Baixe o app para aproveitar ainda mais
Prévia do material em texto
Indaial – 2020 Política de Segurança e inventário e ativoS de informação Prof.ª Neli Miglioli Sabadin 1a Edição Copyright © UNIASSELVI 2020 Elaboração: Prof.ª Neli Miglioli Sabadin Revisão, Diagramação e Produção: Centro Universitário Leonardo da Vinci – UNIASSELVI Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri UNIASSELVI – Indaial. Impresso por: S113p Sabadin, Neli Miglioli Política de segurança e inventário e ativos de informação. / Neli Miglioli Sabadin. – Indaial: UNIASSELVI, 2020. 174 p.; il. ISBN 978-65-5663-071-7 1. Segurança da informação. – Brasil. Centro Universitário Leonardo Da Vinci. CDD 004 aPreSentação Caro acadêmico, estamos iniciando o estudo da disciplina Política de Segurança e Inventário e Ativos de Informação. Esta disciplina objetiva reconhecer os conceitos básicos de segurança da informação, além de apresentar as políticas para manter as informações íntegras e seguras. Por fim, conheceremos como se caracterizam os ativos de informação. Nesse contexto, o Livro Didático Política de Segurança e Inventário e Ativos de Informação está dividido em três unidades: Unidade 1 – Conceitos de Segurança da Informação; Unidade 2 – Política de Segurança e Inventário; e Unidade 3 – Inventário e Ativos de Informação. Aproveitamos a oportunidade para destacar a importância de desenvolver as autoatividades, lembrando que estas não são opcionais. Elas objetivam a fixação dos conceitos apresentados. Em caso de dúvida na realização, sugerimos que você entre em contato com o seu tutor externo ou com a tutoria da UNIASSELVI, não prosseguindo sem ter sanado todas as dúvidas. Bom estudo! Sucesso na sua trajetória acadêmica e profissional! Neli Miglioli Sabadin Você já me conhece das outras disciplinas? Não? É calouro? Enfim, tanto para você que está chegando agora à UNIASSELVI quanto para você que já é veterano, há novi- dades em nosso material. Na Educação a Distância, o livro impresso, entregue a todos os acadêmicos desde 2005, é o material base da disciplina. A partir de 2017, nossos livros estão de visual novo, com um formato mais prático, que cabe na bolsa e facilita a leitura. O conteúdo continua na íntegra, mas a estrutura interna foi aperfeiçoada com nova diagra- mação no texto, aproveitando ao máximo o espaço da página, o que também contribui para diminuir a extração de árvores para produção de folhas de papel, por exemplo. Assim, a UNIASSELVI, preocupando-se com o impacto de nossas ações sobre o ambiente, apresenta também este livro no formato digital. Assim, você, acadêmico, tem a possibilida- de de estudá-lo com versatilidade nas telas do celular, tablet ou computador. Eu mesmo, UNI, ganhei um novo layout, você me verá frequentemente e surgirei para apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assun- to em questão. Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas institucionais sobre os materiais impressos, para que você, nossa maior prioridade, possa continuar seus estudos com um material de qualidade. Aproveito o momento para convidá-lo para um bate-papo sobre o Exame Nacional de Desempenho de Estudantes – ENADE. Bons estudos! NOTA Olá, acadêmico! Iniciamos agora mais uma disciplina e com ela um novo conhecimento. Com o objetivo de enriquecer seu conhecimento, construímos, além do livro que está em suas mãos, uma rica trilha de aprendizagem, por meio dela você terá contato com o vídeo da disciplina, o objeto de aprendizagem, materiais complemen- tares, entre outros, todos pensados e construídos na intenção de auxiliar seu crescimento. Acesse o QR Code, que levará ao AVA, e veja as novidades que preparamos para seu estudo. Conte conosco, estaremos juntos nesta caminhada! LEMBRETE Sumário UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO.............................. 1 TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO....... 3 1 INTRODUÇÃO .................................................................................................................................... 3 2 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO ............................. 3 3 TRÍADE C.I.D OU C.I.A ..................................................................................................................... 5 3.1 CONFIDENCIALIDADE ............................................................................................................... 6 3.2 INTEGRIDADE ............................................................................................................................... 9 3.3 DISPONIBILIDADE ..................................................................................................................... 12 4 HEXADIANO PARKERIANO......................................................................................................... 15 RESUMO DO TÓPICO 1..................................................................................................................... 17 AUTOATIVIDADE .............................................................................................................................. 18 TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL .... 19 1 INTRODUÇÃO .................................................................................................................................. 19 2 ATIVOS DE INFORMAÇÃO .......................................................................................................... 19 3 ACESSO À INFORMAÇÃO ............................................................................................................ 21 3.1 CONTROLE FÍSICO ..................................................................................................................... 21 3.2 SEGURANÇA LÓGICA ............................................................................................................... 24 3.3 CONVERGÊNCIA ENTRE A SEGURANÇA FÍSICA E A LÓGICA .................................... 26 3.4 COMPONENTE HUMANO ....................................................................................................... 27 3.5 CICLO DE VIDA DA INFORMAÇÃO ...................................................................................... 28 RESUMO DO TÓPICO 2..................................................................................................................... 31 AUTOATIVIDADE .............................................................................................................................. 32 TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS ................................................... 33 1 INTRODUÇÃO .................................................................................................................................. 33 2 ABORDAGEM .................................................................................................................................... 33 3 VULNERABILIDADES .................................................................................................................... 35 4 AMEAÇAS .......................................................................................................................................... 36 5 RISCO ................................................................................................................................................. 37 6 ATAQUE .............................................................................................................................................. 37 7 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO .............................................................. 38 7.1 PROBABILIDADE E IMPACTO ................................................................................................. 38 LEITURA COMPLEMENTAR ............................................................................................................ 41 RESUMO DO TÓPICO 3.....................................................................................................................51 AUTOATIVIDADE .............................................................................................................................. 52 UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO ..... 55 TÓPICO 1 — PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ..... 57 1 INTRODUÇÃO .................................................................................................................................. 57 2 PLANEJAMENTO ESTRATÉGICO DA SEGURANÇA DA INFORMAÇÃO – PESI ......... 57 3 SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO – SGSI.............................. 60 4 COMO IMPLEMENTAR O CICLO PDCA? ................................................................................. 64 5 O USUÁRIO FAZ A DIFERENÇA .................................................................................................. 66 6 ABRANGÊNCIA ................................................................................................................................ 67 7 VIOLAÇÃO DA POLÍTICA ............................................................................................................ 68 RESUMO DO TÓPICO 1..................................................................................................................... 70 AUTOATIVIDADE .............................................................................................................................. 71 TÓPICO 2 — ENTENDENDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO .......... 75 1 INTRODUÇÃO .................................................................................................................................. 75 2 POLÍTICAS, NORMAS E PROCEDIMENTOS ........................................................................... 75 3 POLÍTICAS DE SEGURANÇA – ISO 27000 ................................................................................ 77 4 BOAS PRÁTICAS PARA A CONSTRUÇÃO DA PSI ................................................................ 80 5 DIVULGAÇÃO DA POLÍTICA ...................................................................................................... 81 RESUMO DO TÓPICO 2..................................................................................................................... 83 AUTOATIVIDADE .............................................................................................................................. 84 TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ............ 87 1 INTRODUÇÃO .................................................................................................................................. 87 2 CRIAÇÃO E IMPLANTAÇÃO DA PSI ......................................................................................... 87 3 POLÍTICA DE SEGURANÇA ......................................................................................................... 88 4 POLÍTICA DE USO DE ESTAÇÃO DE TRABALHO ................................................................ 92 5 POLÍTICA DE USO DA INTERNET ............................................................................................. 93 6 POLÍTICA DE E-MAIL ..................................................................................................................... 95 7 POLÍTICA DE MESA LIMPA .......................................................................................................... 97 LEITURA COMPLEMENTAR .......................................................................................................... 100 RESUMO DO TÓPICO 3................................................................................................................... 105 AUTOATIVIDADE ............................................................................................................................ 106 UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO .............................................. 109 TÓPICO 1 — CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO ......... 111 1 INTRODUÇÃO ................................................................................................................................ 111 2 INVENTÁRIO .................................................................................................................................. 111 3 CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO ............................... 113 4 PROPRIETÁRIO DO ATIVO ........................................................................................................ 115 RESUMO DO TÓPICO 1................................................................................................................... 123 AUTOATIVIDADE ............................................................................................................................ 124 TÓPICO 2 — PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO .................................................................................................. 127 1 INTRODUÇÃO ................................................................................................................................ 127 2 POR QUE CONSTRUIR UM INVENTÁRIO DE ATIVOS DE INFORMAÇÃO? .............. 127 3 MATRIZ DE RESPONSABILIDADE .......................................................................................... 129 4 MATRIZ DE RISCO ........................................................................................................................ 132 5 ANÁLISE SWOT .............................................................................................................................. 137 RESUMO DO TÓPICO 2................................................................................................................... 141 AUTOATIVIDADE ............................................................................................................................ 142 TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO .................................................................................................. 145 1 INTRODUÇÃO ................................................................................................................................ 145 2 TRAGA SEU PRÓPRIO EQUIPAMENTO ................................................................................ 145 3 BOAS PRÁTICAS DE GERENCIAMENTO DE INVENTÁRIO DE TI................................ 148 4 MODELOS DE INVENTÁRIOS ................................................................................................... 150 LEITURA COMPLEMENTAR .......................................................................................................... 156 RESUMO DO TÓPICO 3................................................................................................................... 166 AUTOATIVIDADE ............................................................................................................................ 167 REFERÊNCIAS .................................................................................................................................... 169 1 UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade, você deverá ser capaz de: • saber a definição, além da importância dos conceitos básicos de segurança da informação; • identificar a importância da segurança das informações no contexto empresarial; • conhecer a tríade de segurança da informação CID e o hexagrama parkeriano; • identificar e diferenciar o que são riscos, ameaças e vulnerabilidade das informações. Esta unidade está dividida em três tópicos. No decorrer da unidade, você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado. TÓPICO 1 – CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO TÓPICO 2 – SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL TÓPICO 3 – VULNERABILIDADES, AMEAÇAS E RISCOS Preparado para ampliarseus conhecimentos? Respire e vamos em frente! Procure um ambiente que facilite a concentração, assim absorverá melhor as informações. CHAMADA 2 3 TÓPICO 1 — UNIDADE 1 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO 1 INTRODUÇÃO Para que possamos proteger nossas informações, é necessário saber quais são as ameaças, e o que deve ser protegido. O conhecimento sobre segurança da informação deve ser responsabilidade de todos em uma empresa. Independentemente do tipo de empresa, os riscos se assemelham. A partir da segurança aplicada em nossas casas, onde mantemos as portas fechadas quando saímos, ou não deixamos pessoas estranhas entrarem, com as informações nas empresas também devemos seguir alguns procedimentos. São as chamadas políticas de segurança e, neste livro, também veremos o que deve ser protegido. Como já sabemos, em muitas empresas, as informações são vitais para sua sobrevivência. Ter em mente que somos todos responsáveis, e que todos estamos envolvidos, seja de maneira proativa ou apenas seguindo as normas, já são maneiras de participar do processo de segurança das informações. Começaremos, nossos estudos, revisitando alguns conceitos de segurança da informação, para que seja possível identificar as diferenças entre os riscos e as vulnerabilidades das informações. 2 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO Como já comentado, a segurança dos dados de uma empresa é um dos grandes desafios da tecnologia da informação. A empresa e os indivíduos podem sofrer ameaças. Para minimizar os riscos, ferramentas e políticas de segurança podem assegurar a precisão, a integridade e a segurança dos sistemas e recursos de informação (BARRETO et al., 2018). Estar ciente do problema é o primeiro passo para tomar as medidas protetivas necessárias. Por isso, governos, entidades privadas, empresas e indivíduos estão cada vez mais cientes dos desafios e das ameaças relacionadas às atividades on-line. Ainda, a dependência das redes de computadores para a manutenção das informações e a sobrevivência dos negócios das empresas UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO 4 aumentam exponencialmente, ano após ano. Seguindo a mesma evolução, o impacto causado pelas violações de segurança abrange desde inconveniências até sérias perdas financeiras e insegurança nacional (BARRETO et al., 2018). A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Esses controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, garantindo que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que tudo seja feito em conjunto, com outros processos de gestão do negócio (BARRETO et al., 2018, p. 17). Para entender como a segurança pode ser gerenciada, diversos conceitos importantes devem ser explicados, como “informação”, “vulnerabilidade”, “ameaça”, “risco” e “exposição”, pois são termos que são, repetidamente, usados para representar a mesma coisa, mesmo que tenham diferentes significados e relações entre si. É importante entender a definição de cada palavra, mas, mais importante ainda, é entender as suas relações com outros conceitos (BAARS; HINTZBERGEN; HINTZBERGEN, 2018). Começamos com o conceito básico das informações no contexto da segurança da informação. No cenário atual, as informações se constituem como objetos de valor para as empresas, e a tecnologia da informação é um grande facilitador, tratando-se do armazenamento e transporte das informações. No contexto organizacional, a informação pode estar relacionada, por exemplo, aos dados armazenados em software e ao uso eficiente (BARRETO et al., 2018). Ainda, segundo Barreto et al. (2018), o conhecimento e a informação são pontos-chave para as organizações, e merecem uma atenção especial para a correta utilização de mecanismos que garantam a segurança, uma vez que a segurança da informação tem, como propósito, proteger os ativos da informação. No cenário da segurança da informação, de acordo com Barreto et al. (2018, p. 14), podemos definir um ativo de informação como “qualquer objeto que retém partes da informação da empresa nas suas mais diversas formas de representação e armazenamento: impressas em papel, armazenadas em discos rígidos de computadores, armazenadas na nuvem ou, até mesmo, retidas em pessoas”. TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO 5 FIGURA 1 – ATIVOS DE INFORMAÇÃO FONTE: Lyra (2015, p. 12) Um ativo é qualquer coisa que tenha valor para organização. Portanto, podem existir diversos tipos de ativos, incluindo a própria informação (contratos e acordos, documentações de sistema, bases de dados, manuais de usuário, trilhas de auditoria, planos de continuidade etc.), pessoas e suas qualificações/experiências, ativos de software (sistemas, aplicativos, ferramentas etc.), ativos físicos (mídias removíveis, equipamentos computacionais, equipamentos de comunicação etc.), serviços (iluminação, eletricidade, refrigeração etc.) e aqueles que são intangíveis, como é o caso da reputação da organização (LYRA, 2015, p. 11). Lyra (2015) afirma que, para o sucesso e a garantia da segurança da informação, devem existir identificação, controle e constante atualização dos diferentes tipos de ativos (inventário). Como princípio básico, é recomendado que todo ativo seja identificado, além de documentado pela organização. Para cada um, deve-se estabelecer um proprietário responsável, que cuidará da manutenção dos controles, estes que podem ser delegados a outros profissionais, porém, sempre sob a responsabilidade do proprietário. Agora que já temos definido o que é um ativo, vamos relembrar os conceitos fundamentais da segurança da informação. Um dos conceitos mais conhecimentos e buscados pelas empresas é o proposto pela tríade Confidencialidade, Integridade e Disponibilidade (Avaliability), conhecida por C.I.D ou C.I.A. 3 TRÍADE C.I.D OU C.I.A Quando planejamos um programa de segurança de informação, esse projeto pode ter objetivos simples, como usar senhas nos computadores, ou objetivos maiores, como um plano de contingência. Não é um projeto que tem começo, meio e fim, ou uma data para acabar, é um processo contínuo e com um proposito. O propósito principal da segurança da informação é proteger (ou preservar) as propriedades de Confidencialidade, Integridade e Disponibilidade da informação. Esse propósito também é conhecido como tríade Confidencialidade, Integridade e Disponibilidade (C.I.D) ou, em inglês, C.I.A (Condidentiality, Integrity, Avaliability). UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO 6 FIGURA 2 – TRÍADE C.I.D FONTE: O autor Conforme apresentado, veremos cada um dos itens que dão sustentação à segurança da informação. Lembrando que todos têm igual importância. 3.1 CONFIDENCIALIDADE Confidencialidade (Condidentiality), para Barreto et al. (2018), é a capacidade de um sistema de impedir que usuários não autorizados “vejam” determinada informação que foi delegada somente a usuários autorizados. Para Baars, Hintzbergen e Hintzbergen (2018), a confidencialidade, também chamada de exclusividade, refere-se aos limites em termos de quem pode obter tal tipo de informação. Vale ressaltar que ela pode variar de pessoa para pessoa, ou nível hierárquico. Baars, Hintzbergen e Hintzbergen (2018, p. 21) exemplificam que “os executivos podem estar preocupados com a proteção dos planos estratégicos de sua empresa em relaçãoaos concorrentes; as pessoas, por outro lado, estão preocupadas com o acesso não autorizado aos seus registros financeiros”. Ainda, ela assegura que o nível necessário de sigilo seja aplicado em cada elemento de processamento de dados, evitando a divulgação não autorizada. Tudo deve prevalecer enquanto os dados estiverem em sistemas e dispositivos na rede, e durante a sua transmissão. Esse grau de confidencialidade pode ser obtido através da criptografia de dados à medida que são armazenados e transmitidos, monitoramento de redes, estrito controle de acesso, classificação dos dados e treinamento de pessoal com procedimentos apropriados. Reforçando a definição, Kim e Solomon (2014, p. 11) afirmam que proteger dados privados é o processo de garantir sua confidencialidade. Assim, as organizações precisam usar controles de segurança apropriados, específicos. Por exemplo: TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO 7 • Definir políticas, padrões, procedimentos e diretrizes no âmbito da organização, para proteger dados confidenciais, é uma instrução. • Adotar um padrão de classificação de dados que defina como tratá- los em toda infraestrutura de TI. É o roteiro para identificar quais controles são necessários para manter os dados seguros. • Limitar o acesso a sistemas e aplicativos que hospedem dados confidenciais para uso somente de usuários autorizados. • Usar técnicas de criptografia para ocultar dados confidenciais e mantê-los invisíveis aos usuários não autorizados. • Criptografar dados que cruzem a internet pública. • Criptografar dados armazenados em bancos e dispositivos de armazenamento. Kim e Solomon (2014) reforçam que não basta enviar dados para outros computadores usando uma rede. É preciso tomar medidas especiais para impedir que usuários não autorizados tenham acesso a dados confidenciais. Assim, é sugerida a criptografia, como prática de ocultar dados e mantê-los longe de usuários não autorizados, protegendo as informações de ponta a ponta. FIGURA 3 – PROCESSO DE ENCRIPTAÇÃO FONTE: Kim e Solomon (2014, p. 9) Como podemos observar, há a transmissão e o detalhamento do processo no qual ocorre a encriptação. Segundo Kim e Solomon (2014, p. 9), “a encriptação é o processo de transformar dados de texto claro para texto cifrado. Dados em texto claro são aqueles que qualquer um pode ler. Texto cifrado são os dados misturados que resultam da encriptação do texto claro”. Como vemos, as mensagens são encriptadas após o envio, e só são descriptadas quando o usuário recebe. UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO 8 Conheça um pouco da segurança em redes de dados em: https://www. projetoderedes.com.br/artigos/artigo_criptografia_simetrica.php. DICAS São exemplos de medidas de confidencialidade, segundo Baars, Hintzbergen e Hintzbergen (2018): • O acesso à informação é concedido com base na “necessidade de conhecer”. Não é necessário, por exemplo, que um funcionário do departamento financeiro seja capaz de ver relatórios de discussões com clientes. • Os funcionários tomam medidas para garantir que a informação não vá para pessoas que não necessitem dela. Eles asseguram, por exemplo, que nenhum documento confidencial seja deixado sobre suas mesas enquanto estão ausentes (política da mesa limpa). • O gerenciamento de acesso lógico assegura que pessoas ou processos não autorizados não tenham acesso a sistemas automatizados, base de dados e programas. Um usuário, por exemplo, não tem o direito de alterar as configurações do PC. • É criada uma separação de funções entre a organização de desenvolvimento do sistema, a organização de processamento e a organização do usuário. O desenvolvedor não pode, por exemplo, fazer qualquer modificação nos salários. • São criadas separações estritas entre o ambiente de desenvolvimento, o ambiente de teste e aceitação e o ambiente de produção. Baars, Hintzbergen e Hintzbergen (2018) ainda sugerem algumas medidas no processamento e uso dos dados, para garantir a privacidade dos funcionários da empresa e de terceiros que possam estar prestando serviços, como o uso de uma rede dedicada por departamento. Outra maneira de aumentar a confidencialidade, proposta por Baars, Hintzbergen e Hintzbergen (2018), refere-se ao uso de computadores por usuários finais. Ele sugere algumas de medidas, como uso de senhas, para garantir a confidencialidade da informação. Um exemplo é a autenticação dos usuários autorizados por meio de uma combinação entre a identificação do usuário (ID), a senha e, às vezes, um “token de resposta a um desafio”, criando uma senha de uso único one-time-password para cada sessão de login. TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO 9 FIGURA 4 – TOKEN FONTE: Olhar Digital (2009, s.p.) Fique por dentro da tecnologia de tokens em: https://olhardigital.com.br/fique_ seguro/noticia/entendendo-a-autenticacao-com-tokens/10049 e https://administradores. com.br/noticias/entendendo-a-autenticacao-com-tokens. DICAS 3.2 INTEGRIDADE Integridade (Integrity), segundo Barreto et al. (2018, p. 14), refere-se ao “atributo de segurança que garante que a informação seja alterada somente de forma autorizada, sendo mantida, assim, correta e completa”. A integridade, para Baars, Hintzbergen e Hintzbergen (2018), refere-se a ser correto e consistente com o estado ou a informação pretendida. Qualquer modificação não autorizada de dados, seja ela proposital ou acidental, configura uma violação da integridade dos dados. Vale ressaltar que dados que não possuem integridade não são precisos, não são válidos e não têm utilidade. Por isso, alterações não autorizadas podem acabar com o valor dos dados. Sabotagem e corrupção da integridade dos dados são sérias ameaças para uma organização, especialmente se os dados forem críticos para operações de negócios (KIM; SOLOMON, 2014). UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO 10 FIGURA 5 – INTEGRIDADE FONTE: Kim e Solomon (2014, p. 4) Para auxiliar o entendimento, Baars, Hintzbergen e Hintzbergen (2018, p. 54) explicam que “é esperado que dados armazenados em disco sejam estáveis. Não se espera que eles sejam alterados aleatoriamente por problemas com os controladores de disco”. Seguindo essa linha, também se espera que os programas de aplicação sejam confiáveis e que salvem as informações perfeitamente, sem alterações. Baars, Hintzbergen e Hintzbergen (2018, p. 54) explicam da seguinte forma: “minha definição para integridade da informação vem dos dicionários. Integridade significa que a informação é completa, perfeita e intacta (não necessariamente correta). Significa que nada está faltando na informação, ela está completa e em um desejado bom estado”. A afirmação dos autores se aproxima de dizer que a informação está em um estado correto. A informação pode ser incorreta ou não autêntica, mas possuir integridade, ou ser correta e autêntica, mas faltar integridade. Ambientes que reforçam e fornecem o atributo de segurança asseguram que atacantes, ou erros de usuários, não comprometam a integridade dos sistemas ou dados. Quando um atacante insere um vírus, uma bomba lógica ou um backdoor em um sistema, a integridade é comprometida. Isso pode, por sua vez, afetar negativamente a integridade da informação contida no sistema através de corrupção, modificação maliciosa ou substituição de dados por dados incorretos. Controle de acesso estrito, detecção de intrusão e hashing podem combater as ameaças. TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO 11 Os usuários, normalmente, afetam o sistema ou a integridade de seus dados por erro (embora usuários internos também possam cometer atosmaliciosos). Por exemplo, um usuário com disco rígido cheio pode, involuntariamente, apagar arquivos de configuração supondo, equivocadamente, que não haveria problema ao apagar o arquivo boot.ini, por não se lembrar de tê-lo usado em qualquer momento. Ainda, por exemplo, um usuário pode inserir valores incorretos em uma aplicação de processamento de dados, cobrando, de um cliente, $ 3.000.000,00, em vez de $ 300,00. Modificar incorretamente dados mantidos em banco de dados é outra forma comum de os usuários corromperem acidentalmente os dados, um erro que pode ter efeitos duradouros. São exemplos de medidas de integridade: • Mudanças em sistemas e dados são autorizadas. Por exemplo, um membro da equipe atribui um novo preço a um artigo no website e outro verifica a validade desse preço antes de ser publicado. • Onde possível, são criados mecanismos que forcem a pessoa a usar o termo correto. Por exemplo, um cliente é sempre chamado de “cliente”; o termo “freguês” não pode ser inserido na base de dados. • As ações dos usuários são gravadas (logged), de forma que possa ser determinado quem modificou a informação. • Ações vitais para o sistema, como a instalação de novo software, não podem ser conduzidas por uma só pessoa. Ao segregar funções, posições e autoridades, ao menos duas pessoas são necessárias para realizar mudanças que tenham graves consequências. A integridade dos dados pode ser garantida, em grande parte, por meio de técnicas de criptografia, protegendo a informação de acesso ou mudança não autorizada. Os princípios de política e de gestão para criptografia podem ser definidos em um documento de políticas separado. Dê uma olhada no backdoor, ou “entrada secreta” em: https://www. welivesecurity.com/br/2016/08/31/backdoor-e-trojan/. Ainda, veja a definição de detecção de intrusão em https://www.gta.ufrj.br/grad/16_2/2016IDS/conceituacao.html. Por fim, confira o que é hashing: https://www.devmedia.com.br/seguranca-da-informacao-para- desenvolvedores-funcoes-de-hash/25008. DICAS UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO 12 3.3 DISPONIBILIDADE Barreto et al. (2018) definem disponibilidade (Avaliability) como a quantidade de vezes que o sistema cumpriu uma tarefa solicitada, sem falhas internas, para um número de vezes em que foi solicitada essa tarefa. Para Baars, Hintzbergen e Hintzbergen (2018), a disponibilidade possui algumas características, como oportunidade, continuidade e robustez. Para oportunidade, a informação está disponível sempre que necessário. Para continuidade, a equipe pode dar sequência aos trabalhos em caso de uma falha. Para a característica de robustez, Baars, Hintzbergen e Hintzbergen (2018) explicam que existe capacidade suficiente para permitir que toda a equipe trabalhe no sistema. Por exemplo, tanto uma falha de disco como um ataque de negação de serviço causam violação da disponibilidade. Qualquer atraso que exceda o nível de serviço esperado para um sistema pode ser descrito como uma violação da disponibilidade. A disponibilidade do sistema pode ser afetada pela falha de um dispositivo ou software. Dispositivos de backup devem ser utilizados para substituir rapidamente os sistemas críticos, e funcionários devem ser qualificados e estar disponíveis para fazer os ajustes necessários para a restauração do sistema. Questões ambientais, como calor, frio, umidade, eletricidade estática e contaminantes, também podem afetar a disponibilidade do sistema. Sistemas devem ser protegidos contra esses elementos, devidamente aterrados e monitorados de perto. Ataques de negação de serviço ou Denial-of-Service (DoS) são métodos populares que hackers usam para interromper a disponibilidade e a utilização do sistema de uma empresa. Esses ataques são montados para impedir o usuário de acessar recursos e informações do sistema. Para se proteger, apenas os serviços e portas necessárias devem estar disponíveis nos sistemas, e sistemas de detecção de intrusão (Intrusion Detection Systems – IDS) devem monitorar o tráfego da rede e a atividade das máquinas. Certas configurações de roteadores e firewalls também podem reduzir a ameaça de ataques e, possivelmente, impedi-los. Exemplos de medidas de disponibilidade incluem: • A gestão (e o armazenamento) de dados para que o risco de perder informações seja mínimo. • O dado é, por exemplo, armazenado em um disco de rede, e não no disco rígido do PC. • Os procedimentos de backup são estabelecidos. Os requisitos legais de quanto tempo os dados devem ser armazenados são levados em conta. A localização do backup é separada fisicamente do negócio, a fim de garantir a disponibilidade nos casos de emergência. TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO 13 • Os requisitos legais sobre quanto tempo os dados devem ser mantidos armazenados variam de país para país na União Europeia, nos EUA e em outros lugares. É importante checar as agências reguladoras individuais do governo para requisitos específicos. Procedimentos de emergência são estabelecidos para garantir que as atividades possam ser recuperadas, o mais breve possível, após uma interrupção de grande escala. Apresentaremos algumas sugestões de como os riscos de negócios podem ser evitados, atendendo aos requisitos de segurança. FIGURA 6 – MEDIDAS DE PROTEÇÃO FONTE: O autor No contexto da segurança da informação, a disponibilidade é expressa como a quantidade de tempo que um usuário pode usar um sistema, aplicativo e dados. Medidas comuns de tempo de disponibilidade incluem as seguintes, segundo Kim e Solomon (2014): • Tempo de utilização – A quantidade de tempo total que um sistema, aplicativo e dados ficam acessíveis. O tempo de utilização (ou uptime) normalmente é medido em unidades de segundos, minutos e horas, dentro de determinado mês. • Tempo de paralisação – A quantidade de tempo total que um sistema, aplicativo e dados não ficam acessíveis. O tempo de paralisação (ou downtime) também é medido em unidades de segundos, minutos e horas para um mês. • Disponibilidade – Um cálculo matemático no qual D = (Tempo de utilização total) / (Tempo de utilização total + Tempo de paralisação). • Tempo médio para falha (MTTF – Mean Time to Failure) – O tempo médio para falha é a quantidade média de tempo entre falhas para determinado sistema. UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO 14 Semicondutores e produtos eletrônicos não quebram e possuem um MTTF de muitos anos (por exemplo, 25 anos ou mais). Partes físicas, como conectores, cabeamento, ventiladores e fontes de alimentação, possuem um MTTF muito menor (cinco anos ou menos), visto que o uso e o desgaste podem danificá-las. • Tempo médio para reparo (MTTR – Mean Time to Repair) – O tempo médio para reparo é a quantidade média de tempo necessária para reparar um sistema, aplicativo ou componente. O objetivo é colocá-lo novamente em atividade, o mais rápido possível. • Objetivo de tempo de recuperação (RTO – Recovery Time Objective) – O objetivo de tempo de recuperação é a quantidade de tempo necessária para recuperar e tornar um sistema, aplicativo e dados disponíveis para uso após uma parada. Planos de continuidade de negócios normalmente definem um RTO para sistemas, aplicativos e acesso a dados de missão crítica. Como medir a disponibilidade: • Para determinado mês de 30 dias, a quantidade total de tempo de utilização é: ᵒ 30 dias × 24 horas/dia × 60 minutos/hora = 43.200 minutos • Para um mês de 28 dias (fevereiro), a quantidade total de tempo de utilização é: ᵒ 28 dias × 24 horas/dia × 60 minutos/hora = 40.320 minutos Usando a fórmula Disponibilidade = (Tempo de utilização total)/(Tempo de utilização total + Tempo deparalisação), calcule o fator de disponibilidade para um mês de 30 dias com 30 minutos de tempo de paralisação: Disponibilidade = (43.200 minutos)/(43.200 minutos + 30 minutos) = 0,9993 ou 99,93%. Além dos princípios já conhecidos, e seguindo os padrões internacionais sobre segurança da informação, a ISO/IEC 27002 aponta apenas três princípios básicos da segurança da informação: Preservação da confidencialidade, da integridade e da disponibilidade da informação. No entanto, foram adicionadas outras propriedades: a autenticidade, o não repúdio e a legalidade. Autenticidade: Garante a identidade de quem está enviando a informação, ou seja, gera o não repúdio que se dá quando há garantia de que o emissor não poderá se esquivar da autoria da mensagem (Irretratabilidade). Normalmente, não entra como um dos pilares da segurança da informação. É, através da autenticidade, que se garante que a informação é proveniente da fonte anunciada, ou seja, não sofreu nenhuma alteração durante o processo. Legalidade: O uso da tecnologia da informática e comunicação deve seguir as leis vigentes do local ou país. Irretratabilidade ou Não repúdio: Visa garantir que o autor não negue ter criado ou assinado algum documento ou arquivo. Estabelecer um programa de segurança da informação na empresa deve sempre passar por ações que norteiam esses princípios. Tal modelo deve estar amparado por um sistema de gestão de segurança da informação, que precisa ser planejado e organizado, implementado, mantido e monitorado (OLIVEIRA, 2019, s.p.). TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO 15 Agora que já conhecemos a tríade CID, o modelo de segurança mais conhecido é incapaz de cobrir todas as preocupações que os proprietários de dados possam ter em relação à segurança. O hexadiano Parkeriano contém três atributos adicionais, além dos três da tríade da CID. 4 HEXADIANO PARKERIANO O modelo apresentado na tríade CID é um modelo de segurança que existe há mais de 20 anos. A importância dos dados, na atualidade, aumentou significativamente, além da complexidade, sem falar na quantidade de dados que é armazenada eletronicamente. Segundo Pender-Bey (2012), tendências tecnológicas, como armazenamento em nuvem e registros eletrônicos de saúde, tornaram a proteção de dados muito mais complexa. O modelo da CID está muito orientado para a tecnologia, não se concentrando, o suficiente, o elemento humano na segurança da informação. O modelo hexadiano Parkeriano (PH) foi desenvolvido com base no CID, e foram adicionados componentes para fornecem um modelo abrangente e completo, protegendo os dados. O hexadiano Parkeriano é um modelo de segurança composto por seis elementos de atributos de segurança. Originalmente, foi proposto por Donn Parker, em 1998. Os seis atributos são, segundo Pender-Bey (2012): • Confidencialidade: os dados podem ser mantidos em segredo para usuários não autenticados. Pode ser definida como a qualidade ou estado de ser privado ou secreto, conhecido apenas por poucos. • Integridade: dados que estão em um estado intacto até quando foram criados. Pode ser definida como condição intacta ou sem marca; solidez; correspondência inteira com uma condição original; a qualidade ou estado de estar completo ou indiviso; totalidade material. • Disponibilidade: acessar e usar os dados. Pode ser definida como capaz de ser utilizada para a realização de um propósito, imediatamente utilizável, acessível, que possa ser obtido. • Autenticidade: confirmação de que uma reivindicação de propriedade dos dados é genuína. Também definida como válida, verdadeira, real, genuína ou digna de aceitação ou crença por motivo de conformidade com fato e realidade. • Posse/Controle: Quando tem sob controle próprio acesso aos dados. Também é definido como um estado de posse ou controle ou posse de alguém; controle físico real da propriedade, distinto da custódia; algo de propriedade ou controlado. • Utilitário: É a capacidade de usar propositadamente esses dados. Em outras palavras, é definido como útil, adequado para algum propósito. UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO 16 Quando Parker propôs o nome do modelo, segundo Pender-Bey (2012), ele queria mudar a maneira como a segurança da informação era avaliada e compreendida. Para Parker, o modelo da CID consistia em uma visão incompleta e muito simplista para algumas aplicações. A segurança da informação não se concentrava suficientemente no papel que as pessoas têm, na manutenção e na perda das informações. Assim, Parker sugeriu que os elementos fossem analisados nos seguintes agrupamentos: confidencialidade, posse, integridade, autenticidade, disponibilidade e utilidade. Os atributos da informação são atômicos, ou seja, eles não são divididos em outras partes constituintes, não se sobrepõem, já que se referem a aspectos únicos da informação. “Qualquer violação da segurança da informação pode ser descrita como aquilo que afeta um ou mais desses atributos fundamentais da informação. Confidencialidade, integridade e disponibilidade foram mencionadas anteriormente” (BAARS; HINTZBERGEN; HINTZBERGEN, 2018, p. 27). Finalizamos nosso tópico e esperamos que você tenha compreendido a importância de as informações estarem corretas, acessadas somente por quem é devido. No próximo tópico, apresentaremos como as informações devem ser mantidas. 17 Neste tópico, você aprendeu que: • Há muita importância do conhecimento dos conceitos de segurança da informação para a proteção dos ativos. • Os ativos de informação não são apenas equipamentos, mas tudo que se refere à informação. • Os ativos da informação, em muitos negócios, têm muito valor. • Há importância de conhecer os princípios de segurança, para garantir que as políticas possam ser desenvolvidas. • Existem algumas medidas para a garantia dos princípios de segurança da informação. • Há métricas de disponibilidade da informação. • Existe o Hexadiano Parkeriano, uma forma de observar o novo cenário de segurança da informação. RESUMO DO TÓPICO 1 18 1 O processo de proteção da informação das ameaças se caracteriza como segurança da informação. Para que se sejam obtidos bons resultados, é necessário conhecimento sobre o assunto, para realizar uma boa gestão da segurança da informação. Para tanto, deve existir suporte a cinco aspectos principais: I- Somente as pessoas autorizadas têm acesso às informações. II- As informações são confiáveis e exatas. Pessoas não autorizadas não podem alterar os dados. III- Garante o acesso às informações, sempre que for necessário, por pessoas autorizadas. IV- Garante que, em um processo de comunicação, os remetentes não se passem por terceiros e nem que a mensagem sofra alterações durante o envio. V- Garante que as informações sejam produzidas respeitando a legislação vigente. Os aspectos apresentados correspondem, correta e respectivamente, à: a) ( ) Autenticidade - integridade - disponibilidade - legalidade - confidencialidade. b) ( ) Autenticidade - confidencialidade - integridade - disponibilidade - legalidade. c) ( ) Integridade - disponibilidade - confidencialidade - autenticidade - legalidade. d) ( ) Disponibilidade - confidencialidade - integridade - legalidade - autenticidade. e) ( ) Confidencialidade - integridade -disponibilidade - autenticidade - legalidade. 2 Imagine o seguinte cenário: Um hacker consegue acesso a um servidor web e, com isso, ele consegue ver um arquivo no servidor contendo números de cartões de crédito. Baseando-se nesse cenário, e analisando cada um dos princípios CIA (confidencialidade, integridade e disponibilidade),qual desses princípios o hacker violou ao acessar o arquivo de cartões de crédito? 3 Em uma empresa de prestação de serviços, ao fim do expediente, na impressora de rede, que se localiza no corredor da empresa, próxima ao refeitório, muitos dos documentos impressos não são buscados, ou sejam, ficam na impressora. Ao analisarmos o cenário, quais são as consequências em relação à confiabilidade da informação? a) ( ) A empresa não pode garantir a integridade da informação. b) ( ) A disponibilidade da informação não é mais garantida. c) ( ) A confidencialidade da informação não é mais garantida. d) ( ) A legalidade da informação não é mais garantida. AUTOATIVIDADE 19 TÓPICO 2 — UNIDADE 1 SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL 1 INTRODUÇÃO Talvez, a pergunta sobre a importância da segurança da informação seja irrelevante, dado o cenário em que vivemos. Grande parte das informações já não se encontra mais no meio físico, estamos apenas no formato digital e, na maioria das vezes, armazenada em uma nuvem. Se, para pessoas comuns, a perda de um celular gera grande incômodo, imagine a perda de dados para uma empresa. Existem diversos motivos para que as empresas se atentem à segurança das suas informações, como uma falha em um equipamento, um incêndio ou, até mesmo, o sequestro dos seus dados. Neste tópico, vamos falar como a empresa pode se precaver, pois, para muitas empresas, o seu maior capital é a regra de negócio da empresa, a fórmula de algum produto ou a configuração de um equipamento. Agora, imagine que uma invasão nos servidores tire seus sistemas do ar e faça com que a empresa pare de trabalhar por 24 horas. Apesar de ser algo comum, a situação, com certeza, traz transtornos financeiros, operacionais e, talvez, o mais difícil de recuperar, que é a confiança dos clientes. 2 ATIVOS DE INFORMAÇÃO Até o momento, vimos a importância das informações nas empresas. Neste tópico, conheceremos a importância da física. É importante sabermos que esta não começa na mesa de trabalho, e não se restringe a uma sala. Sua amplitude é bem maior. Antes de começarmos a falar de como a informação deve ser protegida, vamos ampliar nosso leque, e vamos tratar dos ativos da informação. Talvez, na empresa em que você trabalha, ou em algum assunto sobre contabilidade, você já deve ter ouvido falar dos ativos. O termo, tratando-se de segurança da informação, é muito utilizado. Entende-se “ativo” como qualquer componente (seja humano, tecnológico, software etc.) que ampara um ou mais processos do negócio de uma unidade ou área do negócio. 20 UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Uma outra boa definição de ativo é tudo aquilo que tem valor para a empresa. É preciso que todos os ativos relevantes sejam identificados, além de inventariados. Existe um pouco de confusão porque costumamos associar a expressão “inventário de ativos” ao usual inventário de hardware e software. Quando o assunto é segurança da informação, por “inventário de ativos”, devemos compreender um conjunto mais abrangente de ativos, que contempla sistemas, pessoas, ambientes físicos etc. Antes de começarmos, vamos contextualizar o que são ativos, segundo Souza (2013, s.p.): O departamento de TI não pode resumir os ativos a equipamentos de informática e softwares instalados no ambiente sob sua responsabilidade. É algo muito mais abrangente, que envolve tudo o que pode ter ou fornecer um valor para uma organização, justamente porque a definição de um ativo, na norma ABNT NBR ISO/IEC 27002 - Código de Prática para a Gestão de Segurança da Informação, é bem sucinta: Ativo: qualquer coisa que tenha valor para a organização. Portanto, é preciso localizar, e identificar todos esses ativos, que podem estar representados em diversas formas, de acordo com a ISO: a) Ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais do usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas. b) Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários. c) Ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos. d) Serviços: serviços de computação e comunicações, utilidades gerais, como aquecimento, iluminação, eletricidade e refrigeração. e) Pessoas e suas qualificações, habilidades e experiências. f) Intangíveis, como a reputação e a imagem da organização. Semelhante à definição proposta, Barreto et al. (2018) afirmam que pode ser considerado um ativo tudo que possui um valor para empresa, o que ela quer proteger. Os ativos são elementos fundamentais da segurança da informação e a razão da existência dessa preocupação. O valor de um ativo pode estar no próprio ativo, como um servidor, ou no uso que se faz dele, como em um banco de dados, conforme leciona Correa Junior (2011). Os ativos de informação podem ser divididos nas seguintes categorias: Informações: toda e qualquer informação que a empresa possui, digitalizada ou não. Software: esse grupo de ativos contém todos os programas de computador utilizados nos processos de acesso, leitura, transmissão e armazenamento das informações de uma empresa. Hardware: todos os elementos físicos que apresentam valor importante para uma empresa no que diz respeito à informação, por exemplo, computadores e servidores. Organização: no grupo, estão incluídos os aspectos que compõem as estruturas física e organizacional das empresas. Usuários: engloba os indivíduos que lidam com as informações no seu dia a dia de trabalho (BARRETO et al., 2018, p. 17). TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL 21 Agora que já definimos o que são os ativos de informação, vejamos como ocorrem as proteções lógica, física e humana desses ativos. 3 ACESSO À INFORMAÇÃO Para garantir a devida segurança das informações e dos ativos de TI, temos que ter em mente que eles estão armazenados em algum lugar, e que esse lugar precisa atender alguns requisitos para a garantia da segurança, itens que podem até passar despercebidos, como paredes e portas. Neste tópico, conheceremos maneiras de proteção dos ativos de informação e como podemos desenvolver maneiras de restrição dos acessos físico, lógico e humano. 3.1 CONTROLE FÍSICO Além de garantimos a segurança e a qualidade das nossas informações, é de suma importância garantir que nossos ativos estejam seguros. A segurança física é fundamental ao pensarmos em proteção de informações e continuidade dos negócios. O objetivo maior é impedir perdas, danos, furto, comprometimento de ativos e a interrupção das atividades da organização. Para tanto, os equipamentos necessitam de proteção contra ameaças físicas e do meio ambiente. Como vimos nas definições apresentadas por Souza (2013) e Barreto et al. (2018), todos os ativos possuem um certo valor e, dependendo desse valor, além das ameaças e riscos a esses ativos, medidas específicas devem ser tomadas. Segundo Baars, Hintzbergen e Hintzbergen (2018), devido à importância desses ativos, medidas de segurança física precisam ser tomadas para proteger a informação de incêndio, furto, vandalismo, sabotagem, acesso não autorizado, acidentes e desastres naturais. O objetivo, com esse tipo de proteção, segundo Baars, Hintzbergen e Hintzbergen (2018), é dificultar o acesso das pessoas aos ativos que necessitam ser protegidos. O anel externo representa a área em torno das instalações. No nível em questão, a proteção se refere aos acessos que circundam as instalações, por barreiras naturais e arquitetônicas, comovegetação densa ou um rio. Já as barreiras arquitetônicas são aquelas que incluem cercas e muros. O acesso deve ser permitido apenas para pessoas autorizadas, de modo que as barreiras sempre empreguem uma verificação pessoal e/ou eletrônica. 22 UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO FIGURA 7 – ANÉIS DE PROTEÇÃO FONTE: Baars, Hintzbergen e Hintzbergen (2018, p. 107) Para Baars, Hintzbergen e Hintzbergen (2018), o segundo nível se refere ao prédio, onde o controle e o acesso às instalações devem acontecer, uma vez que o anel externo, em alguns cenários, pode não acontecer. Devem existir algumas maneiras de melhorar a segurança dos prédios, e tornar seguras as aberturas nas instalações, como vidros resistentes, grades ou portas que não permitam o arrombamento. Além dessas medidas estruturais mencionadas, medidas de controle de entrada física podem ser adotadas. Nesta etapa, pode ser aplicado, também, o gerenciamento do acesso eletrônico. Medidas, como o acesso eletrônico, que inclui sistemas de cartão, fechaduras de código e acesso por RFID (ou Tags), são muito utilizados. Leia mais sobre a técnica de RFID em https://www.filipeflop.com/blog/ controle-acesso-leitor-rfid-arduino/ e https://www.usinainfo.com.br/blog/projeto-arduino- controle-de-acesso-rfid/. DICAS TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL 23 Além do RFID, existem outros tipos de controle de acesso que não podem ser penetrados, e podem complementar a segurança física. Segundo Baars, Hintzbergen e Hintzbergen (2018): • No crachá de identificação, colocar uma foto, pois isso torna a cópia um pouco mais difícil. Também ajuda a equipe de segurança a verificar se a credencial pertence ao portador. Lembrando que esse crachá/credencial deve ser único, ou seja, só deve ter um proprietário/usuário, caso contrário, não será possível determinar quem acessou o edifício/sala. • Outra prática é não colocar o nome da empresa ou logotipo na credencial, com utilização em estilo neutro. Em caso de perda, se alguém encontrar a credencial, seu propósito não deve estar óbvio. • Deve-se criar a cultura, na empresa, do uso da credencial, e de forma visível. Isso também deve se aplicar aos visitantes, para que a segurança e os funcionários possam detectar e abordar qualquer pessoa que não esteja usando uma credencial. • Todas essas credenciais também devem exibir uma data de validade legível para os humanos, ou seja, sem a necessidade de consulta em um sistema. Além do gerenciamento do acesso, com cartões/credenciais, ele também pode ser feito por biometria. A biometria se refere a tecnologias que medem e analisam características do corpo humano, como impressões digitais, retinas e íris dos olhos, padrões de voz, padrões faciais e medidas das mãos, para propósitos de autenticação. Características biométricas podem ser divididas em duas classes principais: fisiológicas, que são relacionadas à forma do corpo; e comportamentais, que são relacionadas ao comportamento da pessoa (BAARS; HINTZBERGEN; HINTZBERGEN, 2018, p. 108). Veja as diferentes formas de biometria: https://sites.google.com/site/ admtopicosdeinformatica/biometria/tipos-de-biometria e https://www.gta.ufrj.br/ grad/08_1/bio-voz/HMM.html. DICAS No próximo nível do anel de proteção está o local de trabalho, as salas dentro das instalações, o conhecido “anel interno”. Na parte mais interna, chamado objeto, é, efetivamente, o ativo que deve ser protegido. Medidas protetivas, como apenas “esconder” esses locais, não são suficientes e nem eficientes. Nada adianta realizar uma reunião de portas fechadas, sobre um assunto importante, e as paredes da sala permitem ouvir o que acontece lá dentro. Ainda, se as paredes são de vidro, e o planejamento está sendo apresentado em um quadro na parede (BAARS; HINTZBERGEN; HINTZBERGEN, 2018). 24 UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Vale ressaltar que cada espaço de trabalho deve ter sua função específica, e a proteção necessária para garantia da segurança. Medidas protetivas, para evitar as ameaças, devem ser tomadas, de acordo com a sensibilidade do ativo a ser protegido, como a estrutura da sala dos servidores, que deve possuir estrutura específica de construção e de refrigeração. Silva (2009) destaca os aspectos que devem ser analisados para a prevenção do acesso físico não autorizado, ocasionando danos e interferências prejudiciais aos ativos. A lista das ameaças, que devem ser consideradas na proteção dos ativos, é: • Incêndios. • Água (chuvas, enchentes). • Atividades sísmicas (terremotos, erupções vulcânicas) e furacões. • Sabotagens e vandalismos. • Explosões. • Materiais tóxicos. • Quedas no fornecimento de energia, água e refrigeração. • Desmoronamento de prédios. • Falhas de equipamentos. • Perdas pessoais (acidentes, doenças e acesso não autorizado). 3.2 SEGURANÇA LÓGICA Após a explicação do que é a segurança física dos sistemas de informação, de maneira bem genérica, podemos dizer que é tudo que não é físico, como as informações são protegidas dentro de um sistema, seja através da criptografia de arquivos, limitação, controle de acesso à internet, firewall etc. Antes de mais nada, é preciso que haja uma convergência entre a segurança física e a lógica. Nada adianta ter todos os arquivos protegidos em uma sala onde qualquer um pode entrar, por exemplo. Izquierdo (2017, s.p.) afirma que a proteção que ocorre na segurança lógica é a que controla o acesso a aplicativos, “dados, sistemas operacionais, senhas e arquivos de log por meio de firewalls de hardwares e softwares, criptografia, antivírus, outras aplicações contra hackers e possíveis invasões às fontes internas da empresa”. A segurança lógica permite que o acesso às informações seja liberado segundo as necessidades de uso de cada usuário, para realização das tarefas, com a devida identificação com senha e login. Dessa maneira, evita-se que pessoas não autorizadas, ou até mesmo funcionários, realizem funções que não sejam do seu cargo (IZQUIERDO, 2017). TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL 25 A proteção da informação vem sendo um grande desafio para as empresas, e exige investimento, não só de equipamentos e estruturas, mas de pessoal treinado e atualizado com as novas tecnologias de segurança da informação que surgem diariamente. Estar atento aos riscos é o primeiro passo para a melhor segurança. Os riscos que uma empresa pode correr, por não ter uma boa estrutura de segurança lógica, são muitos. Podemos listar, por exemplo, o acesso de terceiros a informações sigilosas, perdas de dados, falhas na rede causadas por fraudes etc. Como consequências, temos a perda de confidencialidade, que acontece quando há quebra de sigilo e informações restritas apenas a determinados funcionários são vazadas; perda de integridade, que significa que uma pessoa não autorizada consegue ter acesso e modificar algum dado importante; e a perda de disponibilidade, quando pessoas autorizadas passam a não conseguir acessar uma aplicação (IZQUIERDO, 2017). Já ouviu falar em sequestro de dados ou ransomware? Conheça um pouco mais sobre o tema em https://www.security.unicamp.br/blog/99-ransomware-arquivos- sequestrados/ e https://docs.microsoft.com/pt-br/windows/security/threat-protection/ intelligence/understanding-malware. DICAS Malware é o termo utilizado para descrever aplicativos e códigos mal intencionados. Esses programas podem causar sérios danos e interromper o uso normal de dispositivos. Como características, um malware pode permitir acesso não autorizado, usar recursos do sistema, roubar senhas, bloquear você do seu computador, pedir um resgate e muito mais. Vale ressaltar que essa prática dos criminosos cibernéticos,que distribuem malware, tem motivação financeira. Utilizam computadores infectados como porta de entrada para iniciar ataques, obter credenciais do banco, coletar informações que podem ser vendidas e vender acesso a recursos de computação. Os malwares podem ser classificados como mineradores de moedas virtuais, explorações e kits de exploração, phishing, ransomware, rootkits, ataques de cadeia de fornecedores, scams de suporte técnico, cavalos de Tróia, software indesejado e worms. 26 UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO O objetivo do nosso livro são as políticas de segurança, por isso, para mais informações sobre a classificação, acesse: https://docs.microsoft.com/pt-br/windows/ security/threat-protection/intelligence/understanding-malware. DICAS Como percebemos, a segurança física e a lógica caminham de mãos dadas, por isso, é necessário que haja uma convergência entre as duas áreas, a fim de obter melhores resultados para a segurança da empresa. 3.3 CONVERGÊNCIA ENTRE A SEGURANÇA FÍSICA E A LÓGICA Ainda é comum que as empresas tratem desses assuntos separadamente, porém, com a convergência dos dois departamentos, algumas ameaças podem ser identificadas e controladas de forma mais rápida. Além da diminuição dos riscos de segurança, há economia de tempo e dinheiro. A integração também ajuda nas auditorias, já que é possível ter acesso ao controle de todas as atividades que acontecem na empresa, melhorando as investigações e o rastreamento de possíveis problemas. Os dois departamentos trabalham pelo mesmo objetivo, ainda que de formas diferentes. Por isso, realizar a convergência é reconhecer a importância de todos os seus componentes para existirem soluções necessárias à segurança. Quando tudo acontece, a comunicação entre departamentos diferentes melhora, e é possível que mais funcionários participem da tomada de decisão (IZQUIERDO, 2017). Zaniquelli (2010, s.p.) corrobora, e diz que as convergências física e lógica nada mais são que a integração de ambas, e exemplifica: “imagine um cenário em que tenhamos câmeras espalhadas pela empresa inteira, porém apenas as câmeras são ineficientes para fins de investigação, ou seja, apenas exibem o que acontece naquele momento, sem gravar nada”. Para resolver o problema, é fundamental a convergência. É necessário começar a gravar e a armazenar os dados. Tudo que for filmado deve ser armazenado em um computador com HD suficiente, uma forma de convergir segurança física e lógica. Outro exemplo pode ser dado em relação ao controle de acesso: imagine que uma empresa possua catracas físicas, dessa forma, há controle físico da entrada. O funcionário passa o crachá e entra. As formas de integração seriam o registro e o armazenamento dos dados da entrada e saída do funcionário, permitindo a rastreabilidade dos funcionários. Assim, consegue-se melhorar a TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL 27 eficiência da segurança. É possível entregar uma credencial a um funcionário e, com essa credencial, ele pode acessar as áreas e sistemas que foram vinculados a ele. Pode-se verificar as áreas que esse funcionário passou, seus horários de acesso e tentativas de acesso não autorizadas (ZANIQUELLI, 2010). Zaniquelli (2010) reforça que os criminosos estão sempre bem atualizados e conseguem utilizar novos meios para roubar informações das empresas. Muitas vezes, os criminosos utilizam meios lógicos, como roubo de um computador, para, posteriormente, roubar os dados lógicos. A convergência, segundo Zaniquelli (2010), deve estar integrada com os processos da empresa, para facilitar a administração deles, pessoas e sistemas de TI. Ela também ajuda a dificultar ataques e, ao mesmo tempo, auxiliar na detecção, correção e prevenção: • Política de Segurança da Informação. • Provisionamento de usuário e ativos. • Monitoramento e auditoria. • Resposta a incidentes. • Plano de continuidade de negócios. Como vimos até agora, não basta ter várias camadas de segurança se elas não interagirem entre si, por isso, são os seres humanos que, efetivamente, dão garantia de sucesso ou fracasso nas seguranças física e lógica. 3.4 COMPONENTE HUMANO Quando falamos em componente humano, estamos nos referindo aos riscos que, consciente ou inconscientemente, podem afetar os ativos de informação. Nesta etapa, são consideradas todas as pessoas que possuem acesso às informações. No grupo, estão incluídos desde quem dá manutenção até aos que simplesmente utilizam (SILVA NETTO; SILVEIRA, 2007). Para Silva Netto e Silveira (2007), é uma etapa da segurança da informação que merece muita atenção e a mais difícil de ser avaliada, pois envolve pessoas com características individuais. Dentre os problemas já mencionados, em relação à individualidade dos que interagem com a informação, outro ponto é a engenharia social. Ela busca explorar a falta de consciência sobre segurança dentro de uma organização. Para conseguir o que quer, o criminoso que utiliza a técnica usa expressões corretas ou nomes de pessoas conhecidas e seus departamentos, enganando ou dando a impressão de que é um colega. Com essa técnica, um engenheiro social tira proveito dos pontos fracos das pessoas para concretizar seus objetivos. Como pontos de sucesso da técnica, podemos citar que grande parte das pessoas desconhece o conceito de engenharia social e não reconhece um engenheiro da área. 28 UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Conheça um pouco mais o tema e como ele é aplicado em https://www. kaspersky.com.br/resource-center/threats/malware-social-engineering. DICAS Uma maneira de acesso indevido das informações é devido à forma incorreta de descarte. 3.5 CICLO DE VIDA DA INFORMAÇÃO Quando falamos de ativos de informação, temos que ter em mente todo o processo, desde a obtenção até o descarte. Esse processo é composto por criação, obtenção, tratamento, distribuição, uso, armazenamento e descarte. Assim, podemos dizer que essas etapas são a espinha dorsal da informação, segundo Lyra (2015). A etapa de identificação das necessidades e dos requisitos é chamada de criação. São identificadas as necessidades de informação dos grupos e indivíduos que integram a organização e seus públicos externos (LYRA, 2015) A etapa seguinte é a obtenção, na qual são desenvolvidos procedimentos para captura e recepção da informação, esta que pode ser proveniente de uma fonte externa, de qualquer mídia ou formato. Ainda, é preciso garantir que a informação seja genuína e que foi produzida por pessoas ou entidades autorizadas, está completa e compatível com os requisitos apontados na etapa anterior (LYRA, 2015). Na etapa do tratamento, é o momento de deixar a informação ser aproveitada. Segundo Lyra (2015, p. 20), “é comum que a informação precise passar por processos de organização, formatação, estruturação, classificação, análise, síntese, apresentação e reprodução, com o propósito de torná-la mais acessível, organizada e fácil de localizar pelos usuários”. A garantia da integridade deve ser observada, especialmente, se estiverem envolvidas técnicas de adequação do estilo, adaptação de linguagem, contextualização, condensação da informação etc. Ainda nesta etapa, Lyra (2015, p. 20) adverte: TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL 29 O uso dessas técnicas deve levar em conta a preservação das características de quantidade e qualidade necessárias para que a informação efetivamente sirva. No caso das atividades de reprodução da informação para posterior distribuição, as questões relacionadas à preservação da confidencialidade podem adquirir grande relevância, uma vez que a existência de diversas cópias de umamesma informação, qualquer que seja a mídia utilizada (computador, papel, disquete, fita de áudio ou vídeo etc.), amplia os problemas de restrição de acesso aos usuários devidamente autorizados. A etapa de distribuição, como o nome já informa, consiste em levar a informação até seus consumidores. Deve-se garantir que a informação certa seja entregue a quem necessita dela para a tomada de decisão (LYRA, 2015). Na etapa do uso, os princípios de integridade e disponibilidade devem receber cuidado específico, pois se a informação estiver corrompida, difícil de localizar ou indisponível, pode atrasar os processos decisórios e operacionais da organização (LYRA, 2015). A etapa de armazenamento é o momento em que a informação é armazenada, seja em um banco de dados compartilhado, em uma anotação de papel para, posteriormente, ser registrada ou, ainda, em uma mídia guardada em uma gaveta (LYRA, 2015). A etapa do descarte é o momento em que o ativo de informação perde seu uso, podendo cair em mãos erradas. Lyra (2015, p. 23) afirma: Quando uma informação se torna obsoleta ou perde a utilização para a organização, ela deve ser objeto de processos de descarte que obedeçam a normas legais, políticas operacionais e exigências internas. Excluir, dos repositórios de informação corporativos, os dados e as informações inúteis melhoram o processo de gestão da informação de diversas formas: economizando recursos de armazenamento, aumentando a rapidez e eficiência na localização da informação necessária, melhorando a visibilidade dos recursos informacionais importantes etc. Entretanto, o descarte de dados e informação precisa ser realizado dentro de condições de segurança, principalmente no que tange ao aspecto da confidencialidade e, em menor grau, também de disponibilidade. No que tange à confidencialidade, o descarte de documentos e mídias que contenham dados de caráter sigiloso precisa ser realizado com observância de critérios rígidos de destruição segura (por exemplo, uso de máquinas fragmentadoras para documentos em papel, ou de softwares destinados a apagar, com segurança, arquivos de um microcomputador que, se simplesmente excluídos do sistema, poderiam ser facilmente recuperados com o uso de ferramentas de restauração de dados). Vejamos um resumo do ciclo de vida da informação: 30 UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO QUADRO 1 – CICLO DE VIDA DA INFORMAÇÃO FONTE: Armstrong et al. (2019, p. 590) Vale reforçar que cada empresa deve definir políticas de descarte de informação, pois caso isso não seja realizado, pode haver uso indevido. Veja o exemplo apresentado por Fontes (2006, p. 17): Disputa entre academias de ginástica chega à Justiça A concorrência acirrada entre as academias de ginástica de São Paulo chegou à Justiça. A Companhia Athletica está processando a academia Reebok por suposto roubo de mala direta, o que caracteriza crime de concorrência desleal. Como parte do inquérito policial aberto pela Polícia Civil de São Paulo, o Instituto de Criminalística da Secretaria de Segurança Pública do Estado elaborou um laudo comprovando que a maioria dos nomes de clientes da Cia. Athletica consta ‘de forma idêntica’ no arquivo da Reebok apreendido pela polícia. A briga começou quando a Reebok inaugurou sua unidade na Vila Olimpia, cerca de 500 metros da Cia. Athletica do Brooklin. Vários clientes da Cia. Athletica reclamaram do fato de terem recebido correspondência da concorrente e queriam saber se a academia teria vendido seus dados cadastrais. Fontes (2006) alerta que toda informação tem um valor para a organização e, por isso, deve haver cuidado em todas as etapas. Para uma empresa que presta serviço, o cadastro de clientes tem muito valor e deve ser protegido adequadamente. Por ingenuidade, talvez, muitas vezes, a organização só se preocupa com invasões mirabolantes, e acaba pecando com pequenas coisas, como uma listagem de clientes jogada no lixo ou venda de equipamento/mídia de armazenamento sem a devida destruição da informação anteriormente gravada. Na próxima unidade, veremos um pouco mais sobre os riscos, ameaças e vulnerabilidades dos ativos de informação. 31 RESUMO DO TÓPICO 2 Neste tópico, você aprendeu que: • Os ativos de informação precisam de certos cuidados para serem acessados. • Deve-se conhecer como os ativos estão armazenados. • A segurança lógica merece muita importância. • Não há como desassociar a convergência entre as seguranças física e lógica. • O componente humano é fundamental para a garantia da segurança da informação. • As etapas do ciclo de vida da informação devem ser observadas, inclusive quando ela perde utilidade. 32 1 Você é funcionário de uma grande empresa e, no meio do expediente, recebe uma ligação de uma pessoa alegando ser do departamento de suporte e que estão precisando fazer uma atualização no sistema. A pessoa pergunta a sua senha, pois precisa fazer a conexão remota. Que tipo de ameaça é essa? a) ( ) Ameaça natural, pois é natural esse tipo de chamada. b) ( ) Engenharia social, pois um funcionário do departamento de suporte nunca pergunta a sua senha. c) ( ) Ameaça social, pois acaba com a confiança na empresa. d) ( ) Ameaça organizacional, pois as organizações usam o procedimento. 2 Na segurança física, utilizamos maneiras de proteger os equipamentos e informações contra agentes mal intencionados, ou usuários que não possuem autorização. Uma forma de resolver, de maneira simples, é implantar recursos de identificação de funcionários, como crachás, senhas e cadastro de digitais. Podem ser aplicadas várias zonas de expansão (anéis de proteção), em que podem ser tomadas diferentes medidas. O que não é um anel de proteção? a) ( ) Um prédio. b) ( ) Um anel intermediário. c) ( ) Um objeto. d) ( ) Um anel externo. 3 Ao analisar a estrutura de segurança de uma empresa, percebe-se que a sala de computadores é protegida por um leitor de dispositivos de acesso, e que somente os funcionários do departamento de gestão de sistemas possuem um dispositivo de acesso. Que tipo de medida de segurança é essa? a) ( ) Uma medida de segurança física. b) ( ) Uma medida de segurança corretiva. c) ( ) Uma medida de segurança lógica. d) ( ) Uma medida de segurança repressiva. AUTOATIVIDADE 33 TÓPICO 3 — UNIDADE 1 VULNERABILIDADES, AMEAÇAS E RISCOS 1 INTRODUÇÃO Santos (2018) afirma que uma empresa só é capaz de resolver, rapidamente e de maneira assertiva, as ameaças, quando possui conhecimento total sobre seu negócio, e consegue responder: Que vulnerabilidades possuo? A que ameaças estou suscetível? Quais agentes estão envolvidos? Quais são os impactos históricos e possíveis da exploração dessas ameaças? Para que possamos desenvolver políticas e controlar nossos ativos, é de suma importância saber o que pode nos atingir. Por isso, precisamos conhecer nossas vulnerabilidades, o que nos ameaça e a que riscos estamos expostos. 2 ABORDAGEM Exemplificando um pouco melhor esses termos, Santos (2018) menciona que vulnerabilidade também pode ser chamada de falha ou fraqueza, por exemplo, uma parede rachada; dentro de uma rede, podemos encontrar uma “rachadura” ou falha; em um design mal planejado; implementação mal realizada; ou até em controles internos de um sistema mal desenvolvido, levando a rede a abrir pequenas falhas na política de segurança. Vulnerabilidades (internas) podem ser tratadas. Fraquezas podem ser identificadas e, até mesmo, eliminadas, com a aplicação de ações proativas para correção das vulnerabilidades. Ameaça é a possibilidade de um agente, interno ou externo, explorar acidentalmente ou propositalmente uma vulnerabilidade específica.
Compartilhar