Baixe o app para aproveitar ainda mais
Prévia do material em texto
85 SEGURANÇA DA INFORMAÇÃO Unidade III 5 SEGURANÇA FÍSICA E LÓGICA A segurança da informação também está associada à proteção dos ativos de informação nos estados físico e lógico. Assim, criar mecanismos para proteger as informações nesses dois estágios de vida representa um desafio para os profissionais de segurança da informação por se tratarem de ativos de informação diferentes em sua concepção, mas que da mesma forma requerem uma combinação de medidas preventivas, reativas ou detectivas. Ou seja, a segurança física e a lógica trabalham juntas para evitar que as ameaças explorem alguma vulnerabilidade existente. 5.1 Segurança física A segurança física é responsável pela proteção de todos os ativos valiosos da organização, razão pela qual sua abrangência é extensa – vai desde as instalações físicas, internas e externas em todas as localidades da organização, até a proteção dos ativos quando estão sendo transportados como valores ou fitas de backup. Quando nos referimos a segurança física, a primeira palavra que vem à mente é prevenção, já que medidas preventivas, as quais podem ser chamadas de barreiras de segurança, devem ser tomadas. Segundo Beal (2008), uma barreira de segurança é um obstáculo que serve para prevenir um ataque. No quesito físico, um exemplo poderia ser uma cerca elétrica ou uma parede; quando falamos em segurança lógica, um exemplo seria um processo de logon para acesso a uma rede. Se ambas forem combinadas, comporemos o perímetro de segurança. A melhor forma de definição para perímetro de segurança seria uma linha delimitadora que define uma área separada protegida por um conjunto de barreiras físicas e lógicas. Alguns exemplos de barreiras que agregadas podem formar um perímetro de segurança são: salas- cofre, roletas de controle de acesso físico, token, ou dispositivo biométrico para autenticação de pessoas antes da liberação da passagem, circuitos internos de TV, detectores de fumaça, sirenes e alarmes de incêndio, acionadores de água para combate a incêndio etc. De acordo com a ISO 27001, citada anteriormente, perímetro de segurança é qualquer elemento que estabeleça uma barreira ao acesso indevido. Ela também define que, como melhores práticas para a segurança física, sejam considerados alguns itens de segurança obrigatórios: 86 Unidade III Quadro 20 – Itens de segurança física definidos pela ISO/IEC 27001 Itens de segurança obrigatórios Perímetro de segurança deve estar claramente definido. Perímetro de prédios ou locais que contenham recursos de processamento de dados fisicamente consistente (sem brechas que facilitem a invasão). Implantação de área de recepção ou outro meio de acesso físico ao local ou prédio e restrição do acesso a pessoas autorizadas. Barreiras físicas estendidas da laje do piso até a laje superior, quando necessário para prevenir acessos não autorizados ou contaminação ambiental causada por fogo, inundação, fumaça etc. Portas de incêndio no perímetro de segurança com sensores de alarme e mola para fechamento automático. Diante do escopo abrangente que remete à segurança física, é necessária a adoção de práticas de gestão idênticas às adotadas na gestão da segurança da informação, como análise e avaliação de risco e elaboração de normas. Tais práticas são necessárias para a correta e eficaz introdução de um processo de gestão da segurança física. Compreender o ambiente físico da organização é o primeiro passo para a identificação das vulnerabilidades, que podem abrir brechas para as ameaças capazes de comprometer o ambiente físico da organização. As ameaças e as vulnerabilidades mais comuns podem ser exemplificadas: Quadro 21 – Ameaças e vulnerabilidades à segurança física Ameaças Vulnerabilidades Roubos e furtos Ausência ou falha no controle de acesso físico aos edifícios da organização Sabotagem e vandalismo Ativos físicos de fácil acesso ou expostos desnecessariamente Sequestro e chantagem Falha ou ausência na proteção física dos ativos de informação ou na proteção dos colaboradores da organização Terrorismo ideológico ou criminoso Falha ao evitar que a organização entre em temas polêmicos ou ideológicos Interrupção em serviços básicos como água, energia e gás Ausência ou falhas em planos de contingência Problemas em sistemas de suporte como ar condicionado e ventilação Ausência ou falhas em planos de contingência Fogo e fumaça Ausência ou falhas em mecanismos de detecção de incêndio Vazamento de água e enchentes Ausência ou falhas nos mecanismos de prevenção 87 SEGURANÇA DA INFORMAÇÃO Lembrete Para a definição de mecanismos apropriados à segurança física são necessários os mesmos procedimentos adotados para a definição dos mecanismos apropriados à segurança da informação como um todo. A análise de risco para os aspectos físicos auxilia na identificação das instalações físicas e dos ativos de negócio que estão associados à proteção física e, com isso, na adoção de mecanismos que contrabalanceiem investimento e benefício, uma vez que controles físicos requerem investimentos razoavelmente altos. A segurança da informação deve interferir o mínimo possível na rotina de uma organização, porém quando o assunto é segurança física essa intervenção é inevitável e necessária para tornar o ambiente seguro. Assim, devem ser adotados padrões mínimos para proteção física da organização, de seus ativos de informação e de seus colaboradores. Quanto maior a necessidade de proteção, maior vai ser a intervenção da segurança da informação na rotina da organização e, consequentemente, será gerado desconforto aos colaboradores. O grande desafio da segurança da informação, especificamente da segurança física, é o de adotar mecanismos de proteção física que contrabalanceiem as dificuldades e as proteções para evitar o excesso de procedimento de controle. O uso de planos de conscientização ajuda a dividir a responsabilidades e, com isso, reduzir a sensação de desconforto causada pela implantação de mecanismos de proteção física no ambiente da empresa. A padronização dos mecanismos de proteção física nas áreas comuns da organização é uma preocupação que transcende a segurança da informação, pois envolve a própria edificação da estrutura de construção da organização. O conceito de Prevenção Criminal por meio do Desenho Ambiental vem sendo desenvolvido por 35 anos em constante evolução. Após a sua elaboração inicial na década de 1960, Oscar Newman estabelece as bases do assunto com o livro Defensible Space (1972). A teoria se baseia na possibilidade de reduzir o crime e o medo por meio de certas medidas de planejamento e projeto de áreas. Para isso, o autor se utiliza de duas abordagens básicas: • A primeira, de que é possível desenhar ambientes que reduzem as oportunidades para que um crime possa ocorrer. • A segunda, de que é possível adotar medidas necessárias de segurança com foco na redução do medo do crime e no aumento da sensação de segurança pessoal, melhorando assim a qualidade de vida e o relacionamento interpessoal. 88 Unidade III Assim, no projeto de construções e espaços urbanos, alguns princípios básicos dispostos pela teoria são passíveis de ser seguidos por pessoas da área. Vejamos: • Iluminação: deve ser adequada de acordo com o horário (dia ou noite) para melhorar a sensação de segurança e desencorajar a prática do crime, porque inibe a ação do criminoso e aumenta a capacidade de visão da vigilância. • Campo de visão: visa a projetar áreas em que os usuários possam ter um largo campo de visão, o que lhes permite antecipar as proximidades de onde ele está no momento. Isso dá sensação de segurança e de antecipação. Um bom campo de visão de uma área aumenta naturalmente a quantidade de pessoas vigiando o ambiente. • Pontos de esconderijo: devem ser evitadas as vielas ou reentrâncias em construções, porque podem servir de esconderijo para criminosos. • Prever os movimentos: deve-se evitarfazê-lo em construções que podem predizer por onde as pessoas devem necessariamente passar, como túneis para pedestres ou passarelas, os quais podem facilitar ação de criminosos. • Vigilância natural: projetar ambientes que permitem um bom campo de visão aumenta a vigilância natural e a exposição de alguém que queira cometer um crime. • Uso misto de áreas: a mistura de áreas residenciais com comerciais garante uma boa distribuição de pessoas em diversos horários, garantindo a vigilância a qualquer hora do dia. • Geradores de atividades: criar espaços que geram atividades e que tragam as pessoas para ocupá-los, como parques e praças de alimentação em ambientes abertos. • Manutenção: por meio da manutenção constante, as áreas devem criar um senso de propriedade nas pessoas que as utilizam. Deve haver uma manutenção programada que além de manter a limpeza desencoraja a ação de vândalos. • Sinalização: as localidades e os caminhos devem estar claramente sinalizados, pois isso transmite a sensação de segurança aos usuários, que podem identificar facilmente pontos de apoio ou rotas alternativas de fuga. • Localidade das instalações: a localização geográfica interfere diretamente na segurança da informação e é crucial na hora de identificar as ameaças, as vulnerabilidades e os riscos para aquele ambiente. Por meio da localização geográfica é possível analisar a probabilidade de ocorrerem problemas de ordem natural ou climática. Algumas perguntas devem ser respondidas quando analisamos a localização física: O local pode ser alvo de ataques terroristas? Manifestações públicas são constantes ou esperadas? Existe histórico de problemas recorrentes com o fornecimento dos serviços básicos? 89 SEGURANÇA DA INFORMAÇÃO A área traz riscos inerentes, como proximidade com aeroportos, bases militares ou zonas de alto índice de incidência de crimes? Os projetos de construção devem pensar nos aspectos de segurança relacionados à entrada de veículos, colaboradores, visitantes, prestadores de serviço, entregadores, logística, fornecimento de serviços básicos, sistema de ar condicionado e ventilação, de forma a garantir que a operação de organização não seja interrompida. Também é preciso pensar na implantação de mecanismos de proteção na sua própria concepção. A primeira forma de proteção física de uma organização costuma ser a chamada proteção perimetral ou periférica, que é constituída de barreiras que compõem a segurança periférica. Quadro 22 – Barreiras perimetrais ou periféricas Barreiras Características Cercas Podem ser construídas de aço galvanizado, ferro ou até mesmo eletrificada e servem para demarcar a fronteira externa de uma construção. O maior benefício é o de manter o nível de visão e ruído produzido na tentativa de ultrapassagem. A desvantagem é que é facilmente cortada, transposta. Paisagismo Tem como principal objetivo criar barreiras naturais de proteção. Exemplos dessas barreiras podem ser arbustos ou paredes feitas de árvores. Portões São mecanismos de controle de acesso físico que se aplicam às pessoas e, com maior frequência, aos veículos. Barreiras veiculares Formadas por colunas de concreto ou metal colocadas nas calçadas, cujo objetivo é impedir a aproximação ou o estacionamento de veículos, sem atrapalhar o tráfego de pedestre. As barreiras de proteção podem ter efeitos detectivos e preventivos quando inibem ou detectam a ação de um intruso no ambiente físico. Exemplo desses mecanismos são fatores como iluminação, alarmes de intrusão, sensores de presença e circuito fechado de TV. Para a segurança física, a iluminação tem um função muito maior do que apenas para deixar o ambiente mais claro. Como já foi dito anteriormente, ela aumenta o campo de visão no período noturno e inibe a ação de intrusos, prevenindo assim a ação um criminoso. Os alarmes de intrusão são utilizados geralmente como barreiras externas e têm a finalidade de alertar sobre a existência de um possível intruso no perímetro de proteção. Geralmente são colocados na extensão total dos muros por meio de pequenos fios que quando rompidos disparam um alarme sonoro ou visual, requerendo assim a intervenção dos seguranças. Os sensores de presença utilizam diversos tipos de tecnologias na tentativa de detectar a presença de pessoas não autorizadas dentro de ambientes controlados. As mais comuns são a quebra de circuito elétrico, interrupção de feixe de luz, infravermelho passivo, detector ultrassônico e dispositivos micro-ondas. Um circuito elétrico funciona quando a transmissão da corrente é interrompida por conta da interrupção de um fio, como um conector que se fecha quando a porta está fechada e se abre quando a porta está aberta, acusando assim a violação. 90 Unidade III No processo de interrupção de feixe de luz, existe um feixe produzido por dispositivos fotoelétricos que, quando interrompidos por uma pessoa, disparam um alarme acusando a intrusão. O feixe pode ser visível ou invisível e também pode ser utilizado com detector de incêndio. O infravermelho passivo funciona semelhantemente ao feixe de luz, porém a energia infravermelha é emanada no ambiente por um único sensor capaz de detectar variações na reflexão causadas pelo movimento. Os detectores ultrassônicos produzem no ambiente padrões de energia acústica não percebidas por seres humanos, que são alterados caso uma pessoa entre no ambiente. A vantagem desse sistema é que são imperceptíveis aos seres humanos, porém possui a desvantagem de que algum barulho externo pode gerar um alarme falso positivo. Os dispositivos de micro-ondas são semelhantes aos dispositivos ultrassônicos, com a vantagem de não sofrerem interferência externa ao se utilizar antenas que permitem cobrir uma grande área de monitoramento. Porém, existe a dificuldade de confinar o sinal no mesmo ambiente. Os circuitos fechados de TV (CFTV) são sistemas de monitoramento que captam imagens por meio do uso de câmeras e as transmitem remotamente, permitindo assim o monitoramento. As imagens geradas podem servir de provas em um processo posterior de perícia e investigação. De acordo com a qualidade das imagens e a frequência com que são capturadas, os circuitos fechados de TV possuem alguns níveis básicos: • Os detectivos, que somente visam identificar a presença de um corpo estranho, sem que seja possível a identificação. • Os que permitem o reconhecimento, com o qual é possível diferenciar um homem de um animal, por exemplo. • Os mais avançados, que permitem a identificação em detalhes de um corpo, como traços faciais, o que auxilia na identificação de uma pessoa. Quadro 23 – Componentes básicos de sistemas CFTV COMPONENTES DESCRIÇÃO Câmera e lente Capta as imagens através de lentes intercambiáveis, que permitem a substituição de lentes de acordo com necessidade. Iluminação A luz é um fator primordial para a captação de imagens. Em última instância, é exatamente aquilo que é captado pela câmera. Mídia de transmissão Pode ser com ou sem fio. Exemplos: cabos coaxiais, linhas telefônicas, redes elétricas, redes de dados, redes wi-fi e outras. Monitores Utilizados na visualização de imagens, a tecnologia dos monitores interfere na qualidade das imagens apresentadas. Dispositivos de armazenamento O armazenamento é opcional e pode ser realizado em sistemas digitais ou analógicos. 91 SEGURANÇA DA INFORMAÇÃO Saiba mais Os filmes a seguir podem propiciar uma breve noção dos diversos mecanismos para segurança física, relacionados aos conteúdos dessa unidade: Missão Impossível 3. Dir. J. J. Abrams, 126 minutos, 2006. Efeito Dominó. Dir. Roger Donaldson, 110 minutos, 2008. A segurança da informação nos aspectos físicos deve estar atenta a outras formas de proteger a segurança dos ativos de informação físicos. Segundo a norma ISO/IEC 27001, devem ser protegidos escritórios, salas e instalações de processamento, áreas de expedição e carga, documentos em papel, mídias de computador,arquivo de documentos eletrônicos, hardware, cabeamento, proteção, remoção e descarte de equipamentos, políticas de mesa limpa e tela limpa etc. A proteção dos escritórios, salas e instalações de processamento definidas pela ISO/IEC 27001 contempla que salas de escritório devem ser devidamente fechadas e que os equipamentos devem efetuar o bloqueio de acesso por inatividade, evitando assim o acesso indevido. As áreas de expedição e carga devem ter acesso restrito e supervisão constante para prevenir atividades não autorizadas. Os mecanismos de proteção recomendados para essas áreas são equipamentos fotográficos, de vídeo, áudio e gravação. Recomenda-se também que as áreas de expedição e carga fiquem distantes e isoladas das áreas de processamento, pois isso evita que pessoas ou empresas não tenham acesso a áreas que possuem informações confidenciais. A norma ISO IEC/27001 recomenda que os documentos em papel tenham procedimentos de tratamento que cubram no mínimo os seguintes aspectos: cópia, armazenamento, transmissão pelo correio, fax e entregadores e descarte seguro. A norma procura esboçar as melhores práticas para proteger os ativos de informação em papel em todo o seu ciclo de vida e também seguindo a classificação da informação. Para isso, dispõe dos seguintes mecanismos de proteção: • Usar rótulos para identificar documentos que requerem tratamento confidencial. • Estabelecimento de uma política para armazenamento de papéis em local protegido que assegure informações confidenciais ou críticas ao negócio, como cofres ou arquivos resistentes a fogo. • Adoção de procedimentos especiais para impressão e transmissão via fax de documentos confidenciais. • Procedimentos especiais para envio de documentos em papéis via correio ou entregadores devem ser adotados para informações confidenciais, como envelopes lacrados. 92 Unidade III As mídias de computador (CDs, disquetes, DVDs, fitas magnéticas, discos removíveis etc.), assim como os documentos em papéis, precisam ser controlados e fisicamente protegidos. No caso das fitas de backup, sua proteção é uma das grandes preocupações da segurança física. Quadro 24 – Medidas de proteção para mídias Principais medidas de proteção para mídias Armazenamento em ambiente protegido contra furto e compatível com as especificações do fabricante. Remoção do conteúdo de qualquer meio magnético reutilizável. Descarte de seguro (trituração ou incineração de mídias). Uso de rótulos para identificação de mídias com conteúdo confidencial e adoção de serviços e mecanismos compatíveis. Mídias que serão levadas para fora das instalações devem se sujeitar a procedimentos de proteção e normas para que sejam devidamente protegidas fora do ambiente organizacional. Os arquivos de documentos eletrônicos requerem atenção quando da guarda permanente, por isso devem ser guardados e organizados de forma a serem facilmente achados para consultas futuras. ...documentos eletrônicos, cada vez mais presentes nas organizações, alteram o foco da gestão para questões como a exigência de mediação e a exigência de mecanismos de segurança (BEAL, 2008, p. 84). Segundo a exigência da mediação, os documentos eletrônicos devem utilizar aparatos técnicos e informáticos para serem compreensíveis aos seres humanos, ou seja, são necessários softwares para mediar o acesso a tais documentos. A exigência de mecanismos de segurança se torna necessária uma vez que documentos eletrônicos são mais suscetíveis a adulterações do que os documentos em papel, e por isso devem possuir mecanismos que protegem a confidencialidade, integridade e a disponibilidade das informações. A proteção dos dispositivos de hardware também é necessária, pois os computadores são de fácil remoção (por isso podem ser facilmente furtados) e podem conter informações importantes em seus discos rígidos. Mas a segurança física também deve se preocupar com a proteção contra as ameaças de descargas elétricas causados por raios, bem como com a integridade física do hardware para que ele possa operar de forma adequada, como prevenção contra panes causadas por derramamento de líquidos no teclado e excesso de umidade do ambiente. A proteção de problemas ambientais e acidentais depende de um planejamento cuidadoso de medidas de proteção, a iniciar-se pelo 93 SEGURANÇA DA INFORMAÇÃO levantamento dos ativos físicos existentes e de sua localização e importância para a organização (BEAL, 2008, p.86). Problemas com falhas do próprio hardware também devem ser previstos pela segurança da informação, como defeitos de fabricação ou mau funcionamento. Estes podem ocasionar danos irreversíveis aos ativos de informação de uma organização. A manutenção correta dos equipamentos pode minimizar os defeitos ou falhas em hardware, como uma avaliação do ambiente antes de qualquer instalação de qualquer tipo de equipamento relacionado a TI. Isso reduz o nível de exposição a acessos desnecessários, sabotagem, espionagem, entre outros riscos. Assim, a criação de regras que inibam ações que possam colocar os equipamentos em risco é necessária para a correta proteção dos ativos físicos. Políticas específicas para restrição de alimentos, bebidas e fumo próximos às instalações de processamento de informações, monitoração de aspectos ambientais que possam afetar as instalações (IDEM, p. 88). A remoção, o descarte e o transporte de equipamentos devem receber atenção especial sobre onde controles específicos devem ser implementados para, assim, evitar vazamento de informações e problemas com furto de componentes – como discos rígidos. Por isso, a implantação de lacres ou cadeados nos equipamentos aumenta as chances de redução desse risco. O envio de equipamento para manutenção em autorizadas ou empresas contratadas também pode representar risco à segurança das informações confidenciais armazenadas nos equipamentos quando não são adotados os procedimentos devidos para tal. Para salvaguardar as informações, podem ser firmados contratos de confidencialidade ou então ser feita a retirada do disco rígido antes de enviar os equipamentos para a manutenção. Toda e qualquer intervenção técnica em equipamento deve ser acompanhada por uma pessoa responsável. Quando do recolhimento do equipamento para descarte definitivo, é recomendada a correta eliminação de todos os softwares e dados contidos nos equipamentos. No caso de equipamento que contém informações sensíveis, confidenciais ou importantes, a destruição definitiva do disco rígido pode ser uma alternativa mais segura. Outros métodos utilizados são em relação a equipamentos portáteis transportados por colaboradores em viagens. Estes devem ser levados como bagagens de mão e acondicionados em recipientes que não revelem que se trata de um equipamento. O uso de senhas de acesso e de mecanismos criptográficos também são ações de proteção comuns e recomendáveis. A segurança física dos cabeamentos elétricos e de telecomunicações também faz parte dos assuntos recomendados pela ISO/IEC 27001. 94 Unidade III Quadro 25 – Melhores prática para cabeamento ISO/IEC 27001 Sempre que possível, é recomendável o uso de linhas elétricas e de telecomunicação subterrânea, ou pelo menos sujeitas à proteção alternativa adequada. Cabeamento de rede protegido contra interceptações não autorizadas ou danos, por exemplo, pelo uso de conduítes ou evitando a instalação em áreas públicas. Cabos elétricos separados dos cabos de comunicação para prevenir interferências. Controles adicionais para sistemas críticos, como uso de conduítes blindados e salas ou gabinetes trancados nos pontos de inspeção e terminais, cabeamento de fibra ótica, varredura para identificação de dispositivos não autorizados conectados aos cabos. A organização deve considerar a adoção de uma política de mesa limpa para papéis e mídias removíveis e uma política de tela limpa para os recursos de processamento da informação, de forma a reduzirriscos de acesso não autorizado, perda e danos à informação durante e fora do horário normal de trabalho. A política deve levar em consideração as classificações da segurança das informações, os riscos correspondentes e os aspectos culturais da organização. As informações deixadas em mesas de trabalho também são alvos prováveis de danos ou destruição em um desastre, como incêndio, inundações ou explosões. Recomenda-se que os seguintes controles sejam considerados: • Convém que papéis e mídias de computador, quando não estiverem sendo utilizados, sejam guardados em gavetas adequadas com fechaduras e/ou outras formas seguras de mobiliário, especialmente fora do horário normal de trabalho. • Informações sensíveis ou críticas ao negócio, quando não requeridas, devem ser guardadas em local distante, de forma segura e fechada (de preferência em um cofre ou arquivo resistente a fogo), especialmente quando o escritório estiver vazio. • Computadores pessoais, terminais de computador e impressoras não devem ser deixados ligados quando não assistidos e devem ser protegidos por senhas, chaves ou outros controles quando não estiverem em uso. • Pontos de recepção e envio de correspondências e máquinas de fax e telex não assistidas devem ser protegidos. • Copiadoras devem ser travadas (ou de alguma forma protegidas contra o uso não autorizado) fora do horário normal de trabalho. • Informações sensíveis e classificadas, quando impressas, devem ser imediatamente retiradas da impressora. • Algumas áreas requerem segurança maior por tratarem de assuntos confidenciais ou por possuirem ativos físicos de maior valor ou importância para a organização. Essas áreas são chamadas de áreas de segurança. 95 SEGURANÇA DA INFORMAÇÃO • Manuais e controles adicionais podem ser necessários para melhorar as condições de uma área de segurança. Isto inclui controles tanto para o pessoal da organização como para prestadores de serviços que trabalham em áreas de segurança, assim como para atividades terceirizadas que possam ocorrer nessa área. • Os colaboradores só podem ter conhecimento da existência de área de segurança ou de atividades dentro dela quando necessário. • Deve ser evitado o trabalho sem supervisão nas áreas de segurança, tanto por razões de segurança como para evitar oportunidades para atividades maliciosas. • É necessário que as áreas de segurança desocupadas sejam mantidas fisicamente fechadas e verificadas periodicamente. • Convém que pessoal de serviço de suporte terceirizado tenha acesso restrito às áreas de segurança ou às instalações de processamento de informações sensíveis somente quando suas atividades o exigirem e que este acesso seja autorizado e monitorado. • Barreiras e perímetros adicionais para controlar o acesso físico podem ser necessários em áreas com diferentes requisitos de segurança dentro de um mesmo perímetro de segurança. • Importante que não se permita o uso de equipamentos fotográficos, de vídeo, de áudio ou de outro equipamento de gravação, a menos que seja autorizado nas locações da organização. 5.2 Segurança lógica Quando falamos do controle de acesso lógico e na interligação em redes, os problemas de segurança se multiplicam de forma alarmante. Basta um único usuário descuidado para comprometer toda a segurança de uma rede inteira. No caso das redes conectadas à internet, a proteção física já não garante a segurança da informação, pois nesse ambiente as ameaças são multiplicadas e potencializadas – tanto ameaças externas, como invasões e ataques de negação de serviço, quanto ameaças internas, como erros, abusos de privilégios, fraudes etc. Todas as novas tecnologias devem ser analisadas para que as medidas de segurança sejam devidamente implementadas. Os controles lógicos podem ser fundamentais para adequar a organização aos seus requisitos de segurança (BEAL, 2008, p. 92). Para facilitar a implantação e o controle dos mecanismos de proteção lógica, a segmentação dos problemas em áreas pode ser uma solução. 5.2.1 Segurança em redes Como é no canal de comunicação que a informação corre um maior risco de vazar ou de ser utilizada com más intenções, a ausência de segurança em redes somente amplia tais riscos para a segurança de dados, informações e serviços. As redes nos dias atuais se confundem com o próprio 96 Unidade III negócio da organização, tanto que para isso a implantação de mecanismo de segurança para redes é fundamental. A segurança em redes sempre foi considerada uma alternativa à segurança em estações de trabalho. O argumento dado sempre foi o da praticidade e da facilidade, pois achava-se que se a rede estivesse protegida as máquinas estariam seguras. Com o passar do tempo, a adoção de criptografia nos protocolos de rede fez com que essa abordagem perdesse parte de sua eficácia. A ameaça que pode explorar as vulnerabilidades das redes pode agir de forma interna ou de forma passiva. As ameaças internas são desencadeadas por ataques que interagem diretamente com o ambiente. Nas ameaças passivas não há interação direta com a máquina atacada, pois o foco é a coleta de informação sobre o alvo por meio da interceptação de comunicações ou buscas em quaisquer fontes de pesquisa que possam ter informações relevantes. As ameaças às redes de dados podem ser tipificadas dependendo dos objetivos que elas possuem em relação ao alvo atacado, podendo ser de interceptação, de modificação, de interrupção ou de fabricação. Na interceptação, o atacante se posiciona entre dois dispositivos que estão se comunicando e faz com que essa comunicação passe por ele. Dessa forma, o atacante consegue copiar as informações que estão sendo transmitidas. Tráfego normal Atacante Atacante redireciona o tráfego, fazendo-o passar pela sua máquina Estação 1 Estação 2 Figura 20 – Ataque de interceptação Um dos principais tipos de ataque desta classificação é o man-in-the-middle, em que o invasor simula ser o parceiro de ambas as partes envolvidas na conexão, assumindo a identidade de um usuário válido. O ataque de modificação visa a alterar a comunicação entre duas partes, atacando assim a integridade das informações comunicadas naquele canal. 97 SEGURANÇA DA INFORMAÇÃO Tráfego normal Atacante Atacante captura o tráfego entre as estações e o reenvia com alterações Estação 1 Estação 2 Figura 21 – Ataque de modificação Um exemplo de ataque desta classificação é o Replay, em que parte de uma transmissão da rede é copiada e reproduzida posteriormente, simulando um usuário autorizado. Já o ataque de interrupção acontece quando o atacante se posiciona entre as partes que estão em comunicação, conseguindo assim que o tráfego gerado pela origem não chegue ao destino. Tráfego normal Atacante Atacante ataca a Estação 2 comprometendo seu funcionamento normal e indisponibilizando os seus serviços Estação 1 Estação 2 Figura 22 – Ataque de interrupção O principal tipo de ataque classificado como interrupção é o Denial of Service (DoS), que é o envio de requisições em massa para um determinado computador, de modo que este não consiga responder todas elas, ficando sobrecarregado e consequentemente fazendo com que o serviço pare de funcionar. Quando um ataque de fabricação é proferido, o atacante produz mensagens para um destino se passando por algum outro componente, como se elas tivessem sido por ele originalmente produzidas. 98 Unidade III Tráfego normal Atacante Pacotes IP falsificados com o endereço IP de rede da Estação 1 Estação 1 Estação 2 Figura 23 – Ataque de fabricação O tipo de ataque mais comum de fabricação é o IP Spoofing, que consiste na substituição do endereço IP do computador do invasor, fazendo com que ele se passe por um computador confiável da rede, podendo assim obter privilégios na comunicação. Alguns métodos de proteção podem ser destacados, como a segurança via obscuridade e a segurança na comunicação: • A segurança via obscuridade parte doprincípio de que um ativo de informação só pode ser atacado se alguém souber de sua existência. Então, ocultar as informações que poderiam ser possivelmente utilizadas por um atacante é uma excelente prática que pode melhorar a segurança como um todo. • A segurança na comunicação visa assegurar a disponibilidade dos links de comunicação por meio de contratos com terceiros que garantam a confidencialidade, a integridade e a disponibilidade das informações que trafegam por esse canal. Algumas estratégias de proteção podem ser implantadas para assegurar a proteção dos ativos de informação no seu caminho na rede. Vejamos: • Estratégia de confiança: se assemelha à situação de uma pessoa passar o cartão em uma loja, pois ela estará confiando os dados do cartão ao estabelecimento. A confiança não deve ser utilizada de forma irresponsável, pois, como toda medida de segurança, ela é fruto de uma relação custo/benefício com riscos calculados e conhecidos. Como existe um número imenso de situações para as quais não existe controle, decidimos simplesmente confiar, pois normalmente o custo de proteção não compensa. • Estratégia de privilegio mínimo: parte da ideia de que os usuários tenham apenas os privilégios necessários para desempenhar suas tarefas e nunca possuam privilégios adicionais desnecessários, pois estes aumentam os riscos sem qualquer benefício em troca. • Estratégia de defesa em profundidade: tem como objetivo implantar controles tipos de diferentes. É mais eficaz que os recursos sejam divididos em diversos controles que se complementam e que servem de redundância entre si, em vez de um único controle, dito infalível. 99 SEGURANÇA DA INFORMAÇÃO • Estratégia de ponto de estrangulamento: refere-se a reduzir o número de entradas, ou seja, quanto menos entradas o prédio tem, mais fácil e mais barato fica protegê-las e vigiá-las. O mesmo pode ser repassado para o conceito de redes. • Estratégia do elo mais fraco: nesta estratégia, os profissionais redobram a atenção, pois quem protege deve ter atenção a todos os pontos, ao passo que quem ataca precisa achar apenas um ponto falho para obter sucesso. • Estratégia de fail-safe: prega que, em caso de falha, os controles de segurança bloqueiem todos os acessos. Assim, nem o atacante nem os usuários legítimos terão acesso ao sistema até que sejam feitos todos os reparos. • Estratégia de participação universal: buscar uniformidade na aplicação, envolvendo procedimentos de treinamento e conscientização de usuários. • Estratégia de diversidade: técnica utilizada em conjunto com a de profundidade, variando os tipos de controle utilizados. • Estratégia de simplicidade: prevê que ambientes podem se tornar desnecessariamente complexos, fazendo com que a simples avaliação de brechas, por exemplo, se torne uma tarefa mais difícil do que deveria. As preocupações com a segurança da rede devem abranger os problemas de autenticação de usuários e equipamentos e de restrição de acesso dos usuários aos serviços autorizados, contemplando o estabelecimento de interfaces seguras entre a rede interna e as redes públicas ou de outras organizações (IDEM, p. 93). Os elementos básicos para proteção de rede incluem dispositivos como roteadores de borda, firewalls, NAT (Network Address Translation), VPN (Redes Virtuais Privadas), Bastion Host, Perímetro lógico, IDS (Intrusion Detection System), IPS (Intrusion Prevention System) e Política de Segurança. Internet Firewall DMZ - Zona desmilitarizada Bastion Host Servidor web WWW Roteador externo Roteador interno Rede de perímetro Rede interna Figura 24 – Elementos básicos de controle de acesso a redes 100 Unidade III O rotador de borda é o último gateway (dispositivo que interconecta redes diferentes) que conecta a rede interna da empresa à internet. Trata-se da primeira linha de defesa da empresa contra ameaças externas. O firewall (parede de fogo) é um conjunto de hardware e software que permite a criação de regras definindo que tipos de serviço e tráfegos são permitidos por entre as redes que ele conecta. São dispositivos de controle de acesso que possui como uma de suas funções principais a proteção das estações e da segmentação de perímetros, geralmente colocado na junção de duas redes com níveis de confiança distintos. O firewall isolado não consegue inibir todos os acessos indevidos, mas unido a outras ferramentas de controle de acesso pode evitar a entrada de vírus na rede e até mesmo detectar uma tentativa de invasão na rede interna. A desvantagem fica por conta do fato de ser o único ponto de acesso, o que pode tornar o acesso a outra rede lento. Uma solução para isso seria aumentar a capacidade com soluções de redundância, porém isso demandaria um alto custo. O tráfego de informações entre os computadores ou redes e o mundo exterior é examinado e bloqueado quando uma informação não atende a critérios predefinidos de segurança (IDEM, p. 94). Dessa forma, a função do firewall é de analisar pacotes que passam por ele e compará-los a um conjunto de regras para saber qual decisão tomar. Para isso existem algumas tecnologias para o emprego do firewall em uma rede. A tecnologia de filtro de pacotes funciona com o uso de listas de controle previamente configuradas chamadas de ACLs. Os roteadores que recebem essas listas são chamados de filtros de pacotes. As ACLs, ou listas de controle, são regras que permitem a tomada de ação baseada em critérios coletados nos pacotes. As vantagens do uso dos filtros de pacotes residem na velocidade com que os pacotes são analisados, no custo de implantação razoavelmente baixo, na transparência no processo e na manutenção. Apesar de suas vantagens, os filtros de pacotes possuem sérias limitações de segurança, como sérios problemas em conseguir barrar efetivamente os chamados ataques de fragmentação. Observação Ataque de fragmentação é uma maneira de fazer com que serviços TCP de máquinas protegidas por um filtro de pacotes possam ser acessados mesmo que o filtro não permita seu acesso (ou seja, ele é uma maneira de enganar o filtro de pacotes). 101 SEGURANÇA DA INFORMAÇÃO Outra tecnologia muito utilizada é o proxy, que são dispositivos criados para resolver problemas dos filtros de pacotes. Os proxies intercedem a conexão entre clientes e servidores, impedindo uma comunicação direta entre eles. Os filtros de pacotes dinâmicos (stateful inspection), em vez de trabalhar com um conjunto de critérios estáticos, como os utilizados com as ACLs dos roteadores, coletam informações sobre os pacotes trafegados, armazenando-as em um componente chamado tabela de estados. Além de muito populares, os filtros dinâmicos são a tecnologia mais utilizada em soluções comerciais de mercado. Contudo, essa tecnologia também utiliza os proxys como auxílio. Uma outra tecnologia utilizada é o NAT (Network Address Translation), criado para permitir que máquinas possam acessar a internet sem que necessariamente haja um endereço IP válido, já que os endereços válidos são centralmente distribuídos e controlados. Ele oferece benefícios do ponto de vista de segurança, pois a partir da internet normalmente não é possível acessar de forma direta máquinas que estão na rede interna. Assim, essa tecnologia permite o afunilamento do acesso à internet em alguns pontos pela rede interna. Já as VPNs (Redes Virtuais Privadas) se referem ao acesso entre redes por meio seguro através de um rede insegura. Internet Criptografia Criptografia Roteador externo Roteador externo Rede interna Rede interna Figura 25 – Conexão segura entre redes internas via rede externa (VPN) Os Bastion host são estações de trabalho adicionadas fora da rede interna – ou seja, na rede perimetral – que procuram focar o aspecto de segurança da máquina que é acessada pela internet, pois se ela não for comprometida e o firewall estiver configurado corretamente para bloquear os acessos por meio dela, não sobram muitas opções para o intruso.É necessário que os equipamentos colocados nessa posição não possuam vulnerabilidades. O perímetro de segurança significa uma faixa de delimitação territorial. A utilização de uma DMZ (DeMilitarized Zone) consiste em uma rede perimetral que concentra máquinas que são acessadas externamente. Sempre que as máquinas são acessadas por clientes externos vindo de um ambiente não confiável, deve-se considerar a hipótese de invasão ou de comprometimento da segurança. 102 Unidade III O IDS (Intrusion Detection System), ou sistema de detecção de intrusos, auxilia a DMZ na automatização dessas tarefas por meio da coleta de informações na rede ou dentro de estações, analisando-as a partir de uma série de métodos em busca de padrões que caracterizem ataques. A junção dos IDS com os firewalls leva o nome de IPS (Intrusion Prevention System). Por fim, a conscientização dos usuários também é de fundamental importância para a segurança lógica. As políticas de segurança são um conjunto de regras que visam definir quais serviços são permitidos e quem pode usá-los, regras essas que devem ser pensadas antes do seu uso e não o contrário. Lembrete É importante ressaltar que os mecanismos tecnológicos de proteção para redes são importantes e extremamente necessários, porém o fator humano também deve estar conscientizado e treinado para o uso seguro das redes nas organizações. 5.2.2 Segurança para softwares Quando se fala em ameaças à segurança da informação física, o assunto é simples de ser tratado. Porém, quando o assunto são as ameaças ao ambiente lógico, as possibilidades de ataques são bem maiores. Existe uma enormidade de softwares maliciosos, como os vírus, as bombas lógicas (códigos maliciosos que permanecem inativos por um período de tempo até o seu acionamento remoto), os cavalos de troia (códigos maliciosos que são embutidos em aplicativos inofensivos e que assim que instalado pelo usuário pode furtar as informações ou dominar o equipamento destinando a invadir outros equipamentos), os worms (programas que podem rodar de forma independente e ser transmitidos de equipamento a equipamento causando danos), entre outros. As preocupações com software malicioso vão além dos relacionados a downloads de anexos infectados ou uso do correio eletrônico, já que a introdução de um dispositivo infectado em uma estação na rede ou a instalação de softwares não confiáveis pode colocar em risco a segurança da informação. Diante dessa situação, tornam-se necessárias medidas de proteção contra tais ameaças, como o uso de programas de conscientização dos usuários, procedimentos controlados para importação de arquivos e softwares, instalação e atualização regular de softwares antivírus e exame periódico de computadores e mídias. A instalação de um bom antivírus é primordial para proteger os ativos de informação contra ataques de códigos maliciosos, pois vasculham arquivos periodicamente em busca de mudanças não esperadas nos arquivos e fazem a comparação com uma lista de vírus existentes. 103 SEGURANÇA DA INFORMAÇÃO Essas e todas as diversas medidas tecnológicas adotadas são importantes, mas o fundamental é conscientizar os usuários sobre os riscos e criar mecanismos de controle de instalação de novos softwares. A segurança de software diz respeito ao uso de controles embutidos nos próprios programas, que operam independentemente das medidas de proteção a que estão submetidas as redes, complementando-as (no caso do comércio eletrônico, por exemplo, as complexidades dos requisitos de segurança acabam levando à necessidade de implantação de controles nos próprios aplicativos...). (IDEM, p. 98). A segurança de sistemas aplicativos deve demandar alguns controles de acordo com os requisitos de segurança existentes: a validação de dados de entrada, controle do processamento interno, validação da saída e controle da transmissão de mensagens. Como proteger as informações no ambiente do usuário final também é necessário, a implantação de medidas para controle dos usuários dentro do ambiente lógico de software se torna fundamental. Vejamos os tipos de proteção: Quadro 26 – Proteções aplicáveis aos usuários finais Controle Descrição Proteção das informações críticas Criar mecanismos para proteger as informações críticas que precisam ser compartilhadas, por esse motivo o uso de criptografia é recomendado. Atualização dos antivírus É necessária a atualização constante da lista de vírus conhecidos. Uso de firewall Não apenas na rede, mas nas estações de trabalho, individualmente. Procedimentos de logon A entrada no sistema deve limitar o tempo máximo para sua conclusão e o tempo máximo de tentativas de entrada. Políticas e controles Relacionadas ao uso de equipamentos portáteis, como notebooks e celulares. 5.2.3 Controle de acesso O controle de acesso lógico visa criar medidas que impeçam o acesso não autorizado aos ativos de informação, razão pela qual os direitos de acesso aos usuários e o estabelecimento de níveis básicos e fundamentais são necessários para proteger os princípios de segurança, a confidencialidade, a disponibilidade e a integridade das informações da organização. 104 Unidade III Confidencialidade Integridade Disponibilidade Controle de acesso Revelação controlada, sigilo, privacidade, intimidade Informação completa, autêntica e dentro do nível de precisão exigido Direito à informação Garantia de acesso à informação necessária para a realização do trabalho Figura 26 – Exemplo dos aspectos de controle de acesso Os mecanismos para controle de acesso lógico contribuem para a segurança da informação, preservando os pilares da segurança da informação nos objetivos de confidencialidade, integridade e disponibilidade. Beal (2008) expõe os objetivos de confidencialidade no controle de acesso lógico como contribuição, evitando o acesso de pessoas não autorizadas a informações confidenciais e salvaguardando os segredos de negócio e a privacidade de dados pessoais. Quando o assunto é integridade, o objetivo do controle de acesso evita que pessoas não autorizadas tenham acesso às informações para criar, alterar ou destruir. No que tange ao pilar de disponibilidade, o controle de acesso permite identificar os usuários legítimos da informação para que estes tenham acesso às suas informações quando assim os requerer. Os controles de acesso lógicos devem proteger o acesso ligado aos sistemas corporativos, aos sistemas de gerenciamento de banco de dados e aplicações, aos programas fonte e objetos, aos arquivos de dados, ao sistema operacional e utilitário e aos arquivos de log. A autenticação dos usuários nos mais diversos sistemas é um fator importante para a administração do controle de acesso no qual devem ser criadas credenciais exclusivas aos colaboradores, ou seja, as “contas de usuários” às quais estão associadas todas as suas permissões de acesso. Por essa razão é fundamental a criação de regras ou métodos de verificação das identidades dos usuários e seus acessos aos sistemas. Os métodos de autenticação podem ser divididos em três grandes grupos de acordo com a técnica utilizada: • Método de autenticação baseado no que você sabe: o meio mais comum dessa técnica é o uso de senhas para a autenticação. Nas redes, a permissão de acesso somente é liberada com a inserção de um número identificador e de uma senha validada. 105 SEGURANÇA DA INFORMAÇÃO • Método de autenticação que utiliza o que você tem: baseado em dispositivos físicos como tokens ou smartcards, que são entregues aos usuário e que devem ser guardados para uso no momento em que o sistema fizer a requisição. • Método de autenticação pelo que você é: baseia-se em características físicas (reconhecimento biométrico), como o uso de impressão digital para o acesso a sistemas. A combinação desses três métodos fortalece o controle de acesso a sistemas e, consequentemente, a segurança da informação. Saiba mais Parasaber mais sobre os aspectos de controle de acesso a sistemas, assista aos seguintes filmes: Os Incríveis. Dir. Brad Bird, 115 minutos, 2004. Firewall - Segurança em risco. Dir. Richard Loncraine, 105 minutos, 2006. 5.2.4 Segurança no ciclo de vida de sistemas A atenção à segurança da informação para sistemas de informação deve ser tratada logo no início do projeto de um novo sistema e em todas as etapas do processo, como: especificação, desenvolvimento, teste, colocação em produção, operação, manutenção e descarte. Uma boa segurança de sistemas exige que os requisitos de segurança sejam considerados já no início das atividades de especificação para que os controles necessários sejam incorporados ao projeto e não inseridos a posteriori, quando a proteção se torna mais cara e muitas vezes já não é mais possível eliminar todas as vulnerabilidades que podem levar ao comprometimento da segurança do sistema (IDEM, p. 123). A maior parte das vulnerabilidades de sistemas surge na fase de levantamento de requisitos, quando é comum serem desprezadas questões de segurança necessárias para o uso confiável do sistema (por exemplo, especificações que não preveem mecanismos de proteção dos arquivos de senhas de acesso manipuladas pelo programa, deixando-os vulneráveis à usurpação de identidade por terceiros mal- intencionados). Outras fontes comuns de problemas são falhas na construção do código, quando o software não atende à especificação de segurança e/ou quando vulnerabilidades são introduzidas em função do uso de padrões inadequados de desenvolvimento de software ou de escolhas incorretas de projetos. Por exemplo, o código concede permissões de leitura e escrita em arquivos críticos 106 Unidade III desnecessariamente, e problemas na operação, quando o software é desenvolvido dentro das especificações, estavam adequadas, mas vulnerabilidades são introduzidas como resultado de controles inadequados sobre a operação. Um exemplo típico é um software preparado para realizar transmissões seguras de dados sigilosos mediante técnicas de criptografia, que pode ter o processo comprometido pela falta de cuidado do usuário em proteger sua chave criptográfica secreta. A separação dos ambientes de desenvolvimento, teste e produção de sistemas é importante não só para garantir a segregação das funções associadas a cada uma dessas etapas do ciclo de vida dos sistemas, mas também para permitir um melhor controle de cada um desses ambientes e garantir um contexto de produção confiável e estável, não afetado por eventuais problemas ocorridos durante a realização de alterações de software ou dados ou na fase de teste de modificações nos sistemas. A ISO 27001 recomenda que sempre que possível exista uma separação clara também entre desenvolvimento e teste. Nela estão dispostas as seguintes recomendações: • Execução do software em desenvolvimento em processador, domínio ou diretório diferente do usado para o software em produção. • Atividades de desenvolvimento e teste realizadas, tanto quanto possível, de forma separada. • Compiladores, editores e outros programas utilitários não acessíveis a partir do ambiente de produção quando isso não for uma necessidade. • Diferenciação dos processos e senhas de acesso e das telas de entrada para ambiente de produção e de desenvolvimento, a fim de reduzir a possibilidade de confusão e de erros entre esses ambientes. • Senhas de produção concedidas de forma controlada ao pessoal de desenvolvimento, apenas para suporte a sistemas no ambiente de produção e com controles para garantir que essas senhas sejam alteradas após o uso. Sempre que existirem recursos terceirizados associados aos processos de desenvolvimento, manutenção e operação de sistemas, devem ser consideradas ainda medidas de proteção adicionais mencionadas que tratam da segurança na terceirização de serviços. Para a aceitação dos sistemas, a segurança no ambiente de SI/TI depende da existência de procedimentos adequados de aceitação de novos sistemas e de suas atualizações e novas versões. A realização de testes baseados em critérios formalmente definidos é fundamental para reduzir os riscos de falhas na migração. Os controles sugeridos pela ISO 27001 com relação à aceitação de sistemas são: • Identificação dos requisitos de desempenho e demanda da capacidade computacional. • Procedimentos de recuperação de erros, reinicialização e contingência. • Elaboração e teste de procedimentos operacionais para o estabelecimento de padrões. 107 SEGURANÇA DA INFORMAÇÃO • Aceitação pelos responsáveis do conjunto de controles de segurança adotados. • Procedimentos manuais eficazes. • Plano de continuidade de negócio. • Confirmação de que a instalação do novo sistema não afetará de forma adversa os sistemas já existentes, particularmente nos períodos de pico de demanda do processamento, como em final de mês. • Verificação do impacto do novo sistema na segurança da organização como um todo. • Treinamento na operação ou uso de novos sistemas. A segurança da documentação dos sistemas também deve atentar aos preceitos de segurança da informação. A ISO 27001 relaciona diversas informações sensíveis que podem estar contidas na documentação de sistemas: descrições de processos da aplicação, procedimentos, estruturas de dados e processos de autorização. A proteção dessa documentação deve ser feita utilizando-se controles aplicáveis a informações sigilosas, como armazenamento em local protegido e restrição de acesso às pessoas com reais necessidades de uso. A proteção das ferramentas de auditoria de sistemas alerta para a necessidade de proteger as ferramentas de auditoria de sistemas (software e arquivos de dados) para prevenir qualquer uso impróprio ou comprometimento da segurança. O armazenamento dessas ferramentas deve ser feito em local separado dos sistemas em desenvolvimento ou produção, e fora do alcance de usuários não autorizados. Quando o assunto é controlar e proteger os dados de teste, certos cuidados devem ser tomados referentes aos testes de desenvolvimento e aceitação de sistemas. Estes normalmente requerem o uso de grandes volumes de dados que reflitam o mais proximamente possível os dados em produção. Esforços devem ser aplicados na despersonalização dos dados individuais antes do uso, na implantação de controles de acesso adequados para proteger os dados de teste e na exclusão de informações de produção do ambiente de teste tão logo sejam finalizados (o uso de informações de produção nos testes deve ser registrado para permitir a formação de uma trilha de auditoria). A adequada administração dos processos de instalação de patches (correções de software) permite reduzir sua complexidade, aumentar sua eficácia, melhorar a confiabilidade e em última instância minimizar os riscos e os custos envolvidos. Embora o ideal fosse não precisar efetuar a instalação de patches, à medida que defeitos e erros vão sendo encontrados e corrigidos pelos fornecedores, é necessário acrescentar as correções ao ambiente de SI/TI usando processos seguros de instalação. Entre os controles que podem ser usados para minimizar os riscos estão a avaliação do impacto de aplicar ou não uma correção, teste da confiabilidade do patch e manutenção de uma lista completa dos patches instalados. Para minimizar o risco de corrupção de sistemas é recomendado que: 108 Unidade III • a atualização das bibliotecas de programa de produção seja restrita a um “bibliotecário” nomeado e sob supervisão gerencial; • seja introduzido apenas o código executável no ambiente de operação; • a implantação do sistema somente ocorra depois de obtidas evidências de sucesso nos testes de aceitação pelos usuários; • se ache registro de auditoria para todas as atualizações de programas em produção; • sejam devidamente retidas as versões anteriores do software como medida de contingência. Para Beal (2008), é necessária a adequada gestão de mudanças nos sistemas de informação,baseada em procedimentos formais de controle. Isso é de grande importância para evitar o comprometimento da segurança durante os processos de mudança. A ISO 27001 traz como principais recomendações a aprovação formal das mudanças propostas, o controle de versões do software, procedimentos para garantir que a implementação ocorrerá com o menor transtorno possível para o negócio, documentação do sistema e de sua operação atualizada ao final de cada modificação e manutenção de uma trilha de auditoria para toda modificação ocorrida. A necessidade dos serviços terceirizados causa certo desconforto quando falamos de segurança da informação, porém nenhuma organização consegue eliminar toda a sua dependência em relação a terceiros para realizar suas operações. A terceirização de serviços relacionados ao ambiente de SI/TI acrescenta novos riscos de segurança ao ambiente corporativo. A averiguação da reputação no mercado e da qualidade dos controles de segurança utilizados pelos potenciais fornecedores é necessária para evitar que a organização multiplique seu nível de vulnerabilidade a partir da transferência da responsabilidade pela execução de serviços de processamento, suporte ou desenvolvimento de sistemas para terceiros pouco confiáveis. Para controlar essa terceirização, existem os acordos de nível de serviço (ANS), que estabelecem as regras para a administração da entrega ou prestação de serviços de tecnologia da informação e os critérios de avaliação do desempenho do seu fornecedor (seja ele uma firma terceirizada ou uma equipe interna da organização) em termos de qualidade, quantidade e preço. Assim, tenta-se reduzir os riscos que o uso de serviços terceirizados podem gerar. Relacionados pela ISO 27001, vejamos a seguir os aspectos a serem considerados no que se referem aos riscos de terceirização de serviços de processamento da informação: • Identificação das aplicações críticas e sensíveis que devem ser processadas internamente. • Obtenção da aprovação dos gestores ou responsáveis pelos processos ou sistemas para o esquema de terceirização. • Análise das implicações da terceirização nos planos de continuidade do negócio. 109 SEGURANÇA DA INFORMAÇÃO • Estabelecimento de normas de segurança e de processos de aferição de conformidade com essas normas. • Definição de procedimentos e responsabilidades de monitoração para garantir o adequado acompanhamento das atividades que afetem a segurança. • Definição de procedimentos e responsabilidades em relação à comunicação e ao tratamento de incidentes. Quando o assunto é terceirização de serviços de desenvolvimento, as melhores práticas recomendam: • Acordos sobre licenças, propriedade do código-fonte e direitos de propriedade intelectual. • Certificação da qualidade e da exatidão do trabalho implementado. • Acordos na eventualidade de haver falha por parte de prestadores de serviços. • Direitos de acesso para auditoria da qualidade e da exatidão do trabalho executado. • Requisitos de qualidade do software. • Teste antes da instalação para detecção de código que possa afetar o sistema de forma não autorizada, não controlada e não solicitada pelo cliente (tais como “cavalos de troia”). Diante desse cenário, existem ameaças relacionadas a provedores de serviços de rede que podem representam perigo considerável para as organizações. Pela natureza do serviço, esses provedores possuem computadores que se conectam diretamente à rede da organização, colocando a empresa prestadora de serviço (ou um funcionário descontente desta) em posição de realizar um ataque sério à organização. Muitas vezes informações altamente confidenciais, como dados de cobrança, incluindo números de cartão de crédito, podem ficar vulneráveis a uma ação indevida por parte de representantes do provedor. Ao mesmo tempo que cria problemas para o objetivo de confidencialidade da informação, a terceirização de serviços de rede pode trazer vantagens importantes, principalmente para os aspectos de integridade e disponibilidade da informação, permitindo confiar a terceiros especializados no assunto as tarefas de configuração e manutenção da rede e detecção e correção de problemas. A existência de processos rigorosos de monitoração e controle por parte da organização contratante pode reduzir a níveis aceitáveis riscos associados a esse tipo de terceirização. (IDEM, p. 131). Observação As melhores práticas para desenvolvimento de software e aplicativos estão dispostas no CMMI (Capability Maturity Model Integration). 110 Unidade III 6 AUDITORIA DE SEGURANÇA DA INFORMAÇÃO Para minimizar problemas que podem causar impacto nas operações e no cotidiano das organizações, dispõe-se dos controles internos. Estes podem ou não utilizar recursos computacionais, podem ser preventivos quando visam evitar erros, falhas e promover boas práticas, detectivos quando identificam ou corrigem problemas e corretivos quando visam sanar o problema ocorrido. Assim, o controle interno pode ser definido como um plano de organização com todos os métodos e medidas coordenadas, aplicadas em uma organização a fim de proteger seus bens, conferir a exatidão e a fidelidade de seus dados contábeis, promover a eficiência operacional e estimular a obediência às diretrizes administrativas estabelecidas. Planejamento Padrão Execução Medida Padrão Controle Desvios Medida = x Figura 27 – Ciclo gerencial dos controles internos Alguns parâmetros de controle interno devem ser compreendidos na esfera administrativa para a formação dos padrões que serão definidos pela organização e logo após auditados e consequentemente protegidos nos quesitos relacionados a segurança da informação. Na esfera contábil é necessário garantir parâmetros, como a fidelidade da informação em relação ao dado, a segurança física, a segurança lógica, a confidencialidade e a obediência à legislação em vigor. Os parâmetros administrativos devem garantir a eficácia, a eficiência e a obediência às diretrizes administrativas. Quanto à fidelidade da informação em relação ao dado, deve ser verificado se as saídas das informações estão corretas e se são provenientes dos dados de entrada. Também é preciso validar os resultados em banco de dados, arquivos, documentos, relatórios, medir o efeito de um determinado processo de sistema e detectar e evidenciar o grau de falha ou erro existente no sistema de informação. Quando o assunto é segurança física, os controles internos devem avaliar os recursos materiais e humanos aplicados ao ambiente de sistemas de informação, validar o grau de segurança proporcionado aos recursos envolvidos no ambiente de sistemas em relação às ameaças existentes e prováveis sinistros que podem ocorrer, analisar a segurança do ambiente de tecnologia de informação e utilizar as ferramentas como procedimentos de controle, dispositivos de segurança etc. A segurança lógica também tem fundamental importância nesse contexto. Deve-se avaliar o nível de segurança e de controle empregados com recursos tecnológicos nos processos de um 111 SEGURANÇA DA INFORMAÇÃO sistema. Atenção também aos procedimentos operacionais e de controle para transformação dos dados em informação. A confidencialidade da informação deve ser preservada pelos controles internos de uma empresa. É preciso avaliar o grau de sigilo que um sistema consegue manter perante acessos de terceiros ou pessoas não autorizadas, além de revisar e avaliar os recursos tecnológicos empregados, como criptografia e senhas. Outro fator a ser levado em consideração é o fator humano. O nível de confidencialidade é estabelecido pela análise de dados a ser feita pelos seus administradores e usuários finais. Os controles internos devem prestar obediência à legislação em vigor, ou seja, deve ser verificado se os processos ou rotinas de sistemas estão de acordo com as leis vigentes no país, estado, município e entidades externas responsáveis pelo estabelecimento de normas e procedimentos. É precisoassegurar a eficiência dos controles por meio da verificação do aumento da produtividade proporcionado pela melhoria de um determinado processo, além de revisar e avaliar a melhor forma de utilização dos recursos em geral. Quanto à obediência às diretrizes administrativas, deve ser verificado o cumprimento das normas e procedimentos determinados pelos diversos setores da organização e avaliar a adequação dos processos e resultados do sistema às políticas e normas estabelecidas pela alta administração. A adoção de controles internos aufere à organização alguns custos, os quais são necessários, mas a simples introdução de investimentos não garante a eficácia dos controles internos. Assim, é necessária uma avaliação para conhecermos a faixa que maximiza os investimentos e a eficácia do processo de controles internos. Custo Integridade, segurança Eficiência, eficácia Faixa aceitável Figura 28 – Curva de eficácia do investimento em controles internos 112 Unidade III Os controles internos são a base para o processo de auditoria, que podem ser representadas pelas palavras exame, investigação e perícia. A auditoria pode ser definida como: uma técnica contábil que, através de procedimentos que lhe são peculiares, objetiva obter elementos de convicção que permitam julgar se os registros contábeis foram efetuados de acordo com os princípios fundamentais e normas de contabilidade e se as demonstrações contábeis refletem adequadamente a situação econômico-financeira da empresa, num determinado período (CASSARO, 1997, p. 21). Outra definição: É uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões (DIAS, 2000, p. 8). Os trabalhos de auditoria são necessários para analisar se os relatórios apresentados à administração de uma organização e as demonstrações financeiras e contábeis podem não evidenciar todas as transações econômicas e financeiras de um exercício contábil. Podem haver erros de registros incorretos, incompletos e válidos, mas com problemas de integridade, e apresentar, intencionalmente, demonstrações enganosas. As demonstrações e os relatórios podem não ser apresentados conforme demandam as legislações locais, chegando às vezes até a omitir informações relevantes para a compreensão das demonstrações financeiras, o que pode levar à perda da consistência das informações devido às complexidades das operações empresariais. Os objetivos das auditorias estão ligados às necessidades de auxiliar a alta administração a atingir os objetivos da organização, desenvolvendo: assessoria nos processos de planejamento, execução e controle das operações empresariais, assessoria nas implementações de tecnologias gerenciais e de processos, avaliação do sistema de controle interno aplicado pela empresa para a realização de suas transações e operações, investigação de irregularidades, desfalques para quantificar os efeitos nos resultados dos negócios, prevenção de fraudes e erros relevantes em tempo e promover a adequação na utilização de recursos humanos, materiais e tecnológicos envolvidos no ambiente de sistemas de informação. O processo de auditoria deve ser realizado por órgãos idôneos e comprometidos com o resultado. Existem três tipos de órgãos responsáveis pelo processo de auditoria: • Auditoria interna: realizada por departamento interno responsável pela verificação e avaliação dos sistemas e procedimentos internos de uma entidade. Avalia a eficiência e a eficácia das tarefas. Visa assessorar a alta administração no cumprimento de suas funções de controle das operações da empresa. 113 SEGURANÇA DA INFORMAÇÃO • Auditoria externa: realizada por instituição externa e independente da entidade auditada, com o objetivo de assegurar aos proprietários e/ou acionistas, ao conselho de administração e ao mercado em geral, se as demonstrações financeiras da empresa espelham o real resultado que as transações de um determinado período constituem como a situação patrimonial da empresa. • Auditoria articulada: realizada em conjunto pelas auditorias internas e externas em virtude da superposição de responsabilidades dos órgãos fiscalizadores. É caracterizada pelo uso comum de recursos e da comunicação recíproca dos resultados. 6.1 Personagens envolvidos no processo de auditoria Cliente é aquele que solicita ou contrata a auditoria. Sua função é determinar o propósito da auditoria, informar aos funcionários envolvidos os objetivos e o escopo do trabalho de auditoria, apresentar os principais responsáveis para participar da auditoria como auditado, fornecer recursos adequados e acessos a instalações e materiais relevantes, receber o relatório de auditoria e fazer análise crítica. Auditado é aquele que é avaliado durante a auditoria. Sua responsabilidade é cooperar apresentando as informações e documentos solicitados pelo auditor, participar de reuniões e entrevistas sempre que solicitado, acompanhar os trabalhos de auditoria e coordenar e/ou implementar as recomendações apresentadas. Auditor é aquele que coordena e/ou realiza os trabalhos de auditoria. É responsável por organizar e propor o plano de auditoria, cumprir e comunicar os requisitos para tal, confirmar o uso de filosofia e ética, documentar as observações, coletar e evidenciar as informações, apresentar o relatório de auditoria e fazer o acompanhamento das ações corretivas (quando aplicável). 6.2 Pareceres de auditoria Diante de uma auditoria, após a análise, cabe ao auditor emitir o parecer, ou seja, um relatório no qual ele expressa sua opinião, de forma clara e objetiva, quanto aos resultados apurados em todos os aspectos relevantes. É avaliado se estão ou não representados adequadamente na data do levantamento e para o período correspondente. Os pareceres podem ou não possuir ressalva, mesmo podendo parecer adverso haver abstenção de opinião e incerteza. O parecer sem ressalva indica que o auditor está convencido de que as demonstrações foram elaboradas consoante as disposições contidas nos controles internos ou nas normas, em todos os aspectos relevantes. O auditor não deve emitir parecer sem ressalva quando existir qualquer das circunstâncias seguintes, que, em sua opinião, tenham efeitos relevantes para as demonstrações: discordância com a administração da entidade a respeito do conteúdo e/ou forma de apresentação das demonstrações contábeis, ou limitação na extensão do seu trabalho. O parecer com ressalva é emitido quando o auditor conclui que o efeito de qualquer discordância ou restrição na extensão de um trabalho não é de tal magnitude que requeira parecer adverso ou abstenção de opinião. São exceções. 114 Unidade III O parecer adverso é utilizado quando o auditor emite opinião de que as demonstrações não estão adequadamente representadas, nas datas e períodos indicados, de acordo com as disposições contidas nos controles internos ou nas normas. O auditor deve emitir parecer adverso quando verificar que as demonstrações estão incorretas ou incompletas em tal magnitude que impossibilite a emissão do parecer com ressalva. O parecer com abstenção de opinião é aquele em que o auditor deixa de emitir opinião sobre as demonstrações por não ter obtido comprovação suficiente para fundamentá-la. A abstenção de opinião em relação às demonstrações tomadas em conjunto não elimina a responsabilidade do auditor de mencionar, no parecer, qualquer desvio relevante que possa influenciar a decisão do usuário dessas demonstrações. A incerteza pode ocorrer quando em relação a fato relevante, cujo desfecho poderá afetar significativamente a posição patrimonial e financeira da entidade, bem como o resultado das suas operações. O auditor deve adicionar um parágrafo de ênfase em seu parecer após o parágrafo de opinião, fazendo referência à nota explicativa da administração,que deve descrever de forma mais extensa a natureza e, quando possível, o efeito da incerteza. 6.3 Auditoria de sistemas Segundo Arima (1994), a auditoria de sistemas é a adequação, a avaliação e as recomendações para o aprimoramento dos controles internos nos sistemas de informação da empresa no que se refere à utilização dos recursos humanos, materiais e tecnológicos envolvidos no processamento dos mesmos. Os trabalhos de auditoria devem ser desenvolvidos nos sistemas em operação normal, nos sistemas em desenvolvimento, administrativo e operacional do ambiente e em eventos específicos. Os trabalhos de auditoria nos sistemas em operação normal consistem na revisão e avaliação de procedimentos e nos resultados dos sistemas de informação. A auditoria pode ser do tipo preventiva, detectiva e corretiva. Para os trabalhos em sistemas em desenvolvimento, a auditoria consiste na revisão e na avaliação do processo de construção de sistemas de informação. Sua característica é preventiva. Os trabalhos de auditoria de sistemas no ambiente administrativo e operacional do ambiente abrangem todo o ambiente de tecnologia da informação em termos de infraestrutura, normas e procedimentos, custos, nível de utilização de recursos, planos de segurança e de contingência. A auditoria de sistemas para eventos específicos abrange a análise da causa, da consequência e da ação corretiva cabível de eventos específicos e localizados, detectado por outros órgãos e levados para seu conhecimento. Sua característica é corretiva. Os pontos de controle de um processo de auditoria de sistemas demonstram uma situação levantada a ser validada segundo determinados parâmetros de controle interno. 115 SEGURANÇA DA INFORMAÇÃO Os processos são representados por rotina operacional, rotina de controle, etapas de desenvolvimento ou manutenção de sistemas e procedimentos administrativos. O resultado dos pontos de controle são demonstrados por meio de documentos, relatórios, arquivos, pontos de integração, estrutura lógica/física de sistema, modelo entidade-relacionamento etc. Quadro 27 – Comparativo entre processo e resultado Natureza do processo/resultado Tipo Exemplo Rotina operacional Processo Rotina de atualização do cadastro de itens em estoque. Rotina de cálculo do saldo em estoque. Informação operacional Resultado Informações do cadastro de estoque atualizado. Informação do saldo em estoque. Rotina de controle Processo Rotina de gravação ou impressão de tentativa de inclusão de item já existente no cadastro de estoque. Rotina de verificação quanto ao fato de o saldo do item em estoque ser negativo. Informação de controle Resultado Item a ser incluído, já existente no cadastro de estoque e listado no relatório de erros de atualização. Item em estoque com saldo negativo e impresso em relatório de erros. Rotina de projeto Processo Etapas de desenvolvimento ou manutenção de sistemas. Processos e procedimentos administrativos. Informação de projeto Resultado MER, estrutura dos projetos lógico e físico do sistema, banco de dados. Documentos, relatórios. Fonte: Adaptado de Gil, 2000, p. 43. O ponto de auditoria é um ponto de controle já validado que apresentou fraqueza e que constará no relatório de avaliação do controle interno. É caracterizado por documentação comprobatória, descrição do tipo de fraqueza e alternativa de solução recomendada. Caracterização e inventário dos pontos de controle Implementação da solução recomendada Avaliação dos pontos de controle selecionados Caracterização do ponto de auditoria Apresentou fraqueza? Sim Fim Não Figura 29 – Ciclo de vida dos pontos de controle e de auditoria 116 Unidade III O ciclo de auditoria de sistemas se inicia a partir do diagnóstico do “como a organização está atuando em relação aos controles definidos”. Após a avaliação, se os pontos de controle possuírem fraquezas, tornam-se pontos de auditoria que devem ser avaliados. Quadro 28 – Ciclo de auditoria de sistemas Auditoria de reposição Auditoria de acompanhamento Avaliação dos pontos de controle Avaliação dos pontos de auditoria Pontos de controle caracterizados Pontos de controle não selecionados Pontos de controle testados Não apresentam fraquezas Apresentam fraquezas Pontos de auditoria Fonte: ARIMA, 2000 p. 43. Diante do ciclo do projeto de auditoria, o planejamento e o controle se referem à definição das necessidades de recursos humanos, tecnológicos, materiais e financeiros, em função do enfoque, da abrangência e da delimitação do sistema a ser auditado em relação ao prazo estabelecido pela alta administração. Devem ser formadas equipes de trabalho para coordenação e execução, bem como a elaboração de cronogramas, quadro de recursos, orçamentos etc. Na fase de levantamento, as características do sistema devem ser relevantes em nível macro, suficientes e abrangentes para seu entendimento pleno e global. A análise da documentação também é necessária à elaboração do diagrama de fluxo de dados, do dicionário de dados, do modelo entidade- relacionamento e do diagrama hierárquico de funções. Já o inventário de pontos de controle identifica os diversos pontos que poderão vir a ser avaliados pelo auditor e que podem se agrupar por meio de processos informatizados, processos manuais e resultados de processamento. São exemplos de pontos de controle os documentos de entrada, relatórios e telas, arquivos magnéticos, rotinas ou programas de computador e pontos de integração. A eleição dos pontos inventariados consiste em estabelecer prioridades para avaliação dos pontos inventariados. Como aspectos comumente observados para priorização desses pontos, temos a análise de risco, a disponibilidade de recursos, os prazos e cronogramas de trabalho, a decisão gerencial, a relevância dos aspectos a serem avaliados, a natureza da avaliação e o foco dos trabalhos de auditoria. A revisão e a avaliação consistem em executar testes de validação dos pontos de controle, segundo parâmetros de controle interno determinados para auditoria do sistema de informação. Aplicam-se as técnicas de auditoria que evidenciem as falhas ou fraquezas de controle interno, tais como “ao redor”, “através de” ou “com” computador. 117 SEGURANÇA DA INFORMAÇÃO Detectando falhas ou fraquezas, elabora-se o relatório de fraqueza de controle interno, apontando e recomendando as alternativas de solução que as minimizem ou até mesmo as eliminem. O ponto de controle se transforma em ponto de auditoria, o qual deverá ser acompanhado em função do prazo dado para correção por parte dos analistas e usuários responsáveis pela manutenção. Uma vez solucionado, volta ao processo de um novo inventário ou de segunda auditoria. A conclusão consiste em apresentar por meio do relatório de auditoria a opinião final sobre a situação do controle interno do sistema de informação, o qual pode ser satisfatório, baixo, médio ou alto risco ou não satisfatório. Há a possibilidade de alguns pontos elencados não serem avaliados em sua totalidade ou o processo de avaliação ainda não fornecer elementos que possam dar suporte à opinião do auditor. Especificamente para esses casos, o status do parecer será “Não Avaliado”, e na sequência apresenta-se os motivos pelos quais isto ocorreu. O follow-up consiste em revisar, dentro de um novo projeto de auditoria, os pontos de controle que apresentaram deficiências em trabalhos anteriores. A atividade de follow-up tem por finalidade identificar se os problemas foram resolvidos, se medidas estão sendo adotadas no sentido de eliminar tais deficiências, adequar e atualizar as recomendações face a novas realidades tecnológicas e à organização empresarial e avaliar o comprometimento da administração frente à segurança computacional. Auditoria de posição Planejam ento e controle 1. Levantamento 2. Inventários de pontos de controle 3. Eleição e seleção dos pontos inventariados 4. Revisão e avaliação
Compartilhar