Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 SUMÁRIO 1 INTRODUÇÃO ............................................................................................ 2 2 CONCEITOS DE SEGURANÇA ................................................................. 3 2.1 Ciclo de vida da informação ................................................................. 5 2.2 Ciclo de produção do conhecimento .................................................... 6 2.3 A informação como um ativo ................................................................ 7 2.4 Vulnerabilidades da informação ........................................................... 9 2.5 Ameaças à segurança da informação ................................................ 14 3 ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO ........................... 23 4 INVASÕES NA INTERNET ....................................................................... 33 5 REALIZAÇÃO CORRETA DE CÓPIAS DE SEGURANÇA ....................... 35 5.1 Cuidados com os Backups ................................................................. 36 5.2 Educação dos Usuários ...................................................................... 37 5.3 Criptografia ......................................................................................... 37 5.4 Assinatura digital ................................................................................ 38 5.5 Certificado Digital ............................................................................... 39 6 ALGUMAS LEIS DA SEGURANÇA .......................................................... 40 6.1 Leis Fundamentais ............................................................................. 40 7 BIBLIOGRAFIA ......................................................................................... 44 2 1 INTRODUÇÃO Fonte: itforum365.com.br Num mundo cada vez mais competitivo, onde a informação é vital para todas as organizações, estas procuram ter sempre disponível a informação de forma rápida, íntegra e confidencial. Para que isto seja possível, as organizações têm que possuir sistemas de informação e tecnologias de informação (SI/TI) capazes de dar resposta às suas exigências e necessidades. Para que os sistemas de informação (SI) estejam sempre disponíveis e garantam a integridade e confidencialidade da informação que recolhem, processam, armazenam e distribuem, há um fator muito importante a ter em consideração, para além da tecnologia propriamente dita e de todos os mecanismos de segurança que venham a adotar, que são os usuários dos SI/TI. Se estes não tiverem um conjunto de práticas e regras na utilização dos SI/TI, corre-se o risco de gerar informação incoerente, defasada da realidade e, consequentemente, levar a tomadas de decisão incorretas. Segundo (Kruger & Kearney, 2008), os usuários devem ser sensibilizados para as questões de segurança, nomeadamente para os efeitos negativos que uma falha ou quebra de segurança podem provocar. De acordo com (Furnell & Thomson, 2009), um dos grandes problemas e ameaças verificados na implementação de práticas e procedimentos na segurança da informação são os usuários. Por este fato, torna-se necessário promover dentro da organização uma cultura de segurança e assegurar que as boas práticas são uma componente natural do comportamento dos usuários. Os usuários são, portanto, um dos elementos que pode 3 provocar vulnerabilidades e eventuais danos nos SI, pelo que é pertinente verificar se estão sensibilizados para a utilização de práticas corretas e seguras no desempenho das suas tarefas. 1 2 CONCEITOS DE SEGURANÇA Fonte: n3w5.com.br A maioria das definições de Segurança da Informação (SI) (Brostoff, 2004; Morris e Thompson, 1979; Sieberg, 2005; Smith, 2002) pode ser sumarizada como a proteção contra o uso ou acesso não-autorizado à informação, bem como a proteção contra a negação do serviço a usuários autorizados, enquanto a integridade e a confidencialidade dessa informação são preservadas. A SI não está confinada a sistemas de computação, nem à informação em formato eletrônico. Ela se aplica a todos os aspectos de proteção da informação ou dados, em qualquer forma. O nível de proteção deve, em qualquer situação, corresponder ao valor dessa informação e aos prejuízos que poderiam decorrer do uso impróprio da mesma. É importante lembrar que a SI também cobre toda a infraestrutura que permite o seu uso, como processos, sistemas, serviços, tecnologias e outros. A Segurança da informação refere-se à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto às informações corporativas quanto as pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela 1 Texto extraído do link: http://www.scielo.br/pdf/jistm/v13n3/1807-1775-jistm-13-03-0533.pdf 4 pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição. Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente. A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal-intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação. A tríade CIA (Confidentiality, Integrity and Availability) — Confidencialidade, Integridade e Disponibilidade — representa os principais atributos que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger. Outros atributos importantes são não-repúdio (irretratabilidade), autenticidade e conformidade. Com a evolução do comércio eletrônico e da sociedade da informação, a privacidade é também uma grande preocupação. Portanto os atributos básicos da segurança da informação, segundo os padrões internacionais (ISO/IEC 17799:2005) são os seguintes: Confidencialidade: propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação; Integridade: propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (Corrente, intermediária e permanente). O ciclo de vida da informação orgânica - criada em ambiente organizacional - segue as três fases do ciclo de vida dos documentos de arquivos; conforme preceitua os canadenses da Universidade do Quebec (Canadá): Carol Couture e Jean Yves Rousseau, no livro Os Fundamentos da Disciplina Arquivística; Disponibilidade: propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação; Autenticidade: propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo; 5 Irretratabilidade ou não repúdio: propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita; Conformidade: propriedade que garante que o sistema deve seguir as leis e regulamentos associados a este tipo de processo.2 2.1 Ciclo de vida da informação A informação possui um ciclo de vida. Ela nasce com a produção, tem um tempo de vida útil, na qual é manuseada, utilizada interna e externamente, transportada por diversos meios, armazenada, e morre com a sua destruição. A doutrina tem apresentado o seguinte ciclo de vida para as informações: produção e manuseio, armazenamento, transporte e descarte. A produçãoé a fase na qual nasce a informação, e o manuseio, como o próprio nome já o diz, é o ato de manusear a informação. É nessa fase que se caracteriza a materialização do conhecimento; O transporte é a fase da condução por quaisquer meios nos quais conste a informação. O armazenamento é o ato de arquivar as informações. E o descarte é o ato de descartar ou inutilizar a informação. Alguns autores, como Beal (2005), apresentam mais algumas etapas para o ciclo de vida da informação. Beal apresenta seis etapas: identificação das necessidades e dos requisitos, obtenção, tratamento, distribuição, uso, armazenamento e descarte. A identificação das necessidades e dos requisitos, para Beal, é o ponto de partida do ciclo de vida da informação, por entender que essa etapa age como um elemento acionador de todo o processo, podendo vir a estabelecer um ciclo contínuo de coleta. Ela enfatiza que a recompensa por descobrir essas demandas se dá ao tornar a informação mais útil e os seus destinatários mais receptivos à sua utilização. Na etapa da obtenção, são desenvolvidas as atividades de criação, recepção ou captura de informação proveniente de fonte externa ou interna. Na etapa do tratamento, caracteriza a passagem da informação por processos para torná-la mais acessível, organizada e fácil de localizar pelos usuários. 2 Texto extraído do link: https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o 6 Verifica-se que a classificação de Beal se aproxima mais de um esquema de produção do conhecimento, pois a identificação das necessidades e requisitos é parte integrante da fase do planejamento, que é uma das etapas da produção do conhecimento. Independentemente da linha a ser adotada, todas essas etapas do ciclo de vida da informação são importantes para o ciclo de produção do conhecimento. 2.2 Ciclo de produção do conhecimento Como já foi abordado, o conhecimento resulta de um processamento de dados, informações e conhecimentos anteriores, que são avaliados, analisados, interpretados e compreendidos dentro de um contexto, a fim de serem utilizados numa ou mais aplicações específicas. Esse processo de produção do conhecimento passa pelas seguintes fases: planejamento, reunião, análise, interpretação, formalização e difusão. O planejamento constitui a fase inicial, pois é nela que se decide o que se quer fazer, como fazer e para que fazer. É nessa fase que se identificam as principais fontes de dados, sejam elas internas e externas. A reunião caracteriza-se pela coleta dos dados já disponíveis pela pessoa e pela ação de campo para a obtenção de novos dados. A análise é a fase na qual se avaliam os dados obtidos e se faz a interligação com os dados de outras fontes. A interpretação do analista é uma operação intelectual, na qual ele concebe ideias, formula juízos de valor sobre um conjunto de dados, o que resulta na produção do conhecimento. As últimas fases são a formalização e difusão do conhecimento produzido, que poderá ser destinado ao público interno e/ou ao mercado. Todas as fases são importantes na produção do conhecimento, porém, se o analista não tiver um bom raciocínio, o conhecimento tornar-se-á fragilizado e o resultado poderá não ser aquele desejado. Após a produção do conhecimento, ele serve para satisfazer as demandas, como também pode gerar novas necessidades de conhecimento, as quais servirão para orientar uma nova produção do conhecimento. 7 Observa-se que a produção é um sistema cíclico, pois essa nova orientação pode ser considerada como um feedback para a retroalimentação do sistema de produção do conhecimento, como está demonstrado abaixo: Fonte: marcusdantas.com.br 2.3 A informação como um ativo O estudo do ativo não é uma preocupação recente, pois há muito tempo a ciência da contabilidade já o estudava. A definição clássica é que o ativo compreende o conjunto de bens e direitos de uma entidade. Entretanto, atualmente, um conceito mais amplo tem sido adotado para se referir ao ativo como tudo aquilo que possui valor para a empresa. Ativo: qualquer coisa que tenha valor para a organização (ISO/IEC 13335- 1:2004). Como a informação tem ocupado um papel de destaque no ambiente de negócios, e também tem adquirido um potencial de valoração para as organizações e para as pessoas, ela passou a ser considerada o seu principal ativo. Entretanto, para se proteger a informação, mantendo os requisitos de segurança (confidencialidade, integridade e disponibilidade), deve-se atentar para o processo de comunicação. E para que a informação seja protegida durante todo esse processo, não basta tê-la como um componente a proteger, mas também devem ser considerados os outros elementos que fazem parte desse processo, que são, por exemplo: os sistemas, os aplicativos, os equipamentos, os serviços e as pessoas que os utilizam. 8 O processo de comunicação está representado na figura abaixo, onde a informação parte de um emissor, que é aquele que codifica a mensagem, sendo transmitida por um canal de comunicação, até chegar a seu receptor, que é aquele que decodifica a mensagem, fornecendo o feedback ao emissor. Fonte: marcusdantas.com.br Nesse processo, existem três elementos que merecem especial atenção: a informação, os equipamentos que lhe oferecem suporte e as pessoas que a utilizam. As informações são: os documentos, relatórios, livros, manuais, correspondências, patentes, informações de mercado, código de programação, linhas de comando, arquivo de configuração, planilha de remuneração de funcionários, plano de negócios de uma empresa, etc. Os elementos que oferecem suporte, às informações podem ser divididos em três grupos: software, hardware e organização. Os softwares compõem o grupo dos programas de computador utilizados para a customização de processos, ou seja, o acesso, a leitura, o trânsito e o armazenamento da informação. São constituídos pelos aplicativos comerciais, programas institucionais, sistemas operacionais, programas de correio eletrônico, sistemas de suporte. Os hardwares representam toda a infraestrutura tecnológica que oferece suporte à informação. São quaisquer equipamentos em que se processe, transmita e armazene a informação. São os computadores, os servidores, os mainframes, os meios de armazenamento, os equipamentos de conectividade, roteadores, switches, e qualquer outro elemento de uma rede de computadores através do qual sejam transmitidas informações. A organização é toda a estrutura organizacional, a saber, a sua estrutura departamental e funcional, o quadro de alocação dos funcionários, a distribuição de funções e os fluxos de informação da empresa. O ambiente físico compõe as salas, 9 os armários onde são colocados os documentos, a infoteca, a sala de servidores e o arquivo. E as pessoas são todos aqueles que, de uma forma ou outra, lidam com a informação ao utilizarem a estrutura tecnológica e de comunicação da empresa. A NBR ISO/IEC 27002:2005 exemplifica como ativos associados aos sistemas de informação: Ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas; Ativos de software: aplicativos, sistemas de uma forma geral, ferramentas de desenvolvimento e utilitários; Ativos físicos: equipamentos computacionais (processadores, monitores, laptops, modens), equipamentos de comunicação (roteadores, PABXs, fax, secretárias eletrônicas), mídia magnética (fitas e discos), mídias removíveis e outros equipamentos técnicos (nobreaks, ar-condicionado), mobília, acomodações; Serviços:computação e serviços de comunicação, utilidades gerais, por exemplo: aquecimento, iluminação, eletricidade, refrigeração; Pessoas: pessoas e suas qualificações, habilidades e experiências; intangíveis: reputação e imagem da organização Para a segurança da informação, é fundamental a identificação dos elementos que compõem o processo de comunicação para se identificarem as vulnerabilidades da informação. 2.4 Vulnerabilidades da informação Vulnerabilidades são fragilidades que de alguma forma podem vir a provocar danos. A NBR ISO/IEC 27002:2005 define a vulnerabilidade como uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Beal (2005) define a vulnerabilidade como uma fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque. Para Sêmola (2003), as vulnerabilidades são fragilidades presentes ou associadas a ativos de informação, 10 que, ao serem exploradas, permitem a ocorrência de incidente na segurança da informação. Dantas (2003) afirma que vulnerabilidades são fragilidades que podem provocar danos decorrentes da utilização de dados em qualquer fase do ciclo de vida das informações. Como pode ser verificado, as vulnerabilidades estão relacionadas diretamente com as fragilidades. Essas fragilidades podem estar nos processos, políticas, equipamentos e nos recursos humanos. Por si só, elas não provocam incidentes, pois são elementos passivos, necessitando para tanto de um agente causador ou de condição favorável, já que se trata de ameaças. De acordo com as análises feitas nas pesquisas realizadas pela Módulo Security S.A., nos anos de 2003 e 2004, foram identificados alguns pontos que demonstram uma relação direta com as vulnerabilidades para a segurança das informações. Fonte: marcusdantas.com.br A internet foi, para 60% das empresas pesquisadas, o principal ponto de invasão, o que demonstra que essa tecnologia tem contribuído para o aumento das vulnerabilidades. Outro ponto que desperta a atenção é que, apesar da evolução da segurança da informação, os ataques ainda permanecem em patamar preocupante. Segundo dados da pesquisa 2006 Australian Computer Crime and Security Survey (AusCERT, 2006), os ataques trojan e phishing tiveram um crescimento de 27% em relação ao ano de 2005. Já para o CSI/FBI (2006), os vírus ainda permanecem como a principal fonte de grandes perdas financeiras, seguido do acesso não autorizado. 11 Outro ponto de vulnerabilidade apresentado nas pesquisas sobre segurança da informação tem relação com os funcionários e prestadores de serviço. Sabemos que a fuga das informações e a sua exposição involuntária ocorrem em momentos simples do dia a dia da empresa, o que torna os recursos humanos uma das maiores preocupações para a implementação de políticas e treinamentos voltados para a proteção das informações. Tudo isso demonstra o quanto existe de vulnerabilidade no ambiente de negócios, bem como o tamanho da preocupação dos especialistas em segurança da informação com o crescimento da tecnologia. É certo que ela torna a vida mais prática e as informações mais acessíveis, proporcionando conforto, economia de tempo e segurança. Mas, essa aparente segurança não é motivo de tranquilidade, pois a ausência de uma cultura da segurança das informações cria um ambiente vulnerável às informações, porque os mesmos benefícios que a tecnologia oferece são também utilizados para a prática de ações danosas às empresas. Origem das vulnerabilidades As vulnerabilidades podem advir de vários aspectos: instalações físicas desprotegidas contra incêndio, inundações e desastres naturais; material inadequado empregado nas construções; ausência de políticas de segurança para RH; funcionários sem treinamento e insatisfeitos nos locais de trabalho; ausência de procedimentos de controle de acesso e de utilização de equipamentos por pessoal contratado; equipamentos obsoletos, sem manutenção e sem restrições para sua utilização; software sem patch de atualização e sem licença de funcionamento, etc. Para uma melhor compreensão das vulnerabilidades, podemos classificá-las como: naturais, organizacionais, físicas, de hardware, de software, nos meios de armazenamento, humanas e nas comunicações. Naturais As vulnerabilidades naturais estão relacionadas com as condições da natureza ou do meio ambiente que podem colocar em risco as informações. Podem ser: locais sujeitos a incêndios em determinado período do ano; locais próximos a rios propensos a inundações; áreas onde se verificam manifestações da natureza, como terremotos, 12 maremotos e furacões; falha geológica, zonas de inundação, áreas de desmoronamento e avalanches. Organizações situadas nessas áreas vulneráveis devem manter um excelente gerenciamento de continuidade de negócios, uma vez que esses eventos independem de previsibilidade e da vontade humana. Organizacional As vulnerabilidades de origem organizacional dizem respeito a políticas, planos e procedimentos, e a tudo mais que possa constituir a infraestrutura de controles da organização e que não seja enquadrado em outras classificações. Podem ser: ausência de políticas de segurança e treinamento; falhas ou ausência de processos, procedimentos e rotinas; falta de planos de contingência, recuperação de desastres e de continuidade; ausência ou deficiência da CIPA (Comissão Interna de Prevenção de Acidentes), etc. Física As vulnerabilidades físicas dizem respeito aos ambientes em que estão sendo processadas ou gerenciadas as informações. Podem ser: instalações inadequadas; ausência de recursos para combate a incêndio; disposição desordenada dos cabos de energia e de rede; não identificação de pessoas e locais; portas destrancadas; acesso desprotegido às salas de computador; sistema deficiente de combate a incêndio; edifícios mal projetados e mal construídos; material inflamável utilizado na construção e no acabamento; janelas destrancadas; paredes suscetíveis a um assalto físico; paredes que não vão até o teto (meia parede). Hardware Caracterizam-se como vulnerabilidade de hardware os possíveis defeitos de fabricação ou configuração dos equipamentos que podem permitir o ataque ou a alteração dos mesmos. Como exemplo desse tipo de vulnerabilidade, temos: a conservação inadequada dos equipamentos; a falta de configuração de suporte ou equipamentos de contingência; patches ausentes; firmware desatualizado; sistemas mal configurados; protocolos de gerenciamento permitidos por meio de interfaces públicas. 13 Software As vulnerabilidades de softwares são constituídas por todos os aplicativos que possuem pontos fracos que permitem acessos indevidos aos sistemas de computador, inclusive sem o conhecimento de um usuário ou administrador de rede. Os principais pontos de vulnerabilidade encontrados estão na configuração e instalação indevida, programas, inclusive o uso de e-mail, que permitem a execução de códigos maliciosos, editores de texto que permitem a execução de vírus de macro. Meios de armazenamento Os meios de armazenamento são todos os suportes físicos ou magnéticos utilizados para armazenar as informações, tais como: pen-drive; CD ROM; fita magnética; discos rígidos dos servidores e dos bancos de dados; tudo o que está registrado em papel. As suas vulnerabilidades advêm de prazo de validade e expiração, defeito de fabricação, utilização incorreta, local de armazenamento em áreas insalubres ou com alto nível de umidade, magnetismo ou estática, mofo, etc. Humanas As vulnerabilidades humanas constituem a maior preocupação dos especialistas, já que o desconhecimento de medidas de segurança é a sua maior vulnerabilidade. Sua origem pode ser: falta de capacitação específica para a execução das atividades inerentes às funções de cada um; faltade consciência de segurança diante das atividades de rotina; erros; omissões; descontentamento; desleixo na elaboração e segredo de senhas no ambiente de trabalho; não utilização de criptografia na comunicação de informações de elevada criticidade, quando possuídas na empresa. Comunicação Nas comunicações, as vulnerabilidades incluem todos os pontos fracos que abrangem o tráfego das informações, por qualquer meio (cabo, satélite, fibra óptica, ondas de rádio, telefone, internet, wap, fax, etc.). Os principais aspectos estão relacionados com: a qualidade do ambiente que foi preparado para o tráfego, tratamento, armazenamento e leitura das informações; a ausência de sistemas de 14 criptografia nas comunicações; a má escolha dos sistemas de comunicações para o envio da mensagem; os protocolos de rede não criptografados; as conexões a redes múltiplas; os protocolos desnecessários permitidos; a falta de filtragem entre os segmentos da rede. 2.5 Ameaças à segurança da informação No ambiente atual, bastante competitivo, as empresas devem estar sempre atentas para as ameaças aos negócios corporativos, que, se concretizadas poderão tirá-las desse cenário, encerrando suas atividades para sempre. Com a automação dos sistemas de processamento e de armazenamento de informações, a própria informação torna-se mais susceptível às ameaças, uma vez que ela (a informação) está mais acessível e disponível para usuários de uma forma geral. Mas, o que são ameaças? Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, podem provocar danos e perdas. A norma ISO/IEC 13335-1:2004 define ameaças como: a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para a organização. Sêmola (2003) define ameaças como sendo agentes ou condições que causam incidentes que comprometem as informações e seus ativos, por meio de exploração de vulnerabilidades, o que provoca perdas de confiabilidade, integridade e disponibilidade, e, consequentemente, causando impactos aos negócios de uma organização. Para Beal (2005), ameaças são expectativas de acontecimentos acidental ou proposital, causado por agente, o qual pode afetar um ambiente, sistema ou ativo de informação. Observa-se que as vulnerabilidades estão relacionadas com situações de fragilidade existentes no ambiente ou nos ativos, e que elas estão relacionadas com um incidente indesejado que, em decorrência daquela, pode vir a provocar algum dano. 15 Essas ameaças podem surgir de várias formas: de eventos da natureza, como terremotos, furacões, enchentes, descargas elétricas, tsunamis, etc.; de incidentes em instalações, como incêndio, curtos-circuitos, infiltrações; de incidentes de segurança, com roubo, furto, sabotagem, ataques terroristas, etc.; e de uma variedade de eventos, que, de uma forma ou de outra, pode vir a afetar os negócios de uma organização. As ameaças podem ser: Naturais: são aquelas que se originam de fenômenos da natureza, tais como terremotos, furacões, enchentes, maremotos, tsunamis; Involuntárias: são as que resultam de ações desprovidas de intenção para causar algum dano. Geralmente são causadas por acidentes, erros, ou por ação inconsciente de usuários, tais como vírus eletrônicos, que são ativados pela execução de arquivo anexado às mensagens de e-mail; e Intencionais: são aquelas deliberadas, que objetivam causar danos, tais como hackers, fraudes, vandalismo, sabotagens, espionagem, invasões e furtos de informações, dentre outras. Fontes de diversas origens apresentam tipos de ameaças à informação, contudo, o ponto referencial mais confiável são as pesquisas sobre segurança da informação, as quais apresentam as principais ameaças que permeiam o ambiente das informações. Dentre as pesquisas sobre segurança da informação, sem prejuízo de outras fontes, destacamos as realizadas pela Módulo Security Solutions, as realizadas pelo Computer Security Institute (CSI), juntamente com o Federal Bureau of Investigation (FBI), as da Ernst & Young, pela Deloitte Touche Tohmatsu, e as efetuadas pela Australia’s National Computer Emergency Response Team (AusCERT), em conjunto com outros órgãos de combate aos crimes de informática e computador da Austrália. Abaixo apresentamos os principais destaques de duas pesquisas nacionais sobre segurança da informação: 16 Fonte: marcusdantas.com.br 17 Fonte: marcusdantas.com.br Essas pesquisas demonstram o quanto é preocupante a segurança da informação, e o quanto de trabalho há pela frente para se atingir um padrão eficiente em segurança da informação. Nesse sentido, em pesquisa realizada pelo CSI/FBI (2005), foi identificado que 95% das empresas pesquisadas tiveram mais de dez incidentes de segurança em 18 seus websites, e que o ataque de vírus ainda continua como a grande fonte de perdas financeiras. Nas pesquisas dos anos seguintes, o vírus ainda continuava sendo uma das principais fontes de perdas financeiras, que, juntamente com o acesso não autorizado, o roubo de laptops e o roubo de propriedade da informação, representam mais que 70% das perdas financeiras. Dessa forma, reproduzimos um quadro da pesquisa realizada pelo CSI/FBI, no ano de 2006, no qual é possível identificar a liderança do ataque de vírus sobre os outros tipos de ataques, no período de 1999 a 2006. Esse quadro mostra o comportamento das principais ameaças à segurança da informação. Fonte: marcusdantas.com.br Na pesquisa realizada pelo AusCERT (AusCert, 2006), verifica-se que os principais tipos de ataques eletrônicos são: vírus, worm ou trojan (64%); acesso indevido à internet, e-mail ou recursos de sistema (62%), e roubo de laptop (58%), sendo o vírus e o roubo de laptop os maiores responsáveis pelas perdas financeiras decorrentes desses ataques. Abaixo vem apresentado um quadro no qual constam as principais ameaças apresentadas nas 8ª e 9ª Pesquisa nacional de segurança da informação, realizadas pela Módulo Security Solutions. 19 Principais ameaças segundo pesquisas efetuadas pela Módulo Security Solutions Fonte: marcusdantas.com.br Pelos dados das pesquisas citadas, observa-se que, apesar da evolução da tecnologia da segurança da informação, as ameaças ainda permanecem em patamares que demandam bastante atenção, colocando sob holofotes a eficácia das medidas de proteção ao longo desse período. Para uma melhor visualização da consolidação dessas ameaças, são apresentados, abaixo, os tipos de ameaças citadas nas pesquisas de segurança da informação. Ameaças apresentadas nas pesquisas de segurança da informação. As principais ameaças apresentadas em pesquisas de segurança da informação foram: Vírus, worm, cavalo de Tróia (trojan horse); Phishing, pharming e spyware; Adware; spam; Roubo de dados confidenciais da empresa e de cliente, da propriedade da informação e da propriedade intelectual; Acesso não autorizado à informação; Perda de dados de clientes; Roubo de laptop, portáteis e de hardware; Ataque de negação de serviço, invasão de sistemas e da network; 20 Acesso e utilização indevida da internet e dos recursos dos sistemas de informação; Degradação da performance, destruição e/ou desfiguramento da network e do website; Software de má qualidade, mal desenvolvido e sem atualização; Fraude financeira e de telecomunicações; Interceptação de telecomunicação (voz ou dados) e espionagem; Sabotagem de dados e da network; Desastres naturais; Cyber-terrorismo; Má conduta e acesso indevido à network por funcionários e gerentes, bem como abuso de seus privilégios de acesso e utilização indevida da rede wireless; Das ameaças citadas nessas pesquisas, observa-se que é dispensada uma atenção especial para os malware(códigos maliciosos). Os principais códigos maliciosos são: vírus, cavalos de Tróia, adware e spyware, backdoors, keyloggers, worms, bots e botnets e rootkits. Fonte: focadoemti.com.br O Vírus é um programa ou parte de um programa de computador, o qual se propaga por meio de cópias de si mesmo, infectando outros programas e arquivos de computador. O vírus depende da execução do programa ou do hospedeiro para ser ativado. O Cavalo de Tróia (trojan horse) é um programa que executa funções maliciosas sem o conhecimento do usuário. Normalmente esse código é recebido 21 como um presente (cartão virtual, prêmios, fotos, protetor de tela, etc.). O seu nome tem origem na mitologia grega. O Adware (Advertising software) é um tipo de software projetado para apresentar propagandas, seja por meio de um navegador (browser), seja com algum outro programa instalado em um computador. O Spyware é um software espião que tem como objetivo monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Os Backdoors são programas que procuram dar a garantia de retorno a um computador comprometido, sem utilizar novas técnicas de invasão, ou retornarem ao computador comprometido sem serem notados. Os Keyloggers são programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. O Worm é um programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Difere do vírus por não embutir cópias de si mesmo em outros programas ou arquivos. O Bot é um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Normalmente, o bot se conecta a um servidor de IRC (Internet Relay Chat) e entra em um canal (sala) determinado, aguardando as instruções do invasor, monitorando as mensagens que estão sendo enviadas para esse canal. O invasor, ao se conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens compostas por sequências especiais de caracteres, que são interpretadas pelo bot. Tais sequências de caracteres correspondem a instruções que devem ser executadas pelo bot. Os Botnets são as redes formadas por computadores infectados com bots. Essas redes podem ser compostas por centenas ou milhares de computadores. Um invasor que tenha controle sobre uma botnet pode utilizá-la para aumentar a potência de seus ataques, por exemplo: para enviar centenas de milhares de e-mails de phishing ou spam; para desferir ataques de negação de serviço, etc. O Rootkits é um conjunto de programas que utiliza mecanismos para esconder e assegurar a presença do invasor no computador comprometido. Como muitas das ameaças à segurança da informação vêm do ciberespaço, pode ser que haja uma tendência para se dispensar uma atenção maior ao tratamento 22 dessas ameaças, o que pode tornar essa avaliação vulnerável. Por exemplo, Kevin Mitnick, um ex hacker, em seu livro “A Arte de enganar”, deixa bastante claro que muito de seus ataques de sucesso sequer utilizavam ferramentas para a invasão de sistemas: bastava uma boa conversa e a exploração de falhas no controle de acesso físico. Como já foi abordado, para que as ameaças possam ser identificadas faz-se necessário recorrer às pesquisas de segurança da informação. Contudo, elas por si só não são suficientes para uma delimitação das principais ameaças, uma vez que essas pesquisas dão ênfase maior às ameaças do meio eletrônico. As ameaças como fogo, inundação, tempestade, descargas elétricas, bem como as ações violentas de pessoas de fora das organizações, como: incêndios criminosos, ataques de bombas e vandalismo, devem, também, integrar esse grupo nas suas avaliações. Dessa forma, sempre que se for avaliar uma ameaça, deve-se identificar não apenas o que é oriundo do meio eletrônico, como as da classe dos códigos maliciosos, mas também outros tipos de ameaças que não utilizam esse meio. Nesse sentido, a BS 7799-3:2006, em seu anexo “C”, e o HB 231:2004, em seu anexo “A”, fornecem uma lista de ameaças à segurança da informação, e dentre elas encontram-se ameaças que não são exclusivas ao meio eletrônico, como, por exemplo: atos de terrorismo, falta ou carência de sistemas de refrigeração, brechas na legislação, danos causados por funcionários e por terceira parte, desastres naturais, fogo, acesso não autorizado às instalações, etc. Ao se avaliarem as ameaças à informação, devem-se considerar as vulnerabilidades possíveis e existentes, bem como as possibilidades de concretização dessas ameaças. Neste processo de análise, adentra-se no estudo do risco ao se procurar entender como essas ameaças ocorrem e qual a sua relação com as vulnerabilidades, como também a probabilidade de sua concretização, para que seja possível efetuar um tratamento mais adequado aos riscos, de acordo com as reais condições da organização.3 3 Texto extraído do link: http://www.marcusdantas.com.br/files/seguranca_informacao.pdf 23 3 ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO Fonte: hositec.com.br Diante das mudanças presenciadas por organizações de todo o mundo no cotidiano de suas atribuições corporativas e pela necessidade de acompanhar essas mudanças sem prejuízos informacionais e materiais, a tecnologia da informação tem sido utilizada nos diversos setores organizacionais com o objetivo de agregar valor ao negócio, minimizando as taxas de erros e aumentando o retorno do investimento aos acionistas. Atualmente a arquitetura corporativa é o termo, o conceito e a estrutura utilizados para transportar a organização do estágio do uso técnico da tecnologia para o estágio do uso direcionado dessa tecnologia para negócio. Isto exige transparência dos objetivos de negócio, padronizações, uso de soluções corporativas sem esquecer situações específicas, uso efetivo de governança e, sobretudo, desejo verdadeiro do comando da organização para isso. (Fontes, 2008, p.43). Entende-se que a arquitetura corporativa associa a tecnologia da informação com o objetivo de negócio e se tratando de tecnologia, existe a preocupação com a segurança da informação. A arquitetura da segurança da informação é um elemento da arquitetura corporativa, que para Fontes (2008), tem uma característica distinta dos outros elementos. Ela na sua estrutura permeia por todos os elementos da arquitetura corporativa. Uma arquitetura de segurança define padrões e estruturas que devem ser seguidas pela organização com o objetivo de proteger a informação considerando os requisitos de negócio. Caso a organização esteja muito confusa na pratica teremos um modelo a ser alcançado com dificuldade. Caso 24 a organização esteja menos confusa, com algum esforço alcançaremos a situação desejada. (Fontes, 2008, p. 44). Espera-se que esta estrutura possibilite soluções para a corporação de modo a intensificar os controles de segurança da informação existentes, tomando por base, dentre outras, a Norma NBR ISO/IEC 27002, cujo objetivo é prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). Para Fontes (2008), a governança é a gestão da gestão, sendo necessário que exista o básico da gestão da segurança da informação. Muitas organizações não possuem essa gestão básica e adotam a governança de tecnologia da informação. Para a gestão da segurança existir, Fontes (2008) sugere que alguns requisitos sejam implementados, sendo que o primeiro deles é a existência de uma pessoa responsável pelo processo de segurança da informação, não sendo essa pessoa responsável pela segurança, mas, responsável pelo processo de segurança, que terá como consequência uma boa política de segurançada informação implementada. O mesmo Fontes (2008), aponta a necessidade de disponibilidade financeira, tempo e recursos operacionais para a implementação do processo de segurança da informação e sua gestão, e por fim e não mais importante que os itens acima apresentados Fontes preconiza a necessidade de existir um processo de segurança que se inicie na alta administração da organização, uma vez que este processo interfere em muitos aspectos da organização e principalmente nas pessoas e cultura organizacional. Neste contexto a literatura já elaborada para a segurança da informação sugere o desenvolvimento de uma estrutura que dê suporte físico e geográfico aos processos de implementação de segurança, dentre os quais, apresenta-se o Escritório da Segurança da Informação, cujo objetivo é centralizar os recursos humanos, materiais e estruturais necessários ao desenvolvimento, implantação e acompanhamento das políticas de SI, ou como ocorre em alguns casos, os Comitês de Segurança da Informação, cujos objetivos assemelham-se aos do Escritório, porém, sem a necessidade de centralização dos recursos humanos, materiais e estruturais, necessários ao processo. 25 Modelos da Organização da Segurança da Informação No que diz respeito às atribuições de cada uma das estruturas acima descritas, ambas possuem os mesmos propósitos, a saber: Analisar o posicionamento da empresa no mercado em que se situa, visando mapear seus clientes, fornecedores, concorrentes, produtos/ serviços e os riscos que cada um destes pode representar à empresa; Definir as políticas de controle de acesso físico às instalações da empresa; Implementar os aspectos sócio técnicos da Segurança da Informação, mapeando as características sociais referentes ao ambiente da organização e as pessoas que nela vivem e trabalham; Definir as políticas de controle de acesso lógico aos dados organizacionais; Desenvolver a matriz de riscos do negócio, identificando, priorizando e qualificando todos os riscos inerentes ao processo mapeando pelo menos uma resposta a cada risco identificado; Garantir a sustentabilidade do processo de controle da segurança da informação; Escrever e implementar os acordos de nível de serviço de segurança da informação na empresa; Avaliar novas tecnologias e suas devidas adequações e aplicações nos processos de segurança da informação organizacional; Mapear e definir os planos de contingência dos processos organizacionais; Definir os procedimentos a serem adotados em situações de crises, emergências e desastres para a continuidade de negócio; Avaliar o nível de proteção atual dos processos organizacionais; Garantir a eficácia dos processos da segurança da informação por meio de testes periódicos; Desenvolver políticas de treinamento de funcionários visando garantir o comprometimento destes com os processos de SI organizacionais; 26 Aplicar políticas de certificação digital de segurança da informação; Implementar políticas de desenvolvimento de software seguro; Definir políticas de controle de versão de arquivos; Promover auditorias nos processos sistêmicos organizacionais; Regulamentar as políticas de uso dos recursos informacionais da empresa (computadores, redes de dados, e-mails corporativos, ferramentas de redes sociais, etc.). A implantação do Escritório de Segurança da Informação requer disponibilidade de um ambiente próprio para as instalações físicas e estruturais que darão suporte ao desenvolvimento das atividades descritas no item anterior, proporcionando que a equipe de analistas de Segurança da Informação possa compartilhar experiências, atividades e rotinas inerentes ao processo de suas atribuições diárias. Esta estrutura deve permitir o desenvolvimento das atividades de segurança da informação e possui a grande vantagem de disponibilizar em tempo integral – e em um local exclusivo e de conhecimento de toda empresa – os recursos humanos e tecnológicos necessários aos andamentos das atividades de SI. Esta estrutura apresenta a desvantagem de contribuir com um custo fixo no plano de contas da organização pincipalmente pelo fato de manter disponíveis em tempo integral a equipe do escritório de segurança da informação, seu parque tecnológico e o ambiente físico (espaço) das instalações. Uma alternativa muito utilizada em empresas de todo mundo para manter uma estrutura de SI fugindo dos altos custos encontrados na implantação dos Escritórios de SI, é a adoção dos Comitês de Segurança da Informação, cujos propósitos são os mesmos dos Escritórios de SI, porém não existe a dedicação exclusiva dos recursos humanos e também não existe a disponibilidade física de um local destinado exclusivamente a este propósito. A adoção de Comitês de SI apresenta a desvantagem de não se ter em tempo integral uma equipe disponível para o cumprimento das atividades da governança de segurança da informação, fato que permite que os custos de um Comitê de SI sejam muito mais baixos que os custos de implantação de um Escritório de SI. No caso dos Comitês de SI, os profissionais alocados nas atividades de governança de segurança da informação continuam com suas atividades seculares em seus postos de trabalho, compartilhando suas horas de trabalho diárias também 27 com os processos do Comitê de SI, motivo principal pelo qual os Comitês de SI possuem um custo menor que os Escritórios de SI. Abaixo são apresentadas as vantagens e desvantagens, tanto do Escritório quanto do Comitê de Segurança da Informação: Fonte: mauriciolyra.pro.br Localização na estrutura organizacional A localização departamental da célula de governança da segurança da informação pode apresentar-se hierarquicamente no mesmo nível da diretoria de tecnologia da informação ou pode apresentar-se subordinada a essa. Abaixo são apresentadas estas duas estruturas organizacionais com suas características: 1. Nesse modelo de estrutura organizacional a segurança da informação encontra-se subordinada à diretoria de TI, sendo assim, depende do orçamento da diretoria de TI e também das aprovações das políticas de TI. 28 Fonte: mauriciolyra.pro.br 2. Nesse modelo de estrutura de TI, a segurança da informação encontra- se no mesmo nível hierárquico que a Diretoria de TI, sendo assim, possui seu próprio orçamento, ficando independente para criação de políticas e tomadas de decisões. Fonte: mauriciolyra.pro.br 29 Profissionais da Segurança da Informação Fonte: itforum365.com.br Tal qual ocorre nas demais áreas da tecnologia da informação, a governança de segurança da informação também conta com diversas especialidades de atribuições de recursos humanos. A necessidade da distribuição dos profissionais de segurança da informação dá-se ao fato de que cada profissional precisa responsabilizar-se por determinadas atribuições técnicas para o desempenho dos papéis na segurança da informação organizacional. A informação é algo muito importante para a empresa e sua existência, pois observa-se a crescente necessidade de proteger seus ativos informacionais, por isso várias normas foram escritas para subsidiara área de segurança da informação. Para que essas normas fossem colocadas em prática e com excelência pela organização, foi preciso capacitar pessoas e desenvolver profissionais específicos para que a segurança da informação exista na organização. Esses profissionais têm a responsabilidade de estruturar, desenvolver, implementar e auditar os processos de proteção da informação organizacional. De acordo com a NBR ISO/IEC 27002, o profissional de Segurança da Informação deve possuir algumas características e responsabilidades, dentre as quais, citam-se: 30 Garantir que asatividades da Segurança da Informação sejam executadas em conformidade com a política de Segurança da Informação; Buscar soluções adequadas à realidade da organização; Estruturar o processo de segurança; Trabalhar em paralelo com a auditoria; Saber por onde começar. Serão apresentadas abaixo as principais atribuições da governança de segurança da informação, ordenadas do mais alto cargo (importância na cadeia hierárquica da GSI) para o mais baixo cargo, em outras palavras, ordenados do cargo mais estratégico ao mais técnico: CSO – Chief Security Officer (Diretor Geral) Em conformidade com a NBR ISO/IEC 27002, este é o profissional responsável por dirigir toda a cadeia da segurança da informação corporativa do nível técnico ao gerencial estratégico. Entre suas responsabilidades estão, organizar e coordenar as iniciativas da SI que buscam a eficácia e a eficiência para a organização, estabelece procedimentos e transações corporativos. O CSO além de segurança deve conhecer sobre negócios e participar de todas as ações estratégicas da empresa, implantar políticas e escolher as melhores práticas para a necessidade do negócio. Deve atentar a toda forma de segurança, não somente a tecnológica, mas também a segurança física do local. O CSO deve proporcionar à empresa a diminuição de riscos nas operações. Qual a formação necessária? Ciência da Computação; Engenharia da Computação; Auditoria de Sistema; Governança de Tecnologia da Informação. 31 CISM – Certified Information Security Manager São os profissionais que gerenciam, projetam, supervisionam e avaliam a segurança das informações na organização. Que experiências deve possuir? Governança de Segurança da Informação; Gerenciamento de Riscos das Informações; Gestão de Programas de Segurança da Informação; Gestão de Incidentes e Respostas em Segurança da Informação. Qual a formação necessária? Ciência da Computação; Engenharia da Computação; Auditoria de Sistema; Governança de Tecnologia da Informação; Análise e Desenvolvimento de Sistemas. CISP – Certified Information Security Profissional São os profissionais que realizam e operam as rotinas e protocolos da segurança das informações na organização. Que experiências deve possuir? Governança de Segurança da Informação; Gerenciamento de Riscos das Informações; Desenvolvimento de Programas de Segurança da Informação; Gestão de Incidentes e Respostas em Segurança da Informação. Qual a formação necessária? 32 Ciência da Computação; Engenharia da Computação; Governança de Tecnologia da Informação; Análise e Desenvolvimento de Sistemas. CISA - Certified Information Systems Auditor São os profissionais que supervisionam e auditam a segurança das informações na organização. Que experiências deve possuir? Governança de Segurança da Informação; Gerenciamento de Riscos das Informações; Gestão de Programas de Segurança da Informação; Gestão de Incidentes e Respostas em Segurança da Informação. Qual a formação necessária? Auditoria de Sistema; Governança de Tecnologia da Informação; Administração de Empresas com ênfase em Tecnologia da Informação; Análise e Desenvolvimento de Sistemas.4 4 Texto extraído do link: http://mauriciolyra.pro.br/site/wp-content/uploads/2016/02/Livro- Completo-v4-para-impress%C3%A3o-com-ISBN.pdf 33 4 INVASÕES NA INTERNET Fonte: menteantihacker.wordpress.com Todo sistema de computação necessita de um sistema para proteção de arquivos. Este sistema é um conjunto de regras que garantem que a informação não seja lida, ou modificada por quem não tem permissão. A segurança é usada especificamente para referência do problema genérico do assunto, já os mecanismos de proteção são usados para salvar as informações a serem protegidas. A segurança é analisada de várias formas, sendo os principais problemas causados com a falta dela a perda de dados e as invasões de intrusos. A perda de dados na maioria das vezes é causada por algumas razões: Fatores naturais: incêndios, enchentes, terremotos, e vários outros problemas de causas naturais; Erros de hardware ou de software: falhas no processamento, erros de comunicação, ou bugs em programas; Erros humanos: entrada de dados incorreta, montagem errada de disco ou perda de um disco. Para evitar a perda destes dados é necessário manter um backup confiável, armazenado geograficamente distante dos dados originais. Exemplos de invasões Em 1988, um estudante colocou na internet um programa malicioso (malware), escrito em linguagem C, derrubando milhares de computadores pelo mundo, que foi identificado e removido logo após. Mas até hoje há controvérsias de que ele não foi 34 completamente removido da rede. Até hoje não se sabe qual era seu objetivo, o que se sabe é que ele tentava descobrir todas as senhas que o usuário digitava. Mas esse programa se autocopiava em todos os computadores em que o estudante invadia. Essa “brincadeira” não durou muito, pois o estudante foi descoberto pouco tempo depois, processado e condenado a liberdade condicional, e teve que pagar uma alta multa. Um dos casos mais recentes de invasão por meio de vírus foi o do worm Conficker (ou Downup, Downadup e Kido) que tinha como objetivo afetar computadores dotados do sistema operacional Microsoft Windows, e que foi primeiramente detectado em outubro de 2008. Uma versão anterior do malware propagou-se pela internet através de uma vulnerabilidade dos sistemas de rede do Windows (2000, XP, Vista, Server 2003, Server 2008, 7 Beta e Server 2008 R2 Beta, que tinha sido lançado anteriormente naquele mês). O worm bloqueia o acesso a websites destinados à venda, protegidos com sistemas de segurança e, portanto, é possível a qualquer usuário de internet verificar se um computador está infectado ou não, simplesmente por meio do acesso a websites destinados a venda de produtos dotados de sistemas de segurança. Em 15 de outubro de 2008, a Microsoft liberou um patch de emergência para corrigir a vulnerabilidade MS08-067, através da qual o worm prevalece-se para poder se espalhar. As aplicações da atualização automática se aplicam somente para o Windows XP SP2, SP3, Windows 2000 SP4 e Windows Vista; o Windows XP SP1 e versões mais antigas não são mais suportados. Em janeiro de 2009, o número estimado de computadores infectados variou entre 9 e 15 milhões. Em 13 de fevereiro de 2009, a Microsoft oferecia US$ 250mil em recompensa para qualquer informação que levasse à condenação e à prisão de pessoas por trás da criação e/ou distribuição do Conficker. Os softwares antivírus não-ligados a Microsoft, tais como a BitDefender, Enigma Software, Eset, F-Secure, Symantec, Sophos, e o Kaspersky Lab liberaram atualizações com programas de detecção em seus produtos e são capazes de remover o worm. A McAfee e o AVG também são capazes de remover o vírus através de escaneamentos de discos rígidos e mídias removíveis. Através dessas informações históricas percebemos que os antivírus devem estar cada vez mais atualizados, porque estão surgindo novos vírus rapidamente, e 35 com a mesma velocidade deve ser lançado atualizações para os bancos de dados dos antivírus para que os mesmos sejam identificados e excluídos. Com a criação da internet essa propagação de vírus é muito rápida e muito perigosa, pois se não houver a atualização dos antivírus o computador e usuário estão vulneráveis, pois com a criação da internet várias empresas começarão a utilizar internet como exemplo empresas mais precisamente bancos, mas como é muito vulnerável esse sistema, pois existem vírus que tem a capacidade de ler o teclado(in/out), instruções privilegiadas como os keyloggers. Com esses vírus é possível ler a senha do usuário que acessa sua conta no banco, com isso é mais indicado utilizar um teclado virtual para digitar as senhas ou ir diretamente ao banco.5 5 REALIZAÇÃO CORRETA DE CÓPIAS DE SEGURANÇA Fonte: targethost.com.br De acordo com a CERT BR (2012), cópias de segurança (backups) dos dados armazenados em um computador são importantes, não só para se recuperar de eventuais falhas, mas também as consequências de uma possível infecção por vírus, ou de uma invasão. Os backups podem ser executados nos mais diversos tipos de mídias podendo ser em simples mídias de CD’s ou pen-drives, ou mais complexos e seguros como 5 Texto extraído do link: https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o 36 espelhamentos de discos rígidos e backups em data centers. Cabe salientar que dependendo do valor ou nível de importância das informações que estão sendo salvas a necessidade de usar mídias confiáveis é maior, pois CD’s ou DVD’s tem vida curta, podem ser extraviados, copiados ou furtados com certa facilidade. Existem maneiras de se automatizar o processo de backups através do uso de softwares, não necessitando assim de ações do usuário. Geralmente são utilizados em empresas, por exemplo, para fazer cópias de segurança do banco de dados, podendo assim configurar rotinas com horários específicos para a realização de cada cópia. 5.1 Cuidados com os Backups Tão importante quanto realizar cópias de segurança é saber os cuidados básicos que se deve ter quando for realizar, armazenar e descartar as mesmas. Cópias de segurança devem conter apenas arquivos confiáveis. Arquivos do sistema operacional ou que façam parte da instalação de softwares não devem fazer parte dos backups. Eles podem haver sido modificados ou substituídos por versões infectadas por vírus ou outras ameaça. Logo quando restauradas podem trazer uma série de problemas de segurança para um computador. O sistema operacional e os softwares de um computador podem ser reinstalados de mídias confiáveis (SILVA et al 2011). Ao armazenar os backups, deve-se certificar que eles não ficarão expostos ao frio, calor, poeira ou umidade, pois estes agentes podem inutilizar a cópia. Por uma questão se segurança adicional deve haver um cuidado com acessos não autorizados onde os backups são armazenados e para prevenção contra incidentes naturais com incêndios e inundações que podem afetar a empresa. Os backups devem ser armazenados em dois ou mais lugares distintos. Para evitar que elas caiam em mãos erradas, o descarte das cópias antigas deve ser feito com cuidado, e em local adequado, de preferência deve-se inutilizar a cópia para depois descartá-la. 37 5.2 Educação dos Usuários Uma tarefa que deve fazer parte da rotina de administradores de redes e gerentes de TI é a constante educação dos usuários para com problemas relacionados à segurança. Sabe-se que grande parte dos problemas é originada na rede interna da empresa e, muitas vezes, é causada pelo desconhecimento de conceitos e procedimentos básicos de segurança por parte dos usuários (CERT.BR 2012). Como já foi dito anteriormente o estabelecimento de regras para o uso de computadores, e o entendimento dos riscos que a empresa está exposta, é primordial para que os usuários comecem a entender os danos que eles podem causar usando de forma incorreta os recursos disponíveis. Partindo deste princípio um dos primeiros passos para o processo de educação é o estabelecimento de políticas e regras de segurança. Fazer com que todos compreendam os riscos que o uso indevido de redes sociais, e-mails com conteúdo suspeito, download de arquivo, troca de informações sobre a empresa podem trazer, e assim aceitem completamente às regras e restrições estipuladas pelo administrador da rede. Para que haja uma troca mútua de informações e experiências um contato com os usuários da instituição seja por chat, e-mail ou até pessoalmente, é muito importante, algumas questões relevantes sobre segurança que podem ser frisadas com frequência, e quando alguma nova vulnerabilidade for descoberta pelos usuários estes possam avisar com urgência para que as devidas providências sejam tomadas e que para os danos causados sejam minimizados. 5.3 Criptografia Michaelis (2009) define criptografia como escrita secreta, em cifra, isto é, por meio de abreviaturas ou sinais convencionais. Na atualidade, quando se fala em criptografia digital temos basicamente dois tipos: simétrica e a assimétrica. a) Criptografia Simétrica: Este modelo utiliza algoritmos para encriptar e desencriptar informações ou arquivos utilizando a mesma chave pública. 38 Os algoritmos de criptografia usados na criptografia simétrica incluem o seguinte: RC2 (128 bits) 3DES (Triple Data Encryption Standard, Padrão triplo de criptografia de dados) AES (Padrão de criptografia avançada) Atualmente, os dois protocolos mais usados para proteção de dados na Internet, o SSL (Secure Sockets Layer) e o TLS (Transport Layer Security) utilizam a criptografia simétrica para proteger os dados transmitidos e armazenados. b) Criptografia assimétrica: Este tipo de criptografia usa duas chaves distintas que se complementam: chave pública e a privada. A chave pública é liberada para todos que querem fazer contato com o emissor da chave enquanto a chave privada ficar apenas com quem emitiu. Uma desvantagem desse modelo é a sua performance, notavelmente mais lentos que os modelos de algoritmos simétricos. Os algoritmos de criptografia usados na criptografia assimétrica incluem o seguinte: Acordo de chaves de Diffie-Hellman RSA (Rivest-Shamir-Adleman) DSA (Algoritmo de assinatura digital) 5.4 Assinatura digital Assinatura digital permite comprovar a autenticidade e a integridade de uma informação, sendo possível comprovar se a mesma foi gerada por quem diz ser e não foi alterada (CERT.BR 2012). Esses métodos de criptografia de chaves são utilizados em conexões seguras, transações bancárias via internet são um exemplo disso. As conexões seguras na internet são implementadas via protocolo SSL (Secure Socket Layer) sendo que o browser do usuário precisa informar qual a chave única da conexão antes de iniciar a transmissão de informações, para isso o browser necessita obter a chave pública do banco em questão, o site utiliza a chave privada do usuário 39 para decodificar a mensagem e identifica a chave única que será utilizada. Só assim o usuário e o site podem transmitir informações de maneira segura. 5.5 Certificado Digital Na atualidade devido à necessidade de opções ágeis e confiáveis que possibilitem que operações de grande importância e sigilo sejam realizadas o certificado digital se prolifera rapidamente. O certificado consiste em um arquivo eletrônico que contém dados que comprovam a identidade da instituição ou pessoa solicitante isso evita que os dados sejam interceptados e ou adulterados. Para isso é usado algum software intermediário um browser ou cliente de e-mail por exemplo que possa reconhecer a informação. A certificação digital tem como base a criptografia, ou seja, os dados são codificados para trafegarem pela internet. As principais informações contidas em um certificado são: a) Dados do solicitante. b) Nome da autoridade certificadora. c) Período de valida O certificado digital nada mais é que um arquivo eletrônico que contém dados para comprovar a identidade de uma pessoa ou instituição. Para adquiri-lo, a pessoa interessada deve dirigir-se a uma autoridade de registro, onde será identificado mediante a apresentação de documentos pessoais. É indispensável a presença física do futuro titular do certificado, uma vez que esse documentoeletrônico será a sua “carteira de identidade” no mundo virtual. A emissão de certificado para pessoa jurídica requer a apresentação dos seguintes documentos: a) Registro comercial, no caso de empresa individual; b) Ato constitutivo, estatuto ou contrato social; c) CNPJ e documentos pessoais da pessoa física responsável. Algumas das principais informações encontradas em um certificado digital são: a) Dados que identificam o responsável (nome, número de identificação, estado, etc.); b) Nome da Autoridade Certificadora (AC) que emitiu o certificado; 40 c) O número de série e o período de validade do certificado; d) A assinatura digital da AC. O objetivo da assinatura digital no certificado é indicar que uma outra entidade garante a veracidade das informações nele contidas.6 6 ALGUMAS LEIS DA SEGURANÇA 6.1 Leis Fundamentais São 10 as leis fundamentais da segurança da informação (Ahmad e Russel, 2002). Todas as vezes que for necessário participar de um novo projeto de software ou infraestrutura em sua empresa, se preocupe em respeitar as leis abaixo: 1. Segurança do lado do Cliente não funciona Segurança do lado do cliente é segurança implementada unicamente no cliente; O usuário sempre tem a oportunidade de quebrar a segurança, pois ele está no controle da máquina; A segurança no lado do cliente não fornecerá segurança se tempo e recursos estiverem disponíveis ao atacante. 2. Você não pode trocar chaves de criptografia com segurança sem uma informação compartilhada. As informações compartilhadas são usadas para validar máquinas antes da criação da sessão; Você pode trocar chaves privadas compartilhadas ou usar SSL (Secure Socket Layer) através do seu navegador; As trocas de chaves são vulneráveis a ataques do tipo man-in- themiddle (homem no meio). 3. Não existe proteção total contra código malicioso. Os produtos de software não são perfeitos; 6 Texto extraído do link: http://tcconline.utp.br/media/tcc/2015/10/SEGURANCA-DA-INFORMACAO.pdf 41 Os programas de detecção de vírus e cavalo de Tróia se baseiam em arquivos de assinatura; Pequenas mudanças na assinatura de código podem produzir uma variação não detectável (até que a nova assinatura seja publicada). 4. Qualquer código malicioso pode ser completamente modificado para evitar detecção de assinatura. Os atacantes podem mudar a identidade ou assinatura de um arquivo rapidamente; Os atacantes podem usar compactação, criptografia e senhas para mudar a aparência do código; Você não tem como se proteger contra cada modificação possível. 5. Os firewalls não podem protegê-lo cem por cento contra-ataques. Os firewalls podem ser software ou hardware, ou ambos; A principal função de um firewall é filtrar pacotes que chegam e saem; Ataques sucessivos são possíveis como resultado de regras e políticas incorretas, e de problemas de manutenção. 6. Qualquer IDS pode ser burlado. Os sistemas de detecção de intrusão (IDS) frequentemente são projetos passivos; É difícil para um atacante detectar a presença de um IDS quando está sondando; Um IDS está sujeito à configuração incorreta e falta de manutenção. Essas condições podem criar oportunidades de ataque. 7. Algoritmos criptográficos secretos não são seguros. Criptografia é difícil; 42 A maioria da criptografia não é revisada e testada o bastante antes de ser lançada; Algoritmos comuns estão em uso em diversas áreas. Eles são difíceis, mas não impossíveis de atacar. 8. Se uma chave não for necessária, você não tem criptografia – você tem codificação. Esta lei é universal; não há exceções; A criptografia é usada para proteger a codificação. Se não existe uma chave, você não pode criptografar; As chaves precisam ser mantidas em segredo ou não existe segurança; As senhas não podem ser armazenadas com segurança no cliente a menos que haja outra senha para protegê-las; É fácil detectar informações de senha armazenadas em máquinas clientes; Se uma senha não é criptografada ou não está protegida quando armazenada, ela não é segura; A segurança de senha em máquinas clientes requer um segundo mecanismo para fornecer segurança. 9. Para que um sistema comece a ser considerado seguro, ele precisa submeter-se a uma auditoria de segurança independente. A auditoria é o começo de uma boa análise de sistemas de segurança; Os sistemas de segurança, muitas vezes, não são revisados correta ou completamente, permitindo furos; Verificação externa é vital para a defesa; a falta dela é um convite a ataques. 10. Segurança através de obscuridade não funciona. Ocultar não é proteger; É necessária proteção ativa; 43 O uso da obscuridade por si só convida ao comprometimento.7 Nem sempre se pode ter o controle sobre as ameaças que geralmente originam-se de agentes externos, portanto, é essencial a redução das vulnerabilidades existentes para se minimizar o risco. Existem diversas medidas de segurança que podem ser adotadas pelas empresas com o intuito de proteger suas informações, por isso, as políticas de segurança da informação são tão importantes, são elas que nortearão os colaboradores a como agir baseados em procedimentos pré-estabelecidos.8 7 Texto extraído do link: http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf 8 Texto extraído do link: https://www.profissionaisti.com.br/2013/08/politica-de-seguranca-da- informacao-conceitos-caracteristicas-e-beneficios/ 44 7 BIBLIOGRAFIA Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001: Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2013. Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002: Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2013. Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2011. Australia’s National Computer Emergency Response Team (AusCERT), NSW Police and Deloitte Touche Tohmatsu, 2002 Australian Computer Crime and Security Survey. AusCERT, 2002 BEAL, Adriana. Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2005. BROSTOFF, S. (2004). Improving password system effectiveness. Tese de Doutorado. University College London. CERT.br. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Cartilha de segurança para internet. Parte VIII: Códigos maliciosos. Keyloggers. Computer Security Institute (CSI), and Federal Bureau of Investigation (FBI). 2006 CSI/FBI Computer Crime and Security Survey. CSI/FBI, 2006. DANTAS, Marcus Leal. Segurança preventiva: conduta inteligente do cidadão. Recife: Nossa livraria, 2003. FONTES, Edson. Políticas e normas para a Segurança da Informação, Editora BRASPORT, 1ª edição, 2012. FONTES, Edson. Praticando a Segurança da Informação, Editora BRASPORT, 1ª edição, 2008. FURNELL, S., & THOMSON, K.-L. (2009). From Culture to disobedience: recognising the varying user acceptance of IT security. Computer Fraud & Security, 2009 (2), 5- 10. 45 ISO/IEC 13335-1:2004 – Information technology – Security techniques – Management of information and communications technology security – Part 1: Concepts and models for information and communications technology security management. KRUGER, H. A., & KEARNEY, W. D. (2008). Consensus Ranking - An ICT security awareness case study. Computers & Security, 27 (7), 493-508. MICHAELIS: moderno dicionário da língua portuguesa. [São Paulo]: Melhoramentos, 2009. MORRIS, R. & THOMPSON, K. (1979). Password security: a case history. Communicationsof the ACM, 22, 594-597. SANTOS, Cleone Francisco; SILVA, Deverton Santana; GOUVEA, João Paulo Hora. Ameaças à Segurança da Informação: Os Riscos Humanos como Fator Prevenção. 2010. SÊMOLA, Marcos. Gestão da segurança da informação: visão executiva da segurança da informação. Rio de Janeiro: Campus, 2003. SIEBERG, D. (2005). Hackers shift focus to financial gain. CNN.com - Special Reports - Online Security. Publicado em 26 de setembro de 2005. SMITH, R.E. (2002). The strong password dilemma. Authentication: From Passwords to Public Keys. Chapter 6. Addison-Wesley.
Compartilhar