a lente da gestão da informação, sua diferença é primordial para que possamos compreender quais ferramentas e ações devem ser adotadas e em que momento. Então vamos ver as diferenças entre esses conceitos: Dado: Os dados são a matéria bruta do conhecimento, ou seja, um conjunto de um ou mais caracteres quaisquer; não se aplica nenhum sentido a eles. Observe o dado abaixo: 04743030 Ao pensarmos neste conceito, podemos entender por que, por exemplo, um repositório de dados é chamado de banco de dados. A partir do momento que definimos a estrutura, não cabe ao SGBD (Sistema Geral de Banco de Dados) interpretar o que está sendo armazenado. Sua responsabilidade é apenas de verificar se o que está sendo armazenado cumpre com as regras de integridade do dado. Informação: Quando damos sentido a um dado ou um conjunto de dados, ele passa a ser chamado de informação. Consideremos o mesmo exemplo acima, porém agora sabendo que ele se refere a um CEP. 04743-030 Ao compreendermos que esse dado simboliza um CEP e que ele faz parte de um conjunto que nos permite localizar um endereço específico, podemos então usar sistemas que conheçam esse tipo de informação e pensar no melhor , 7 modelo para validá-lo ou armazená-lo, entre outras coisas. Porém, o que fazer com essa informação? Conhecimento: Ao compreendermos o significado de uma informação, é possível aplicá-la ao pensamento computacional. Isso é conhecimento. Retomando o exemplo acima, ao saber que esses dados são um CEP e considerando a informação de que todo CEP, no Brasil, está associado ao nome de uma rua, é possível identificar que o CEP 04743-030 é o CEP da Rua Isabel Schmidt, onde fica um dos Campus da UNISA. Softwares como o ERP (Enterprise Resource Planning) e o BI (Business Intelligence) são usados justamente para a busca de dados brutos e informações para criação de Conhecimento, no formato de relatórios, ou tomada de decisão. 1.2 Ameaças à segurança Até o surgimento das redes, a segurança da informação não era uma grande preocupação. Com o uso da internet, foi necessário mudar de pensamento, pois ela apresenta inúmeras vulnerabilidades de segurança. Além de ser uma condutora para atacantes, ela conecta um computador a outro, ou a servidores, os quais podem ter suas próprias falhas, seja de software e falta de segurança física. Outro ponto de vulnerabilidade são os protocolos de comunicação, dos quais a internet depende. Muitos não são projetados para ser especialmente seguros, e ainda, as redes podem ser configuradas de modo a deixar possíveis brechas na segurança.da informação – Requisitos. Rio de Janeiro: ABNT, 2006. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. Rio de Janeiro: ABNT, 2022. SILVA, D. Benefícios e fatores condicionadores da obtenção de certificação em gestão da segurança de sistemas de informação. 2011. Dissertação (Mestrado em Engenharia e Gestão de Sistemas de Informação) – Universidade do Minho – Escola de Engenharia, 2011. , 49 4 APLICAÇÃO DE NORMAS, PADRÕES INTERNACIONAIS E CERTIFICAÇÕES Apresentação Segurança da informação é um assunto que vem se expandindo ao longo dos últimos anos e se tornando uma preocupação constante para organizações de todos os segmentos e portes. Isso se deve, em grande parte, ao aumento do número de incidentes relacionados à segurança, que ocorrem com cada vez mais frequência mundialmente. Os danos trazidos podem ser variados, não somente envolvendo a perda, o roubo, o extravio e as alterações indevidas das informações, mas também atingindo a imagem da empresa perante seus clientes e parceiros. Em vista disso, muitas são as normas e os padrões internacionais elaborados com o intuito de divulgar boas práticas e diretrizes sobre a segurança da informação, servindo de fundamento para as atividades relacionadas a essa área nas organizações. Neste bloco, você vai estudar o uso das principais normas e padrões internacionais de segurança da informação e as principais certificações para os profissionais da área. 4.1 O uso das normas e padrões internacionais de segurança da informação A segurança da informação não se restringe somente à informação eletrônica, que tramita em sistemas informatizados com armazenamento eletrônico, e sim a todos os aspectos que envolvem a proteção dos dados e das informações. Os atributos básicos da segurança da informação dizem respeito à forma como a informação é tratada; são eles: Disponibilidade Confidencialidade Autenticidade integridade , 50 A integridade envolve características dos três anteriores. Esses atributos servem para fundamentar a análise, o planejamento e a implementação da política de segurança que servirá para um grupo específico de informações a serem protegidas. Com relação aos atributos da segurança da informação, é importante lembrar que: • Disponibilidade é a característica de um sistema de informação que mantém os seus serviços disponibilizados pelo máximo de tempo possível, sendo resistente a falhas de hardware, de software e a falhas de energia; • Confidencialidade é a característica daquela informação que só é divulgada para aqueles indivíduos, processos e máquinas que têm autorização para acessá-la. É a garantia de que a informação trocada entre o emissor e o receptor de uma mensagem vai ter seus dados protegidos durante a transação; • Autenticidade é a característica que diz que, quanto mais próxima da original for uma informação que chega ao destinatário, mais autêntica e confiável ela será. A autenticidade é a garantia de que um indivíduo, um processo ou um computador é quem ele “diz” ser; • Integridade é a característica que envolve o fato de a informação não ter sido alterada de forma não autorizada ou indevida, pois se a informação for alterada por alguém não autorizado, de forma indevida, ela perde sua credibilidade e seu valor, tornando duvidosas e imprecisas quaisquer decisões tomadas com base nessa informação e tirando a credibilidade e a confiança de quem a forneceu. A integridade é a essência da segurança da informação, pois é formada pela disponibilidade, pela confidencialidade e pela autenticidade. Para definir o nível de segurança da informação, podem ser estabelecidas métricas, que podem utilizar ou não ferramentas e técnicas, mas que servirão para instituir bases para analisar o que precisa ser melhorado com relação à segurança existente. A segurança de uma informação específica pode ser influenciada por fatores que vão desde o comportamento do usuário que a utiliza até o ambiente ou a infraestrutura , 51 onde ela está armazenada, enfrentando ainda indivíduos mal-intencionados que objetivam modificá-la, roubá-la ou, até mesmo, destruí-la. O nível de segurança necessário pode servir para consolidar uma política de segurança da informação, que poderá ser seguida por uma pessoa ou por toda uma organização, com o objetivo de buscar e manter ótimos padrões de segurança. Para estipular essa política, é preciso levar em conta todos os riscos que estão associados a uma possível falha de segurança, os benefícios trazidos por seguir uma política e os custos que estão envolvidos na implementação dessa política. Atualmente, existem muitas ferramentas e sistemas que têm a pretensão de fornecer segurança para informações. Porém, o fato de a organização ou a pessoa disporem de recursos tecnológicos não é suficiente; é preciso colocar a tecnologia em harmonia com normas, métricas e estratégicas. É por esse motivo que existem referências internacionais e nacionais em gestão da segurança da informação que oferecem aos profissionais o conhecimento sobre o que existe de mais atualizado na área. Toda e qualquer informação trabalha com a coleta, o processamento, o armazenamento e a transmissão de informações por meio da utilização de meios físicos, eletrônicos e, logicamente, por comunicação verbal. Por causa dessa diversidade, muitas são as formas pelas quais as ameaças podem se concretizar, gerando danos e impactos negativos. Nesse sentido, as práticas de segurança da informação devem ser incluídas o tempo todo na execução das atividades. Quando a segurança da informação é eficaz, ela é capaz de reduzir os riscos e proteger toda a organização das vulnerabilidades e das ameaças. Para que as organizações possam se fundamentar, obtendo diretrizes e princípios que vão guiar suas práticas de segurança da informação, existem diversas normas técnicas que traduzem padrões internacionais sobre esse assunto. Foi por causa da preocupação frequente com a garantia da confiabilidade, da autenticidade, da disponibilidade e, principalmente, da integridade das informações, , 52 juntamente com o rápido avanço da tecnologia da informação, que foram elaboradas normas, seguindo padrões internacionais, capazes de garantir a segurança da informação em um nível satisfatório, dependendo de cada situação. Essas normas envolvem assuntos como o tratamento das informações, a tecnologia da informação envolvida, a gestão de toda a documentação e, ainda, as técnicas utilizadas para a segurança. As normas têm o propósito de apresentar as melhores práticas, demonstrar diretrizes, definir princípios, regras e critérios e, principalmente, fornecer parâmetros para uniformizar os níveis de qualidade de processos, produtos e serviços, na intenção de que sejam eficientes. Em outras palavras, as normas trazem procedimentos e regras a serem seguidos, para assegurar que um processo, um produto ou um serviço seja realizado ou elaborado de forma padronizada e da maneira mais correta possível. Para que uma organização possa usufruir de tudo o que a segurança da informação oferece, é necessário que os processos, os hardwares e os softwares envolvidos nos processos supram todas as suas necessidades, levando em consideração os riscos envolvidos nas atividades do negócio. A melhor maneira de assegurar que tudo está sendo feito de forma correta é seguindo normas estabelecidas para a segurança da informação, pois são específicas para essa área e traçam diretrizes determinadas para as atividades que a envolvem. As normas técnicas são aprovadas por organismos ou entidades reconhecidas, e as organizações que atenderem aos seus critérios podem, dependendo da norma à qual se vincularam, receber uma certificação deexcelência quando forem auditadas. É cada vez mais frequente o fato de os clientes exigirem, a fim de fechar negócios, que as organizações sejam certificadas ou que comprovem que seguem determinadas normas, uma vez que é dessa forma que elas demonstram preocupação com as melhores práticas de segurança internacionais. Estas melhores práticas, em muitos modelos de negócio, podem ser associadas à qualidade dos produtos oferecidos e dos serviços prestados pela corporação. , 53 Para que uma organização se torne certificada, ela precisará passar por auditorias realizadas por entidades certificadoras. Estas são responsáveis pela verificação de todos os processos e conformidades, de acordo com determinada norma. O processo de certificação pode variar conforme o tipo de serviço ou produto, ou ainda conforme o porte da organização, mas normalmente ele vai incluir a aplicação das diretrizes da norma, a análise da documentação e a realização de auditorias internas pela organização, para verificar inconsistências e inconformidades e para que ela possa se adequar. 4.2 As principais normas e padrões internacionais de segurança da informação BS 7799 é uma norma britânica muito conhecida, que foi desenvolvida por uma instituição inglesa chamada British Standards Institution. Ela foi aprovada pela International Organization for Standardization (ISO) e também pela International Electrotechnical Commission (IEC) para ser utilizada internacionalmente, passando a ser conhecida, no ano de 2000, como ISO/IEC 17799, que atualmente traz a padronização para o conceito de segurança da informação. Fonte: Aree_S Via: Shutterstock Figura 4.1 – Segurança da Informação A norma ISO/IEC 17799 traz um guia de práticas e diretrizes acerca da gestão da segurança da informação, que descreve genericamente quais são as áreas importantes para a implantação e para a manutenção da gestão de segurança da informação em uma organização (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005). A importância dessa norma se deve ao número cada vez mais expressivo de pessoas , 54 envolvidas com informações e também aos diversos tipos de ameaças aos quais as informações estão suscetíveis. Os principais objetivos da norma ISO/ IEC 17799 são: • O estabelecimento de um guia de referência para que as organizações possam desenvolver, implementar e avaliar a gestão da tecnologia da informação; e • A promoção da confiança nas transações comerciais entre organizações. Para que a gestão dos controles possa ser feita de maneira eficiente, a norma 17799 divide a gestão da segurança da informação em macroáreas, que são: política de segurança, segurança organizacional, classificação e controle dos ativos de informação, segurança de recursos humanos, segurança física e do ambiente, gerenciamento das operações e comunicações, controle de acessos, desenvolvimento e manutenção de sistemas de informação, gestão de continuidade de negócios e conformidade. Dependendo do porte da organização, pode-se perceber que algumas macroáreas não são necessárias por serem direcionadas a organizações maiores. Depois disso, a partir de 2005, começaram a ser publicadas as normas da família ISO/IEC 27000, servindo de guia para melhores práticas de segurança da informação. Elas têm como temas o sistema de gestão de segurança da informação (SGSI), a gestão de riscos, a aplicação de controles, o monitoramento, as revisões, as auditorias, entre outros assuntos. Elas trazem uma forma de fazer a implementação, o monitoramento e o estabelecimento de objetivos. A certificação e a aplicação das normas da família ISO/IEC 27000 não são obrigatórias, mas a sua utilização traz diretrizes e recomendações para uma gestão eficiente, que vai facilitar a entrega de resultados positivos para a organização. Dentro da família 27000, a norma 27001 é passível de certificação, e as outras normas servem como fundamento para auxiliar a alcançar resultados positivos, principalmente a norma 27002. As empresas certificadas pela norma ISO 27001 usufruem dos benefícios vindos da sua certificação e podem também passar a exigir que seus , 55 fornecedores ou parceiros sejam certificados, como uma garantia de que eles cumpram os princípios fundamentais da segurança da informação. A norma ISO/IEC 27001 traz a definição dos requisitos para implementar, operar, monitorar, revisar, manter e melhorar um SGSI. A sua utilização se aplica a qualquer tipo de organização, independentemente do seu setor de atuação ou do seu porte, sendo muito valorizada por aquelas que têm na segurança das informações um dos fatores cruciais para o sucesso dos seus processos, o que acontece com instituições financeiras e de tecnologia de informação ou instituições públicas (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013a). Fonte: mushan Via: Shutterstock Figura 4.2 – Certificado ISO 27000 As especificações e a implementação do SGSI de uma organização dependem exclusivamente de suas necessidades, seus objetivos, suas exigências para os níveis de segurança de informação, processos executados pelos colaboradores, seu porte e sua estrutura. Ou seja, o SGSI deve ser realmente individualizado para cada organização. Como uma das grandes preocupações das organizações e das suas partes interessadas é o tratamento dado às informações, a implementação da norma ISO 27001 demonstra um compromisso com a segurança da informação, o que representa maior confiabilidade para quem for interagir com a organização certificada. O fato de as organizações certificadas passarem por criteriosos processos de auditoria, feitos por entidades externas credenciadas e idôneas, fará com que seus parceiros, fornecedores , 56 e clientes percebam que, para essas organizações, a integridade das informações é muito importante, e que existe um padrão de exigência elevado para a gestão e a política de segurança da informação na empresa. Dentre as vantagens que a utilização da norma ISO 27001 pode trazer para uma organização, estão: • O ganho da confiança das partes interessadas; • A identificação de oportunidades de melhorias nos processos; e • A identificação dos riscos, com a definição de controles para administrá-los ou eliminá-los. Uma outra norma da família ISO 27000 que merece destaque é a norma ISO/IEC 27002, que traz um guia de melhores práticas para a gestão da segurança da informação, assunto fundamental para que a implementação de um SGSI se consolide, garantindo que os processos de segurança se tornem contínuos e estejam alinhados aos objetivos da organização. Ela informa como os controles devem ser definidos e implementados nas organizações, estabelecendo que a sua escolha deve ser baseada na avaliação dos riscos enfrentados pelos ativos mais importantes da organização (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013b). Essa norma pode ser aplicada em qualquer tipo de organização, seja ela pública ou privada, independentemente do seu porte, ou se tem ou não fins lucrativos. Atenção: A norma ISO/IEC 27002 traz como conceito para a palavra “ativo” qualquer coisa que tenha importância e valor para a organização e que, por isso, precisa ser protegida de alguma maneira. Os ativos devem ser identificados, avaliados e ter regras para o tipo de uso a que se destinam, para que a organização possa manter um enfrentamento preventivo dos ativos mais importantes (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013b). Essa norma pode ser aplicada em qualquer tipo de organização, seja ela pública ou privada, independentemente do seu porte, ou se tem ou não fins lucrativos. , 57 A norma 27002 tem o objetivo de fornecer diretrizes e princípios para que a organização possa iniciar, implementar, manter e melhorar continuamente a sua gestão de segurança da informação. Conforme Hintzbergen et al. (2018), essas atividadesenvolvem também a definição, a seleção, a implementação e o gerenciamento de controles, o que vai levar em consideração os riscos enfrentados pela empresa. Essa norma indica a criação de um documento contendo a política de segurança da informação da empresa, trazendo o conceito de segurança da informação para a organização, seus objetivos e formas de controle. Esse documento ainda deverá informar as responsabilidades de cada um na implementação e na manutenção dessa política. Outro conselho trazido pela norma 27002 é a análise de cada funcionário ou fornecedor contratado, principalmente se o seu trabalho ou atividade envolver algum tipo de informação sigilosa para a empresa. Essa prevenção vai servir para que a organização esteja sempre ciente de suas ameaças com relação à segurança da informação e para que possa diminuir o risco de má utilização, roubo ou fraude nos seus recursos. Além disso, é importante que as informações sejam mantidas em áreas seguras, com controle de acesso apropriado, o que vai incluir proteções e barreiras físicas e lógicas. O acesso à informação deve ser baseado na importância da informação para o negócio, e a liberação do acesso por perfil e por nível deve ser efetuada conforme a necessidade de cada usuário. A ISO/IEC 27002 ainda fala sobre a importância de todas as partes interessadas na organização estarem preparadas e informadas acerca dos procedimentos em caso de incidentes de segurança da informação (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013b). Para isso, deve ser elaborado um plano de continuidade de negócio, capaz de impedir a interrupção das atividades da empresa e garantir que ela volte à operação normal no menor tempo possível. Uma organização que faça uso da norma ISO/IEC 27002 poderá ter como benefícios principais: , 58 • A conscientização acerca da segurança da informação para todos os envolvidos com a empresa; • A identificação e o controle das vulnerabilidades e dos riscos da empresa; • A oportunidade de ser um diferencial para clientes, parceiros e demais partes interessadas que valorizem uma certificação de padrão internacional; • A redução de custos originados de incidentes com segurança da informação. 4.3 As principais certificações para quem trabalha com segurança da informação A segurança da informação envolve uma área profissional na qual pode ser comum, apesar de não ser obrigatória, a exigência de uma certificação alinhada ao cargo, à função ou às atividades desempenhadas, ou que se pretende desempenhar. Essas certificações, conforme Fernandes e Abreu (2014), servem para valorizar o currículo dos profissionais que as possuem, representando uma espécie de atestado de que o indivíduo certificado possui grande conhecimento ou experiência nos assuntos relacionados à certificação obtida. Para auxiliar os profissionais a definir quais as melhores certificações para a sua formação e área de atuação, o Departamento de Segurança da Informação e Comunicações (DSIC), vinculado ao Gabinete de Segurança Institucional da Presidência da República (GSI/PR), publicou, em maio de 2013, a norma 17/IN01/DSIC/GSIPR (BRASIL, 2013), sobre a atuação e as adequações para profissionais da área de segurança da informação e comunicações nos órgãos e entidades da Administração Pública Federal. Esse documento traz a recomendação de diversas certificações disponíveis para a área da segurança da informação, com a sua classificação baseada no conteúdo de cada uma e na reputação do órgão certificador, servindo de excelente guia para quem já atua ou pretende atuar com segurança da informação profissionalmente e também para empresas e organizações que prestam serviços e consultorias nessa área (SEGINFO, 2018). , 59 4.3.1 Certificação de Auditor Líder ISO 27001 Essa certificação atesta que o profissional é capaz de fazer auditorias em SGSIs e, ainda, coordenar uma equipe inteira de acordo com os preceitos da norma ISO 27001. Sua capacitação para a auditoria vai desde a coleta de informações, passando pelo gerenciamento de riscos e vulnerabilidades, até a elaboração do relatório do que foi auditado. Essa certificação aborda assuntos como política de segurança, gestão de ativos da organização, gestão de continuidade de negócio, gestão de riscos, segurança física, ambiental e de recursos humanos, entre outros. 4.3.2 Certificação CEH (Certified Ethical Hacker) Uma das principais certificações internacionais, a CEH certifica os profissionais no assunto de hacking ético, mas sem enfoque na tecnologia de ataque especificamente, e sim em criptografia, engenharia social, testes de invasão, injeção de código SQL, criação de políticas de segurança, análise e ataque a redes, formas de invasores conseguirem privilégios em redes, entre outros assuntos. 4.3.3 Certificação CHFI (Computer Hacking Forensic Investigator) Serve para preparar o profissional para detectar ataques, bem como para extrair as evidências que servirão para comprovar um crime cibernético, de maneira adequada. Serve também para comprovar a capacitação na condução de auditorias, visando prevenir incidentes de segurança. A expressão computer forensics (computação forense) se refere à aplicação de investigação e técnicas de análise, visando determinar a evidência legal de uma invasão ou ataque. Essas evidências podem se relacionar com diversos tipos de crimes cibernéticos, como roubo de informações empresariais sigilosas, espionagem corporativa, sabotagem, fraudes e uso indevido de sistemas, programas e demais aplicações. , 60 4.3.4 Certificação CISSP (Certified Information Systems Security Professional) Essa é uma das certificações mais desejadas por profissionais da área de segurança da informação, pois atesta que aquele que é certificado tem capacidade de definir a arquitetura, a gestão e os controles que vão assegurar a segurança de ambientes corporativos. A certificação CISSP aborda assuntos como a computação na nuvem, a segurança móvel, a segurança no desenvolvimento de aplicativos, a gestão de riscos e muitos outros. Para que um indivíduo possa obter essa certificação, ele deve ter pelo menos cinco anos de experiência profissional em dois ou mais dos domínios citados como requisitos. Caso o candidato à certificação tenha diploma universitário, a experiência comprovada deve ser de quatro anos. Os dez domínios requisitados são: controle de acesso, segurança de telecomunicações e redes, governança de segurança da informação, segurança no desenvolvimento de software, criptografia, arquitetura e design de segurança, segurança de operações, continuidade dos negócios e planejamento para recuperação de desastres, jurídico, regulamentos, investigações e conformidade, e segurança física (ambiental). 4.3.5 Certificação CSA+ (Cyber Security Analysis) Essa é uma certificação internacional que serve para comprovar conhecimentos e habilidades fundamentais necessários para evitar, identificar e combater ameaças à segurança da informação. Ela envolve assuntos como a gestão de ameaças, a gestão de vulnerabilidades e a resposta a incidentes de segurança. Conclusão A importância dos dados e das políticas de segurança da informação criou um novo segmento para os profissionais da área de tecnologia da informação. Um crescimento que, em um primeiro momento, teve um viés mais técnico, com o desenvolvimento de ferramentas de contingência aos ataques que as corporações sofriam; depois, passou por um momento de gestão da informação, com a criação dos planos de segurança da informação e da implementação dos frameworks de gestão de segurança da , 61 informação; e agora, passa por um novo momento, voltado à prevenção e ao uso de tecnologias que permitam antecipar os ataques. O aumento da quantidade de incidentes relacionados à segurança da informação também impulsionou os estudosnessa área e fazem com que o salário de professionais que saibam atuar em gestão, auditoria, pesquisa e implementação dessas tecnologias esteja em alta. Com o objetivo de qualificar os profissionais de segurança da informação, as Associações e Instituições ligadas à segurança da informação estão atualizando com a mesma rapidez as diversas normas e certificações da área, por isso é sempre recomendado que aqueles que desejam trabalhar com segurança, também estejam constantemente atualizados. REFERÊNCIAS ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799: tecnologia da informação: técnicas de segurança: código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: tecnologia da informação: técnicas de segurança: sistemas de gestão da segurança da informação: requisitos. Rio de Janeiro, 2013a. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: tecnologia da informação: técnicas de segurança: código de prática para controles de segurança da informação. Rio de Janeiro, 2013b. , 62 5 FIREWALLS, SISTEMAS DE DETECÇÃO DE INTRUSÃO E VPN Apresentação A segurança da informação constitui importante segmento no contexto atual da sociedade. Boa parte das tarefas que compõem o cotidiano das pessoas passa por algum tipo de dispositivo tecnológico, o que requer a garantia da confidencialidade dos dados do usuário. Profissionais de tecnologia da informação, em especial das redes de computadores, trabalham para entregar ao usuário final tecnologias que permitam o envio e o recebimento de dados de forma segura, evitando interceptação de tais informações. Neste bloco, você entenderá um pouco mais sobre o universo das redes de computadores no que diz respeito a alguns mecanismos de segurança das informações que trafegam pela grande rede mundial. Ter um entendimento e por sua vez explicar como funcionam os firewalls, os sistemas de detecção de intrusão, que garantem o bom funcionamento do envio e do recebimento de informações em uma rede, e também as redes virtuais privadas, que permitem um caminho seguro para informações de usuários. Fonte: Borodatch Via: Shutterstock Figura 5.1 – Segurança Empresarial https://www.shutterstock.com/g/Borodatch , 63 5.1 Firewalls Os primeiros relatos sobre o uso de firewall datam da década de 80 e basicamente eram utilizados para auxiliar na divisão de redes locais. Somente na década seguinte passaram a ser usados como ferramentas de segurança da informação, sendo responsáveis por aplicar um pequeno conjunto de regras básicas de restrição de acesso (o usuário da rede X, terá acesso à rede Y, mas o usuário da rede Z não terá acesso). Fonte: Autor, 2022 Figura 5.2 – Modelo de funcionamento das regras de segurança de acesso nos primeiros firewalls O termo firewall, em português parede corta-fogo, ficou popularizado com o crescimento da internet, e seu princípio básico é exatamente esse, ser uma parede (ou porta) de proteção para impedir que ataques maliciosos ou procedimentos indevidos trafeguem entre a rede local e a internet e vice-versa. A figura abaixo exemplifica a arquitetura de uma rede de acesso externo com o uso da um firewall. Fonte: Autor, 2022 Figura 5.3 – Modelo esquemático da arquitetura de redes de computadores com acesso externo e firewall , 64 É importante ressaltar, porém, para todo o estudante de segurança da informação que o uso de firewalls não é uma bala de prata, que irá servir para proteção total das empresas. Ele costuma a ser a primeira defesa contra um grande volume de ataques e deve ser constantemente monitorado e suas regras, atualizadas. O firewall deve sempre ser visto como uma das ferramentas de segurança da informação das empresas. Outro ponto importante ao falarmos de firewall é que ele é parte integrante da PSI (política de segurança de informação) das corporações, ou seja, o usuário deve sempre ser informado de quais são as práticas que geram violação de segurança de dados e quais são restringidas pelas políticas implementadas no firewall. Por exemplo, se determinados tipos de arquivos configuram um risco para a empresa, é comum que o firewall barre e-mails e outros meios de comunicação que possuam esse tipo de arquivo como anexo. Casos os próprios colaboradores desenvolvam um procedimento dentro da empresa que utilize estes arquivos para envio a clientes ou fornecedores externos, e em alguns casos até internos, o firewall não permitirá a saída destas mensagens para a internet. Neste caso, a equipe responsável pelo procedimento, junto com a equipe de segurança dos dados, deve analisar o processo e decidir pelo menor risco entre o uso de outro formato de arquivo ou a criação e uma regra de exceção. Regra de exceção: As regras de exceção de firewall são aplicadas em um segundo nível de checagem dos pacotes que trafegam por um firewall. Quando um pacote de dados é barrado pelo firewall, ele pode ser automaticamente, reavaliado e, caso alguma regra de exceção possa ser aplicada a esse pacote, seu acesso será liberado. Ao citarmos as vantagens do uso de firewall na empresa podemos destacar: • O firewall é efetivamente uma ferramenta para a implementação automática das políticas de segurança da informação nas corporações; , 65 • Todos os pacotes de dados, independentemente de seu formato, serão avaliados pelo firewall; • Os firewalls podem impedir que pessoas externas descubram os endereços dos computadores da organização; • Os firewalls podem evitar que a organização seja inundada por tráfego de informações indesejadas; • Os firewalls podem evitar ataques por meio de datagramas IP e outras técnicas que usam o endereçamento interno dos computadores das redes de dados; • A grande maioria dos modelos de firewall são imunes aos ataques externos às redes de computadores; • Muitos modelos de firewall são integrados, permitindo a rápida atualização das políticas de segurança da informação; • Os firewalls podem ajudar as organizações no redimensionamento de recursos de conexão, fornecendo diversos relatórios de tráfego de dados; • Os firewalls podem ajudar a gestão da TI no planejamento de ações de contingência e avaliação de risco. Um conceito que costuma deixar os estudantes de segurança da informação confuso ao falarmos de firewall é o fato de que existem firewalls físicos (hardware) e firewalls lógicos (software). Os firewalls físicos são dispositivos ligados à rede de computadores que são instalados entre os roteadores e os servidores com a finalidade de analisar os pacotes físicos de dados e barrá-los, caso necessário. , 66 Fonte: Autor, 2022 Figura 5.4 – Firewalls físicos Os chamados firewalls lógicos são softwares que são instalados em um servidor ou em um host próximo desses servidores. Neste caso, os firewalls atuam como um serviço e podem ter outras funcionalidades para auxiliar na implementação das PSIs. Uma outra vantagem dos firewalls lógicos em relação aos físicos e que suas interfaces costumam ser mais simples, o que facilita a implementações de novas restrições. Fonte: Rawpixel.com Via: Shutterstock Figura 5.5 – Ilustração de um firewall lógico. , 67 Também é importante destacar que esta separação conceitual dos tipos de firewall tem um foco principalmente na parte de projeto, pois, se você perceber bem, um firewall físico tem um software embarcado para seu funcionamento e um firewall lógico depende de um hardware e de um sistema operacional para ser implementado. 5.2 Implementação de firewall com filtro de pacotes Embora os firewalls possam ser um dispositivo lógico independente, na maioria dos projetos de arquitetura de rede de dados eles são projetados comutados como os roteadores. Para isto, são usadosos chamados “filtros de pacotes”. Os filtros de pacotes consistem em um conjunto de aplicações que examinam os cabeçalhos dos pacotes de dados e, a partir de critérios previamente estabelecidos, decidem se um pacote deve ser encaminhado ou não ao roteador. Também é função desse filtro descartar os pacotes indesejados. Se considerarmos o padrão de pacotes TCP/IP, essa classificação possui uma especificação de quadro do tipo 0x0800 quando falamos de IPv4 e 0x08DD quando falamos de IPv6, além dos endereços de origem e destino daquele pacote. Um exemplo citado em ROSS (2013) especifica que, se uma pessoa de fora de uma organização deseja acessar um servidor web da organização, este filtro de pacotes pode permitir que todos os quadros de entrada que contenham um datagrama IP carregando TCP a partir de qualquer endereço e porta de origem com destino à porta 80 e um endereço IP de destino igual ao endereço IP do servidor web. Também é importante destacar que o filtro permite que sejam configuradas combinações de endereços de origem e destino e tipos de serviços que devem ser monitoradas, assim como exceções, conforme já foi explicado anteriormente. Atualmente, em opções de firewalls mais completos, as configurações de filtro de pacotes, podem inclusive ser incrementados e decrementados com o uso de recursos de inteligência artificial. , 68 A figura abaixo ilustra um esquema no qual o filtro de pacotes, devidamente configurado, permite a aplicação das políticas de segurança da informação e restringe o uso de conteúdos não permitidos na internet, usando para isto um conjunto de sites gerenciados por um servidor DNS (Domain Name System). Fonte: Autor, 2022 Figura 5.6 – Ilustração de um firewall no caminho entre a Internet e uma intranet da organização. ROSS (2013) demonstra um exemplo semelhante, usando para tanto uma tabela de configuração do firewall (modelo TCP/IP com IPv4). Tabela 5.1 – Exemplo de configuração de firewall para um site com três servidores que executam o IPv4. Os asteriscos são usados para denotar entradas que aceitam qualquer valor Fonte: Ross, 2013 , 69 5.3 Sistemas de detecção de intrusão Além dos firewalls, outra segurança de redes de computadores que vem sendo cada vez mais implementada nas organizações e que passou a ser um aliado dos gestores de tecnologia e infraestrutura são os chamados IDS (Intrusion Detection System) ou sistemas de detecção de intrusão. O IDS consiste em um sistema que faz buscas de eventos incomuns ou que violem as regras de segurança da informação estabelecidas pela organização. Esse monitoramento acontece em segundo plano na rede, o que reduz o uso do processador e auxilia não só na detecção de malwares, mas também alerta o início de possíveis invasões à rede de computadores. Não são raros os autores especializados em segurança da informação que descrevem o IDS como uma camada extra na segurança dos dados. Pois, mesmo que um firewall esteja presente, em muitos casos os ataques podem iniciar com pequenos malwares ou trojans que passam despercebidos pelos servidores ou mesmo sejam trazidos por usuários em outros dispositivos, tais como pen drives e HDs externos. Nestes casos, o IDS irá perceber as primeiras ações desses malwares e alertará os administradores de redes ou a equipe de segurança da informação, que poderão se antecipar ao ataque e impedi-lo. Fonte: alphaspirit.it Via: Shutterstock Figura 5.7 – Representação do processo realizado por uma aplicação IDS , 70 Eventos com a varredura das portas de acesso da rede por um host (port scanning), o envio de um pacote de datagrama UDP, uma conexão de dados evasiva, dentre outras, são ações normalmente associadas a eventos incomuns, principalmente se o host inicial já apresenta alguma anormalidade. Estes e outros tipos de eventos são detectados pelos IDSs, que imediatamente notificam as equipes de segurança ao mesmo tempo que isolam o evento e impossibilitam que dados sejam vazados para facilitar um ataque. Não são raras as corporações que trabalham com soluções que integram o IDS e o firewall, no que comercialmente acaba sendo chamado de central de inteligência de segurança de dados. Fonte: aurielaki Via: Shutterstock Figura 5.8 – Ilustração de um exemplo de Central de Inteligência de Segurança de Dados Novamente é importante ressaltar que qualquer ferramenta de segurança de dados tende a perder sua eficiência ao longo do tempo, pois os hackers constantemente estudam formas de ludibriar estas ferramentas. Então, as regras de ferramentas como o IDS e o firewall devem ser constantemente atualizadas para reduzir os riscos de invasão e ataques. , 71 5.4 Varredura de conteúdo e inspeção detalhada de pacotes O uso de sistema de varredura de dados é outra ferramenta importante para aqueles que desejam aumentar a segurança da informação e dos dados, pois mesmo os melhores firewalls podem ser enganados por novas abordagens e permitir que malwares e vírus de computadores invadam as redes. Além disso, como já citamos anteriormente, nem todas as invasões se iniciam com pacotes de dados vindos da internet. Arquivos como malwares, vírus e outros tipos de arquivos maliciosos podem chegar à rede por meio de inofensivos pen drives ou outras unidades de gravação de dados (HD externos, SSD, CD, DVD etc.). Também é importante compreender que, enquanto os firewalls fazem a análise dos cabeçalhos de pacotes de dados, os sistemas de varredura podem fazer varreduras em arquivos inteiros e até mesmo em pacotes de dados de uma maneira mais completa que os firewall. Ao falarmos de varreduras de conteúdo, inicialmente é necessário explicar que existem dois tipos diferentes de varreduras, que são realizadas por ferramentas de segurança da informação diferentes; são elas: • Varredura de arquivo (file scanning); • Inspeção detalhada de pacotes (DPI, Deep Packet Inspection). Varredura de arquivo (file scanning): A varredura de arquivo é uma das técnicas mais antigas ao falarmos de proteção de dados, mas ainda é uma das mais eficientes. Ela normalmente é aplicada ao computador local (host) e, essencialmente, consiste em um scanner de arquivos, de qualquer formato, e faz uma leitura de seus bytes a procura de sequências conhecidas. Quando encontra arquivos com estas sequencias de bytes conhecidas (trechos de vírus, por exemplos), ele aciona um conjunto de ações de contingência que podem ser um simples alerta ao usuário, podendo chegar ao impedimento da gravação do arquivo, ou até mesmo apagar o arquivo. Estas sequencias de bytes conhecidas são comumente chamadas de impressão digital do vírus, ou simplesmente fingerprints. , 72 Esse tipo de varredura é muito utilizado nas ferramentas de antivírus; assim, ao instalar um antivírus, é comum instalarmos uma base de dados com uma série de fingerprints. São essas bases de dados que são atualizadas periodicamente em seu programa antivírus. Dica: Algumas pessoas acreditam que possuir mais de um antivírus aumenta a proteção contra vírus de computador. Como acabamos de ver, cada antivírus possui um conjunto de fingerprints. Ao instalar mais do que um antivírus, um pode compreender que a base de dados do outro antivírus é uma ameaça, podendo desativá-lo ou até mesmo deletá-lo. Recomendamos que a empresa ou os usuários individuais escolham apenas um software de antivírus e o mantenha sempre atualizado. Inspeção detalhada de pacotes (Deep Packet Inspection): De forma resumida, o DPI é uma forma mais aprimorada de verificação de pacotes de dados. Enquanto os firewalls simplesmente examinam os cabeçalhos desses pacotes a aplicam a esta informação as regras definidas na política de segurança da informação da organização, o DPI faz uma leitura completa do pacote, inclusive do cabeçalho.Uma das técnicas comumente associadas ao DPI é a chamada lista negra (black list), que são um conjunto de URLs (endereços de sites) que representam algum risco de segurança às empresas. Estas listas negras podem ser geradas pela própria organização, ou por associações e grupos de segurança da informação. Quando os usuários, por exemplo, clicam em um link, a solicitação é avaliada pela DPI, que por sua vez a encaminha a um proxy WEB, que contém esta lista negra. Caso a URL faça parte de um dos domínios listados, o acesso não é liberado. Uma das principais desvantagens ao falarmos de DPI é que ela geralmente é associada à sobrecarga de processamento nas redes de computadores, pois as cargas úteis de um pacote de dados em um quadro de Ethernet chegam a ser 20 vezes maiores do que seu cabeçalho. Outra desvantagem comumente encontrada ao falarmos do DPI é o fato do payload de um pacote (script que é injetado em um sistema através de alguma , 73 falha) comumente não possuir uma divisão por campos, o que obriga o DPI a fazer várias análises dinâmicas durante a inspeção, aumentando o processamento. 5.5 Redes privadas virtuais (VPNs) As primeiras VPNs, ou Redes Privadas Virtuais, surgiram da necessidade de acessar redes públicas, não confiáveis, para se trafegar informações de forma segura. As redes públicas ofereciam maior alcance e flexibilidade sem a necessidade de protocolos específicos. Em contrapartida, permitem de maneira muito simples a interceptação e a captura de dados. A solução encontrada foi a construção de uma rede e protocolos que possibilitassem o tráfego de dados pela internet de maneira que, se os dados fossem interceptados, não poderiam ser interpretados ou reescritos. Para tanto, todos os pacotes de dados que circulam nessa rede são sempre criptografados. Uma outra vantagem das VPNs, que fizeram que elas fossem impulsionadas nos últimos anos, está associada a seu baixo custo e a facilidade de implementá-las, independentemente das limitações geográficas entre os pontos a serem conectados. Mas você deve estar se perguntando: como funciona uma VPN? A VPN oculta a informação do IP de origem e redireciona o pacote por vários servidores remotos especialmente configurados para receber pacotes de host VPN. Isso significa que os pacotes circulam por uma rede de dados sem que os servidores que não estejam configurados para recebê-los sejam capazes de determinar sua origem, e o servidor VPN anterior é identificado como o servidor de origem por outros servidores de internet (ISP). Como o dado está criptografado, sua compreensão é impossível por outras máquinas que não possuam a chave de descriptografia. Podemos citar como vantagens da VPN: • A criptografia dos dados que trafegam por ela; • A impossibilidade de identificação da origem por servidores não configurados para esta função; , 74 • A possibilidade de acesso a conteúdos regionalizados, desde que haja um servidor VPN na região desejada; • A transferência segura de dados entre as pontas (hosts) da VPN. Mas quais os tipos de redes VPN que existem? Na literatura sobre segurança da informação, você verá diversas formas de classificar as redes do tipo VPN. Uma das mais simples, porém, usa o seguinte padrão: SSL VPN: A SSL VPN é um dos modelos de rede de dados que está em maior expansão desde o crescimento do home office. Consiste em uma rede construída para acessar dados remotos usando um conjunto de protocolos SSL (Secure Sockets Layer), que normalmente já vêm instalados nos navegadores de internet. O SSL garante um padrão de criptografia de dados bem seguro e torna o processo de implementação da rede muito mais simples, pois não necessita da instalação de nenhum software específico, bastando apenas que o host esteja conectado à internet e possua um navegador atualizado. VPN site-a-site: A ideia da VPN site-a-site é integrar várias redes locais como se fosse uma rede WAN, porém disfarçando essas redes e impedindo que os usuários percebam em que rede estão (conceito de transparência utilizado também em redes distribuídas). É uma solução muito utilizada em grandes corporações para integrar as diversas internets de cada uma das filiais, também chamadas de sites. VPN Cliente-Provedor: Semelhante à instalação de um PC comum ao serviço de provedor de internet, as redes VPN Cliente-Provedor se configuram por serem redes estáticas, ou seja, enquanto as opções anteriores navegam por diversos servidores VPN até chegarem ao destino, as redes VPN Cliente-Provedor possuem uma lista específica de servidores a serem navegados entre a origem e o destino. , 75 Outro ponto que difere as redes Cliente-Provedor das demais redes é que elas necessitam da instalação de softwares específicos e de configurações que normalmente são feitas por pessoas especializadas. A grande vantagem das redes VPN Cliente-Provedor em relação às demais é que, por terem uma camada a mais de configurações e rotas especificas, é possível ampliar os pontos de segurança no tráfego de dados dentro desse modelo de rede. O uso de tecnologia de redes VPN, combinado a firewalls e IDS, permitiram às empresas a expansão das fronteiras para além dos muros físicos, sem, no entanto, comprometer a segurança da informação. O desenvolvimento de um projeto para a criação e um PSI deve sempre considerar quais ferramentas de segurança devem ser utilizadas e como elas devem permitir o tráfego de dados de forma segura, de preferência com o uso cada vez mais constante de recursos automáticos e até mesmo com a implementação de inteligência artificial para auxiliar na detecção e na proteção contra ataques. 5.5.1 O uso da tecnologia VPN para o teletrabalho O teletrabalho surgiu no começo do século, mas principalmente depois da primeira década as tecnologias se tornaram mais acessíveis e muitas carreiras já permitiam a atuação de profissionais a longa distância. Entretanto, com o surgimento da pandemia de COVID-19 em 2019, muitas empresas foram forçadas a repensar seu modelo de trabalho, e o trabalho remoto, ou home office, como passou a ser conhecido, cresceu exponencialmente. Fonte: Girts Ragelis Via: Shutterstock Figura 5.9 – Profissional atuando em teletrabalho (home office) , 76 Uma das principais tecnologias que permitiram essa rápida migração dos modelos de negócio, em especial os que eram executados no escritório, para o teletrabalho foi a VPN, pois além de permitir acesso seguro aos arquivos da rede das empresas, as VPNs permitiram que muitas das aplicações que já eram usadas nas corporações pudessem ser acessadas remotamente sem a necessidade de grandes alterações nos softwares. Dois modelos de VPN foram comumente implementados durante esta nova fase do teletrabalho: os dispositivos autônomos e os softwares de VPN. Dispositivos autônomos: Também conhecidos como roteador VPN, estes dispositivos se conectam automaticamente à internet e estabelece uma conexão segura com os servidores VPN e com a organização. Normalmente este tipo de recurso também é usado para fornecer à residência do colaborador recursos como telefonia IP e acesso a aplicações e repositórios de dados de forma extremamente segura. As transmissões dos pacotes de dados, como já foi enfatizado anteriormente, são sempre criptografadas e grande parte dos dispositivos trabalham com um modelo dinâmico de endereçamento de servidores VPN, que permitem o uso de rodas diferentes considerando a demanda de dados. Uma curiosidade sobre esse modelo de VPN é que toda vez que um dispositivo for conectado à rede local, ele receberá automaticamente um endereço IP local, fornecido pelo servidor DHCP de empresa, o que permite um gerenciamento desse dispositivo como se ele fosse local. Os softwares de VPN apresentam uma solução mais barata para as corporações ao permitir que os softwares sejam instaladose configurados em qualquer tipo de dispositivo móvel (notebooks, smartphones, tablets, ...), permitindo com isto que os usuários possam acessar os recursos da empresa não só de suas casas, mas de qualquer outro local que possua uma conexão de dados estável. Ao iniciar o software, ele irá se conectar ao servidor VPN da empresa e este irá exigir um conjunto de autenticações, que podem consistir desde senhas de usuário, , 77 endereços IP, endereço MAC Address do dispositivo e, não raras vezes, uma combinação de dois ou mais fatores, as já conhecidas autenticações de duplo-fator. A transmissão dos dados, normalmente é feita pela infraestrutura de internet através de servidores IPS, o que reduz os custos, mas também reduz a segurança dos dados que estão sendo trafegados. Por outro lado, esta redução da segurança é, normalmente, compensada pela constante criptografia dos dados. Conclusão Como já foi citado anteriormente em vários momentos deste bloco, não existe uma ferramenta única que dê às empresas segurança definitiva com relação às informações, mas a combinação de uma política de segurança da informação bem elaborada, realista e focada não apenas nas restrições, mas em uma cultura que permita a expansão e a inovação, sem que a empresa corra riscos desnecessários e um conjunto de ferramentas que auxiliem na sustentação dessa política, tende a reduzir os riscos e vulnerabilidades. Em nosso próximo bloco, iremos discutir os desafios éticos envolvidos na proteção dos dados e finalizaremos nossos estudos discutindo sobre a LGPD, a lei geral de proteção de dados, e como ela influenciará as políticas de segurança da informação pelos próximos anos. REFERÊNCIAS DANTAS, M. Segurança da informação: uma abordagem focada em gestão de riscos. Olinda: Livro Rápido, 2011. FONTES, E. Políticas e normas para segurança da informação. Rio de Janeiro: Brasport, 2012. FONTES, E. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008. FREITAS, F.; ARAUJO, M. Políticas de segurança da informação: guia prático para elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna, 2008. , 78 UFRJ. A história do firewall; GTA – Grupo Técnico de Automação, Universidade Federal do Rio de Janeiro. Disponível em: https://www.gta.ufrj.br/grad/07_1/ firewall/index_files/Page350.htm#:~:text=Hist%C3%B3ria&text=O%20conceito%20de %20Firewall%20come%C3%A7ou,da%20forma%20lhes%20fosse%20conveniente. Acesso em: 16/08/2022. UFRJ. Sistema de Detecção de Intrusão – Conceituação; GTA – Grupo Técnico de Automação, Universidade Federal do Rio de Janeiro. Disponível em: https://www.gta.ufrj.br/grad/16_2/2016IDS/conceituacao.html. Acesso em: 16/08/2022. , 79 6 DESAFIOS ÉTICOS, SOCIAIS E DE SEGURANÇA DA TECNOLOGIA DA INFORMAÇÃO Apresentação Normalmente quando falamos em segurança da informação, em especial para um estudante da área de tecnologia da informação, as duas primeiras coisas que vêm à cabeça são: gigantescos servidores, em empresas multinacionais ou instituições financeiras, e hackers, como gênios do mal. Porém, esses dois conceitos estão errados. Boa parte dos crimes cibernéticos acontecem, na realidade, em pequenas e médias empresas, e com a popularização dos computadores pessoais e smartphones, as pessoas físicas também passaram a ser um dos alvos prediletos dos cibercriminosos. Existem diversas aplicações para o termo “hacker”, que constantemente acaba se misturando com outros, como “cracker”, “hacker do mal”, “Chapéu Vermelho”, entre outros. Inclusive, existem aquelas pessoas que usam a segurança da informação para fazer boas ações e acabam por ser confundidos também com o uso indevido destes termos, podemos citar os “hackers do bem”, “Chapéu Branco” e até grupos como os “hacktivistas”. Neste material, para evitar confusão, iremos definir todos as pessoas que fazem ações ilegais usando equipamentos tecnológicos como “cibercriminosos” e todos que usam ferramentas tecnológicas em conformidade com as políticas de segurança da informação e para ajudar pessoas como “profissionais de segurança da informação”. O conceito de bem e mal não será discutido neste material, e sim a segurança da informação e os cibercrimes. , 80 Fonte: Le_Mon; MaDedee Via: Shutterstock Figura 6.1 – Ícones de representação de Profissionais de Segurança da Informação e Cibercriminosos Neste bloco, você vai estudar os aspectos éticos relacionados à tecnologia da informação (TI), além de verificar os principais termos utilizados na segurança da informação e identificar os diversos tipos de crimes que ocorrem no meio digital. Para finalizar nosso material de estudos, separamos um tema que vem sendo amplamente discutido ao falarmos de segurança da informação e que vem, desde sua promulgação, mexendo com empresas de todos os segmentos, em especial aquelas que têm grande relacionamento de dados com as pessoas físicas: a LGPD, ou Lei Geral de Proteção de Dados. Vamos entender o que é essa lei, quais outras leis anteriores regiam a proteção de dados e o que mudou para os profissionais de segurança da informação. 6.1 Aspectos éticos da segurança da informação Fonte: Suttipun Via: Shutterstock Figura 6.2 – Aviso de busca hacker https://www.shutterstock.com/g/MTusav https://www.shutterstock.com/g/MaDedee , 81 A etimologia da palavra ética vem do grego ethos, e se aplica a um conjunto de valores morais de um grupo ou indivíduo. Ou seja, a ética procura responder a perguntas do tipo; “Como devo agir?”, “Como devo viver nessa sociedade?” ou “Como devo fazer o que é certo?”. Ao contrário das leis, que impõem ao indivíduo padrões para que ele possa viver em um determinado grupo ou sociedade, a ética não quer se impor, e sim mostrar a cada um dos membros do grupo o melhor caminho para a convivência pacífica e harmoniosa. O profissional de segurança da informação deve ser essencialmente um ser ético, que deve buscar acima de tudo garantir que os dados e as informações sejam usados de forma a fazer o bem, sejam para as empresas detentoras desses dados, seja para seus proprietários individuais. Em nosso primeiro bloco, estudamos a diferença entre Dado, Informação e Conhecimento. Neste bloco, vamos expandir nosso conhecimento sobre essas definições para garantir que qualquer dado se torne um “conhecimento para o bem maior”. Fonte: Autor, 2022 Figura 6.3 – Dados, Informação e Conhecimento - usados para o bem É importe ressaltar, porém, que não vamos abordar a ética como um aspecto ficcional, onde só existem pessoas boas e pessoas ruins, preto e branco. É importante destacar que, ao falarmos de ética em segurança da informação, existem vários tons de cinza e que em vários momentos o profissional de segurança da informação deverá se valer de seus valores e sua formação para responder às questões postas anteriormente nesse tópico. Porém, como delimitar o que é ético ou não ao tratarmos do uso das informações pelos usuários de sistemas computacionais, pelas corporações e pelos profissionais de segurança da informação? Como já dito, a ética é um conceito amplo, mas alguns , 82 princípios devem ser preservados pelos usuários dos dados em qualquer nível. São eles: • Privacidade — Preservação da privacidade ou identidade de acesso às informações. A privacidade de dados muitas vezes está ligada à segurança individual, explicando os controles rígidos adotados pelas empresas para a guarda dos endereços de pessoas físicas ou outras empresas, informações financeiras, entre outras. Para manter a privacidade, as organizações devem possuir documentos descrevendo suas políticas de segurança da informação (PSI) e suas ações no que se refere à privacidade e ao sigilo das informações dos usuários e dos clientes; • Acuidade (precisão) — As ações empresariais,como as ações de marketing, ações comerciais, financeiras e outras, são essenciais nas organizações empresariais. Para que tais ações atinjam o objetivo determinado, é essencial que os dados disponíveis sejam precisos. Por exemplo, caos uma empresa de e- commerce deseje realizar uma campanha promocional destina ao Dia da Mulher, ela precisa ser capaz de identificar entre todos os clientes cadastrados aqueles que se identificaram como do sexo feminino, evitando inclusive constrangimentos e imprecisão nas ações da campanha; • Propriedade — A propriedade intelectual dos dados, modelos, conceitos e documentos utilizados pelas empresas deve ser sempre bem-estabelecida e respeitada, exigindo-se também que os devidos cuidados sejam tomados para que os dados sejam preservados e protegidos de acesso e uso indevidos. Por exemplo, os dados fornecidos por um cliente para realização qualquer ação na empresa não tornam a empresa proprietária desses dados, apenas detentora dos mesmos (e como tal, responsável legal por sua preservação e privacidade). Como detentora, a empresa precisará solicitar autorização do uso dos dados para seu proprietário (o cliente), para qualquer ação; • Acesso — O acesso correto aos dados pelos colaboradores de uma empresa é, com certeza, o maior desafio de quem trabalha com desenvolvimento de , 83 sistemas e/ou segurança da informação. Deve-se criar normas claras que definam quais informações devem ser fornecidas a cada nível de acesso e em quais desses níveis de acesso podem ser permitidas ações como alteração, inativação e até mesmo destruição dos dados; • Preservação e guarda — Como citado anteriormente, em alguns tipos de dados, deve-se prever inclusive a possibilidade de destruição destes; porém, é importantíssimo entender que a destruição de dados é uma das ações mais críticas em qualquer corporação. A preservação dos dados e a forma como esses dados são guardados para se evitar seu roubo ou perda também estão envolvidas com os princípios da ética na segurança da informação e devem ser explicitadas de forma clara na PSI. Fonte: Gorodenkoff Via: Shutterstock Figura 6.4 – Exemplo de colaborar com acesso a diversos tipos de dados Como tudo na tecnologia, o comportamento ético também está relacionado a sua evolução e seu uso pelas empresas. Mas como compreender o comportamento ético das empresas considerando-se os aspectos tecnológicos? Alguns aspectos tecnológicos que são amplamente discutidos ao falarmos de ética na segurança da informação são: , 84 • Conhecimento — Todas as empresas devem possuir ferramentas de gerenciamento e controle relacionados aos dados registrados em seus bancos de dados e ao acesso a esses dados; • Consentimento — Todas as empresas devem ter o consentimento do proprietário dos dados (clientes, fornecedores, colaboradores etc.) para o uso destes em quaisquer ações, sejam elas ações corriqueiras, como o envio de um e-mail de marketing, sejam elas ações críticas, como o compartilhamento de dados com outras empresas; • Controle — Toda a empresa deve possibilitar, de forma clara, que o proprietário da informação, seja ele cliente, fornecedor, parceiro e até mesmo colaborador, possa modificá-la a qualquer momento e até mesmo remover as autorizações dadas para seu uso. Nestes casos, a empresa deve possuir controles que permitam identificar essa mudança e procedimentos claros que possibilitem a alteração das ações relacionadas a esses dados em “tempo real”; • Ações de contingenciamento — Todas as empresas devem possuir planos de ação que notifiquem quaisquer mudanças realizadas nos dados em sua guarda, como planos de contingência para resguardar e restaurar a forma original desses dados casos as alterações tenham sido realizadas de forma irregular. Ainda ao falarmos do profissional de informática, e em especial aquele que atua nas áreas relacionada à segurança da informação, vale destacar que o Código de Ética do Profissional da Informática, estabelecido pela Sociedade Brasileira da Computação, rege que: Art. 1º: Contribuir para o bem-estar social, promovendo, sempre que possível, a inclusão de todos os setores da sociedade. Art. 2º: Exercer o trabalho profissional com responsabilidade, dedicação, honestidade e justiça, buscando sempre a melhor solução. Art. 3º: Esforçar-se para adquirir continuamente competência técnica e profissional, mantendo-se sempre atualizado com os avanços da profissão. Art. 4º: Atuar dentro dos limites de sua competência profissional e orientar- se por elevado espírito público. , 85 Art. 5º: Guardar sigilo profissional das informações a que tiver acesso em decorrência das atividades exercidas. Art. 6º: Conduzir as atividades profissionais sem discriminação, seja de raça, sexo, religião, nacionalidade, cor da pele, idade, estado civil ou qualquer outra condição humana. Art. 7º: Respeitar a legislação vigente, o interesse social e os direitos de terceiros. Art. 8º: Honrar compromissos, contratos, termos de responsabilidade, direitos de propriedade, copyrights e patentes. Art. 9º: Pautar sua relação com os colegas de profissão nos princípios de consideração, respeito, apreço, solidariedade e da harmonia da classe. Art. 10: Não praticar atos que possam comprometer a honra, a dignidade, privacidade de qualquer pessoa. Art. 11: Nunca apropriar-se de trabalho intelectual, iniciativas ou soluções encontradas por outras pessoas. Art. 12: Zelar pelo cumprimento deste código (SOCIEDADE BRASILEIRA DE COMPUTACÃO, 2013, documento on-line). (Código de Ética do Profissional de Informática - Sociedade Brasileira de Computação: publicado - 15 de julho de 2013) Podemos afirmar que um dos maiores desafios da área de segurança da informação atualmente é unir a homogenia dos valores da ética e os interesses das organizações empresariais no uso dos dados. A postura ética do profissional de informática pode ser a grande diferença entre o crescimento econômico e a falência de grandes instituições, sejam elas na área financeira, de negócios ou até mesmo na área de serviços. 6.2 Segurança da informação e estratégias Atualmente, ao pensarmos em qualquer tipo de negócio, seja uma pequena empresa criada para atender às necessidades locais, seja uma gigantesca multinacional com sites (filiais) em vários países do mundo, todos possuem em algum nível informações vitais para o seu crescimento. Segundo PALVIA & PALVIA (1999), no início desse século já era possível afirmar que mais de 80% dos pequenos negócios possuíam pelo menos um computador conectado à internet, e de lá para cá este percentual apenas cresceu. Logo, é possível compreender que, ao usarmos termos como “era da informação”, não estamos exagerando. , 86 Não é errado pensarmos que a informação tem, para muitas empresas hoje em dia, a mesma importância que as grandes linhas de montagem tinham há 50 anos para as montadoras de automóveis e outros tipos de fábricas; ou a mesma importância que os antigos cofres de valores, para instituições financeiras. Não é exagero afirmarmos que um roubo de dados atualmente pode significar milhões em prejuízo para uma empresa, ou até mesmo sua falência. A informação se tornou um dos elementos primordiais para que os executivos possam tomar decisões, bem como para as ferramentas de gestão de longo prazo, como por exemplo o planejamento estratégico das empresas. Tudo isso se baseia totalmente nas informações colhidas dentro e fora das organizações. Termos como “avanço tecnológico”, “inovação de produtos” e “serviços globalizados” somente são concretizados hoje nas grandes empresas graças a um volume muito grande de análise de dados. Mas, ao mesmo tempo que as organizações foram aprendendo a importância do uso estratégico das informações em sua tomada de decisão e tornando a informação um de seus principais ativos,foram também deixando de prestar atenção em questões muito importantes para manter esses ativos seguros, o que levou a um aumento de suas vulnerabilidades e, consequentemente, dos crimes cibernéticos. Para se ter uma ideia desse crescimento, segundo a consultoria alemã Roland Berger, em 2021 o Brasil era o quinto maior país em número de ataques e crimes cibernéticos, chegando a 9,1 milhões de ocorrências. Fonte: Gorodenkoff Via: Shutterstock Figura 6.5 – Data Center - os atuais cofres de ativos das organizações , 87 Mas o que são as reais ameaças às informações no mundo corporativo? Ao estudarmos sobre segurança da informação, não está errado afirmarmos que as principais ameaças estão associadas ao CID (confidencialidade, integridade e disponibilidade), que já estudamos anteriormente. Vamos, agora, compreender como a violação desses fatores pode causar prejuízos às organizações. Confidencialidade — Para entendermos como a perda de confiabilidade pode atingir um negócio na era digital, vamos usar dois exemplos diferentes: uma loja de e- commerce e uma instituição financeira. Em ambos os casos, a gestão da informação e feita de maneira digital, mas mais que isso, toda a cadeia de negócio depende dessas informações. Imagine que, por uma falha qualquer, todos os dados de estoque, distribuição de produtos e logística de nossa loja de e-commerce sejam deletados e que não haja nenhum plano de contingência. Além do prejuízo causado pela interrupção do negócio, essa vulnerabilidade se tornará pública. Os concorrentes ficarão sabendo disso e irão se aproveitar da situação para conquistar os clientes dessa loja, justamente mostrando o risco que eles corriam ao fornecer seus dados a ela. Os clientes, por sua vez, deixarão de comprar nessa loja por perceberem o risco de fornecer dados sensíveis a uma empresa que não possui nenhuma segurança dos dados. Agora, imagine uma instituição financeira que tem os dados de contas correntes roubados. Os cibercrimosos podem usar esses dados não só para roubar diretamente valores das contas dos clientes, como também fazer outros tipos de movimentações financeiras em outras instituições, comprar bens e serviços on-line e inclusive vender esses dados para outros cibercrimosos. Porém, além do prejuízo financeiro, um dos maiores danos que uma instituição financeira pode sofrer é a perda da confiança dos clientes. A confiança é um dos grandes diferenciais quando tratamos de instituições dessa natureza. Em situações como essa, na qual há o roubo de dados dos clientes, principalmente se não houver , 88 ações imediatas de contingência, haverá a quebra dessa confiança, o que levará os clientes a procurem outras instituições financeiras. Confidencialidade e ética: Nesse momento você deve estar se perguntando, “Mas o que a quebra da confiança e os prejuízos financeiros das empresas tem a ver com a ética da informação?”. A resposta é muito simples. Mesmo sabendo dos prejuízos que a perda dessas poderá causar ao negócio, essas empresas são obrigadas a comunicar aos donos das informações (clientes, fornecedores, colaboradores, parceiros) de forma pública o comprometimento dos dados. O que, em muitos casos, pode gerar um dilema ético muito grande. Integridade — Para entendermos como a integridade dos dados podem gerar prejuízos a um negócio, vamos dar outros dois exemplos usando ainda uma loja de e- commerce e uma instituição financeira. Imagine que, ao fazer uma associação para o cálculo de um desconto a um determinado público, um colaborador acabe pode aplicar uma regra de negócios que reduza o valor de todas as mercadorias disponíveis na loja virtual. A aplicação dessa regra, mesmo que por um período curto, irá causar prejuízos para a empresa, pois ela será obrigada a realizar as vendas feitas nesse período pelo valor anunciado. Já ao falamos de uma instituição financeira, os prejuízos podem ser de bilhões. Imagine um relatório de dados que é enviado para a gestão de negócios do banco com dados errados; essas informações podem gerar tomadas de decisão desastrosas e que, a médio e longo prazo, podem causar prejuízos e até a falência da instituição. Integridade de dados e ética: Mas qual a questão ética a ser resolvida nesses casos? A primeira questão a ser resolvida é justamente a de que as instituições devem assumir a responsabilidade pelos erros. No exemplo da loja de e-commerce, mesmo com valores inferiores, todas as compras efetivadas naquele intervalo de tempo devem ser entregues sem custo extra para os clientes. No caso da instituição financeira, produtos e serviços que tenham sido criados e fornecidos a clientes a partir de dados errados devem ser mantidos, enquanto os contratos permitirem, mesmo gerando prejuízos à instituição. , 89 Outro dilema ético está na responsabilização dos colaboradores que causaram o erro versus os sistemas utilizados, já que o levantamento de requisitos corretos e regras de negócio bem elaboradas deveriam impedir que essas falhas acontecessem. Por isso, é função dos profissionais de segurança da informação atuar junto com as equipes de desenvolvimento de sistemas para reduzir erros de integridade de dados e, consequentemente, os prejuízos financeiros. Disponibilidade — A perda de disponibilidade talvez seja o fator mais evidente em nossos dois exemplos, mas com intensidades diferentes. Para falarmos de prejuízos financeiros consideráveis em uma loja de e-commerce, essa perda de disponibilidade deverá considerar características diferenciadas. Já em uma instituição financeira, segundos de perda de disponibilidade podem representar prejuízos não só para a instituição, mas também para seus clientes. Tomemos mais uma vez como exemplo a nossa loja de e-commerce. Vamos supor que, às vésperas de uma gigantesca promoção, ela sofra um ataque que deixe o site indisponível por horas. Além do prejuízo de confiabilidade, já abordado anteriormente, a indisponibilidade irá gerar a interrupção no fluxo de vendas e, consequentemente, de toda a cadeia relacionada. Já ao falarmos da instituição financeira, a indisponibilidade pode causar prejuízos, por exemplo, para investidores de ações, para o fluxo financeiros e, em alguns casos, o movimento de logística das agências e terminais automáticos (ATMs). Indisponibilidade de dados e ética: Os efeitos da indisponibilidade em nossos exemplos, embora tenham causado prejuízos às organizações, são menos perceptíveis quando falamos de ética. Porém, isso não significa que não haja implicações éticas nestes casos. Os motivos que podem ter gerado esta indisponibilidade podem ter motivações criminosas ou até mesmo ideológicas. Tanto em caso de ataques como em erros de projetos, quando há falhas internas, os profissionais de segurança da informação e suas equipes devem estar aptos a aplicar medidas de contingência imediatas e lançar, posteriormente, uma investigação para determinar causas e responsabilidades. Mas, como lidar com problemas causados por falhas de segurança nas empresas? , 90 Fonte: metamorworks Via: Shutterstock Figura 6.6 – Investigação de falhas de segurança Outra função importante do profissional de segurança da informação é realizar, no caso de incidentes digitais, uma investigação imparcial dos fatos. Normalmente, as investigações nos casos de incidentes ou crimes digitais são divididas em quatro etapas e é recomendado que aconteçam logo após a finalização das ações de contingenciamento do evento. Plano de contingência digital: Os planos de contingência digital são parte integral das Políticas de Segurança da Informação (PSI) e consistem em conjuntos de ações a serem tomadas para se reestabelecer um serviço digital. Informações como a sequência das ações a serem tomadas, as pessoas que devem ser acionas, os alertas que devem ser executados, os prazoscríticos, entre outras, são partes do plano de contingência digital. Compreensão dos eventos causadores: Consiste no levantamento efetivo do evento que levou ao ataque ou à vulnerabilidade, sua extensão e os prejuízos causados. Logs e dados relacionados ao evento de vulnerabilidade: Consiste na etapa de levantamento das informações digitais, quando elas ainda existirem, para se compreender todos os dados anteriores ao evento, os dados durante o evento e posteriores. A intensão é avaliar se o evento digital poderia ter sido evitado e se as vulnerabilidades foram causadas de forma premeditada. , 91 Em alguns casos, os eventos de vulnerabilidade podem ter sido casados por acessos físicos às instalações digitais. Por isso, parte das ISOs 27001 e 27002 aborda a proteção física dos dados digitais. Nesses casos, a coleta de dados pode se estender para além da investigação digital. Perícia digital: A profissão de Perito Digital vem se tornando uma das mais lucrativas na área de segurança de TI. Em especial, essas duas primeiras etapas são parte dos estudos de um perito digital. Certificações especificas são recomendadas para aqueles que desejam atuar nessa carreira. Fonte: Golden Dayz Via: Shutterstock Figura 6.7 – Perícia digital forense Indicações de responsabilidade: A identificação de responsáveis pelos de incidentes ou crimes digitais é parte importante de investigação digital. Nos casos dos crimes digitais, para que as devidas punições possam ser aplicadas aos cibercrimosos, e nos casos de incidentes, para se compreender as causas e capacitar os responsáveis a fim de evitar eventos similares no futuro. Ações corretivas: Uma das etapas mais importantes das investigações nos casos de incidentes ou crimes digitais são as ações corretivas, ou seja, as ações que têm como objetivo impedir que esse evento, ou outros similares, voltem a acontecer. Uma das principais falhas de muitos profissionais de segurança da informação é acreditar que as etapas de investigação de incidentes e crimes se enceram na , 92 descoberta dos responsáveis, pois uma vez que uma vulnerabilidade é exposta, outros cibercrimosos se sentem estimulados a explorá-la. 6.3 Crimes relacionados à tecnologia da informação Com o crescimento do uso das tecnologias e do acesso às informações, os crimes digitais ganharam maior evidência. Outro fenômeno que contribuiu para o aumento desse tipo de crime foi a pandemia da COVID-19, uma vez que muitas pessoas passaram a ficar mais isoladas dentro de suas casas e, com isso, passaram a usar mais a internet e aplicativos de comunicação, se tornando alvos dos cibercriminosos. Uma pesquisa divulgada pelo fórum de segurança pública do estado de São Paulo em agosto de 2022 indicou um crescimento nos crimes cibernéticos de 374,15% entre os anos de 2018 e 2021. Um aumento semelhante foi registrado apenas nos 8 primeiros meses de 2022. Fonte: Fórum de Segurança Pública Figura 6.8 – Percentual de Crimes Digitais entre 2018 e 2022 no Estado de São Paulo Mas nem todos os crimes digitais são fraudes a usuários e empresas. Organizações criminosas espalhadas pelo mundo aumentaram seu alcance e, assim, seus crimes usando o ambiente digital. Esses crimes vão desde negócios ilícitos até crimes sofisticados e uso de recursos digitais para permitir o tráfico de drogas e de pessoas. , 93 Fonte: GoodStudio Via: Shutterstock Figura 6.9 – Criminoso Digital Mas o que são crimes digitais? Segundo o site da Delegacia de Crimes Digitais do Estado de São Paulo, o que diferencia os crimes digitais dos crimes normais é o ambiente ou as ferramentas que são utilizadas para realizá-los. Ou seja, um crime de falsidade ideológica que se utiliza de meios digitais, tais como um aplicativo de mensagens ou uma rede social, também é categorizado como um crime digital e, desde 2022, recebem um agravante penal por conta disso. Fonte: https://new.safernet.org.br/content/delegacias-cibercrimes Figura 6.10 – Site com a relação das delegacias de crimes digitais brasileiras , 94 Figura 6.11 – Trecho do código penal brasileiro, com destaque a uma tipificação de crime digital 6.3.1 Exemplos de crimes cometidos por meio da internet A possibilidade de se realizar serviços e transações financeiras digitalmente geram diversas facilidades aos usuários de tecnologia; porém, isso também permite que os cibercriminosos atuem de maneira mais livres e, consequentemente, os crimes digitais são cada vez mais comuns. Abaixo mostraremos alguns exemplos de crimes digitais. Utilização de Softwares Falsos – Muitos crimes digitais usam, como instrumento de facilitação, vírus e malwares, e grande parte dessas ameaças digitais são facilitadas por cavalos de troia, ou trojans, que são uma espécie de malware que consiste na oferta de um software normal, mas que ao ser instalado abre acessos para que outros vírus e malwares passem a atacar seu computador. Não é raro o uso de softwares falsos, inclusive para o roubo de dados bancários e informações pessoais. O crime de invasão e roubo de dados é mais comum do que pode parecer e está previsto no art. 154-A do Código Penal brasileiro, nos seguintes termos: Figura 6.12 – Trecho do código penal Brasileiro sobre o crime de invasão e roubo de informações , 95 Utilização de perfis falsos – Outro crime que vem crescendo com o advento das redes sociais é a criação de perfis falsos, ou o fake profile. Esses perfis são tradicionalmente associados a criminosos e, em alguns casos, pedófilos. Recentemente, porém, esses tipos de crime estão sendo muito utilizado para a disseminação de fake news e para delitos como o chamado “Crime do Amor”, no qual os criminosos usam de perfis falsos em aplicativos para marcar encontros com outros usuários e praticar sequestros e roubos. Ainda ao falarmos do uso de perfis falsos, um tipo de crime que começa a ficar popular é o uso de técnicas de deepfake, que é uma combinação do uso de inteligência artificial e síntese de imagens e voz para criar vídeos com declarações falsas de pessoas, incluindo personalidades públicas. Cyberbullying: Os antigos crimes de bullying ganharam uma outra proporção global com o uso da internet e das redes sociais. O cyberbullying consiste em espalhar notícias falsas, fotos com a intenção de constranger a vítima e até mesmo a publicação de vídeos íntimos. Porém, ao contrário do que muitos pensam, o cyberbullying é um crime e possui legislação própria (Lei 13.185/15), que é agravada caso a vítima seja menor de idade, de acordo com Estatuto da Criança e do Adolescente (ECA - Lei 8.069/90). Pirataria de Softwares e de Direitos Autorais: Talvez um dos crimes mais antigos ao falarmos da era digital, mas que foi potencialmente ampliado com a popularização da internet, é o crime de Pirataria, como ficou popularmente conhecido. Na verdade, esse crime não se aplica apenas a softwares, mas a qualquer propriedade de direito autoral (softwares, livros, músicas, filmes etc.), e está previsto na Lei Federal 10.695/2003. Seus artigos 184 e 186 destacam-se por recentemente terem sido atualizados, ampliando a punição dos criminosos que cometerem este tipo de delito usando meios digitais. , 96 Figura 6.13 – Destaque da Lei 10.695/2003 - Lei Antipirataria Plágio: Ao considerarmos todos os crimes relacionados até agora neste tópico, o plágio parece ser o menor e com menores consequências, mas não é verdade. O crime que consiste em vincular informações de terceiros sem a identificação do autor está previsto na Lei nº. 9.610/1998 e dispõem de pagamento de multa e até mesmo pena de detenção. É importante ressaltar que a lei do plágio normalmente é associada a trabalhos acadêmicos e publicação de artigos de pesquisa menores, mas ele também se refere a documentos e informações corporativas,Todas essas questões são extremamente relevantes, pois, graças à internet, que também trouxe diversas vantagens, um invasor, mesmo que esteja em outro país, pode acessar as informações de outrem, roubá-las, modificá-las ou danificá-las. De fato, os atacantes possuem mais vantagens do que um analista de segurança, porque eles não seguem regras na hora de realizar um ataque; escolhem quais vulnerabilidades vão explorar e criam ataques de acordo com o que desejam. Enquanto isso, os analistas devem seguir todos os procedimentos de acordo com o que , 8 é permitido, fazendo o possível para identificar e mitigar todas as vulnerabilidades existentes em sua rede. Além disso, os analistas de segurança conseguem se proteger apenas de ataques já existentes, daqueles que se tem conhecimento, o que facilita o “trabalho” de invasores desenvolvendo um novo ataque. À medida que o computador foi se tornando essencial para o comércio, o entretenimento e até o governo, o número de ataques a sua segurança também cresceu. O cibercrime, ou crime cibernético, é todo crime praticado on-line ou principalmente on-line. Os cibercriminosos utilizam computadores como instrumentos para fins ilegais, como cometer fraudes, tráfico de pornografia infantil, roubo de identidade, violação de privacidade. 1.3 Ataques direcionados Os ataques direcionados partem de um estudo inicial das informações da empresa ou da pessoa física que sofrerá a tentativa de ataque. Normalmente são aplicadas técnicas de Engenharia Social (técnicas utilizadas por cibercriminosos para fazer com que os usuários forneçam dados confidenciais sem que percebam). A partir do roubo das informações, esses ataques permitem que os cibercriminosos acessem bases de dados e alterem informações desta vítima, realizem compras on-line e até mesmo a venda desses dados para outros criminosos. Outra característica dos ataques direcionados é que eles são persistentes, ou seja, eles podem acontecer durante algum tempo, parar para que o usuário pense que o problema foi resolvido e, posteriormente, os cibercriminosos voltam a realizar novos ataques. Um exemplo de ataque direcionado é o BEC (Business E-Mail Compromise). Esse ataque consiste no envio em massa de um e-mail para diversas áreas de uma empresa, no qual o cibercriminoso se apresenta como um novo fornecedor e pede dados de contato da empresa e de seus executivos, assim iniciando um ataque à alta direção da empresa a partir destes dados. , 9 Fonte: ra2 studio Via: Shutterstock Figura 1.3 – Exemplo de ataque BEC – Ataque Direcionado Esse tipo de ataque vem crescendo exponencialmente, pois em muitos casos permite cometer não apenas o roubo de dados, mas também fraudes financeiras e outros crimes. 1.4 Tipos de Ataques 1.4.1 Ataques a dispositivos IoT A Internet das Coisas (Internet of Things) está em crescimento e a cada dia surgem mais dispositivos IoT que trazem inúmeras vantagens. Porém, a maioria desses dispositivos apresenta um hardware muito limitado, sem um sistema de segurança robusto. Dessa forma, os atacantes aproveitam para invadir dispositivos IoT para copiar ou comprometer os dados transmitidos por eles, possibilitando a espionagem industrial. Além disso, também podem utilizá-los somente como porta de entrada para conseguir invadir uma rede por completo. Figura 1.4 – Ataque a dispositivos IoT , 10 1.4.2 DDoS-for-hire (DDoS de aluguel) O DDoS-for-hire são botnets (softwares que se propagam de forma automática por meio da exploração de vulnerabilidades nos sistemas) vendidos por hackers que já realizam um ataque DDoS por conta própria, o que facilita o acesso de hackers iniciantes a ferramentas mais poderosas e simples de usar. Os ataques de negação de serviço distribuído (DDoS, ou distributed denial of service) são utilizados para interromper completamente o serviço de um sistema. Para isso, o atacante utiliza um computador mestre, que escraviza vários outros e faz com que todos acessem o sistema desejado ao mesmo tempo, de maneira ininterrupta. Como os servidores geralmente possuem um número limitado de acessos simultâneos, acabam sendo interrompidos por completo. 1.4.3 Engenharia social O ataque de engenharia social apenas engana a vítima, não necessitando da utilização de softwares maliciosos ou de conhecimentos mais profundos sobre ataques. Ela utiliza uma das maiores fraquezas dentro de uma organização, que é o fator humano. O criminoso obtém a confiança da vítima para extrair dados pessoais e até dados confidenciais das organizações, por meio de e-mails, por exemplo. Fonte: metamorworks Via: Shutterstock Figura 1.5 – Engenharia social , 11 1.4.4 Malwares São códigos maliciosos que se infiltram nos equipamentos de forma ilícita. Seu objetivo é destruir, alterar ou roubar dados. Eles podem comprometer um computador por meio da exploração de vulnerabilidades, da execução de mídias removíveis infectadas, do acesso a páginas maliciosas na web, da execução de arquivos maliciosos que podem ter sido obtidos em anexos de e-mail, da ação direta dos atacantes, que invadem o equipamento e incluem arquivos contendo o código malicioso, entre outras formas. Os malwares, após executados, garantem acesso a todos os dados armazenados no equipamento infectado e, de acordo com as permissões das vítimas, conseguem executar ações na rede (CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL, 2022). 1.4.5 Ransomware O ransomware, ao infectar um computador, realiza o sequestro dos dados, ou seja, criptografa todos os dados do equipamento, de um sistema de dados ou até de uma rede inteira, impedindo o acesso aos arquivos. Os criminosos, para liberar a chave, pedem pagamentos, geralmente em criptomoedas. A infecção pode ocorrer por meio de phishing (prática cujo objetivo, em geral, é roubar dados de usuários por meio de links em e-mail) ou de arquivos em anexo, por exemplo. 1.5 Gerenciando a segurança da informação O pensamento computacional é uma forma de pensar e resolver problemas por meio de computadores. Quando esses dispositivos se conectam a uma rede, ficam sujeitos às ameaças citadas na seção anterior. Portanto, é necessário um gerenciamento de segurança eficiente. Para um gerenciamento eficiente, é fundamental a aplicação de algumas técnicas e estratégias de segurança, com o objetivo de mitigar as ameaças. Para isso, siga as etapas abaixo: , 12 1.5.1 Autenticação Nos sistemas de computadores, quatro fatores podem ser utilizados para autenticação: • Algo que o sujeito saiba; • Algo que o sujeito possua; • Algo que o sujeito seja; • Lugar onde o sujeito esteja localizado. Para qualquer sistema de segurança, a autenticação é um dos principais fatores, pois é por meio dela que o sistema verifica a identidade do usuário. Quando a autenticação é bem-sucedida, os riscos de roubo de identidade e de ataques de falsificação diminuem. A maneira mais comum de autenticação é a utilização de usuário e senha, que, teoricamente, são informações individuais e confidenciais, ou seja, apenas o sujeito que deseja autenticar deve ter conhecimento de tais informações. Além das senhas de acesso, outros dispositivos devem ser usados para garantir a segurança física, por exemplo Smartcards e Tokens, dispositivos físicos que são usados para reforçar os demais processos de autenticação do usuário. Figura 1.6 – Smartcard e Token , 13 Outra técnica que vem se popularizando entre os especialistas em segurança da informação é o de autenticação em dois fatores, ou seja, o uso de duas ou mais técnicas, de preferência que usem dispositivos diferentes para autenticar o acesso. 1.5.2. Autorização A autenticação vai muito além da conferência da senha fornecida pelo usuário, ao contrário do que muitos acreditam,pesquisas e produtos de inovação e até mesmo marcas e patentes, podendo ser agravado caso a informação do plágio gere lucro financeiro ou cause dolo a pessoas ou patrimônios. Mas o que motiva uma pessoa a cometer um crime digital? Com vimos neste tópico, as motivações para o cometimento de crimes cibernéticos são os mais diversos, desde a intenção de fazer mal a alguém até roubar e matar. Muitos dos crimes cibernéticos, no entanto, acabam sendo banalizados por grande parte dos usuários da internet e das redes sociais. Alguém que queira se tornar um profissional de tecnologia da informação, em especial um profissional que deseje se especializar na segurança de dados nas empresas, não pode pactuar com crimes como esses. Esse profissional deve entender que a ética profissional vai além do momento de trabalho, do aprendizado e da execução de técnicas e do planejamento de planos de prevenção. A ética de um professional de segurança da informação deve ser um dos nortes da sua vida. , 97 6.4 Leis de proteção de dados no Brasil Ao falarmos de segurança da informação, é extremamente comum discutirmos sobre normas e padrões a serem implementados nas empresas, como inclusive já fizemos em blocos anteriores deste material. Da mesma forma, é comum discutirmos sobre crimes e fraudes direcionados a pessoas físicas relacionadas ao mundo digital; mas a segurança da informação vai muito além de normas e padrões. Como discutimos no início desse bloco, é a ética profissional que faz com que o profissional ou o ser humano siga padrões que permitam que ele viva em sociedade. Porém, o que acontece quando esses seres humanos, ou essas empresas, não seguem esses padrões éticos? A resposta é o desenvolvimento de leis que obriguem as pessoas e empresas a seguirem padrões, mesmo que mínimos, pois as necessidades da sociedade devem prevalecer. É comum ouvirmos a expressões “terra de ninguém” ou “terra sem lei” ao falarmos sobre a internet e sobre os meios de circulação de dados, mas isso não é verdade. Existem diversas leis que regulamentam o uso da internet, dos dados nas empresas e a relação entre os usuários e as redes, sejam estas corporativas ou sociais. Neste tópico, iremos fazer um breve resumo de algumas destas lei, mas se você deseja se tornar um profissional de segurança da informação, recomendamos fortemente que você procure estudar mais sobre essas leis e busque exemplos práticos de como implementá-las nas empresas. • As Leis 8.248/1991 e 13.969/2019 do ministério da tecnologia da informação tratam sobre investimento em pesquisa, desenvolvimento e inovação (PD&I), e oferecem às empresas que desejem investir em pesquisa de produtos e serviços de tecnologia da informação formas de geração de crédito e financiamento público; • A Lei 9.609/1998, também conhecida como Lei do Software, estabelece os direitos e deveres das empresas desenvolvedoras e contratantes de serviços de software, na qual destacam-se as obrigações de inviolabilidade dos dados fornecidos pela contratante durante e depois do processo de desenvolvimento , 98 de um software, bem como a obrigação da oferta de garantia do software e dos dados contidos neles; • A Lei 2.848/2012, também conhecida como Lei Carolina Dieckmann, estabelece a classificação de crimes digitais e delitos de informática em ambientes virtuais. Destaca-se na redação dessa lei a categorização de delitos pelo uso indevido de informações e materiais que violem a privacidade das pessoas; • A Lei 12.965/2014, também conhecida como Lei do Marco Civil da Internet, garante aos usuários o direito ao sigilo, obrigando as empresas a manter o registro das ações de seus usuários, estabelecendo os direitos e garantias do indivíduo no ambiente virtual e garantindo a livre expressão e a liberdade da manifestação do pensamento na internet ( e todas as suas ressalvas) e o direito ao exercício da cidadania. Ainda não falamos sobre a Lei Geral de Proteção de Dados. Isso porque destinamos o próximo tópico exclusivamente a apresentar a estrutura e as principais indicações para sua implementação a partir das próprias indicações do site do STF (Supremo Tribunal Federal). Recomendamos ainda que você assista em nossa trilha de aprendizado ao webinário sobre Aplicação da Lei Geral de Proteção de Dados Pessoais no Judiciário. 6.5 Lei Geral da Proteção de Dados A Lei Geral de Proteção de Dados, ou Lei 13,709/2018, ou simplesmente LGPD, foi promulgada em agosto de 2018, após sanção do presidente da República, e tem como objetivo a proteção dos dados de pessoas físicas em todo o território nacional. Ela proíbe em várias instancias o tratamento de dados pessoais e a prática de discriminação ilícita ou abusiva usando como base esses dados. Mas o que isso significa na prática? A grande dificuldade de juristas, gestores dos mais diversos níveis e até mesmo profissionais de tecnologia da informação de responder a essa pergunta fez com que o congresso nacional estabelecesse um prazo, até março de 2020, para a implementação prática da LGPD. Nesse meio tempo, foram criados diversos grupos de discursão e estudos para compreender a abrangência da LGPD. , 99 Para se ter uma ideia, o IBGE em sua pesquisa PNAD indicou que em 2017 o Brasil possuía mais de 70,5% das residências conectadas à internet e que em 92,7% das residências existiam pelo menos um celular com conexão de dados. E todos esses usuários são potenciais fornecedores de dados pela internet. Mesmo após a implementação de fato da LGPD em 2020, o ITCS (International Consultants on Targeted Security) informou que mais de 84% das empresas brasileiras declaravam não estar aptas a cumprir com a LGPD. A LGPD tem 65 artigos, distribuídos em 10 Capítulos, e foi fortemente inspirada na GDPR (General Data Protection Regulation), que é a lei europeia de proteção de dados. Fundamentos: I. O respeito à privacidade; II. A autodeterminação informativa; III. A liberdade de expressão, de informação, de comunicação e de opinião; IV. A inviolabilidade da intimidade, da honra e da imagem; V. O desenvolvimento econômico e tecnológico e a inovação; VI. A livre-iniciativa, a livre concorrência e a defesa do consumidor; VII. Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. (STF) Princípios: I. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III. Necessidade: limitação do tratamento mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV. Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V. Qualidade dos dados: garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comerciais e industriais; VII. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações , 100 acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX. Não discriminação:impossibilidade de realizar o tratamento para fins discriminatórios, ilícitos ou abusivos; X. Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas. (STF) Requisitos para o tratamento dos dados A LGPD prevê que o tratamento de dados só pode ser realizado nas seguintes hipóteses: I. Mediante o fornecimento de consentimento pelo titular; II. Para o cumprimento de obrigação legal ou regulatória pelo controlador; III. Pela administração pública, para o tratamento e o uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV. Para a realização de estudos por órgão de pesquisa – garantida, sempre que possível, a anonimização dos dados pessoais; V. Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral; esse último nos termos da Lei n. 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); VII. Para a proteção da vida ou da incolumidade física do titular ou de terceiros; VIII. Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX. Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X. Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. (STF) , 101 Conclusão Como vimos neste bloco, o profissional de segurança da informação precisa ser essencialmente um ser ético, não só em seu trabalho, mas em sua vida como um todo. A ética na segurança da informação pode fazer a diferença não apenas para corporações de pequeno, médio e grande porte, mas também para as pessoas e para a sociedade, sendo a função do profissional de tecnologia da informação uma grande responsabilidade. Também aprendemos um pouco sobre os cibercrimes e os cibercriminosos. Vimos que, em muitos casos, enxergamos nos outros o agente dos crimes digitais, mas que, devido às facilidades que a internet e as redes sociais nos proporcionam, não são raras as vezes em que acabamos por ser estes agentes ativos dos crimes digitais. Seja copiando um trabalho acadêmico, baixando uma música ou filme de forma ilegal, roubando um sinal de internet ou mesmo atacando uma pessoa ou repostando uma propaganda de ódio, em todos esses casos, somos tão criminosos quando aqueles que roubam pessoas pela internet ou fazem bullying com pessoas indefesas. Por fim, conhecemos um pouco sobre a legislação de crimes digitais e finalizamos este trabalho falando sobre a LGPD e como ela deverá influenciar a relação das empresas e seus dados. Esperamos que esse material tenha auxiliado você não só a compreender o que é um profissional de segurança da informação, e como ele atua, mas também que tenha lhe possibilitado aprender mais sobre as normas e frameworks de segurança da informação e entender que o perfil de um profissional de segurança da informação tem mudado muito nos últimos anos, de um profissional considerado tático, e em alguns casos até mesmo operacional, para um dos principais profissionais estratégicos nas grandes empresas. Obrigado. , 102 REFERÊNCIAS CARNEIRO, L. D. Infrações penais e a informática: a tecnologia como meio para o cometimento de crimes. Revista Jus Navigandi, Teresina, ano 21, n. 4921, 21 dez. 2016. Disponível em: . Acesso em: 10 jul. 2022. CARVALHO, L. S. Ética no tratamento de dados e informações. Administradores, 31 dez. 2009. Disponível em: . Acesso em: 8 out. 2018. CONSELHO NACIONAL DO MINSTÉRIO PÚBLICO. Lei Geral de Proteção de Dados Pessoais (LGPD) - Fundamentos e Princípios. Disponível em: . Acesso em: 7 dez. 2022. HINTZBERGEN, J. et al. Fundamentos de segurança da informação: com base na ISO 27001 e na ISO 27002. 3. ed. Rio de Janeiro: Brasport, 2018. LEMOS, H. D. Ética em informática. DevMedia, 16 out. 2009. Disponível em: . Acesso em: 10 jul. 2022. OLIVEIRA, D. Conheça 16 tipos de ameaças virtuais que podem invadir seu compu- tador. ITF 365, 2014. Disponível em: . Acesso em: 10 jul. 2022. AGÊNCIA SENADO. Lei Geral de Proteção de Dados entra em vigor. Disponível em: . Publicado em 18/09/2020. Acesso em: 20 jun. 2022. SUPREMO TRIBUNAL DE JUSTICA. A LGPD e o STJ. Disponível em: . Acesso em: 20 ago. 2022. SUPREMO TRIBUNAL FEDERAL. Lei Geral de Proteção de Dados. Disponível em: . Acesso em: 7 dez. 2022.pois, a partir dessa autenticação, também é possível que a rede de dados ou a aplicação estabeleçam um perfil para esse usuário, o que delimita seu acesso. Por exemplo, um colaborador do setor financeiro, com um perfil restrito às ferramentas deste setor, não será capaz de acessar o software de folha de pagamento e alterar seus dados. Existem diferentes classes de autorização em informações eletrônicas, que são: leitura, gravação, proprietário e execução. Quem possui autorização para leitura somente pode inspecionar o documento. Já a permissão de gravação autoriza alterar ou atualizar o documento. O proprietário geralmente é apenas uma pessoa, que consegue excluir, renomear e até alterar permissões de acesso ao documento. Já a autorização de execução diz respeito a softwares de computador e o nome já leva a entender que essa autorização é para que o usuário autorizado possa executá-los. Essas autorizações podem ser concedidas individualmente ou a grupos de usuários. 1.5.3 Criptografia Quando um invasor consegue acesso a dados ou os intercepta durante uma transferência, ele também consegue acessar todos os conteúdos que ali estão armazenados, podendo roubar tais informações ou simplesmente alterá-las, afetando sua integridade. Para evitar isso, é necessário o uso de criptografia. A criptografia é um processo que converte dados para um formato irreconhecível, de modo a proteger informações confidenciais, sendo possível que somente as partes autorizadas possam visualizá-las. Ou seja, é utilizado um algoritmo que transforma as informações, tornando-as ilegíveis para qualquer usuário que não seja autorizado, pois os dados codificados só podem ser descriptografados com uma chave. A criptografia pode ser de chave simétrica ou assimétrica. , 14 A criptografia de chave simétrica usa a mesma chave para criptografar e descriptografar mensagens. Portanto, algoritmos simétricos são mais simples do que algoritmos assimétricos e têm maior velocidade de processamento, o que apresenta grandes vantagens quando grandes quantidades de dados estão envolvidas. No entanto, como todos os envolvidos precisam conhecer a mesma chave, esse método apresenta lacunas no processo de comunicação criptográfica. Já a criptografia de chave assimétrica, também chamada de criptografia de chave pública, usa duas chaves: uma para criptografar e outra para descriptografar. A chave usada para criptografar é secreta e apenas o criador da mensagem a conhece, por isso é chamada de privada, enquanto a chave usada para descriptografar é pública e todos sabem. Essas duas chaves são geradas e associadas simultaneamente pelo algoritmo. Portanto, apenas o destinatário poderá acessar o conteúdo da mensagem, garantindo sua autoria. 1.5.4 Firewall O firewall é um dispositivo de segurança de rede responsável pelo monitoramento do tráfego de entrada e saída da rede. Atua como um filtro, decidindo se permite ou bloqueia determinado tráfego, e age com base em um conjunto predeterminado de regras de segurança. Firewalls podem ser em forma de hardware ou apenas de software. Como dispositivo físico, ele é posicionado entre os computadores e a internet, de maneira que todo o tráfego de internet passe primeiro pelo firewall para ser filtrado. Os sistemas de computador possuem firewalls já incorporados. Esses firewalls em formato de software fazem a inspeção das mensagens no ponto de conexão de rede do computador. Quando a mensagem chega à placa de rede do equipamento, imediatamente o firewall age, definindo se o tráfego é malicioso ou não, realizando os bloqueios quando necessário. O dispositivo físico é mais sofisticado do que o software e, consequentemente, mais seguro. A maioria das organizações opta pelo hardware, utilizando-o para proteger , 15 toda a rede e seus dispositivos com acesso à internet. Esses equipamentos são complexos, por isso é necessária mão de obra especializada para sua instalação e configuração, pois seu funcionamento só será eficiente se for configurado de maneira correta. Fonte: manop Via: Shutterstock Figura 1.7 – Firewall O firewall também pode restringir tráfego de saída, evitando que usuários acessem páginas que possam representar riscos à rede. 1.5.5 Antivírus A expressão vírus de computador se refere à coleção de diversos malwares que podem infectar os dispositivos. São softwares maliciosos que podem causar comportamentos inesperados no equipamento infectado ou apagar todo o conteúdo do disco rígido. Eles podem se propagar de um computador a outro pela rede ou por compartilhamento de dispositivos de armazenamento portáteis, como pen drives e discos externos. Para mitigar esse tipo de infeção, existem os softwares antivírus. Esses softwares devem ser executados nos equipamentos para realizar verificações em busca de , 16 arquivos maliciosos. As verificações podem ocorrer automaticamente, quando novos arquivos são detectados, de maneira programada, para ocorrer uma vez ao dia, por exemplo, ou manualmente, sempre que o usuário desejar. Para essas detecções, os antivírus utilizam listas que armazenam sequências de bits, ou seja, uma assinatura de bit exclusiva de um vírus, sua identidade. Quando o antivírus identifica uma assinatura de bit que corresponde a um vírus conhecido, já considera o arquivo infectado, podendo ser excluído automaticamente ou notificando para que o usuário tome alguma ação. Em geral, esses softwares são eficientes; porém, vírus recém-lançados tornam-se um problema, pois pode demorar um tempo considerável até que suas assinaturas de bit sejam conhecidas e atualizadas nos softwares antivírus. 1.5.6 Atualização de Software Tanto firewalls quanto antivírus devem estar em constante atualização, para que possam cumprir seus papéis de maneira eficiente; caso contrário, tornam-se vulnerabilidades. Dessa mesma forma, os computadores também devem ser atualizados regularmente, de modo a evitar que ocorram falhas de software, que também se tornarão vulnerabilidades do sistema. Geralmente, as empresas responsáveis pela criação de softwares são também responsáveis por desenvolver atualizações sempre que surgirem vulnerabilidades no sistema, sendo obrigadas a corrigir a falha de software, lançando uma nova versão sem os problemas detectados. 1.5.7 Backup Realizar backups regularmente é uma técnica de segurança fundamental. Supondo que, mesmo com todos os cuidados e utilizando-se todos os procedimentos possíveis para garantir uma rede segura, seu equipamento sofra um ataque e seus arquivos sejam danificados, ou até mesmo o disco inteiro seja apagado. Se existir um backup, que tenha sido realizado em um dispositivo portátil ou um servidor, será possível recuperar os principais dados. , 17 Fonte: hanss Via: Shutterstock Figura 1.8 – Esquema ilustrativo de um Backup Posto isso, o backup ocorre quando os arquivos do computador são copiados para algum outro local, sendo necessário que isso seja realizado o mais frequentemente possível, de modo a manter o backup sempre atualizado. Em organizações, geralmente o administrador da rede configura para que sejam realizados backups diariamente, salvando todos os arquivos que estejam compartilhados no servidor; mesmo assim, é recomendado que os usuários realizem seus backups individualmente, pois muitas informações importantes podem estar armazenadas localmente. Dessa forma, é possível entender sua importância para a segurança de uma rede. 1.5.8 Arquivo de Log Os arquivos de log são os responsáveis por registrar eventos que ocorrem durante o uso do computador, como: usuário que fez login, arquivo criado ou lido e e-mail enviado ou recebido. Os sistemas registram alguns logs por padrão, mas as configurações podem ser alteradas para registrar o que os usuários desejam incluir nos arquivos de log. Por meiodesses arquivos, é possível identificar qual equipamento e qual usuário foi responsável pela realização de um crime, por exemplo. Isso também é importante porque nem sempre os ataques ocorridos em uma empresa são executados por alguém de fora; muitos casos envolvem usuários internos. Assim, analisando os logs, é possível identificar de onde o ataque foi efetuado. , 18 Conclusão Como foi possível observar, o fator humano é o elo mais fraco de qualquer organização. Sendo assim, pessoas são suscetíveis a erros, a realizar acessos indevidos e a serem vítimas da engenharia social, muitas vezes pela falta de orientação ou treinamento. Portanto, é de extrema importância investir na educação dos colaboradores, realizando treinamentos de segurança regularmente, orientando-os sobre os riscos, como é possível evitá-los e as políticas de segurança aplicadas, como a obrigatoriedade da alteração de senha em períodos predeterminados, além da exigência de maior complexidade, utilizando letras, números e caracteres especiais. Outras recomendações importantes incluem não digitar dados de usuário, como a senha, na presença de outras pessoas, procurar não anotar senha em lugares que possam ser acessados por terceiros, não acessar links de remetentes desconhecidos antes de ter certeza que seja um link real, pois podem ter sidos enviados por um invasor etc. Nenhuma rede é totalmente segura. No entanto, quando implementado o conjunto de técnicas de segurança citadas anteriormente, as ameaças podem ser mitigadas, tornando as redes menos vulneráveis a ataques. REFERÊNCIAS CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. Cartilha de segurança para internet. São Paulo: CERT.br, 2012. (E-book). COELHO, F. E. S.; ARAÚJO, L. G. S. de; BEZERRA, E. K. Segurança da Informação: NBR 27001 e NBR 27002. Rio de Janeiro: RNP, 2014. VALLIM, A. P. de A. Forense computacional e criptografia. São Paulo: Senac, 2019. , 19 2 ESTRURUTA DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Apresentação A segurança da informação está diretamente relacionada à proteção de um conjunto de informações, cuja necessidade de investimento não para de crescer. Para manter bons costumes e regras dentro de corporações, com a finalidade de manter seguras todas as suas informações, é preciso criar um manual de regras que os usuários possam seguir. Esse manual contém o que chamamos de política de segurança da informação. 2.1 Conceito de PSI e sua importância A política de segurança da informação impõe restrições sobre quais ações podem ser feitas, e quais sujeitos podem fazê-las, a respeito dos objetos de um sistema, a fim de atingir objetivos específicos de segurança. Segundo a NBR ISO/IEC 27001:2022, “A política de segurança da informação (PSI) é um documento que deve conter um conjunto de normas, métodos e procedimentos, comunicado a todos os funcionários, bem como analisado e revisado criticamente, em intervalos regulares ou em caso de eventuais mudanças”. Nas grandes corporações, é comum a utilização de Sistemas de Gestão de Segurança da Informação (SGSI) para garantir o acesso correto aos dados e ativos; porém, em muitos casos, a gestão da PSI fica a cargo das equipes de TI e de auditoria e segurança da informação e de patrimônio. Recomenda-se fortemente que a elaboração das PSIs leve em consideração um conjunto de práticas, que vão desde um correto levantamento de requisitos de segurança, até se a implementação dessas políticas pode atrapalhar ou ajudar no modelo de negócio da empresa. Devido ao grande grau de complexidade para o desenvolvimento e implementação das políticas de segurança, recomenda-se o uso da , 20 NBR ISO/IEC 27001:2022, na qual podem ser encontradas as boas práticas para todas as fases dos projetos de segurança da informação nas organizações. Este conjunto de normas internacionais que auxiliam a gestão de TI no desenvolvimento das políticas de segurança da informação em todos os seus níveis é mais conhecido como ISO 27001. A Certificação NBR ISO/IEC 27001:2022 é fornecida a organizações que possuam um alto padrão de segurança da informação e que consigam comprovar este padrão não somente com o desenvolvimento de uma PSI baseada nas normas, mas também através de indicadores de resultados. Fonte: Trueffelpix Via: Shutterstock Figura 2.1 – Padrões de regulamentos da ISO 27001 Destaca-se que, ao se desenvolver uma PSI baseada na ISO 27001, todos os modelos de acesso, responsabilidades e ações de contingência devem estar explicitados, bem como devem ser evidenciados os métodos de análise e auditoria de dados. Entre os benefícios da implementação de uma PSI, podemos destacar: • A redução de ações de risco por parte dos usuários; • Maior conscientização interna das responsabilidades pelo trato da informação; • O desenvolvimento de níveis de acesso à informação através de perfis de acesso definidos; • A possibilidade de se identificar e corrigir falhas relacionadas à segurança da informação; , 21 • O compartilhamento das responsabilidades da segurança da informação com todos os setores da corporação; • Possibilitar a auditoria dos dados por instrumentos internos ou externos da corporação; • Certificar de forma mais simples a confiabilidade da informação; • Uma visão holística dos recursos de dados existentes; • Maior capacidade de avaliar o sucesso da segurança da informação. É importante, porém, ressaltar que a ISO 27001, e consequentemente as PSIs baseadas nela, não são uma receita de bolo que deve ser copiada e implementada nas corporações. Existe grande margem de interpretação que deve ser respondida pela análise de outros requisitos que interfiram direta ou indiretamente no modelo de negócio da corporação. Outro ponto importante que deve ser destacado em relação às PSIs é que elas não são documentos estáticos, que uma vez criados e implementados devem ser considerados regras imutáveis. É recomendado que periodicamente essa PSI seja revista pela equipe de TI e os demais setores relacionados à segurança da informação. Em média, estas revisões acontecem depois de 1 ano da implementação e posteriormente em intervalos de 6 meses a 1 ano, de acordo com o perfil da corporação. A PSI deve estabelecer como serão acessadas as informações de todas as formas possíveis. A política deve especificar os mecanismos pelos quais esses requisitos podem ser alocados. O objetivo é manter os pilares da segurança da informação, descritos na tabela abaixo: , 22 Tabela 2.1 – Pilares da segurança da informação Fonte: Autor, 2022 Ao falarmos do uso de SGSI para o gerenciamento das PSIs, também é fortemente recomendado que a equipe de desenvolvimento se baseie na NBR ISO/IEC 27002:2022, ou ISO 27002, pois essa norma é um guia para o desenvolvimento e a implementação dos controles necessários para o monitoramento, a segurança e a auditoria dos dados. Ela estabelece as diretrizes necessárias para se manter as boas práticas indicadas na PSI. Como o possível observar na ISO 27002, parece em um primeiro momento ser apenas um complemento da ISO 27001, mas seu foco vai além do desenvolvimento e da implementação de uma política de segurança da informação. Ela apresenta um conjunto aprimorado de diretrizes para a gestão de ativos, pensados de uma forma técnica, descrevendo as melhores práticas de segurança relacionadas aos processos, às tecnologias e às pessoas que interagem em algum nível com os dados das empresas Ao falarmos da implementação da ISO 27002 na corporação, podemos destacar os seguintes benefícios: • Aumento do controle das informações estratégicas; • Aumento do controle dos ativos de dados; , 23 • Aumento da cultura de gestão dos dados por parte dos diversos setores da corporação. • Redução dos custosrelacionados a incidentes ligados à segurança dos dados; • Aumento na confidencialidade de dados críticos; • Melhor organização dos processos relacionado aos dados da corporação; • Maior agilidade na identificação e na correção de pontos falhos nos sistemas de informação; • O aumento das práticas de segurança da informação com as legislações e outras regulamentações vigentes. 2.2 Composição básica da PSI A adoção das políticas de segurança da informação em grandes corporações brasileiras e internacionais vem se tornando cada vez mais uma realidade e um dos maiores investimentos das grandes corporações, mas mesmo as empresas que ainda não possuem uma PSI plenamente implementada reconhecem a necessidade de manter a segurança dos dados em algum nível. Um componente importante de um framework (ferramentas/modelos utilizados como referência para desenvolvimento de políticas de gestão e tecnologia da informação) consiste em permitir que projetistas definam uma política de segurança, um conjunto de regras bem definidas que incluam os seguintes componentes: • Sujeitos — Os agentes que interagem com o sistema, que podem ser definidos em termos de indivíduos específicos ou de papéis ou categorias que grupos de indivíduos consigam representar dentro de uma organização. Indivíduos podem ser identificados por seus nomes ou cargos, como presidente, diretor ou gerente. Grupos podem ser definidos usando termos como usuários, , 24 administradores, professores, diretores e gerentes. Essa categoria também inclui atacantes e visitantes; • Objetos — Os recursos de informação e computacionais que uma política de segurança deve proteger e administrar. Exemplos de informação incluem documentos críticos, arquivos e bancos de dados, recursos computacionais, servidores, estações de trabalho e software; • Ações — As coisas que os sujeitos podem ou não fazer com relação aos objetos. Exemplos incluem leitura e escrita de documentos, atualização de software em um servidor web e acesso ao conteúdo de um banco de dados; • Permissões — Mapeamentos entre sujeitos, ações e objetos, que estabelecem claramente quais tipos de ações são permitidas ou proibidas; • Proteções — As características específicas de segurança ou regras incluídas na política para ajudar a atingir determinados objetivos de segurança, como confidencialidade, integridade, disponibilidade ou anonimato. Alguns autores da área de segurança da informação, como Freitas e Araújo (2008), defendem que se deva formar um comitê de segurança da informação, constituído por profissionais de diversos departamentos, como informática, jurídico, engenharia, infraestrutura, recursos humanos etc. No caso, o comitê deve ser responsável por divulgar e estabelecer os procedimentos de segurança, reunindo-se periodicamente com o objetivo de manter a segurança em todas as áreas da organização. A política deve ser escrita de maneira que todos possam entendê-la, desde uma pessoa mais leiga até um profissional da área. Todos os colaboradores precisam receber treinamento adequado. Conforme Fontes, para elaborar uma política de segurança e seus regulamentos complementares, devemos considerar as seguintes etapas. a) Inicialização do projeto — Nesta etapa, descreve-se o projeto, justificando e declarando o seu objetivo. Depois, é preciso definir o escopo do projeto, , 25 limitando-o em relação à abrangência dos documentos gerados e/ou em relação ao detalhamento do texto destes documentos. No início do projeto, deve-se identificar e registrar o maior número possível de restrições e fatores que possam impactar a construção da PSI; b) Definição das premissas assumidas pelo projeto — Nesta etapa, deve-se registrar fatos, compromissos ou situações que poderão acontecer; c) Desenvolvimento do projeto — Estabelece-se quais devem ser os regulamentos a serem cumpridos na PSI. Esses regulamentos devem ser baseados nas premissas definidas na fase anterior e no levantamento de requisitos de negócio e de sistemas; d) Desenvolvimento dos regulamentos — Nesta etapa do projeto deve-se efetivamente escrever os regulamentos a serem estabelecidos na PSI. Os textos originais desenvolvidos na fase anterior devem ser revisados por uma equipe com um ou mais especialistas, visando principalmente identificar a viabilidade da implementação desses regulamentos; e) Concordância dos documentos — Essa fase do projeto consiste em analisar o conjunto de documentos a serem gerados pela PSI, a integralidade, e sua conformidade, garantindo que as informações geradas com estes documentos sejam concordantes e gerem conhecimento para o setor de TI e a organização como um todo; f) Entrega, comunicação, adequação e treinamento — Uma das fases previstas no projeto de desenvolvimento de qualquer TSI consiste na entrega, que é a apresentação da PSI à alta gestão da organização para aprovação. A partir da aprovação da PSI pela alta gestão, a PSI já valerá para fins documentais, mas normalmente é estabelecido um prazo para que a PSI seja divulgada aos colaboradores da empresa; esta etapa é conhecida como comunicação. Paralelos à comunicação, os sistemas e bases de dados devem ser adequados; esta etapa recebe o nome de adequação. Posteriormente à comunicação e à adequação, uma fase adicional prevê um conjunto de treinamentos aos , 26 colaboradores para que todos saibam como efetivamente implementar os regulamentos previstos na PSI; g) Processos de manutenção e atualização — Nessa etapa, define-se como serão coletados e analisados os dados resultantes dos regulamentos previstos na PSI, a periodicidade e a manutenção da própria PSI, bem como o modelo para a disponibilização destas manutenções. Também devem ser previstas atualizações e revisões periódicas, bem como o modelo adotado para a comunicação e a nova capacitação dos colaboradores envolvidos. Ainda, segundo Fontes (2012), deve haver alguns blocos de informações com o objetivo de melhorar o entendimento da PSI, conforme apresentado a seguir: Fonte: adaptado de FONTES, 2012 Figura 2.2 – Estrutura de um documento de regulamento em segurança da informação a) Objetivo do documento — Nesse bloco, indica-se o objetivo do documento, o que é o documento e o que a organização deseja comunicar com esse documento. Além disso, devem ser alinhadas e indicadas a aderência desse documento a outros regulamentos, legislações, normas e estruturas de , 27 tratamento de informações e projetos. Pode-se, também, indicar as razões da existência da política ou da norma; b) Escopo do documento — Nesse bloco, deve-se indicar os ambientes físicos, os ambientes lógicos, os tipos de usuários, as regiões geográficas ou outras definições que estabelecem os limites da aplicação do documento e das regras. Esse bloco aponta para quem e para quais ambientes organizacionais as regras serão aplicadas e exigidas; c) Definições ou glossário — Nesse bloco, deverão estar definidos termos específicos, abreviaturas, termos técnicos, nomes/siglas de entidades e áreas organizacionais etc. No caso de nomenclaturas que não sejam de uso comum em vários níveis de usuários, deve haver uma explicação para que todos, inclusive os leigos, consigam compreendê-las; d) Regras — Nesse bloco, teremos as orientações e regras que a organização deseja que todos os usuários cumpram. Esse bloco é considerado a essência do documento. Aqui, a organização indicará o que deve ser feito, o que é obrigatório, o que não se pode fazer e os princípios que se deseja seguir. O importante é que as regras não deixem dúvidas para os usuários; e) Responsabilidades — Nesse bloco, devem ser definidas as responsabilidades referentes ao documento, ou seja, indicar o responsável pela atualização, a revisão e a manutenção do texto do regulamento; pelo treinamento necessário para que osusuários consigam cumprir o regulamento; pela divulgação do texto para os usuários; e por outras ações necessárias para garantir que o documento seja sempre verdadeiro, atualizado, passível de cumprir e do conhecimento de todos; f) Cumprimento — Nesse bloco, devem estar explícitas as possíveis penalidades caso o usuário não cumpra adequadamente as regras descritas no regulamento. É preciso, também, indicar o procedimento do usuário em caso de erros, dúvidas ou em situações que não estejam previstas no documento. , 28 2.3 Modelos predefinidos para uma PSI Um modelo de segurança consiste em uma abstração que fornece uma linguagem conceitual para administradores especificarem políticas de segurança. Geralmente, modelos de segurança definem possíveis hierarquias de acesso ou direito de modificação dos membros de uma organização, de modo que sujeitos em uma organização consigam facilmente receber direitos específicos com base na posição desses direitos na hierarquia. As abstrações do exemplo fornecem aos escritores uma notação abreviada para definir direitos de acesso. Sem elas, políticas de segurança seriam muito longas. É muito comum, por exemplo, que um gerente tenha todos os mesmos direitos de acesso que seus colaboradores e mais alguns. Uma PSI poderia descrever isso com detalhes ou simplesmente definir os direitos de um gerente em termos de um modelo de segurança que automaticamente inclui os direitos dos subordinados em uma lista de gerentes usando uma hierarquia 2.4 Controle de acesso arbitrário e obrigatório Os dois modelos de controle de acesso mais usados são o arbitrário e o obrigatório. O controle de acesso arbitrário (DAC) refere-se a um esquema em que os usuários recebem a capacidade de determinar as permissões que governam o acesso a seus próprios arquivos. Em geral, são usados os conceitos de usuários e de grupos e é permitido que usuários estabeleçam medidas de controle de acesso em termos dessas categorias. Além disso, possibilita que um usuário conceda a outros o mesmo privilégio sobre os recursos. A maioria dos softwares adota alguma variante do esquema DAC para controle de acesso a seus recursos O controle de acesso obrigatório é um esquema mais restritivo, que não possibilita que um usuário defina permissões sobre arquivos, qualquer que seja o proprietário. Nesse , 29 caso, as decisões são tomadas por um administrador central de política. Cada regra de segurança consiste em: um sujeito, que representa a parte que tenta obter acesso; um objeto, que se refere ao recurso sendo acessado; e uma série de permissões que definem a extensão em que esse recurso pode ser acessado. Consideração: O Security-Enhanced Linux (SELinux) incorpora controle de acesso obrigatório como um meio de definir explicitamente as permissões para minimizar problemas de abuso e configuração inadequada. Modelos de controle de acesso obrigatório tentam evitar a transferência de informação não permitida pelas regras 2.5 Gerência de confiança Um sistema de gerenciamento de confiança é um framework formal para especificar uma política de segurança em uma linguagem precisa, com um mecanismo para assegurar o cumprimento da política especificada. Portanto, consiste em dois componentes principais: uma linguagem de política e um verificador de conformidade. Essa linguagem e os componentes de conformidade geralmente envolvem regras que descrevem quatro conceitos: 2.5.1 KeyNote O sistema KeyNote é uma linguagem que especifica termos de política de segurança da informação. Além de implementar os termos definidos, define uma aplicação como um programa ou sistemas que usam KeyNote. Um valor de conformidade política (PCV) refere-se à resposta emitida pelo sistema em questão. Para a requisição de um principal para realizar alguma ação, indica se a ação requisitada está de acordo com as políticas existentes. Para usar o KeyNote, uma aplicação consulta o sistema quando um principal requisita uma ação, incluindo na consulta as políticas adequadas e as credenciais. A ação é descrita usando um conjunto de pares atributo-valor, conhecidos como conjuntos de atributos da ação, que ilustra as implicações de segurança dessa ação. Então, o , 30 KeyNote responde com um PCV indicando se a ação deve ser permitida ou não, e a aplicação se comporta de acordo com essa questão. Em suma, o KeyNote interpreta se uma dada ação deve ser permitida ou não de acordo com as políticas fornecidas, sendo de responsabilidade da aplicação invocar adequadamente um KeyNote e interpretar corretamente suas respostas. A seguir, veja um exemplo de sistema de gerência de confiança. No exemplo abaixo, Alice tem credencias válidas suficientes para a ação requisitada em relação às políticas específicas, mas Bob não possui. Figura 2.3 – Sistema de gerência de confiança 2.5.2 XACML A linguagem XACML (Extensible Access Control Markup Language) foi divulgada em 2009. A XACML alavanca a linguagem XML (Extensible Markup Language) para definir políticas de segurança, descrevendo como estas devem ser cumpridas. Assim como o KeyNote, a XACML inclui todas as características tradicionais de gerência de confiança: um principal é chamado de sujeito, o qual pode requisitar a realização de ações sobre um recurso. Um ponto de administração de política gerencia políticas de segurança; um ponto de decisão de política é responsável pela emissão de autorizações, de forma análoga à de emissão de PCV em KeyNote; um ponto de cumprimento de política requisita acesso , 31 como representando de um principal e se comporta de acordo com a resposta PDP; e um ponto de informação de política fornece informação adicional relacionada à segurança. A XACML também inclui uma abordagem para delegação que permite às partes conceder direitos a outras partes sem um administrador central de política. Isso é possível porque os direitos de delegar privilégios são mantidos independentemente dos direitos de acesso. Conclusão Para tudo o que é feito diariamente, exige-se um script, uma regra a ser seguida. Dentro das corporações, a necessidade de os usuários seguirem determinado script de boas práticas é fundamental. Este entra em um manual de políticas de segurança da informação e indicará formas seguras de lidar com informações, sem que vulnerabilidades sejam encontradas. Ser apenas profissional da área de TI não é o suficiente para desenvolver uma política de segurança da informação. É preciso saber o que é PSI, como desenvolvê-las e por onde começar. Na elaboração de uma PSI, deve-se levar em consideração a NBR ISO/IEC 27001:2005, norma em que são encontradas as melhores práticas a fim de iniciar, implementar, manter e melhorar a gestão de segurança da informação nas organizações. Desenvolver um manual de política de segurança da informação pode gerar dúvidas no caso de quem nunca o fez. Por isso, você verá algumas dicas sobre como iniciar esse material. Depois disso, você até vai perceber que outros tópicos podem ser criados conforme a necessidade de cada empresa. REFERÊNCIAS DANTAS, M. Segurança da informação: uma abordagem focada em gestão de riscos. Olinda: Livro Rápido, 2011. , 32 FONTES, E. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008. FONTES, E. Políticas e normas para segurança da informação. Rio de Janeiro: Brasport, 2012. FREITAS, F.; ARAUJO, M. Políticas de segurança da informação: guia prático para elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna, 2008. GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de computadores. Porto Alegre: Bookman, 2013. , 33 3 NORMAS VIGENTES SOBRE SEGURANÇA DA INFORMAÇÃO Apresentação Manter uma organização a salvo de ataques e qualquer outro tipo de vulnerabilidades é de interessemundial. De fato, a implementação de políticas de segurança da informação nas organizações é uma das normas mais importantes para manter a informação segura. A ISO 27001 é um padrão de referência internacional para a segurança da informação, que indica como deve ser feita a segurança e como implementar essa norma em organizações, por meio de políticas que precisam ser seguidas para manter a organização livre de vulnerabilidades. Fonte: Trueffelpix Via: Shutterstock Figura 3.1 – Padrões de regulamentos da ISO 27001 3.1 Importância da norma ISO/IEC 27001 Ao falarmos de segurança da informação, a maior referência que temos é a norma ISO 27001; esta norma foi criada em 2005 e faz parte de um conjunto de 7 partes da norma ISO 27000. Trata-se de uma norma internacional focada nas boas práticas da gestão da informação e que usou como base a BS 7799-2, que faz parte do conjunto de normas britânicas de qualidade e segurança da informação. No início do ano de 2022 foi publicada uma nova versão da ISO 27000, incluindo atualizações de vários conceitos das ISO 27001 e 27002, que são o foco deste material; porém, iremos também citar em alguns momentos a versão de 2013, uma vez que esta é, até o momento, a versão mais usada no mercado corporativo. , 34 Tabela 3.1 – Série da ISO/IEC 27000/NBR 2022 Fonte: Autor, 2022 Podemos afirmar que dentre os principais objetivos da ISO 27001 estão: um conjunto de processos e controles sobre segurança da informação; um conjunto de requisitos básicos para implementação destes processos e controles, sempre com foco na redução de riscos; entre outros. É importante enfatizar que a ISO pode ser implementada em qualquer tipo de organização, seja ela uma pequena empresa ou uma grande multinacional, pois estes conjuntos de regras se referem a práticas comuns em todas as organizações. Seu foco é proteger os pilares da segurança da informação — a confidencialidade, a integridade e a disponibilidade —, a partir da identificação dos potenciais problemas com a informação dentro de uma organização e, posteriormente, da definição das necessidades que devem ser atendidas para prevenir problemas que envolvam a informação. Considerando o modelo acima, é possível afirmar que a ISO 27001 tem como base a gestão de riscos, considerando não apenas a prevenção, mas também a contingência sistêmica desses riscos. De uma maneira ampla é possível dizer que esses processos e controles estão organizados a permitir a criação de uma política de segurança da informação (PSI) sistêmica, ou seja, padronizada e de fácil implementação. , 35 A maioria das organizações já tem redes, softwares e usuários, mas sua utilização está sendo feita de forma insegura — dessa forma, a maioria dos processos sugeridos pela ISO está direcionada a prevenir falhas de segurança de usuários destas redes. Porém, estes não são os únicos processos a serem analisados por um gestor de segurança da informação. É possível encontrar processos que vão desde o controle do acesso físico aos servidores até as práticas de backup. Diversos especialistas em gestão de negócios associam a implementação da ISO 27001 nas corporações à melhora na forma como clientes e fornecedores enxergam estas empresas. Logo, é possível afirmar que, além de garantir a segurança dos dados, a implementação das práticas sugeridas pelo ISO 27001 também pode auxiliar no crescimento das empresas. Dentre os benefícios indicado por estes especialistas destacam-se: a) Estar em conformidade com os requisitos legais, o que transmite segurança aos clientes e fornecedores; b) A divulgação dos indicadores de segurança pode ser usada como instrumento de marketing corporativo; c) Ao mostrar processos claros na captação e no trato dos dados, a empresa acaba reduzindo custos relacionados a estes processos; d) Melhora na organização, pois as boas práticas de segurança, combinadas a outros frameworks, permitem que a organização cresça de forma ordenada e faça uma gestão correta dos dados. 3.2 Descrição da norma ISO/IEC 27001 Ao se falar em segurança da informação nas organizações, a ISO 27000 é um conjunto de normal que especificam desde o vocabulário correto a ser usado pelos diversos níveis dos profissionais que irão atuar nesta área, até aquelas normas que devem ser seguidas por instituições certificadas desta segurança e dos profissionais que atuam com ela. Desta série de normas, destaca-se a ISO/IEC 27001, que tem como foco as , 36 referências necessárias para a implementação de um modelo de segurança da informação e as ações sistemáticas para viabilizar o CID (Confiabilidade, Integridade e Disponibilidade). A ISO 27001 é dividida em 11 seções e um Anexo, das quais as quatro primeiras seções são introdutórias (seções 0 a 3), as seções 4 a 10 possuem requisitos obrigatórios para as organizações que desejam a certificação NBR ISO/IEC 27001 e a última seção, na verdade um anexo denominado Anexo A, apresenta 114 salvaguardas (controles). Abaixo apresentamos um resumo dos conteúdos que constam na ISSO 27001: Seção 0: Introdução – Apresenta a ISO 27001 e sua compatibilidade com outras normas de gestão; Seção 1: Escopo – Apresenta a compatibilidade dessa norma e sua aplicação nas organizações. Seção 2: Referência normativa – Referencia a ISO/IEC 27000 (vocabulários) e apresenta as definições que serão usadas na ISO/IEC 27001. Seção 3: Termos e definições – Complementa a seção 2. Seção 4: Contexto da organização – Apresenta os conceitos para o entendimento da segurança interna e externa, parte dos conceitos de requisitos de segurança e tem um grande foco no planejamento (Plan), baseado no PDCA (*); este tema será abordado futuramente neste material textual. Seção 5: Liderança – Tem foco no papel da Alta Direção no planejamento das estratégias de segurança a serem implementados. Nas versões anteriores da ISO 27001, esta seção também definia cada uma das etapas do PDCA; na versão atual, os conceitos de PDCA continuam a ser cobrados na certificação, mas são mais nomeados. Esta seção tem um grande nível de importância para o desenvolvimento do PSI (Plano de Segurança da Informação) , 37 Seção 6: Planejamento – Apresenta os conceitos e define requisitos para a avaliação de risco, o tratamento de risco, a declaração de aplicabilidade, o plano de tratamento de risco e os objetivos de segurança da informação. Seção 7: Apoio - Apresenta os conceitos e define os requisitos para a disponibilidade de recursos, competências, conscientização, comunicação e controle de documentos e registros. As seções 6 e 7 usam como base os conceitos do PLAN (Planejar) do PDCA. Seção 8: Operação - Apresenta os conceitos e define requisitos para avaliação e tratamento de risco, bem como os controles e processos necessários para a segurança da informação nas organizações. A seção 8 usa como base os conceitos do DO (Fazer) do PDCA. Seção 9: Avaliação do desempenho - Apresenta os conceitos e define requisitos para o monitoramento, a medição, a análise, a avaliação, a auditoria interna e a análise crítica pela gestão do PSI. A seção 9 usa como base os conceitos do CHECK (Checar) do PDCA. Seção 10: Melhoria – Apresenta os conceitos e define os requisitos relacionados às não conformidades (o que fazer quando os requisitos não são atendidos), às ações corretivas e às práticas de melhoria contínua. A seção 10 usa como base os conceitos do ACT (Agir) do PDCA. 3.3 O que é o ciclo PDCA? Para aqueles que não conhecem o ciclo PDCA (Figura 3.2), trata-se de um conceito desenvolvido há quase 60 anos por William Edwards Deming. Consiste nas seguintes etapas: Planejar (Plan) — Antes de começar a implementar qualquer coisa, deve-se saber exatamente do que você precisa e o que quer atingir (objetivos); , 38 Fazer (Do) — Uma vez que vocêsaiba o que quer atingir, pode começar a implementar sua segurança da informação, a continuidade de negócio, os procedimentos de qualidade ou o que quer que seja o foco da norma ISO abordada (*)1; Checar (Check) — Para se ter certeza de que o planejamento foi realizado, é necessário monitorar o sistema e medir se seus objetivos foram atingidos — esta é a fase de verificação; Agir (Act) — Finalmente, se e quando perceber que seus objetivos não foram atingidos, ou seja, não é aquilo que se planejou, é necessário cobrir a lacuna nesta fase. Figura 3.2 – Ciclo PDCA aplicado aos processos de um sistema de gestão de segurança da informação 3.3.1 Sistemas de Gestão de Segurança da Informação e o PDCA Ao iniciarmos os estudos sobre segurança da informação é comum ouvirmos o termo SGSI, sistemas de gestão de segurança da informação, e o associarmos à criação de um software que irá gerenciar toda a segurança da informação de uma corporação, e até vemos exemplos desta ideia em alguns filmes de ficção cientifica; porém, por enquanto, esse tipo de software existe apenas na imaginação dos roteiristas. 1 Embora na ISO/IEC 27001:2022 não se utilize mais os termos nominais da PDCA, muitas outras normas técnicas ISO ainda o fazem. , 39 Precisamos inicialmente entender que existe uma diferença conceitual entre “Software” e “Sistema”. Enquanto os Softwares são um único programa, os Sistemas são um conjunto de softwares, que são direcionados a atuar de forma independentes, mas que resultam em atingir um objetivo comum. No caso dos SGSI, este objetivo e a segurança da informação das organizações. Outro ponto comum entre as pessoas que começam a estudar a segurança da informação é ver o PDCA associado a diversos modelos de processos e referências, inclusive à ISO 27001, e acabam associando o PDCA exclusivamente ao viés da segurança da informação, o que é um erro, pois o ciclo do PDCA está intimamente ligado às boas práticas de gestão em qualquer instância, inclusive a da segurança da informação. Mas como o PDCA pode auxiliar no desenvolvimento de um SGSI? Está é a pergunta correta a ser feita ao estudarmos o PDCA em segurança da informação. Neste tópico, procuraremos fazer uma correlação entre os conceitos e papeis estabelecidos no PDCA e os requisitos para o desenvolvimento de um SGSI; porém, é importante ressaltar que não se deve considerar este material como uma “receita de bolo” para se desenvolver ou implementar o SGSI em uma corporação, e sim apenas um material de referência. PLAN: No PLAN, podemos iniciar com o foco do papel da Alta Direção e dos aspectos relacionados à liderança na PSI; podemos também levantar os conceitos fundamentais do planejamento desse e, consecutivamente, dos softwares de apoio para sua implementação, bem como a definição do papel da Alta Direção, inclusive as garantias do pleno funcionamento das ações de segurança, sua manutenção e atualização. Estas definições são vitais para se olhar o projeto de implementação de uma PSI a longo prazo. Outro ponto importante ao falarmos no planejamento das ações de segurança é que eles precisam estar em sintonia com o planejamento estratégico da organização. Como já foi dito anteriormente neste material de estudo, a segurança da informação , 40 pode, inclusive, influenciar os produtos de uma empresa e, se executado de forma correta, ele poderá ser parte da estratégia da empresa para atrair novos clientes e fornecedores e ser um diferencial em relação aos concorrentes. Também estão associados aos requisitos de desenvolvimento de SGSI a avaliação de risco, o tratamento de risco, as declarações de aplicabilidade, o plano de tratamento de risco e os objetivos de segurança da informação. Ainda ao falarmos de requisitos para o desenvolvimento de um SGSI para uma corporação, podemos associar o que denominamos recursos de apoio dos SGSI. Dentre eles é possível elencar os requisitos de disponibilidade de recursos, as competências, a conscientização, a comunicação e o controle de documentos e registros. Fonte: I Believe I Can Fly Via: Shutterstock Figura 3.3 – Ilustração do PLAN (Planejar) no processo de denvolvimento de SGSI DO: Ao final do PLAN, você já deve ser capaz de estabelecer não apenas o nível de comprometimento da alta direção e o foco das ações que devem ser garantidas a segurança das informações, mas também quando e como devem ser desenvolvidos as diversas políticas de segurança e os softwares de suporte a estas políticas. , 41 A partir deste ponto devemos iniciar o DO, que são as ações para a execução dos SGSIs, toda a parte de mapeamento de sistemas e informações, quais são as entradas dessas informações (quem fornece as informações e em que instância dos processos eles são responsáveis), quais são as saídas (quem são os perfis que acessam a informação, quais informações e como estas informações podem ser alteradas), quais os riscos a serem aceitos e as ações a serem tomadas para contingência caso existam problemas com a segurança da informação. No DO, deve ser feito todo o levantamento de requisitos, como os colaboradores, as reuniões com as equipes de desenvolvimento dos softwares, a implementação e o suporte, que estarão envolvidos no desenvolvimento do SGSI em qualquer instância, e toda a documentação dos softwares proprietários a serem desenvolvidos (caso necessários). Desenvolvimento, testes de softwares, simulações em ambientes de testes, dentro outras ações. Também é importante reiterar que o DO ao falarmos de um SGSI não se limita a um único momento, pois ele deve ser pensado para cada uma das etapas e softwares a serem implementados durante todo o processo de implantação da PSI. Além dos próprios softwares a serem usados no SGSI, no DO também devem ser definidos Processos, Controles e Objetos de Segurança da Informação. Fonte: Blue Planet Studio Via: Shutterstock Figura 3.4 – Ilustração de DO (Fazer) no processo de desenvolvimento de SGSI , 42 CHECK: O CHECK consiste na criação de processos automatizados e relatórios que auxiliem efetivamente na conferência das práticas de segurança da informação. Ao pensarmos do desenvolvimento de um SGSI, a equipe responsável pelo desenvolvimento da PSI deve buscar nos diversos softwares que estão sendo implementados como suporte para a PSI se os dados apresentados são consistentes, são informados no tempo ideal e se permitem a análise de tendências e riscos antes do acontecimento de uma efetiva quebra de segurança. Requisitos para o monitoramento, a medição, a análise, a avaliação, a auditoria interna e a análise crítica pela direção são alguns exemplos de objetos que os softwares de segurança da informação devem estar aptos para fornecer ao SGSI. Fonte: TippaPatt Via: Shutterstock Figura 3.5 – Ilustração do CHECK (Checar) no processo de desenvolvimento de SGSI ACT: O ACT, em relação ao processo de criação de um SGSI, tem uma grande importância, pois nele são definidos quais devem ser as ações relacionadas à não conformidade, ou seja, o que os softwares devem fazer caso aconteça algum tipo de evento relacionado à quebra da segurança da informação. Ações como o início da execução de um plano de contingência, o isolamento das bases de dados que estão sendo invadidas e a notificação dos responsáveis são ações óbvias ao falar do ACT em relação aos softwares que serão usados no SGSI. Mas um dos principais pontos, que muitas equipes de segurança acabam por esquecer nestes , 43 momentos e que o ACT vai nos auxiliar a relembrar, é que o PDCA é um ciclo constante de melhora e as informações relacionadas à não conformidade são tão importantes para a segurança da informação quanto os dados de conformidade obtidos no CHECK. Fonte: fizkes Via: Shutterstock Figura3.6 – Ilustração do ACT (Agir) no processo de desenvolvimento de SGSI Como já foi dito anteriormente, o PDCA não é necessariamente uma receita de bolo, que, ao ser implementado para auxiliar no desenvolvimento do PSI e nos softwares de apoio a ele (SGSI), produzirá um modelo de segurança da informação inviolável. Porém, o uso dele em diversos processos de sucesso, sendo inclusive recomendado pela ISO 27001, indica que seu uso auxilia muito neste objetivo. Fonte: arucom Via: Shutterstock Figura 3.7 – Ciclo PDCA , 44 3.4 Requisitos para certificação corporativa Como outras normas do sistema de gestão ISO, a certificação ISO/IEC 27001 é possível, mas não obrigatória. Algumas organizações optam somente por implementar esses standards internacionais a fim de se beneficiar das melhores práticas que essas normas especificam. Existem duas formas de certificação para a ISO 27001: individual e para organizações. Para uma organização obter essa certificação, deve-se implementar a norma e submetê-la a uma auditoria de certificação realizada por um organismo de certificação. A seguir, serão descritos os estágios de realização da certificação. Estágio 1 (análise da documentação) Neste estágio da certificação, o foco é a documentação da empresa que deseja ser certificada. Serão analisados documentos, a política e todos os objetos do SGSI, a descrição da metodologia e dos processos de avaliação de risco, os controles de documento e seus procedimentos, além das ações corretivas e preventivas e o modelo de auditoria adotado pela organização. Caso seja aplicável ao negócio, deve-se também apresentar os controles de documentos indicados no Anexo A, tais como inventário dos ativos, uso aceitável dos ativos, papéis e responsabilidades dos funcionários, fornecedores e terceiros, termos e condições de contratação, procedimentos de operação das instalações de processamento de informação, política de controle de acesso e identificação da legislação vigente. Neste estágio também será necessário comprovação da realização de pelo menos uma auditoria interna e da análise crítica de gestão de dados. Estágio 2 (auditoria principal) Neste estágio é realizada pela equipe certificadora uma auditoria presencial com o intuído de certificar se as atividades de organização correspondem aos requisitos , 45 básicos da ISO 27001. Nesta auditoria, também é avaliado o próprio SGSI e os softwares usados como apoio para o PSI. Os documentos apresentados no estágio anterior são confrontados com a realidade da corporação. Fonte: Sedulur Grafis Via: Shutterstock Figura 3.8 – Imagem dos escudos da Certificação ISSO No processo de auditoria presencial do órgão certificado, alguns registros obrigatórios deverão ser apresentados, dentre eles destacam-se: Os documentos apresentados no estágio anterior são confrontados com a realidade da corporação. • Registro de formação da equipe de segurança da informação; • Registro de treinamento dos colaboradores; • Registro de especificação das competências, experiência e qualificações; • Registro e plano de auditoria interna; • Análise crítica da gestão da segurança da informação; e • Plano de contingência com as ações corretivas e preventivas. É importante, também, ressaltar que esses são os documentos básicos esperados, devendo a corporação atender a todos os demais requisitos da norma que se encontrem indicados para o modelo de negócio dela e ter os demais registros e comprovações de procedimentos de segurança da informação que constem em sua própria política de segurança da informação. , 46 Visitas de supervisão Após a aprovação da auditoria principal, a corporação receberá uma certificação válida por três anos. Para receber esta certificação, a corporação deverá concordar em se submeter a auditorias de verificação periódicas com foco em manter o PSI, o SGSI e todos os softwares de apoio ao PSI em conformidade com as necessidades da segurança de dados. 3.5 Requisitos para certificação individual Além das empresas, que possuem uma certificação relacionada comprovando que estão aptas a garantir a segurança dos dados fornecidos por clientes e fornecedores, também é possível que os profissionais que atuem com segurança da informação e desejem comprovar seus conhecimentos obtenham uma certificação ISO 27001 correlata. Em relação à certificação individual, os interessados podem participar de cursos para obter certificados, como: • Auditor Interno ISO 27001 — Com foco em ensinar como realizar auditorias internas, compreender os requisitos, processos e documentos básicos; • Implementador Líder da ISO 27001 — Com foco em ensinar como implementar a norma; e • Auditor Líder ISO 27001 — Com foco em como realizar auditorias de certificação. A primeira certificação é recomendada para todos os que irão participar do processo de desenvolvimento e implementação do PSI, bem como a todos que desejam trabalhar como consultores em segurança da informação. Os demais cursos são indicados para auditores, consultores e profissionais que desejam se aprimorar nas boas práticas de segurança da informação. Em Benefícios e fatores condicionadores da obtenção de certificação em gestão da segurança de sistemas de informação, Silva (2011) afirma que “[...] a obtenção de , 47 certificações através de normas de Gestão da Segurança de Sistemas de Informação é tida como promotora e evidenciadora dos esforços de proteção do sistema de informação por parte das organizações”. A adoção das práticas de gestão documentadas na norma representa um conjunto de benefícios, como: a) Demonstrar um compromisso dos executivos da organização em relação à segurança da informação, pois uma das grandes preocupações da atualidade é efetivamente a confiança no tratamento adequado da informação sensível de sua organização; b) Dotar a organização de ferramentas que demonstrem o cumprimento do Regulamento UE 2016/679 no tratamento e na circulação de dados pessoais; c) Aumentar a confiabilidade e a segurança da informação e dos sistemas em termos de confidencialidade, disponibilidade e integridade; d) Garantir a realização de investimentos mais eficientes e orientados ao risco, em vez de investimentos apenas baseados em tendências; e) Incrementar os níveis de sensibilidade, participação e motivação dos colaboradores da organização em relação à segurança da informação; f) Identificar e endereçar de maneira contínua oportunidades para melhorias, sendo um processo em melhoria constante; g) Aumentar a confiança e a satisfação de clientes, utentes, parceiros, entidades reguladoras e judiciárias, providenciando um elevado compromisso com a proteção da informação, o que representa um nível considerável de conforto para quem interage com entidades que processam e arquivam dados pessoais; A implementação dos controles provenientes da norma e da análise de risco melhora o desempenho operacional das organizações, com potencial de realização de mais negócios e poder negocial. , 48 Conclusão Qualquer exclusão de controles considerada necessária para satisfazer os critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Onde quaisquer controles forem excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização e/ou a responsabilidade de prover segurança da informação que atenda aos requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis (ABNT, 2006, p. 2). REFERÊNCIAS ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança
Mais conteúdos dessa disciplina
Sistema de informação Atv2- Top 5 Sites to Buy Verified PayPal Accounts That Last
- Sign up for PayPal | Personal Business Accounts
- Aula 01 | Do Zero ao Hacking - Resumo
- Buy GitHub Account Fast Verified Accounts for Development Projects -- Buy GitHub Account Fast Delivery Verified Email_Phone
- Curso 5 - Mod 1
- Buy PayPal Accounts Instantly (Safe,Secure,and FullyVerified)
- Top Platforms to Purchase Aged Gmail Accounts in the USA
- Top Shops to Buy Old Gmail Accounts Online In 2025
- Buy Bulk Google Voice Accounts Online Trusted Sources in 2025
- Top 5 Best Buy Bulk Google Voice Accounts In Los Angeles
- Aula 6 - Proteção de dados e privacidade financeira (versão2)
- Leia e associe as duas colunas quanto aos níveis de segurança da informação: IPS É ativado mediante acesso não autorizado ao switch ou hub. IDS Fi...
- Qual das seguintes opções descreve corretamente as chaves pública e privada? Oa. A chave pública não pode ser usada para criptografar dados, visto...
- Considere as opções abaixo e identifique aquela que se correlaciona com o conceito estudado de Controle Social: Questão 4Resposta a. O controle so...
- O mau uso da intranet acarreta danos irreparáveis às empresas, e a segurança da informação é essencial para assegurar dados e informações de uso in...
- O uso de cookies de rastreamento deve ser feito com transparência e respeito aos direitos dos usuários, conforme estabelecido pela LGPD. A obtenção...
- Na era atual da mineração de dados em saúde, a privacidade dos dados tornou-se uma preocupação primordial, dada a sensibilidade das informações gerada
- Com o avanço significativo da tecnologia, o uso de drones tem se tornado uma ferramenta cada vez mais importante no campo da segurança privada. Eles p
- A ecdise é um processo que ocorre continuamente ao longo da vida dos insetos e permite o crescimento constante e ilimitado, uma vez que a nova cutí...
- a patrologia e uma importante fonte documental, mas essa se refere somente ao final da idade media
- A privacidade é um direito fundamental construído historicamente. A seu respeito, é correto dizer que: É sinônimo de proteção de dados pessoais, sendo
- A privacidade é um direito fundamental construído historicamente. A seu respeito, é correto dizer que: É sinônimo de proteção de dados pessoais, sendo
- Sobre a internet, assinale a alternativa correta: A A internet é O conjunto de aplicações, como aplicativos e softwares. B A internet se define como a
- O que é agricultura de precisão?
- IMG_2738
- Material - Aula 4 - Semana do Python na Prática
