Baixe o app para aproveitar ainda mais
Prévia do material em texto
ETEP Faculdades SEGURANÇA DA INFORMAÇÃO Orientador: Aluno: Paulo Henrique Santos RA: 13017958 Redes de Computadores - 4 ETNA-RC Setembro/2014 Segurança da Informação Segurança da informação se refere à proteção de de dados/informações com o intuito de tornar seguro seus valores para um indivíduo ou empresa. Podemos que dizer que informação é todo dado valioso à alguém, tanto pessoa quanto empresa, que consiste em qualquer conteúdo com capacidade de armazenamento ou transferência, que serve a determinado propósito e que é de utilidade do ser humano. É a proteção das informações dos diversos tipos de ameaças para: Garantir a continuidade do negócio; Minimizar o risco ao negócio; Maximizar o retorno sobre os investimentos e as oportunidades de negócio; ABNT NBR ISO/IEC 17799:2005 (27002) Norma de Segurança da Informação revisada em 2005 ela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico (BS) 7799-1:1999. A ISO/IEC-17799 tem como objetivos confidencialidade, integridade e disponibilidade das informações, os quais são fatores muito importantes para a segurança da informação. Código de prática para a gestão da segurança da informação. D.I.C.A. – Disponibilidade, Integridade, Confidencialidade e Autencidade Disponibilidade É tornar disponível serviços, aplicações, informações, sempre que necessário. Caso o mesmo não se faça possível, poderá acarretar sérios prejuízo à empresa, tais como danos à imagem e atraso na entrega final. Integridade Consiste em tornar íntegros os dados e informações da empresa, para que isso ocorra, essas informações só poderão ser alteradas por usúarios devidamente autorizados. Caso não haja integridade, pode-se gerar perda ou falsificação de dados/informações. Confidencialidade Consiste em tornar confidenciais as informações, restringindo as mesmas à pessoas devidamente autorizadas. Para que a mesma ocorra, é necessário protegê-las desde o armazenamento, transmissão e até no processamento. Caso não haja confidencialidade, pode-se resultar em quebra de sigilo. Autenticidade Consiste na certeza de que as informações são autenticas, ou seja, provém das fontes anunciadas. Mostrar o responsável pela elaboração daquela informação. Caso não haja autenticidade, pode-se utilizar informações falsas sem o devido conhecimento. Possíveis Ameaças Quando falamos de Segurança da Informação, não podemos nos esquecer das ameaças à ela. Segue abaixo alguns exemplos de ameaças: Roubo de senhas de acesso Ao se criar uma senha, faz-se necessária a utilização de caracteres especiais e não utilizar sequências simples, pois caso haja roubo da mesma, o comprometimento da integridade das informações é iminente. Recomenda-se a troca da senha a cada três meses. Roubo de ativos Ao permitir que funcionários possam levar ativos tais como notebooks da empresa para a casa, pode-se ocorrer o roubo dos mesmos, quando isso ocorre, as informações armazenadas nos ativos podem ser acessadas por pessoas não autorizadas, afetando a Confidencialidade. Não sabemos quando e nem onde seremos roubados, porém, podemos nos precaver, utilizando cadeado de segurança, tela de proteção, criptografia nos dados e, armazenar as informações no servidor, não deixar nenhum dado no ativo, deixando o notebook como front-end, mesmo que o mesmo seja roubado, as informações estarão a salvo no servidor da empresa. Software Pirata A utilização de software pirata infelizmente é frequente, no mundo, porém, ao se crackear um software, podemos também liberar uma porta de comunicação com algum invasor, tornando nosso sistema comprometido, suscetível à invasões, vírus entre outras possíveis pragas. Afetando assim a Disponibilidade, Integridade, Confidencialidade e a Integridade das informações. Para que não ocorra, faz-se necessário utilizar apenas softwares permitidos pela empresa, restrição de perfil de administrador dos ativos apenas aos administradores de TIC, para que o usuário não possa instalar e nem desinstalar nenhum software sem o consentimento da TIC. Invasão Física Para se conter uma invasão física, deve-se restringir os locais considerados importantes para empresa, tais como sala dos servidores, sala dos hacks. Deve-se também eliminar as áreas de trabalho não utilizadas, para que nenhum usuário possa conectar algum dispositivo pessoal na rede sem autorização. Uma maneira eficaz de se controlar uma invasão física é configurar o servidor para disponibilizar um Endereço IP apenas aos ativos que possuam a Imagem (Sistema Operacional) da empresa. Mau uso da Internet A internet é uma grande porta para invasões, para que isso não ocorra, deve-se utilizar antivírus, Proxy, entre outras ferramentas, mas, além disso, devemos analisar a real necessidade da permissão de internet ao determinado usuário, não liberando acesso à usuários que não utilizem internet como ferramenta de trabalho. Acesso indevido às informações Para que pessoas não autorizadas não tenham acesso à determinadas informações, faz-se necessário a elaboração de níveis de acesso. Não podemos dizer que nossa infraestrutura está totalmente protegida pois, assim como os antivírus, os vírus estão sempre um passo à frente, para que haja a vacina, faz-se necessário antes conhecer o vírus, mas devemos estar sempre atualizados e buscando soluções para as ameaças. Política de Segurança O principal propósito de uma política de segurança é informar aos usuários, equipe e gerentes, as suas obrigações para a proteção da tecnologia e do acesso à informação. A política deve especificar os mecanismos através dos quais estes requisitos podem ser alcançados. Outro propósito é oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aos requisitos propostos. Portanto, uma tentativa de utilizar um conjunto de ferramentas de segurança na ausência de pelo menos uma política de segurança implícita não faz sentido. Para que uma política de segurança se torne apropriada e efetiva, ela deve ter a aceitação e o suporte de todos os níveis de empregados dentro da organização. É especialmente importante que a gerência corporativa suporte de forma completa o processo da política de segurança, caso contrário haverá pouca chance que ela tenha o impacto desejado. A seguinte lista de indivíduos deveria estar envolvida na criação e revisão dos documentos da política de segurança: O administrador de segurança do site O pessoal técnico de tecnologia da informação Os Administradores de grandes grupos de usuários dentro da organização A equipe de reação a incidentes de segurança Os Representantes de grupos de usuários afetados pela política de segurança O Conselho Legal A ideia é trazer representações dos membros, gerentes com autoridade sobre o orçamento e política, pessoal técnico que saiba o que pode e o que não pode ser suportado, e o conselho legal que conheça as decorrências legais das várias políticas. Em algumas organizações, pode ser apropriado incluir pessoal de auditoria. Envolver este grupo é importante se as política resultante deverá alcançar a maior aceitabilidade possível. Também é importante mencionar que o papel do conselho legal irá variar de país para país. Política viável a longo prazo, é necessário bastante flexibilidade baseada no conceito de segurança arquitetural. Uma política deve ser largamente independente de hardware e softwares específicos. Os mecanismos para a atualização da política devem estar claros. Isto inclui o processo e as pessoas envolvidas. Também é importante reconhecer que há expectativas para cada regra. Sempre que possível a política deve expressar quais expectativas foram determinadas para a sua existência. Por exemplo, sob que condições um administrador de sistema tem direito a pesquisar nos arquivos do usuário. Também pode haver casos em quemúltiplos usuários terão acesso à mesma userid. Por exemplo, em sistemas com um usuário root, múltiplos administradores de sistema talvez conheçam a senha e utilizem a conta. Outra consideração é chamada a "Síndrome do Caminhão de Lixo". Isto se refere a o que pode acontecer ao um site se uma pessoa chave repentinamente não esteja mais disponível para sua função (ficou doente ou deixou a companhia). Enquanto a grande segurança reside na mínima disseminação de informação, o risco de perder informação crítica cresce quando a informação não é compartilhada. É importante determinar qual o peso ideal desta medida em seu site. Referências http://seguranca-da-informacao.info/ http://www.grafimagem.com.br/webcodes/principal/index.php?option=com_content&view=article&id=8&Itemid=12&lang=pt http://penta.ufrgs.br/gereseg/rfc2196/cap2.htm
Compartilhar