Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão de segurança da informação Aula 10: Estratégias de proteção Apresentação Nesta aula, apresentaremos as estratégias de proteção e as práticas a serem realizadas na segurança da informação. Dessa forma, auxiliaremos você a compreender o processo de planejamento de proteção das informações em um ambiente organizacional. Objetivos Ilustrar a política de segurança da informação; Explicar o papel do seu gestor; • Revisar os recursos disponíveis para provê-la; (Fonte: Shutterstock) Primeiras palavras Você já aprendeu nas aulas anteriores que a informação é muito mais que um mero conjunto de dados. Ela pode ser de�nida como a transformação deles em algo com signi�cado e valor tanto para as pessoas quanto para as organizações. Também pudemos veri�car em outras aulas que a informação deve ser protegida por meio de políticas, regulamentos e regras da mesma forma que protegemos os recursos �nanceiros e materiais da empresa. Assim, quando começar a trabalhar em uma organização, você deve se lembrar sempre de que ela é um bem muito valioso a ser protegido. 1. Regulamentos Mas qual seria o objetivo deles? Regulamentos estipulam que o uso das informações dentro de uma empresa ocorrerá de forma organizada, estruturada e segura a �m de evitar que seu negócio seja prejudicado pelo mau uso da informação. Cada empresa vai de�nir uma estrutura adequada para a proteção da informação baseada no tipo e no porte dela. Ela também vai determinar um setor responsável pela política de segurança da informação. Este setor de�nirá as regras e as normas que todos os funcionários devem cumprir. 2. Política de segurança da informação Ela de�ne qual é a �loso�a da organização em relação aos acessos dos usuários a �m de assegurar que todas as informações dela e de seus clientes estejam protegidas contra possíveis danos. A responsabilidade de protegê-las é de todos dentro de uma organização – independentemente de seu nível hierárquico. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Cerca de 75% dos documentos arquivados nos micros das empresas contêm informações ‘‘sensíveis’’ que poderiam causar certo estrago se caíssem em mãos de pessoas mal- intencionadas. A a�rmação tem como base uma pesquisa da Workshare, que trabalha com a ‘‘integridade’’ de documentos digitalizados. Os especialistas entrevistaram representantes de 300 organizações localizadas nos Estados Unidos, Reino Unido e Austrália. Noventa por cento dessas empresas não têm noção dos possíveis riscos relacionados a vazamentos dos dados presentes nesses documentos. Essa ‘‘divulgação’’ geralmente acontece quando as informações passam nas mãos de várias pessoas que devem corrigir e con�rmar os dados. (FONTES, 2006) É comum computadores de grande porte ou servidores de uma empresa receberem mais investimentos relativos à segurança da informação que seus aparelhos pessoais. Por isso, muitas informações da organização �cam susceptíveis a algum dano do tipo, já que normalmente computadores pessoais não são adequadamente seguros contra esse tipo de ataque. Portanto, ao elaborar um programa de segurança da informação em uma empresa, você deverá contemplar aqueles usados pelos colaboradores para evitar o vazamento de alguma informação da empresa. Exemplo A US Airways se transformou na empresa aérea com a menor tarifa de todos os tempos: até ser sanado um problema em seu sistema de informação, ela permaneceu vendendo as passagens de ida e volta entre algumas cidades americanas por cerca de R$ 5,00. A oferta durou cerca de duas horas. Depois de descobrir o problema, a US Airways desenvolveu uma solução para corrigi- lo. O impacto �nanceiro do exemplo acima é uma situação que pode ser medida de forma direta: o prejuízo é a quantidade de passagens vendidas multiplicada pela diferença para o valor real. Podemos considerar possíveis medidas de segurança que minimizariam ou evitariam que esse prejuízo �nanceiro ocorresse. Os recursos gastos com elas podem ser calculados pelo return of investiment (ROI), que é o resultado do dinheiro ganho como resultado do investimento. Gestor da informação A informação é um recurso com alto valor para as empresas que deve ser bem gerenciado e utilizado. Portanto, é importante garantir que esteja disponibilizada apenas para as pessoas que precisarem dela para o desempenho de suas atividades pro�ssionais na organização. (FONTES, 2006) O gestor da informação é a pessoa com autoridade para liberar ou negar o acesso de qualquer usuário a uma determinada informação. Ele deve levar em consideração se o usuário realmente precisa dela a �m de executar suas funções dentro da organização. Atenção Tanto os gestores quanto os outros colaboradores precisam entender essa função com pro�ssionalismo, pois o gestor não poderá liberar o acesso por amizade ou simpatia com o usuário que �zer tal solicitação. Sempre deverá ser considerada a necessidade pro�ssional para essa liberação. O pedido e a liberação da informação sempre deverão estar formalizados para eles funcionarem tanto como registro quanto como evidência. A�nal, essa evidenciação poderá ser importante futuramente caso seja necessário descobrir quem autorizou determinado usuário a ter acesso a uma informação. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Dica Se você for um gestor da informação, precisará garantir que as informações sob sua responsabilidade estejam liberadas apenas para aqueles usuários que precisarem dela para realizar suas atividades pro�ssionais dentro da empresa. A seguir, você vai compreender alguns recursos que podem ser utilizados para prover mais segurança às informações. Autenticação do usuário Ao acessar um sistema computacional dentro da empresa, é necessário você utilizar a sua identi�cação. Uma autenticação, portanto, deverá ocorrer para lhe fornecer a permissão de acesso. 1. Identi�cação Informa quem é aquela pessoa acessando a informação. Ela pode ocorrer por meio de: Nome; Número de matrícula da empresa; CPF; Qualquer outra sequência de caracteres que represente você como usuário. 2. Autenticação A informação deve ser sigilosa. No sistema computacional, você é autenticado por alguma informação que já conheça. Exemplo Senha, cartão de identi�cação ou biometria. Pode ser que determinadas empresas solicitem a combinação de dois tipos de autenticação a �m de proporcionar um nível maior de segurança. Cada um desses tipos de autenticação tem um custo: Biometria > Cartão > Senha Em segurança da informação, porém, o custo não é o fator mais importante a ser analisado. O ideal é que você implemente a solução mais adequada para a situação em análise: aquela coerente com o risco e o possível impacto que a empresa pode sofrer caso o controle de proteção contra a ameaça seja quebrado. Shutterstock 3. Senha A utilização de senha é um dos recursos mais aproveitados na autenticação devido à facilidade de desenvolvimento da solução e de seu baixo custo. Se tal desenvolvimento for bem implementado, ele terá um nível de segurança aceitável para a maioria das aplicações. Shutterstock Dica Esse tipo de autenticação do usuário, entretanto, apresenta uma maior fragilidade. Por isso, algumas dicas são importantes para auxiliar você a escolher uma senha: Não utilize datas de nascimento, nomes de pessoas, nomes de times ou outras informações que estejam ligadas a você ou à organização; Não use uma sequência óbvia de caracteres; Utilize as sequências com o tamanho mínimo de seis posições; Construa-as utilizando letras, números e caracteres especiais; Coloque a primeira letra de cada palavra que forma uma frase; De�na uma frase que faça sentido para você. Independentemente da forma como são realizadas a identi�cação e a autenticação, é recomendável que o usuário, ao acessar o sistema computacional, seja informado sobre o dia e o horário do seu último acesso. Essa é uma forma de ele saber se alguém o acessou indevidamente com sua identi�cação e senha. Backups Um problema muito grande que pode ocorrerdentro de uma organização é a perda de uma determinada informação que não possui cópia. Independentemente do que originou essa perda, é preciso ter as condições de recuperar uma informação caso ela tenha sido destruída. Na empresa que você trabalha, a área responsável pelo sistema de tecnologia realiza as cópias de segurança para os dados dos computadores de grande porte e dos servidores? Shutterstock Exemplo É comum que, no servidor de correio eletrônico, as informações sejam copiadas periodicamente para garantir a continuidade das atividades da organização caso aconteça alguma perda de informação. A solução de backup em tempo real é a mais e�ciente e a que oferece uma maior certeza em relação ao aproveitamento imediato da cópia dos dados perdidos. A escolha do local onde eles �carão é importante ao enfrentarmos situações de desastre. Inicialmente, há a ideia de que, quanto mais longe estiver o servidor, melhor será. Apesar de isso ser verdade em termos de proteção, também irá gerar outras complicações, como o aumento do custo e alguns procedimentos operacionais. Para tomar uma decisão pro�ssional, é necessário: Analisar as ameaças; Avaliar o risco; Identi�car o nível de perigo; Decidir o investimento com os diretores da empresa. Fonte: (FONTES, 2006) Antivírus (Fonte: Shutterstock). Você se lembra do conceito de vírus estudado nas aulas anteriores? Os vírus são programas que penetram no computador sem a nossa autorização e executam ações que não solicitamos. Normalmente, essas ações prejudicam o equipamento ou o seu desempenho. Essa entrada do vírus pode ocorrer por meio de arquivos de programas executáveis que: Para evitar que os vírus entrem no nosso sistema de informação, devemos seguir algumas regras de segurança. Uma delas é o uso de programas antivírus. Em seu ambiente de tecnologia principal, as empresas possuem várias proteções contra eles, mas, ainda assim, sempre será́ importante a existência de um programa antivírus nos computadores de seus usuários. Além da utilização do antivírus, outras ações complementares são muito importantes: Baixamos da internet; Recebemos em um e-mail; Estejam em uma mídia externa, como um pen drive. Ao receber qualquer arquivo anexado, não o execute sem antes rodar o programa do antivírus; Se você não estava aguardando o arquivo, não execute nenhum programa enviado em anexo. Se conhecer o remetente, entre em contato com ele; Na internet, somente baixe alguma informação em forma de arquivo quando estiver navegando em sites considerados seguros e de pro�ssionais que se importam com a segurança da informação; Mantenha atualizadas as cópias de segurança dos arquivos de dados que você̂ gerou. Garanta a possibilidade de recuperação da informação a partir dessas cópias. Mesmo que você tenha apenas um único computador conectado à internet, ele pode estar sujeito a ataques. Por esse motivo, é importante atualizar com frequência o antivírus e demais aplicativos, principalmente aqueles que utilizam a conexão com a internet, incluindo o próprio sistema operacional. – Vancim, 2016. Intrusão e modo de operação A intrusão pode ser conceituada como um acesso não autorizado às redes de computadores. Ela pode ocorrer por dois meios: 1 Usuário tenta obter acessos adicionais àqueles que já possui; 2 Usuário externo pretende realizar o acesso normalmente pela internet. 1. Formas de detecção Um equipamento do tipo possui a capacidade de detectar a ação de um hacker em um acesso não autorizado das seguintes maneiras: Análise de assinatura de ataques: Estes tipos de sistemas já possuem o armazenamento dos principais ataques realizados por hackers. Dessa forma, é monitorado o comportamento dos servidores para veri�car a ocorrência deles; Análise de protocolos: O sistema está o tempo todo veri�cando os protocolos de aplicação para determinar se há algo de errado; Detecção de anomalias: Esta é uma técnica mais complexa de detecção de intrusão. Ela envolve monitoramento de CPU, logs do sistema operacional, memória e discos dos servidores para veri�car se alguma anomalia (que pode ou não ser um ataque) está ocorrendo no servidor. Os sistemas de detecção de instrução detectam problemas ou anomalias. A sua função como administrador de redes é determinar se eles correspondem a ataques. 2. Classi�cação dos sistemas de detecção de intrusão Apresentaremos a seguir sistemas baseados em: Rede: trabalham com a análise de pacotes da rede; Estações: Atuam com logs e eventos do sistema operacional das estações; Integridade de arquivos: Veri�cam a integridade dos arquivos utilizando os sistemas antivírus e a auditoria. Atenção Ainda há os sistemas híbridos, que permitem a integração das informações baseadas na rede e nas estações. 3. Características dos sistemas de intrusão Suas principais características são: Execução contínua: Os sistemas de detecção de intrusão precisam funcionar durante 24 horas por dia, assim como os servidores; Tolerância a falhas: Suas falhas podem facilitar a ocorrência de ataques; Mínimo overhead na rede: Devido ao característico scanning contínuo da rede, eles devem trabalhar com baixo overhead para não prejudicar o tráfego normal de dados; Di�culdade de ser atacado: Esses sistemas devem possuir uma grande di�culdade de ataque, pois ele representa uma grande vulnerabilidade na rede. 4. Operacionalidade dos sistemas de intrusão Os sistemas de prevenção de intrusão (IPS, sigla para intrusion prevention systems) permitem o alerta de uma tentativa de ataque e a realização do seu bloqueio. É comum que esses dispositivos estejam conectados aos segmentos críticos da rede em linha. Todo tráfego de dados em inspeção precisa passar pelo IPS. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Esse tipo de sistema trabalha normalmente na camada dois (a de enlace do modelo OSI) e não precisa de nenhum tipo de recon�guração da rede para ser instalado. Clique nos botões para ver as informações. Um IPS permite a descoberta das seguintes ameaças na rede, incluindo a sem �o: Propagação de vírus; Propagação de worms; Ataques direcionados a sistemas operacionais; Ataques à aplicação web, como cross site script, PHP Injection e SQL Injection; Exploração de vulnerabilidades das principais aplicações; Spams e phishing; Spyware; Utilização da rede por aplicações não permitidas, como P2P, inclusive o BitTorrent. Detecção Podemos citar algumas vantagens na adoção de uma solução de IPS: Aumento do conhecimento e da visibilidade de tráfego de rede: O IPS monitora os tráfegos e �uxos, identi�cando comportamentos anômalos que correspondam a alguma atividade maliciosa; Controle de banda: Monitora o uso de banda pelas aplicações e aplica limitadores de banda. Este recurso é primordial para o controle da rede, evitando seu mau uso; Serviço de reputação: Bloqueia uma ameaça sem haver a necessidade de inspecionar os seus pacotes; Redução de custos com a recuperação de máquinas: Ataques bem-sucedidos em uma rede podem trazer prejuízos grandes às organizações, além de causarem a indisponibilidade das máquinas, uma vez que elas �cam fora de operação até serem reinstaladas. Dessa forma, torna-se mais barato existir uma prevenção; Web Application Firewall: É muito mais barato bloquear as ameaças pela rede do que realizar as correções na aplicação. Dessa forma, o IPS acaba sendo um instrumento fundamental para proteger as aplicações, especialmente as de web; Proteção de infraestrutura de voz sobre IP: As reduções de custo graças ao uso do VoIP são uma realidade nas organizações. No entanto, esse ambiente é vulnerável a uma série de ataques cujo objetivo é indisponibilizar o serviço ou até permitir a realização de chamadas não autorizadas. O IPS, por outro lado, oferece uma completa cobertura de prevenções, protegendo o VoIP de contra-ataques à sua infraestrutura. Benefícios Atividade 1 - O que é a política de segurança da informação? 2 - De quem é a responsabilidade de proteger as informações dentro de umaorganização? 3 - Em relação ao acesso às informações, o que o gestor da informação deve considerar? 4 - Qual tipo de solução podemos propor para uma organização em relação ao backup das informações? 5 - Diga o tipo de autenticação mais utilizado e enumere suas características. Processo crítico1 Um processo crítico é aquele que representa um perigo sério à vida humana e ao ambiente ou que expõe uma grande quantidade de recursos tecnológicos. Ele, dessa forma, pode gerar um enorme impacto nos clientes externos e internos de uma organização. Referências FONTES, E. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006. VANCIM, F. Gestão de segurança da informação. Rio de Janeiro: SESES, 2016. Próxima aula Estratégias de proteção; Plano de proteção das empresas. Explore mais Gerenciamento estratégico da segurança da informação. <http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/261> http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/261
Compartilhar