Livro cap01
Upcoming SlideShare
Loading in...5
×
 

Livro cap01

on

  • 1,046 views

 

Statistics

Views

Total Views
1,046
Views on SlideShare
1,042
Embed Views
4

Actions

Likes
0
Downloads
41
Comments
0

1 Embed 4

http://localhost 4

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Livro cap01 Livro cap01 Document Transcript

  • Capítulo 1Introdução à segurançada informação 1.1 Introdução Iniciaremos esse curso pela definição de alguns conceitos e pro-priedades da segurança da informação que se fazem necessários aoentendimento dos demais tópicos discutidos neste trabalho. 1.2 Segurança da informação A segurança da informação é definida por (Ramos, 2006), comoa proteção aos ativos da informação, ou seja, aqueles que produzem,processam, transmitem ou armazenam informações. Essa proteçãopode ser alcançada a partir de um conjunto de estratégias e instru-mentos que englobam políticas, processos, procedimentos, estruturasorganizacionais, softwares e hardware, em conjunto com outros pro-cessos da gestão da informação. Os fundamentos que norteiam essesobjetivos são estabelecidos como: • Confidencialidade: refere-se à garantia de que apenas as pessoas as quais devam ter conhecimento legitimamente so- bre um assunto terão acesso ao mesmo; • Integridade: refere-se à proteção da informação contra alte- rações em seu estado original, sejam elas intencionais ou aci- dentais; Segurança de Redes 15
  • 1 Capítulo Introdução à segurança da informação • Disponibilidade: refere-se a garantia de que a informação só possa ser acessada por aqueles que dela necessitam e no momento em que precisam. 1.3 Ativo Essa denominação foi adotada do ambiente financeiro. No con- texto da segurança da informação corresponde a todo elemento de va- lor para a organização. Pode estar distribuído e classificado como ativo físico, humano ou tecnológico. Ex: instalações prediais, funcionários, hardware, software, a informação e seus insumos e produtos. 1.4 Informação De acordo com a análise de (Sianes, 2005), informação é defi- nida como uma série de dados organizados de um modo significativo, analisados e processados, que pressupõe soluções ou novos insumos para o processo de tomada de decisão, estando associado à utilidade que ela apresenta em determinado contexto. 1.5 Ciclo de vida da informação Segundo (Sêmola, 2002), o ciclo de vida da informação é com- posto e identificado por momentos distintos durante a sua vida útil e que de alguma forma a colocam em uma situação vulnerável. Esses momentos envolvem ativos físicos, humanos e tecnológicos que fazem uso, alteram ou descartam a informação. Esse ciclo é definido em quatro momentos durante a vida útil da informação sendo: 16 Curso de Tecnologia em Análise e Desenvolvimento de Sistemas
  • 1 Introdução à segurança da informação Capítulo • Produção: momento em que a informação é criada e manipu- lada seja sob a forma física ou eletrônica; • Armazenamento: momento em que a informação é armaze- nada, seja em papel, arquivo físico, banco de dados ou qual- quer tipo de mídia; • Transporte: momento em que a informação é transportada, seja em papel, mídia ou por meio remoto em uma rede de computadores; • Descarte: momento em que a informação é descartada. Seja a sua eliminação na forma eletrônica ou física. Uma segurança adequada deve se preocupar com o ciclo de vidada informação para que sejam atendidos em cada fase desse ciclo,todos os requisitos primordiais da segurança: confidencialidade, inte-gridade e disponibilidade. 1.6 Condições que afetam a informação Durante o seu ciclo de vida, a informação está sujeita a váriascondições que a afetam. Conforme análise e segundo (Sêmola, 2002)algumas condições são definidas e mostradas na Figura 1.1: • Ameaças: são condições, eventos ou agentes que podem causar incidentes que comprometam as informações e seus ativos por meio da exploração de vulnerabilidades e que tra- gam prejuízos a confidencialidade, integridade e disponibili- dade da informação. Dentro desse contexto, um agente, pode ser caracterizado por um hacker ou qualquer pessoa com in- tenções afins ou que possa causar problemas que atentem contra a segurança da informação, sistemas ou rede de com- putadores; • Vulnerabilidades: são fragilidades existentes ou associadas Segurança de Redes 17
  • 1 Capítulo Introdução à segurança da informação a ativos que processam informações e que se explorados po- dem comprometer a segurança da informação; • Incidentes de segurança: fato decorrente da ação de uma ameaça que explora uma ou mais vulnerabilidades, levando à perda ou comprometimento de um ou mais princípios da segurança da informação; • Riscos: são probabilidades de ameaças explorarem vulnera- bilidades, provocando perdas ou danos aos ativos e as infor- mações; • Impacto: abrangência dos danos causados por um incidente de segurança sobre um ou mais processos de trabalho; • Controles: são práticas, procedimentos, mecanismos e po- líticas que protegem um ativo contra uma ameaça, reduz a vulnerabilidade, limita o impacto de eventos indesejáveis e facilita o processo de recuperação do ambiente afetado. Controles Controles Controles Controles Controles Controles Controles Controles Ativos Am Vulnerabilidade ... eaç a Storage Ameaça Controles Servidores Documentos Controles Controles Controles Figura 1.1 Relação entre ativos, controles, ameaças e vulnerabilidades. 18 Curso de Tecnologia em Análise e Desenvolvimento de Sistemas
  • 1 Introdução à segurança da informação Capítulo 1.7 Teoria do perímetro Segundo (Sêmola, 2002) esta teoria está associado à compar-timentalização de espaços físicos e lógicos. Isso distribui a resistênciapor áreas, dificultando as tentativas de acesso indevido. Além disso,propicia o estabelecimento de diversas barreiras de proteção até queo agente possa alcançar o alvo, ou seja, a informação. Saber segmen-tar os ativos físicos, tecnológicos e humanos em categorias, conformea similaridade de sua criticidade e valor facilitam a seleção dos me-canismos de proteção adequados e garantem maior efetividade dosmesmos. 1.8 Estratégias de proteção Para otimizar a aplicação de recursos em função dos ativos aserem protegidos, (Ramos, 2006) propõem estratégias de proteçãopara o balanceamento entre a necessidade de proteção e as vulnerabi-lidades e ameaças sobre esses ativos: • Privilégio mínimo (Least Privilege): refere-se a uma não ex- posição de risco desnecessária. Segundo esse enfoque, o acesso a um usuário deve ser restrito as suas reais necessi- dades para o desempenho de suas funções; • Defesa em profundidade (Defense in Depth): refere-se à aplicação de defesas distintas, de controles complementares como redundância, para no caso de falha ou violação de um, haja outro controle e não torne o sistema como um todo vul- nerável e restrito a somente um único controle, pois em segu- rança nada é infalível; • Elo mais fraco (Weakest Link): refere-se ao princípio de que o elo mais fraco de uma corrente define a resistência do sis- tema, pois o invasor precisará apenas de uma falha para al- cançar o seu objetivo; Segurança de Redes 19
  • 1 Capítulo Introdução à segurança da informação • Ponto de estrangulamento (Choke Point): refere-se a adotar medidas de segurança estratégicas em um mesmo ponto de controle em que passem todos os usuários; • Segurança pela obscuridade (Security Throught Obscurity): refere-se à estratégia de que quanto menos informações um agente tiver a respeito do ambiente alvo, maior será a sua di- ficuldade em invadi-lo, porém é preciso combinar outros con- troles para que seja eficaz; • Simplicidade (Simplicity): refere-se à estratégia de que quan- to mais complexo um sistema, maior a dificuldade em torná-lo seguro. De acordo com essa abordagem pode-se verificar que antes de implementar qualquer estratégia de segurança de informações, con- vém que se verifique as seguintes questões: • O que proteger? • Contra que ou quem? • Quais as ameaças mais prováveis? • Qual a importância de cada recurso? • Qual o grau de proteção desejado? • Quanto tempo, recursos humanos e financeiros se pretende gastar para atingir os objetivos de segurança desejados? • Quais as expectativas dos usuários e clientes em relação à segurança das informações? • Quais as consequências para a organização, caso seus siste- mas e informações sejam violados ou roubados? Tendo a resposta a essas perguntas, é possível iniciar os primei- ros passos para a definição de uma política de segurança da informa- ção, tendo por base uma análise de riscos criteriosa. 20 Curso de Tecnologia em Análise e Desenvolvimento de Sistemas
  • 1 Introdução à segurança da informação Capítulo 1.9 Segurança de redes Pela avaliação de (Tanenbaum, 2003), a conceituação de segu-rança talvez seja a mais complexa da Informática, pois envolve, obri-gatoriamente, todos os produtos e serviços associados aos computa-dores e processos automatizados, abrangendo políticas, ferramentas,tecnologias e diversos procedimentos. Atualmente, para proteger a rede é necessário um conjunto deferramentas e técnicas de segurança. Em virtude do aumento significa-tivo dos ataques as redes de computadores em todo o mundo é precisoinvestir em segurança de forma estratégica e inteligente. As principais ameaças estão ligadas geralmente aos hackers,porém podem estar vinculadas à ex-funcionários, espiões, terroristasou qualquer outra pessoa que se possa valer de algum método furtivodos ativos ou informações de uma rede de computadores. Atendo-se aos hackers, por ser o agente mais comum aos ata-ques as redes de computadores, verifica-se que os ataques realizadospor eles são motivados por diversão, espionagem industrial, vingançaou vaidade, para mostrar a sua capacidade aos outros hackers. Conforme (Mitnick, 2003), um hacker competente toma váriaspreocupações antes de realizar um ataque. Ele realiza um estudo doalvo buscando o máximo de informações possíveis sobre o sistemausado pela vítima e as falhas de segurança desse sistema. Outro fator que é levado em consideração é a escolha do mo-mento em que ele será efetivado. Normalmente os dias e horários pre-feridos são durante os feriados, momento em que a equipe de segu-rança é reduzida e uma contra-medida ao ataque é mais trabalhosa edemorada. Notoriamente, esses agentes estabelecem verdadeiros planos deações que incluem: estudo do alvo, utilizando-se da engenharia social ede ferramentas de escuta; criação de um plano de execução, baseadona posse de informações sobre qual serviço da rede está vulnerável;informações sobre o sistema operacional usado e as vulnerabilidades Segurança de Redes 21
  • 1 Capítulo Introdução à segurança da informação de código remoto existentes. Inclui-se, ainda, o estabelecimento de um ponto de entrada, atacando a vulnerabilidade mais recente; testes de vulnerabilidades em potencial, para saber se o ataque será bem suce- dido e se não irá gerar nenhum tipo de alerta; entre outros. 1.10 Engenharia social É um método em que o agente se utiliza da persuasão para ob- ter acesso a informações críticas sobre um sistema ou empresa alvo, aproveitando-se da ingenuidade, confiança ou despreparo de usuários ou funcionários. A analogia do nome é definida em Engenharia, por ser baseado na construção de táticas de acesso a informações críticas; e social por que seu alvo são pessoas com papéis definidos em uma sociedade organizada. Segundo (Pereira, 2005), o engenheiro social é capaz de es- tudar seu alvo por meses, procurando detalhes mínimos e falhas que possam levar a todas as informações necessárias até o momento da abordagem, seja ela presencial ou por meio tecnológico. Além disso, muitos dos engenheiros sociais dominam técnicas baseadas em PNL (Programação Neurolinguística), o que permite fazer um estudo do comportamento de seus alvos e definir modos de ações, de forma a garantir um grande grau de interação, ganhando a confiança de seu alvo para posteriormente conquistar seus objetivos. E tudo isso de uma forma aparentemente simples: perguntando! Para (Mitinik, 2003) uma empresa pode ter adquirido as me- lhores tecnologias e ter treinado todo seu pessoal, porém mesmo as- sim essa empresa ainda estará vulnerável. Esses indivíduos ainda estarão completamente vulneráveis, porque o fator humano é o elo mais fraco da segurança. Nessa afirmação, (Mitinik, 2003) alerta para os erros em se canalizar os esforços na garantia da segurança baseado somente em controles técnicos e tecnológicos, deixando-se de levar em consideração o controle do fator humano e seus aspec- tos. Em sua abordagem atenta para o emprego de políticas de segu- 22 Curso de Tecnologia em Análise e Desenvolvimento de Sistemas
  • 1 Introdução à segurança da informação Capítulorança, a fim de conscientizar e preparar todos os funcionários a sedefenderem desse tipo de ataque. Deve-se considerar também a visão de (Ramos, 2006), sobreas estratégias de proteção já mencionadas, principalmente no queconcerne as estratégias em relação ao elo mais fraco e a defesa emprofundidade. 1.11 Política de segurança A política de segurança tem o propósito de regular como deveser gerenciada e protegida a informação, além dos recursos e usuáriosque com ela interagem durante todo o seu ciclo de vida, fornecendoorientação e apoio às ações de gestão de segurança. Dessa forma,estabelece padrões, responsabilidades e critérios para o manuseio, ar-mazenamento, transporte e descarte das informações, dentro do nívelde segurança estabelecido sob medida para a organização. Convémque as dimensões a serem tratadas pela política de segurança abran-jam os pontos de controle das normas de padronizações como a (NBR27002, 2005). Dentre estes controles pode-se citar: responsabilidadesdos proprietários e custodiantes dos ativos da informação, estrutura eorganização da gestão da segurança, controles de conformidade legal,requisitos de treinamento e capacitação de usuários, mecanismos decontrole de acesso físico e lógico, responsabilizações, auditoria do usode recursos, registros de incidentes, gestão da continuidade do negó-cio, requisitos de treinamento e capacitação de usuários, mecanismosde controle de acesso físico e lógico, auditoria do uso de recursos, en-tre outros controles aplicáveis a cada organização. Em virtude de sua abrangência, a política de segurança é subdi-vidida em: • Diretrizes: tem papel estratégico e expressa a importância que a empresa dá a informação, divulgando aos funcioná- rios seu valor e o grau de comprometimento exigido com a segurança, de acordo com estratégia e atuação da empresa. Segurança de Redes 23
  • 1 Capítulo Introdução à segurança da informação Ex: estabelecimento da necessidade de salvaguarda de de- terminada informação. • Normas: detalham ambientes, situações e processos especí- ficos. Fornecem orientação para uso adequado das informa- ções. Ex: normas para admissão e demissão de funcionários, para a criação e manutenção de senhas, para o descarte de informação em mídia magnética, para o desenvolvimento e manutenção de sistemas, para uso da Internet, para acesso remoto, para o uso de notebook, para a contratação de servi- ços terceirizados, para a classificação da informação, etc. • Procedimentos e instruções: descreve meticulosamente cada ação e atividade associada a cada situação distinta de uso das informações. Ex: os procedimentos e os passos ne- cessários para o descarte de mídia magnética. 1.12 Classificação das informações A classificação de informações é o processo de identificar e defi- nir níveis e critérios adequados de proteção visando garantir que cada informação tenha o tratamento de segurança adequado ao seu valor, aos requisitos legais, à sua sensibilidade, grau de criticidade e ao risco de sua perda para a organização. A classificação é um dos pilares da gestão da segurança da informação numa organização e deve estar alinhada a sua política de segurança e aos objetivos e natureza do negócio, observados os requisitos legais para o seu tratamento, de- vendo contemplar todo o seu ciclo de vida: produção, armazenamento, transporte e descarte. Esse processo exige a formalização de dois documentos: o es- quema de classificação, que contém as definições dos níveis de pro- teção considerados, e um conjunto apropriado de procedimentos para rotulação e tratamento da informação segundo esse esquema. Quanto aos procedimentos para rotulação e tratamento da infor- mação convém que sejam observados: 24 Curso de Tecnologia em Análise e Desenvolvimento de Sistemas
  • 1 Introdução à segurança da informação Capítulo • A necessidade de segurança; • A necessidade de acesso; • A necessidade de conhecer; • A natureza do seu conteúdo; • A legislação vigente. Quanto aos níveis de proteção e grau de sigilo, a classificaçãodepende do tipo e natureza da organização. No âmbito da Adminis-tração Pública Federal, esse processo é regulado pelo Decreto 4.553de 27 de dezembro de 2002, que define entre outras premissas, otempo de vida da classificação de sigilo da informação e a sua reclassi-ficação. No âmbito privado esse processo dependerá das decisões donível estratégico da empresa, observados a natureza, os objetivos daorganização e os requisitos legais. De forma a ilustrar (Figura 1.2), aclassificação da informação pode seguir o seguinte rótulo: • Secreto: informação crítica e de vital importância para os pro- cessos de negócio da organização. O acesso deve ser restrito a um número bastante reduzido de pessoas; • Confidencial: dados ou informações com alto grau de sensibi- lidade e criticidade e que pode levar a prejuízos estratégicos, financeiros ou a perda de credibilidade com clientes, fornece- dores ou parceiros de negócio; • Reservado: dados ou informações com grau médio de sensi- bilidade criticidade e que pode levar ao desequilíbrio opera- cional da organização; • Privativo: dados ou informações de interesse privativo ou se- torial da organização; • Público: dados ou informações de acesso público. Segurança de Redes 25
  • 1 Capítulo Introdução à segurança da informação Informação Público Não Classificada Privativo Nível de Segurança Baixo Reservado Nível de Segurança Confidencial Médio Secreto Nível de Segurança Médio/Alto Nível de Segurança Alto Figura 1.2 Níveis e rótulos de classificação da informação. A ausência desse processo é um indicativo de que o tratamento da segurança da informação na organização não está sendo feito de forma consistente, pois aumenta o risco de que a proteção das infor- mações não esteja adequada às necessidades do negócio. 1.13 Resumo Neste Capítulo foram abordados conceitos e propriedades bá- sicas da segurança da informação necessárias ao entendimento do estudo em curso. Aprendemos que a confidencialidade, integridade e disponibilidade são os pilares que sustentam a segurança da informa- ção e que para garanti-los é preciso aplicar um conjunto de estratégias e instrumentos, observando-se o valor dos ativos, a sua importância para a organização, bem como as variáveis, agentes ou condições que envolvem a sua exploração. Dessa forma, foram apresentados conceitos acerca dos elemen- tos, dos ativos da informação e de seu ciclo de vida, definindo as téc- nicas e condições que a afetam e critérios gerais de proteção que envolvem políticas e instrumentos que serão detalhados nos demais capítulos. 26 Curso de Tecnologia em Análise e Desenvolvimento de Sistemas
  • 1 Introdução à segurança da informação CapítuloExercícios:1) Associe: 1 - Teoria do perímetro 2 - Estratégia de proteção: ponto de estrangulamento 3 - Estratégia de proteção: defesa em profundidade 4 - Estratégia de proteção: segurança pela obscuridade 5 - Barreiras de proteção ( ) Quanto menos informações um agente tiver a respeito do am- biente alvo, maior será a sua dificuldade em invadi-lo; ( ) Aplicação de defesas distintas, de controles complementares como redundância, para no caso de falha ou violação de um, haja outro controle e não torne o sistema como um todo vulne- rável e restrito a somente um único controle; ( ) Tem por objetivo tornar o custo da invasão maior do que o valor da informação; ( ) Resistência distribuída por espaços físicos e lógicos; ( ) Estratégicas em um mesmo ponto de controle em que passem todos os usuários.2) Descreva sucintamente os três pilares da Segurança da Informação e cite exemplos de sua aplicação.3) Qual a importância em se conhecer o ciclo de vida da informação?4) Qual a importância da teoria do perímetro para a estratégia da segu- rança da informação? Segurança de Redes 27
  • 1 Capítulo Introdução à segurança da informação 5) Descreva sucintamente a correlação entre ameaça, vulnerabilidade e risco. 6) Descreva incidente de segurança. 7) Cite uma situação que reflete uma ação da técnica de engenharia social. 8) Qual a contra-medida recomendada para proteger os ativos da orga- nização contra a ação da engenharia social. 9) Cite uma norma que faz parte da política de segurança da sua em- presa. 10) Qual a importância da política de segurança para a organização? 11) Cite quatro benefícios da política de segurança para uma organi- zação. 12) Por que a organização deve classificar suas informações? 13) Cite alguns rótulos empregados na classificação da informação de sua organização. 14) Quais os prejuízos que uma organização pode sofrer por não clas- sificar a informação? 28 Curso de Tecnologia em Análise e Desenvolvimento de Sistemas