GST Aula 10 Estratégias de proteção

Prévia do material em texto

Gestão de segurança da informação
Aula 10: Estratégias de proteção
Apresentação
Nesta aula, apresentaremos as estratégias de proteção e as práticas a serem realizadas na segurança da informação.
Dessa forma, auxiliaremos você a compreender o processo de planejamento de proteção das informações em um
ambiente organizacional.
Objetivos
Ilustrar a política de segurança da informação;
Explicar o papel do seu gestor;
• Revisar os recursos disponíveis para provê-la;
 (Fonte: Shutterstock)
Primeiras palavras
Você já aprendeu nas aulas anteriores que a informação é muito mais que um mero conjunto de dados. Ela pode ser de�nida
como a transformação deles em algo com signi�cado e valor tanto para as pessoas quanto para as organizações. Também
pudemos veri�car em outras aulas que a informação deve ser protegida por meio de políticas, regulamentos e regras da
mesma forma que protegemos os recursos �nanceiros e materiais da empresa. Assim, quando começar a trabalhar em uma
organização, você deve se lembrar sempre de que ela é um bem muito valioso a ser protegido.
1. Regulamentos
Mas qual seria o objetivo deles? Regulamentos estipulam que o uso das informações dentro de uma empresa ocorrerá de
forma organizada, estruturada e segura a �m de evitar que seu negócio seja prejudicado pelo mau uso da informação.
Cada empresa vai de�nir uma estrutura adequada para a proteção da informação baseada no tipo e no porte dela. Ela também
vai determinar um setor responsável pela política de segurança da informação. Este setor de�nirá as regras e as normas que
todos os funcionários devem cumprir.
2. Política de segurança da informação
Ela de�ne qual é a �loso�a da organização em relação aos acessos dos usuários a �m de assegurar que todas as informações
dela e de seus clientes estejam protegidas contra possíveis danos. A responsabilidade de protegê-las é de todos dentro de uma
organização – independentemente de seu nível hierárquico.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Cerca de 75% dos documentos arquivados nos micros das
empresas contêm informações ‘‘sensíveis’’ que poderiam
causar certo estrago se caíssem em mãos de pessoas mal-
intencionadas. A a�rmação tem como base uma pesquisa da
Workshare, que trabalha com a ‘‘integridade’’ de documentos
digitalizados. Os especialistas entrevistaram representantes
de 300 organizações localizadas nos Estados Unidos, Reino
Unido e Austrália. Noventa por cento dessas empresas não
têm noção dos possíveis riscos relacionados a vazamentos
dos dados presentes nesses documentos. Essa ‘‘divulgação’’
geralmente acontece quando as informações passam nas
mãos de várias pessoas que devem corrigir e con�rmar os
dados.
(FONTES, 2006)
É comum computadores de grande porte ou servidores de uma empresa receberem mais investimentos relativos à segurança
da informação que seus aparelhos pessoais. Por isso, muitas informações da organização �cam susceptíveis a algum dano do
tipo, já que normalmente computadores pessoais não são adequadamente seguros contra esse tipo de ataque. Portanto, ao
elaborar um programa de segurança da informação em uma empresa, você deverá contemplar aqueles usados pelos
colaboradores para evitar o vazamento de alguma informação da empresa.
Exemplo
A US Airways se transformou na empresa aérea com a menor tarifa de todos os tempos: até ser sanado um problema em seu
sistema de informação, ela permaneceu vendendo as passagens de ida e volta entre algumas cidades americanas por cerca de
R$ 5,00. A oferta durou cerca de duas horas. Depois de descobrir o problema, a US Airways desenvolveu uma solução para corrigi-
lo.
O impacto �nanceiro do exemplo acima é uma situação que pode ser medida de forma direta: o prejuízo é a quantidade de
passagens vendidas multiplicada pela diferença para o valor real.
Podemos considerar possíveis medidas de segurança que minimizariam ou evitariam que esse prejuízo �nanceiro ocorresse.
Os recursos gastos com elas podem ser calculados pelo return of investiment (ROI), que é o resultado do dinheiro ganho como
resultado do investimento.
 Gestor da informação
A informação é um recurso com alto valor para as empresas que deve ser bem gerenciado e utilizado. Portanto, é importante
garantir que esteja disponibilizada apenas para as pessoas que precisarem dela para o desempenho de suas atividades
pro�ssionais na organização. (FONTES, 2006)
O gestor da informação é a pessoa com autoridade para liberar ou negar o acesso de qualquer usuário a uma determinada
informação. Ele deve levar em consideração se o usuário realmente precisa dela a �m de executar suas funções dentro da
organização.
Atenção
Tanto os gestores quanto os outros colaboradores precisam entender essa função com pro�ssionalismo, pois o gestor não
poderá liberar o acesso por amizade ou simpatia com o usuário que �zer tal solicitação. Sempre deverá ser considerada a
necessidade pro�ssional para essa liberação.
O pedido e a liberação da informação sempre deverão estar formalizados para eles funcionarem tanto como registro quanto
como evidência. A�nal, essa evidenciação poderá ser importante futuramente caso seja necessário descobrir quem autorizou
determinado usuário a ter acesso a uma informação.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Dica
Se você for um gestor da informação, precisará garantir que as informações sob sua responsabilidade estejam liberadas apenas
para aqueles usuários que precisarem dela para realizar suas atividades pro�ssionais dentro da empresa.
A seguir, você vai compreender alguns recursos que podem ser utilizados para prover mais segurança às informações.
 Autenticação do usuário
Ao acessar um sistema computacional dentro da empresa, é necessário você utilizar a sua identi�cação. Uma autenticação,
portanto, deverá ocorrer para lhe fornecer a permissão de acesso.
1. Identi�cação
Informa quem é aquela pessoa acessando a informação. Ela pode ocorrer por meio de:
Nome;
Número de matrícula da empresa;
CPF;
Qualquer outra sequência de caracteres que represente você como usuário.
2. Autenticação
A informação deve ser sigilosa. No sistema computacional, você é autenticado por alguma informação que já conheça.
Exemplo
Senha, cartão de identi�cação ou biometria. Pode ser que determinadas empresas solicitem a combinação de dois tipos de
autenticação a �m de proporcionar um nível maior de segurança.
Cada um desses tipos de autenticação tem um custo:
Biometria > Cartão > Senha
Em segurança da informação, porém, o custo não é o fator mais importante a ser analisado.
O ideal é que você implemente a solução mais adequada para a situação em análise: aquela coerente com o risco e o
possível impacto que a empresa pode sofrer caso o controle de proteção contra a ameaça seja quebrado.
 Shutterstock
3. Senha
A utilização de senha é um dos recursos mais aproveitados na autenticação devido à facilidade de desenvolvimento da
solução e de seu baixo custo. Se tal desenvolvimento for bem implementado, ele terá um nível de segurança aceitável
para a maioria das aplicações.
 Shutterstock
Dica
Esse tipo de autenticação do usuário, entretanto, apresenta uma maior fragilidade. Por isso, algumas dicas são importantes para
auxiliar você a escolher uma senha:
 
Não utilize datas de nascimento, nomes de pessoas, nomes de times ou outras informações que estejam ligadas a você
ou à organização;
Não use uma sequência óbvia de caracteres;
Utilize as sequências com o tamanho mínimo de seis posições;
Construa-as utilizando letras, números e caracteres especiais;
Coloque a primeira letra de cada palavra que forma uma frase;
De�na uma frase que faça sentido para você.
Independentemente da forma como são realizadas a identi�cação e a autenticação, é recomendável que o usuário, ao acessar
o sistema computacional, seja informado sobre o dia e o horário do seu último acesso. Essa é uma forma de ele saber se
alguém o acessou indevidamente com sua identi�cação e senha.
Backups
Um problema muito grande que pode ocorrerdentro de uma organização é a perda de uma determinada informação que
não possui cópia. Independentemente do que originou essa perda, é preciso ter as condições de recuperar uma
informação caso ela tenha sido destruída.
Na empresa que você trabalha, a área responsável pelo sistema de tecnologia realiza as cópias de segurança para os
dados dos computadores de grande porte e dos servidores?
 Shutterstock
Exemplo
É comum que, no servidor de correio eletrônico, as informações sejam copiadas periodicamente para garantir a continuidade
das atividades da organização caso aconteça alguma perda de informação.
A solução de backup em tempo real é a mais e�ciente e a que oferece uma maior certeza em relação ao aproveitamento
imediato da cópia dos dados perdidos. A escolha do local onde eles �carão é importante ao enfrentarmos situações de
desastre.
Inicialmente, há a ideia de que, quanto mais longe estiver o servidor, melhor será. Apesar de isso ser verdade em termos de
proteção, também irá gerar outras complicações, como o aumento do custo e alguns procedimentos operacionais. Para tomar
uma decisão pro�ssional, é necessário:
Analisar as ameaças;
Avaliar o risco;
Identi�car o nível de perigo;
Decidir o investimento com os diretores da empresa.
Fonte: (FONTES, 2006)
Antivírus
 (Fonte: Shutterstock).
Você se lembra do conceito de vírus estudado nas aulas anteriores? Os vírus são programas que penetram no computador sem
a nossa autorização e executam ações que não solicitamos. Normalmente, essas ações prejudicam o equipamento ou o seu
desempenho.
Essa entrada do vírus pode ocorrer por meio de arquivos de programas executáveis que:
Para evitar que os vírus entrem no nosso sistema de informação, devemos seguir algumas regras de segurança. Uma delas é o
uso de programas antivírus. Em seu ambiente de tecnologia principal, as empresas possuem várias proteções contra eles, mas,
ainda assim, sempre será́ importante a existência de um programa antivírus nos computadores de seus usuários.
Além da utilização do antivírus, outras ações complementares são muito importantes:
Baixamos da internet;
Recebemos em um e-mail;
Estejam em uma mídia externa, como um pen drive.
Ao receber qualquer arquivo anexado, não o execute sem antes rodar o programa do antivírus;
Se você não estava aguardando o arquivo, não execute nenhum programa enviado em anexo. Se conhecer o remetente,
entre em contato com ele;
Na internet, somente baixe alguma informação em forma de arquivo quando estiver navegando em sites considerados
seguros e de pro�ssionais que se importam com a segurança da informação;
Mantenha atualizadas as cópias de segurança dos arquivos de dados que você̂ gerou. Garanta a possibilidade de
recuperação da informação a partir dessas cópias.
Mesmo que você tenha apenas um único computador
conectado à internet, ele pode estar sujeito a ataques. Por
esse motivo, é importante atualizar com frequência o
antivírus e demais aplicativos, principalmente aqueles que
utilizam a conexão com a internet, incluindo o próprio sistema
operacional.
– Vancim, 2016.
Intrusão e modo de operação
A intrusão pode ser conceituada como um acesso não autorizado às redes de computadores. Ela pode ocorrer por dois meios:
1 Usuário tenta obter acessos adicionais àqueles que já possui;
2 Usuário externo pretende realizar o acesso normalmente pela internet.
1. Formas de detecção
Um equipamento do tipo possui a capacidade de detectar a ação de um hacker em um acesso não
autorizado das seguintes maneiras:
Análise de assinatura de ataques: Estes tipos de sistemas já possuem o armazenamento dos
principais ataques realizados por hackers. Dessa forma, é monitorado o comportamento dos
servidores para veri�car a ocorrência deles;
Análise de protocolos: O sistema está o tempo todo veri�cando os protocolos de aplicação para
determinar se há algo de errado;
Detecção de anomalias: Esta é uma técnica mais complexa de detecção de intrusão. Ela envolve
monitoramento de CPU, logs do sistema operacional, memória e discos dos servidores para
veri�car se alguma anomalia (que pode ou não ser um ataque) está ocorrendo no servidor.
Os sistemas de detecção de instrução detectam problemas ou anomalias. A sua função como
administrador de redes é determinar se eles correspondem a ataques.
2. Classi�cação dos sistemas de detecção de intrusão
Apresentaremos a seguir sistemas baseados em:
Rede: trabalham com a análise de pacotes da rede;
Estações: Atuam com logs e eventos do sistema operacional das estações;
Integridade de arquivos: Veri�cam a integridade dos arquivos utilizando os sistemas antivírus e a
auditoria.
Atenção
Ainda há os sistemas híbridos, que permitem a integração das informações baseadas na rede e nas estações.
3. Características dos sistemas de intrusão
Suas principais características são:
Execução contínua: Os sistemas de detecção de intrusão precisam funcionar durante 24 horas por
dia, assim como os servidores;
Tolerância a falhas: Suas falhas podem facilitar a ocorrência de ataques;
Mínimo overhead na rede: Devido ao característico scanning contínuo da rede, eles devem trabalhar
com baixo overhead para não prejudicar o tráfego normal de dados;
Di�culdade de ser atacado: Esses sistemas devem possuir uma grande di�culdade de ataque, pois
ele representa uma grande vulnerabilidade na rede.
4. Operacionalidade dos sistemas de intrusão
Os sistemas de prevenção de intrusão (IPS, sigla para intrusion prevention systems) permitem o alerta de
uma tentativa de ataque e a realização do seu bloqueio. É comum que esses dispositivos estejam
conectados aos segmentos críticos da rede em linha.
Todo tráfego de dados em inspeção precisa passar pelo IPS.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Esse tipo de sistema trabalha normalmente na camada dois (a de enlace do modelo OSI) e não precisa de nenhum tipo de
recon�guração da rede para ser instalado.
Clique nos botões para ver as informações.
Um IPS permite a descoberta das seguintes ameaças na rede, incluindo a sem �o:
Propagação de vírus;
Propagação de worms;
Ataques direcionados a sistemas operacionais;
Ataques à aplicação web, como cross site script, PHP Injection e SQL Injection;
Exploração de vulnerabilidades das principais aplicações;
Spams e phishing;
Spyware;
Utilização da rede por aplicações não permitidas, como P2P, inclusive o BitTorrent.
Detecção 
Podemos citar algumas vantagens na adoção de uma solução de IPS:
Aumento do conhecimento e da visibilidade de tráfego de rede: O IPS monitora os tráfegos e �uxos, identi�cando
comportamentos anômalos que correspondam a alguma atividade maliciosa;
Controle de banda: Monitora o uso de banda pelas aplicações e aplica limitadores de banda. Este recurso é
primordial para o controle da rede, evitando seu mau uso;
Serviço de reputação: Bloqueia uma ameaça sem haver a necessidade de inspecionar os seus pacotes;
Redução de custos com a recuperação de máquinas: Ataques bem-sucedidos em uma rede podem trazer prejuízos
grandes às organizações, além de causarem a indisponibilidade das máquinas, uma vez que elas �cam fora de
operação até serem reinstaladas. Dessa forma, torna-se mais barato existir uma prevenção;
Web Application Firewall: É muito mais barato bloquear as ameaças pela rede do que realizar as correções na
aplicação. Dessa forma, o IPS acaba sendo um instrumento fundamental para proteger as aplicações, especialmente
as de web;
Proteção de infraestrutura de voz sobre IP: As reduções de custo graças ao uso do VoIP são uma realidade nas
organizações. No entanto, esse ambiente é vulnerável a uma série de ataques cujo objetivo é indisponibilizar o
serviço ou até permitir a realização de chamadas não autorizadas. O IPS, por outro lado, oferece uma completa
cobertura de prevenções, protegendo o VoIP de contra-ataques à sua infraestrutura.
Benefícios 
Atividade
1 - O que é a política de segurança da informação?
2 - De quem é a responsabilidade de proteger as informações dentro de umaorganização?
3 - Em relação ao acesso às informações, o que o gestor da informação deve considerar?
4 - Qual tipo de solução podemos propor para uma organização em relação ao backup das informações?
5 - Diga o tipo de autenticação mais utilizado e enumere suas características.
Processo crítico1
Um processo crítico é aquele que representa um perigo sério à vida humana e ao ambiente ou que expõe uma grande
quantidade de recursos tecnológicos. Ele, dessa forma, pode gerar um enorme impacto nos clientes externos e internos de
uma organização.
Referências
FONTES, E. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
VANCIM, F. Gestão de segurança da informação. Rio de Janeiro: SESES, 2016.
Próxima aula
Estratégias de proteção;
Plano de proteção das empresas.
Explore mais
Gerenciamento estratégico da segurança da informação.
<http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/261>
http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/261