Vulnerabilidades da informação

Prévia do material em texto

OTAVIO AUGUSTO BOSA COINF 1021
Vulnerabilidades da informação
Vulnerabilidades são falhas que podem vir a provocar danos. A NBR ISO/IEC 27002:2005 define a vulnerabilidade como uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
As vulnerabilidades estão relacionadas diretamente com a fragilidade. São elementos passivos, ou seja, a fragilidade de um sistema ou projeto por si só não provoca danos, ela necessita de um agente causador ou de condição favorável, já que se trata de ameaças.
	A internet continua sendo o principal ponto de invasão, o que demonstra que essa tecnologia tem contribuído para o aumento das vulnerabilidades. Outro ponto de vulnerabilidade apresentado nas pesquisas sobre segurança da informação tem relação com os funcionários e prestadores de serviço.
	
Origem das vulnerabilidades
As vulnerabilidades podem advir de vários aspectos: instalações físicas desprotegidas contra incêndio, inundações e desastres naturais; material inadequado empregado nas construções; funcionários sem treinamento e insatisfeitos nos locais de trabalho; ausência de procedimentos de controle de acesso e de utilização de equipamentos por pessoal contratado; equipamentos obsoletos, sem manutenção e sem restrições para sua utilização; software sem patch de atualização e sem licença de funcionamento, etc.
	As vulnerabilidades podem ser: naturais, organizacionais, físicas, de hardware, de software, nos meios de armazenamento, humanas e nas comunicações.
Naturais
As vulnerabilidades naturais estão relacionadas com as condições da natureza ou do meio ambiente que podem colocar em risco as informações. Locais sujeitos a incêndios em determinado período do ano; locais próximos a rios propensos a inundações; áreas onde se verificam manifestações da natureza, como terremotos, maremotos e furacões; falha geológica, zonas de inundação, áreas de desmoronamento e avalanches são exemplos de vulnerabilidades naturais.
Organizacional
As vulnerabilidades de origem organizacional dizem respeito a políticas, planos e procedimentos, e a tudo mais que possa constituir a infraestrutura de controles da organização e que não seja enquadrado em outras classificações. Ausência de políticas de segurança e treinamento; falhas ou ausência de processos, procedimentos e rotinas; falta de planos de contingência são exemplos de vulnerabilidades organizacionais.
Física
As vulnerabilidades físicas dizem respeito aos ambientes em que estão sendo processadas ou gerenciadas as informações. Instalações inadequadas; ausência de recursos para combate a incêndio; disposição desordenada dos cabos de energia e de rede; não identificação de pessoas e locais; portas destrancadas; acesso desprotegido às salas de computador; sistema deficiente de combate a incêndio; edifícios mal projetados e mal construídos são exemplos de vulnerabilidades físicas.
Hardware
Caracterizam-se como vulnerabilidade de hardware os possíveis defeitos de fabricação ou configuração dos equipamentos que podem permitir o ataque ou a alteração dos mesmos. Exemplos como a conservação inadequada dos equipamentos; a falta de configuração de suporte ou equipamentos de contingência; patches ausentes; firmware desatualizado; sistemas mal configurados são vulnerabilidades de hardware.
Software
As vulnerabilidades de softwares são constituídas por todos os aplicativos que possuem pontos fracos que permitem acessos indevidos aos sistemas de computador.
Os principais pontos de vulnerabilidade encontrados estão na configuração e instalação indevida, programas, inclusive o uso de e-mail, que permitem a execução de códigos maliciosos, editores de texto que permitem a execução de vírus de macro.
Meios de armazenamento
Os meios de armazenamento são todos os suportes físicos ou magnéticos utilizados para armazenar as informações, tais como: disquetes; CD ROM; fita magnética; discos rígidos dos servidores e dos bancos de dados; tudo o que está registrado em papel.
Humanas
O desconhecimento de medidas de segurança é a sua maior vulnerabilidade do tipo humanas. Podem ser: falta de capacitação específica para a execução das atividades inerentes às funções de cada um; falta de consciência de segurança diante das atividades de rotina; erros; omissões; descontentamento; desleixo na elaboração e segredo de senhas no ambiente de trabalho e não utilização de criptografia na comunicação de informações de elevada criticidade.
Comunicação
Nas comunicações, as vulnerabilidades incluem todos os pontos fracos que abrangem o tráfego das informações, por qualquer meio (cabo, satélite, fibra óptica, ondas de rádio, telefone, internet, fax, etc.).
Ameaças à segurança da informação
Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, podem provocar danos e perdas. A norma ISO/IEC 13335-1:2004 define ameaças como: a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para a organização.
	Essas ameaças podem surgir de várias formas: de eventos da natureza, como terremotos, furacões, enchentes, descargas elétricas, tsunamis, etc; de incidentes em instalações, como incêndio, curtos-circuitos, infiltrações; de incidentes de segurança, com roubo, furto, sabotagem, ataques terroristas, etc; e de uma variedade de eventos, que, de uma forma ou de outra, pode vir a afetar os negócios de uma organização. As ameaças podem ser:
Naturais: são aquelas que se originam de fenômenos da natureza.
Involuntárias: são as que resultam de ações desprovidas de intenção para causar algum dano. Geralmente são causadas por acidentes, erros, ou por ação inconsciente de usuários, tais como vírus eletrônicos.
Intencionais: são aquelas deliberadas, que objetivam causar danos, tais como hackers, fraudes, vandalismo, sabotagens, espionagem, invasões e furtos de informações, dentre outras.
Lei Brasileira 12.737/2012 “Carolina Dieckmann”
O Projeto de Lei que resultou na "Lei Carolina Dieckmann" foi proposto em referência e diante de situação específica experimentada pela atriz, em maio de 2011, que supostamente teve copiadas de seu computador pessoal 36 (trinta e seis) fotos em situação íntima, que acabaram divulgadas na Internet.
Penalidades Previstas:
Os delitos previstos na Lei Carolina Dieckmann são:
1) Art. 154-A - Invasão de dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita. Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
2) Art. 266 - Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública - Pena - detenção, de um a três anos, e multa.
3) Art. 298 - Falsificação de documento particular/cartão - Pena - reclusão, de um a cinco anos, e multa.
A "Lei Carolina Dieckmann" entrou em vigor no dia 02 de abril de 2013.