curso básico de segurança da informação - essentials modulo1

Curso Bsico de Segurana da InformaoAcademia Latino-Americana de Segurana da Informao

Introduo Segurana da InformaoMdulo 1

Academia Latino-Americana de Segurana da Informao Curso Bsico Mdulo 1 Introduo Segurana da Informao - Microsoft TechNet

Pgina 1

Apostila desenvolvida pelo Mdulo Security e revisada pelo captulo Brasil da ISSA, em parceria com a Microsoft Informtica

www.modulo.com.br

http://www.issabrasil.org

Reviso 1.1 Dezembro de 2006

COORDENADOR TCNICO Fernando Fonseca

REVISORES: Anchises de Paula Augusto Paes de Barros Dimitri Abreu Luciana Vartuli Luciano BarretoAcademia Latino-Americana de Segurana da Informao Curso Bsico Mdulo 1 Introduo Segurana da Informao - Microsoft TechNet Pgina 2

COMO USAR ESSE MATERIALEste um material de apoio para o curso Introduo Segurana da Informao ministrado pela Academia de Segurana Microsoft. Um vdeo ser explicando os conceitos deste material estar disponvel na academia para auxiliar no entendimento dos conceitos aqui explicados.

VDEOIndica que ser apresentado um filme para ilustrar as prticas ou conceitos.

CONCEITO-CHAVEIndica um ponto importante para se assimilar melhor a matria.

PERGUNTAS PARA PENSARIndica uma pergunta que estimula um racioccio lgico para auxiliar o aprendizado

VULNERABILIDADESIndica uma vulnerabilidade atrubuda a um conceito sendo estudado


Pgina 3

NDICEINTRODUO ............................................................................................................................... 6Notcias pelo Mundo ....................................................................................................................................................................... 7 Objetivos......................................................................................................................................................................................... 8 Contedo da unidade: .................................................................................................................................................................... 9

INTRODUO SEGURANA DA INFORMAO ............................................................................. 10 1.1 Introduo ............................................................................................................. 10Notcias pelo Mundo ..................................................................................................................................................................... 11

1.2 - Objetivos................................................................ Error! Bookmark not defined. 1.3 - Implementao de um sistema de segurana ..................................................... 13 1.4 Conceitos bsicos ................................................................................................. 14 1.4.1 Princpios bsicos da segurana da informao ................................................. 17 1.4.2 - Princpio da Integridade da Informao ............................................................ 18Proteger a Integridade da Informao ........................................................................................................................................ 19

1.4.3 - Princpio da Confidencialidade da Informao ................................................. 20Proteger a Confidencialidade da Informao ............................................................................................................................. 21

1.4 .4 - Princpio da Disponibilidade das Informaes ................................................ 23Proteger a Disponibilidade da Informao .................................................................................................................................. 24

1.5 - Evoluo da segurana da Informao ............................................................... 25 1.6 Lies Aprendidas ................................................................................................. 29 ATIVOS ...................................................................................................................................... 31 2.1 Introduo ............................................................................................................. 31Notcias pelo Mundo ..................................................................................................................................................................... 32

2.2 Objetivos ............................................................................................................... 33


Pgina 4

2.3 Tipos de Ativos ..................................................................................................... 34 2.3.1 - Informaes .................................................................................................... 35 2.3.2 - Software (B1) .................................................................................................. 36 2.3.2 - Hardware (B2).................................................................................................. 37 2.3.2 - Organizao (B3) ............................................................................................ 38 2.4 - Usurios ............................................................................................................. 39 2.6 - Lies aprendidas .............................................................................................. 40 AMEAAS E PONTOS FRACOS..................................................................................................... 41 3.1 Introduo ............................................................................................................. 41Notcias pelo Mundo ..................................................................................................................................................................... 42

3.2 - Objetivos........................................................................................................... 43 3.3 - As Ameaas...................................................................................................... 44 3.4 - Vulnerabilidades ................................................................................................. 47 3.5 - Lies Aprendidas .............................................................................................. 54 RISCOS, MEDIDAS E CICLO DE SEGURANA .................................................................................. 55 4.1 Introduo ............................................................................................................. 55Notcias pelo Mundo ..................................................................................................................................................................... 56

4.2 Objetivos ............................................................................................................... 57 4.3 Riscos ................................................................................................................... 58 4.4 Medidas de Segurana ......................................................................................... 59 4.5 Ciclo de Segurana ............................................................................................... 62 4.6 Lies Aprendidas ................................................................................................. 64 4.7 Referncia Bibliogrfica ........................................................................................ 65


Pgina 5

INTRODUONo mundo atual a posse e o uso do conhecimento passou a ser um fator estratgico decisivo para muitas empresas e corporaes. Estamos vivendo a poca batizada como "Era da Informao". Mas a informao voltil. frgil. Hoje, ela pode desaparecer na velocidade de um pulso eltrico. Muitas empresas tem seus ativos fsicos e suas informaes constantemente expostos a diversas ameaas, que poderiam representar prejuzos de milhares ou milhes de dlares se forem concretizadas. As vulnerabilidades e fragilidades em nossos sistemas de informao podem causar problemas graves ao negcio, por isso muito importante compreender os conceitos necessrios para combat-las e, assim, nos defendermos de possveis ataques s informaes estratgicas. Exemplos destas ameaas so os vrus e os worms (vermes) que se aproveitam de falhas na segurana dos sistemas e circulam pela Internet em busca de mquinas vulnerveis nas quais possa realizar seu ataque. Na maioria das vezes, estes ataques resultam em perdar de dados e destruio de informaes valiosas. Exemplos claros de como as vulnerabilidades presentes em nossos sistemas computacionais podem ser aproveitadas por Crakers (pessoas que se dedicam a criar pestes eletrnicas e invadir sistemas) so danos causados no mundo todo pelos vermes Blaster, Ninda e Slammer. Os fabricantes de software e a comunidade de software livre se esforam para para corrigir estas vulnerabilidades atravs de atualizaes (patches), mas um fator mais importante nos chama a ateno: Ser que as empresas conhecem os riscos aos quais esto expostas e se preparam para reduz-los? H poucos anos atrs, a resposta seria um sonoro no. Prova disso que estes worms causaram um estrago enorme mesmo tendo atacado vulnerabilidades que j haviam sido corrigidas meses antes. Faltou um processo de manuteno da segurana do ambiente para que as correes fossem aplicadas e bilhes de dlares fossem perdidos. A boa notcia que depois de tanto prejuzo as empresas comeam a valorizar estes processos. O objetivo deste curso capacitar um nmero maior de profissionais nos conceitos e boas prticas em segurana da Informao e, assim, fazer com que os processos necessrios para a reduo dos riscos e proteo dos ativos sejam criados e que a cultura de segurana se espalhe cada vez mais pelas empresas.


Pgina 6

NOTCIAS PELO MUNDO

Montadora de avies tem notebook roubado e pode ter informaoes expostas

A Boeing, uma das maiores montadoras de avies do mundo, teve um notebook roubado. O equipamento continha nomes e nmeros da previdncia social de cerca de 382 mil funcionrios e aposentados, que j comearam a ser notificados do ocorrido. Este o terceiro porttil da companhia que desaparece em 13 meses. A informao do site BetaNews. O sumio de tais informaes pode fazer com que funcionrios tenham suas identidades roubadas, alm de haver riscos de fraudes com cartes de crdito. Dados como endereos residenciais, datas de nascimento e telefones de contato estavam presentes no notebook. A Boeing declarou que dados de fornecedores ou clientes no estavam armazenados no dispositivo, mas no divulgou em qual de seus escritrios ocorreu o furto. Segundo a companhia, para o ladro visualizar os dados do notebook, ele teria de conseguir a senha de acesso do laptop, coisa que um cracker de competncia mdia pode conseguir sem muito trabalho. Na tentativa de evitar golpes com tais informaes, a empresa oferecer um servio de monitorao de crdito por um perodo de trs anosFonte: Mdulo Security News ( www.modulo.com.br)


Pgina 7

OBJETIVOS

Conhecer os conceitos bsicos que fundamentam os estudos sobre segurana da informao Conhecer as diferentes categorias de ativos existentes em uma empresa. Compreender o conceito de pontos fracos para identificar as possveis vulnerabilidades e as ameaas existentes nos ativos. Interpretar a classificao proposta das possveis ameaas encontradas nos diferentes processos da empresa. Revisar os conceitos de integridade, confidencialidade e disponibilidade da informao. Conhecer o conceito de risco e sua implicao no ciclo de segurana das informaes da empresa. Distinguir a diferena entre aplicar ou no medidas de segurana nos diferentes aspectos de nossa empresa. Compreender os conceitos bsicos de anlise de riscos e poltica de segurana, dois pontos muito importantes para definir as aes em matria de segurana aplicveis s empresas.


Pgina 8

CONTEDO DA UNIDADE:

Conceitos bsicos Ativos Ameaas e pontos fracos Riscos, medidas e ciclo de segurana


Pgina 9

Captulo

1INTRODUO SEGURANA DA INFORMAO1.1 INTRODUONeste captulo, veremos alguns conceitos fundamentais para a compreenso da segurana da informao e das metodologias para sua implantao nas organizaes. Desde o surgimento da raa humana na Terra, a informao esteve presente atravs de diferentes formas e tcnicas. O homem buscava representar seus hbitos, costumes e intenes com diversos meios que pudessem ser utilizados por ele e por outras pessoas e que pudessem ser levados de um lugar para outro. As informaes importantes eram registradas em objetos preciosos e sofisticados e pinturas magnficas, entre outros, que eram armazenados com muito cuidado em locais de difcil acesso. A eles s tinham acesso aqueles que tivessem autorizao para interpret-la. Atualmente, as informaes constituem o objeto de maior valor para as empresas. O progresso da informtica e das redes de comunicao nos apresenta um novo cenrio, no qual os objetos do mundo real esto representados por bits e bytes, que ocupam lugar em diversos meios e possuem formas diferentes das originais, sem deixar de ter o mesmo valor que os objetos reais e, em muitos casos, chegando a ter um valor maior. Por esse e outros motivos a segurana da informao um assunto to importante para todos, pois afeta diretamente todos os negcios de uma empresa ou de um indivduo. Segurana um termo que transmite conforto e tranqilidade a quem desfruta de seu estado. Entender e implementar este estado em um ambiente organizacional exigem conhecimento e prticas especializadas que somente so possveis com o emprego e uso de um cdigo de prticas de segurana, contidos em uma norma, como a ABNT NBR ISO/IEC 17799:2005.


Pgina 10

NOTCIAS PELO MUNDO

Pesquisa revela falta de padres de segurana em grandes empresas Um estudo recente feito pela empresa britnica de consultoria Pentasafe revela que a falta de procedimentos de segurana por parte de funcionrios coloca informaes confidenciais das grandes empresas em risco. Foram entrevistados 15 mil funcionrios de 600 grandes empresas dos EUA e da Europa. A pesquisa constatou que 60% dos funcionrios tm poucos conhecimentos sobre planos de segurana. 90% dos entrevistados admitiram abrir ou executar arquivos desconhecidos anexados em e-mails. No entanto, muitas empresas tambm so responsveis pelos problemas relacionados segurana. Em um tero delas os empregados no so obrigados a ler a poltica de segurana existente. 50% admitiram nunca terem recebido qualquer tipo de treinamento especfico sobre o tema.Fonte: http://www.modulo.com.br/


Pgina 11

OBJETIVOS

Compreender os conceitos bsicos da segurana da informao para obter uma melhor idia de suas implicaes. Entender a importncia da informao nos negcios atualmente para agir de forma mais gil na sua proteo. Conhecer os princpios bsicos da segurana da informao: confidencialidade, disponibilidade e integridade, com a finalidade de entender como as ameaas e vulnerabilidades podem atingir a cada um deles e saber quais as medidas de proteo mais adequadas para cada informao. Conhecer a evoluo da segurana da informao como disciplina de estudos desde o seu nascimento at os dias de hoje.


Pgina 12

1.3 - IMPLEMENTAO DE UM SISTEMA DE SEGURANA

Podemos representar a implantao de um sistema de segurana da informao na empresa como a escalada de uma grande montanha, na qual pouco a pouco iremos subindo e passando os nveis em termos de conceitos, ferramentas e conhecimento do ambiente tecnolgico da empresa. Mais tarde veremos que no basta chegar ao topo da montanha; a segurana um processo contnuo, o chamado ciclo de segurana.


Pgina 13

1.4 CONCEITOS BSICOSNesta primeira etapa da escalada, voc conhecer os conceitos bsicos da segurana da informao. Depois de entender cada conceito, voc receber uma nova ferramenta para ajudar a montar sua barraca e, assim, poder continuar a escalada da montanha, avanando at os prximos captulos para compreender como se implementa a segurana da informao. Nesta etapa, voc ainda no possui essas ferramentas, por isso vai comear a escalada com um acampamento bsico. Esse acampamento ilustra a situao em que se encontram as empresas na etapa inicial da implementao da segurana: baixo controle do ambiente, alto ndice de risco, processo de segurana pessoal e intuitivo, entre outros. Ento vamos conhecer os principais conceitos da segurana da informao e por que ela necessria para o sucesso dos negcios de uma empresa. O objetivo deste estudo obter um ambiente seguro para a informao. Mas o que informao? Segundo o dicionrio Aurlio [1], informao o conjunto de dados acerca de algum ou de algo. Estendendo esse conceito, podemos dizer que a informao a interpretao desses dados. De nada vale um conjunto de dados sem que se faa a interpretao dos mesmos para se extrair um conhecimento til.Academia Latino-Americana de Segurana da Informao Curso Bsico Mdulo 1 Introduo Segurana da Informao - Microsoft TechNet

Pgina 14

As organizaes necessitam da informao para tomar decises objetivando seus fins (o sucesso). Isto mostra o quo poderosa a informao. Sem ela no h estratgias, no h mudanas ou at mesmo no existiria a empresa. Uma conseqncia natural da importncia da informao a extrema vulnerabilidade a que cada empresa se expe caso haja perda de dados vitais, como plantas de projetos, planilhas de custos, documentos contbeis, financeiros, etc. Quanto maior for a organizao maior ser sua dependncia da informao. A informao pode estar armazenada de vrias formas: impressa em papel, em meios digitais (discos, fitas, CDs, DVDs, disquetes), na mente das pessoas, em imagens armazenadas em fotografias e filmes. Quando lidamos com segurana da informao, necessrio pensar em sua confidencialidade, integridade e disponibilidade em qualquer um desses meios, utilizando todos os recursos disponveis, e no somente os tecnolgicos. Devemos tratar a informao como um ativo da empresa com a mesma importncia que qualquer outro bem palpvel. Por isso, deve ser protegido contra roubo, problemas ambientais, vandalismo, dano acidental ou provocado. Quanto mais interconectada for uma empresa, maior ser a complexidade dos sistemas por onde trafegam e so armazenadas as informaes e, conseqentemente, maior ser a preocupao com o nvel de segurana a ser implantado a fim de garantir a confidencialidade, confiabilidade, disponibilidade e integridade da informao que ela detm. A disciplina de segurana da informao trata do conjunto de controles e processos que visam preservar os dados que trafegam ou so armazenados em qualquer meio. As modernas tecnologias de transporte, armazenamento e manipulao dos dados, trouxeram enorme agilidade para as empresas, mas, ao mesmo tempo, trouxeram tambm novos riscos. Ataques de crackers (black hat hackers), de engenharia social, vrus, worms, negao de servio, espionagem eletrnica so noticiadas pela imprensa todos os dias. Diante deste cenrio, a segurana da informao torna-se imprescindvel para as organizaes, sejam elas do setor pblico ou privado.

A segurana da informao tem como propsito proteger as informaes registradas, sem importar onde estejam situadas: impressas em papel, nos discos rgidos dos computadores ou at mesmo na memria das pessoas que as conhecem. Idiaschave


Pgina 15

Perguntas para pensar

Os objetos reais ou tangveis (entendendo-os como coisas de valor fsico jias, pinturas, dinheiro etc.) esto protegidos por tcnicas que os isolam atrs de grades ou dentro de caixas fortes, sob a mira de cmeras ou seguranas. Mas, e as informaes encontradas dentro de servidores de arquivos, que transitam pelas redes de comunicao ou que so lidas na tela de um computador? O que fazer para proteg-las, j que no possvel usar as mesmas tcnicas de proteo de objetos reais?

Para responder essas perguntas, convidamos voc a continuar revendo o contedo temtico desta unidade, onde conheceremos com detalhes os princpios que permitiro proteger a informao. Por enquanto, neste captulo, encerraremos dizendo que uma das preocupaes da segurana da informao proteger os elementos que fazem parte da comunicao. Assim, para comear, necessrio identificar os elementos que a segurana da informao tenta proteger:

As informaes Os equipamentos e sistemas que oferecem suporte a elas As pessoas que as utilizam

Alm disso, importante que todos os funcionrios da empresa tenham conscincia de como devem lidar com as informaes de forma segura, j que de nada serve qualquer sistema de segurana, por mais complexo e completo que seja, se os funcionrios, por exemplo, facilitam o acesso ou fornecem seu nome de usurio e senha a pessoas estranhas empresa e, com isso, deixam aberta a porta para possveis ataques ou vazamento de informaes crticas para fora da empresa.


Pgina 16

As informaes

A segurana das informaes Os equipamentos e sistemas que oferecem suporte a elas As pessoas que as utilizam

1.4.1 PRINCPIOS BSICOS DA SEGURANA DA INFORMAOAgora aprofundaremos os princpios bsicos que nos ajudaro a proteger o ativo de mais valor nos negcios modernos: a informao. Proteger os ativos significa adotar medidas para evitar a concretizao de ameaas que podem afetar a informao: Corrompendo-a, tendo acesso a ela de forma indevida, ou mesmo eliminando-a ou furtando-a Por isso, entendemos que a segurana da informao busca proteger os ativos de uma empresa ou indivduo com base na preservao de trs princpios bsicos: Integridade Confidencialidade e Disponibilidade da informao Nas prximas pginas, voc encontrar informaes mais detalhadas sobre cada um desses princpios.


Pgina 17

1.4.2 - PRINCPIO DA INTEGRIDADE DA INFORMAOO primeiro dos trs princpios da segurana da informao que aplicamos a integridade, a qual nos permite garantir que a informao no tenha sido alterada de forma no autorizada e, portanto, ntegra. Uma informao ntegra uma informao que no foi alterada de forma indevida ou noautorizada. Para que a informao possa ser utilizada, ela deve estar ntegra. Quando ocorre uma alterao no-autorizada da informao em um documento, isso quer dizer que o documento perdeu sua integridade. A integridade da informao fundamental para o xito da comunicao. O receptor dever ter a segurana de que a informao recebida, lida ou ouvida exatamente a mesma que foi colocada sua disposio pelo emissor para uma determinada finalidade. Estar ntegra quer dizer estar em seu estado original, sem ter sofrido qualquer alterao por algum que no tenha autorizao para tal. Se uma informao sofre alteraes em sua verso original, ento ela perde sua integridade, o que pode levar a erros e fraudes, prejudicando a comunicao e o processo de decises. A quebra de integridade ocorre quando a informao corrompida, falsificada ou indevidamente alterada. Uma informao poder ser alterada de vrias formas, tanto em seu contedo quanto no ambiente que lhe oferece suporte. Portanto, a quebra da integridade de uma informao poder ser considerada sob dois aspectos:


Pgina 18

1. Alteraes do contedo dos documentos quando so realizadas inseres, substituies ou excluses de parte de seu contedo. 2. Alteraes nos elementos que oferecem suporte informao quando so realizadas alteraes na estrutura fsica e lgica onde a informao est armazenada. Exemplo: Quando as configuraes de um sistema so alteradas para permitir acesso de escrita a informaes restritas, quando so superadas as barreiras de segurana de uma rede de computadores. Todos so exemplos de situaes que podem levar a quebra da integridade, afetando a segurana. Portanto, a prtica da segurana da informao tem como objetivo impedir que ocorram eventos de quebra de integridade, que causam danos s pessoas e s empresas


Quo importante para voc que as informaes sobre os salrios dos funcionrios de sua empresa no sejam alteradas por acidente ou delito? Voc sabe se as informaes sobre os projetos de negcios confidenciais esto seguras e no podem ser alteradas por terceiros?

Vejamos algumas observaes finais sobre o propsito que queremos alcanar ao proteger a integridade da informao.PROTEGER A INTEGRIDADE DA INFORMAO

Buscar a integridade tentar assegurar que apenas as pessoas ou sistemas autorizados possam fazer alteraes na forma e no contedo de uma informao, ou que alteraes causadas por acidentes ou defeitos de tecnologia no ocorram, assim como no ambiente no qual ela armazenada e pela qual transita, ou seja, em todos os ativos. Logo, para proteger a integridade, preciso que todos os elementos que compem a base da gesto da informao se mantenham em suas condies originais definidas por seus responsveis e proprietrios. Em resumo: proteger a integridade um dos principais objetivos para a segurana das informaes de um indivduo ou empresa


Pgina 19

1.4.3 - PRINCPIO DA CONFIDENCIALIDADE DA INFORMAOO princpio da confidencialidade da informao tem como objetivo garantir que apenas a pessoa correta tenha acesso informao. As informaes trocadas entre indivduos e empresas nem sempre devero ser conhecidas por todos. Muitas informaes geradas pelas pessoas se destinam a um grupo especfico de indivduos e, muitas vezes, a uma nica pessoa. Isso significa que esses dados devero ser conhecidos apenas por um grupo controlado de pessoas, definido pelo responsvel da informao Por isso, dizemos que a informao possui um grau de confidencialidade que dever ser mantido para que as pessoas no-autorizadas no tenham acesso a ela. Ter confidencialidade na comunicao ter a segurana de que o que foi dito a algum ou escrito em algum lugar s ser escutado ou lido por quem tiver autorizao para tal. Perda de confidencialidade significa perda de segredo. Se uma informao for confidencial, ela ser secreta e dever ser guardada com segurana, e no divulgada para pessoas no-autorizadas. Exemplo: Pensemos no caso de um carto de crdito. O nmero do carto s poder ser conhecido por seu proprietrio e pela loja onde usado. Se esse nmero for descoberto por algum mal-intencionado, como nos casos noticiados sobre crimes da Internet, o prejuzo causado pela perda de confidencialidade poder ser muito elevado, pois esse nmero poder ser


Pgina 20

usado por algum para fazer compras na Internet, trazendo prejuzos financeiros e uma grande dor de cabea para o proprietrio do carto. O mesmo ocorre no caso de uso indevido de senhas de acesso a sistemas bancrios, por exemplo. Milhares de dlares so roubados diariamente pela ao de criminosos virtuais que se dedicam a invadir sistemas para quebrar a confidencialidade das pessoas e empresas.


Voc sabe quem pode ter acesso a suas informaes? Elas esto guardadas de forma suficientemente segura para que pessoas no-autorizadas no tenham acesso a elas? O envio e o armazenamento de informaes confidenciais so feitos de forma segura, e os meios pelos quais transitam so controlados, conhecidos e seguros?

Se a resposta para alguma dessas perguntas for negativa, ento chegou o momento de pensar na segurana da informao para proteger a confidencialidade das informaes na sua empresa.PROTEGER A CONFIDENCIALIDADE DA INFORMAO

Proteger a confidencialidade um dos fatores determinantes para a segurana e uma das tarefas mais difceis de implementar, pois envolve todos os elementos que fazem parte da comunicao da informao, partindo do emissor, passando pelo caminho percorrido e chegando at o receptor. Alm disso, informaes tem diferentes graus de confidencialidade, normalmente relacionados ao seus valores. Quanto maior for o grau de confidencialidade, maior ser o nvel de segurana necessrio na estrutura tecnolgica e humana que participa desse processo: uso, acesso, trnsito e armazenamento das informaes. Deve-se considerar a confidencialidade com base no valor que a informao tem para a empresa ou a pessoa e os impactos causados por sua divulgao indevida. Assim, deve ser acessada, lida e alterada somente por aqueles indivduos que possuem permisso para tal. O acesso deve ser considerado com base no grau de sigilo das informaes, pois nem todas as informaes importantes da empresa so confidenciais.


Pgina 21

Como mencionado, o primeiro passo para proteger a confidencialidade das informaes atravs do estabelecimento do grau de sigilo. Vejamos a seguir esse conceito fundamental:

Conceitochave

Grau de sigilo: As informaes geradas pelas pessoas tm uma finalidade especfica e destinam-se a um indivduo ou grupo. Portanto, elas precisam de uma classificao com relao sua confidencialidade. o que chamamos de grau de sigilo, que uma graduao atribuda a cada tipo de informao com base no grupo de usurios que possuem permisses de acesso. O grau de sigilo faz parte de um importante processo de segurana de informaes, a classificao da informao.

Dependendo do tipo de informao e do pblico para o qual se deseja colocar disposio a informao, define-se um grau de sigilo. Um exemplo de graus de sigilo pode ser: Confidencial Restrito Sigiloso Pblico


Pgina 22

1.4 .4 - PRINCPIO DA DISPONIBILIDADE DAS INFORMAESAlm de trabalharmos para que a informao chegue apenas aos destinatrios ou usurios adequados e de forma ntegra, devemos fazer com que esteja disponvel no momento oportuno. disso que trata o terceiro princpio da segurana da informao: a disponibilidade Para que uma informao possa ser utilizada, ela deve estar disponvel. A disponibilidade o terceiro princpio bsico da segurana da informao. Refere-se disponibilidade da informao e de toda a estrutura fsica e tecnolgica que permite o acesso, o trnsito e o armazenamento. A disponibilidade da informao permite que: Seja utilizada quando necessrio Esteja ao alcance de seus usurios e destinatrios Possa ser acessada no momento em que for necessrio utiliz-la. Esse princpio est associado adequada estruturao de um ambiente tecnolgico e humano que permita a continuidade dos negcios da empresa ou das pessoas, sem impactos negativos para a utilizao das informaes. Assim, o ambiente tecnolgico e os suportes da informao devero estar funcionando corretamente para que a informao armazenada neles e que por eles transita possa ser utilizada pelos usurios.


Pgina 23

Exemplo: Durante uma reunio de altos executivos da empresa, os servios de banco de dados falham, o que impede que se tome uma deciso central em termos de negcios. Devido a um incndio em um dos escritrios, as informaes de vendas da empresa foram destrudas e no se contava com um suporte para as mesmas


A informao necessria para a tomada de decises crticas para o negcio se encontra sempre disponvel? Voc sabe se existem vulnerabilidades que impeam isso? Voc conta com sistemas de suporte de informao?

PROTEGER A DISPONIBILIDADE DA INFORMAO

Para que seja possvel proteger a disponibilidade da informao, necessrio conhecer seus usurios, para que se possa organizar e definir, conforme cada caso, as formas de disponibilizao, seu acesso e uso quando necessrio. A disponibilidade da informao deve ser considerada com base no valor que a informao tem e no impacto resultante de sua falta de disponibilidade. Para proteger a disponibilidade, muitas medidas so levadas em considerao. Entre elas, destacamos: A configurao segura de um ambiente em que todos os elementos que fazem parte da cadeia de comunicao estejam dispostos de forma adequada para assegurar o xito da leitura, do trnsito e do armazenamento da informao. Tambm importante fazer cpias de segurana backup. Isso permite que as mesmas estejam duplicadas em outro local para uso caso no seja possvel recuperlas a partir de sua base original Para aumentar ainda mais a disponibilidade da informao, deve-se: Definir estratgias para situaes de contingncia. Estabelecer rotas alternativas para o trnsito da informao, para garantir seu acesso e a continuidade dos negcios, inclusive quando alguns dos recursos tecnolgicos, ou humanos, no estejam em perfeitas condies de funcionamento.


Pgina 24

1.5 - EVOLUO DA SEGURANA DA INFORMAO

Desde a pr-histria, cerca de 2000 anos antes de Cristo (AC), o homem j sentia necessidade de transmitir e perpetuar a informao. Usava pinturas nas pedras para expressar seu cotidiano. Em 3500 AC, registrou-se o primeiro sistema de linguagem escrita na Sumria. A partir da vrias civilizaes desenvolveram seus prprios mtodos de registro e transmisso da informao, dentre eles podemos destacar: Os hierglifos e o papiro no antigo Egito, em 3000 AC; O baco dos babilnios, 1800 AC; Os primitivos livros chineses de bambu ou madeira presos por cordas datados de 1300 anos AC; O processo chins de fabricao de papel, de 105 DC alcanando Bagd em 753 DC; A fotografia de 1826; O telgrafo eletromagntico de Samuel Morse, em 1837; As primeiras transmisses de rdio em broadcast em 1917; O primeiro computador digital em 1943.


Pgina 25

Todo este processo milenar nos levou at as modernas tecnologias de transmisso e armazenamento digital de dados no sculo 20 [2]. Todos aqueles mtodos de armazenamento padeciam de um problema: como preservar essas informaes para que fossem acessadas aps sua gerao? No ano 600 da era crist o rei Ashurbanipal em Nineveh organizou a primeira biblioteca, cujo acervo sobrevive at os dias atuais com cerca de 20000 placas. um exemplo clssico da necessidade da transmisso da informao armazenada. Desde o incio, o desafio era conter as diversas ameaas informao, algumas das quais enfrentamos at hoje: incndios, saques, catstrofes naturais, deteriorao do meio de armazenamento. medida que a sociedade evolua, a preocupao com a segurana das informaes aumentava, principalmente no quesito confidencialidade. Foram criados vrios processos de cifragem da informao, que tinham a funo de alterar o contedo das mensagens antes de seu envio. Ao capturar uma mensagem o inimigo obtinha apenas um texto cifrado e no a mensagem original. Isso permitiu que segredos e estratgias fossem trocados de forma segura entre aliados. Por exemplo, a cifragem de Csar foi usada para troca de informaes entre os exrcitos durante o imprio romano; a mquina de cifrar Enigma foi utilizada como uma grande arma de guerra pelos alemes durante o perodo da segunda grande guerra. Atualmente a criptografia e a esteganografia continuam sendo largamente utilizadas em diversas aplicaes de transferncia e armazenamento de dados.

O surgimento dos computadores e de sua interconexo atravs de redes mundialmente distribudas permitiu maior capacidade de processamento e de distribuio das informaes. Com essa capacidade de comunicao, surgiu tambm a necessidade da criao de mecanismos que evitassem o acesso e a alterao indevida das informaes. Como resultado surgiram vrias propostas e publicaes de normas de segurana em todo o mundo.


Pgina 26

Evoluo da segurana da informao2005 2000 1995 1990 1985CSC-STD-001-83 ISO/IEC 27002 ISO 20000 + ISO/IEC FDIS 17799:2005(E) BS 15000 ISO/IEC 17799:2000 BS7799-1:1999 BS7799 + ABNT NBR ISO/IEC 17799:2005

ITIL e CobiT

1980 1975 1970 1965

DoD 5200.28-STD

W.H. Hare Security Controls for Computer Systems

Conforme Chappman [3], o ano de 1967, foi o ano em que a segurana de computadores passou a ter ateno oficial nos Estados Unidos. Nesta poca foi criada uma fora tarefa cujo foco era a construo de mecanismos de segurana de computadores que deveriam ser desenvolvidos para prover a proteo de informaes classificadas e do compartilhamento de recursos do sistema; este esforo resultou em um documento denominado Security Controls for Computer Systems: Report of Defense Science Boad Task Force on Computer Security editado por W. H. Ware [4]. Este relatrio representou o trabalho inicial de identificao e tratamento do problema clssico de segurana de computadores. Em 1978, o Departamento de Defesa dos Estados Unidos, publicou um conjunto de regras para avaliao da segurana nas solues disponibilizadas. Ficou conhecido como The Orange Book. Em 1978, teve incio o processo de escrita do Orange Book, denominado DoD 5200.28-STD, que foi concludo em 15 de agosto 1983, com o documento CSC-STD001-83 - Library No. S225,711 - DEPARTMENT OF DEFENSE TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA (TCSEC) [5]. Paralelamente foi publicado o documento An Introduction to Computer Security: The NIST Handbook [6], proposto pelo National Institute of Standards and Technology - U.S. Department of Commerce. Para facilitar sua aplicao, as normas de segurana foram divididas em vrios controles. Cada controle seria responsvel por atender a um dos quesitos da norma. O uso de controles permite uma viso modular da questo da segurana e a aplicao contextualizada das normas s organizaes.


Pgina 27

medida que as organizaes cresciam, as redes de computadores e os problemas de segurana tambm cresciam. No demorou muito para ficar claro que proteger somente os sistemas operacionais, as redes e as informaes que trafegavam por elas no era o suficiente. Com isto, foram criados comits com o objetivo de desenvolver mecanismos mais eficientes e globais de proteo informao. Desses pode-se destacar o Comercial Computer Security Centre, criado pelo governo britnico e que publicaria mais tarde a norma BS-7799. A BS-7799 foi a primeira norma homologada a apresentar solues para o tratamento da informao de uma maneira mais ampla. Segundo esta norma, todo tipo de informao deve ser protegido, independente da sua forma de armazenamento, seja analgica ou digital, e de seu valor para a organizao. No ano de 2000, houve a homologao da primeira parte da BS-7799 pela ISO. Esta homologao originou a Norma Internacional de Segurana da Informao - ISO/IEC 17799, sendo composta por 10 macros controles, cada qual subdividido em controles especficos. Em abril de 2001, a verso brasileira da norma ISO foi disponibilizada para consulta pblica. Em setembro do mesmo ano a ABNT homologou a verso brasileira que passou a ser denominada NBR ISO/IEC 17799:2000. A Norma trouxe mais do que vrios controles de segurana. Ela permitiu a criao de um mecanismo de certificao das organizaes, atravs da BS 7799-2 e posteriormente atravs da ISO 27001. Em 30 de setembro de 2005, passou a ter validade a segunda edio atualizada da norma brasileira. Foi publicada sob o nmero ABNT NBR ISO/IEC 17799:2005, que equivalente norma ISO/IEC 17799:2005, entrando em vigor a partir de novembro de 2005. Uma famlia de normas est atualmente em desenvolvimento e adotar um esquema de numerao usando uma srie de nmeros 27000 em seqncia. Incluem normas sobre requisitos de sistemas de gesto da segurana da informao, gesto de riscos, mtricas e medidas, e diretrizes para implementao, tais como [7]: ISO 27000 - Contm vocabulrio e definies utilizados nas normas da srie ISO 27000. Em desenvolvimento, tem sua publicao prevista para 2008 e deve absorver a ISO Guide 73 - Risk Management Vocabulary. ISO 27001 - publicada em outubro de 2005, substitui a BS7799-2, tornando-se a norma para certificao da segurana da informao. Nesta norma so organizados os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar o SGSI (Sistema de Gesto da Segurana da Informao, ou ISMS, Information Security Management System da sigla em ingls). ISO 27002 - organiza os controles de segurana da informao, reunindo as melhores prticas para a segurana da informao realizada mundialmente. Tratase na realidade da ISO 17799:2005. ISO 27003 No oficialmente tratar-se- de um guia de implementao.


Pgina 28

ISO 27004 - Information Security Management Metrics and Measurement, voltada para a medio da efetividade da implementao do SGSI e dos controles de segurana da informao implementados. Encontra-se em desenvolvimento e a sua publicao dever ocorrer em 2007. ISO 27005 - Novo padro para gerenciamento de riscos, dever substituir a BS7799-3 em 2007. Reunir diretriz e orientao para a identificao, avaliao, tratamento e gesto suportada dos riscos sobre os recursos do escopo compreendidos no SGSI. ISO 27006 - Este documento tem o ttulo provisrio de "Guidelines for information and communications technology disaster recovery services", baseada na SS507, padro de Singapura para continuidade do negcio e recuperao de desastres. Ainda sem previso para publicao.

Diversas iniciativas de organizaes governamentais j aplicam normas especficas internas baseadas em normas internacionais e nacionais. No Brasil a poltica de segurana da Informao nos rgos e nas entidades da administrao pblica federal regulamentada atravs do Decreto Presidencial No 3.505, de 13 de junho de 2.000. Esse decreto enfatiza em seu artigo 3o inciso I, o seguinte objetivo: Dotar os rgos e as entidades da Administrao Pblica Federal de instrumentos jurdicos, normativos e organizacionais que os capacitem cientfica, tecnolgica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o norepdio e a disponibilidade dos dados e das informaes tratadas, classificadas e sensveis [8]. Esse decreto representa a importncia que as entidades devem dar segurana da informao. Atendendo a esse decreto, diversos organismos governamentais desenvolvem seus cdigos de boas prticas em segurana da informao que devem ser seguidos pelas pessoas que de alguma forma esto relacionadas com os ambientes informatizados. Empresas privadas tambm se valem dos cdigos de conduta propostos pelas normas, a fim de obterem a certificao de segurana da informao, garantindo relaes de negcio com seus parceiros e clientes, em que a mtua confiana no sigilo da informao imprescindvel.

1.6 LIES APRENDIDAS


Pgina 29

Aprendemos ao longo deste captulo os conceitos gerais que configuram a segurana da informao. Compreendemos a importncia atual que tem para a empresa proteger a informao utilizada e que permite a realizao de seus negcios. Conhecemos o que deve ser protegido em um sistema de segurana de informao: as informaes, os equipamentos e sistemas que a utilizam ou oferecem suporte a ela e as pessoas que a utilizam. Aprendemos que a informao deve ter: disponibilidade para que seja til organizao. integridade, confidencialidade e

Conhecemos o caminho da Segurana da Informao desde a antiguidade at os dias de hoje.


Pgina 30

Captulo

2ATIVOS2.1 INTRODUOToda e qualquer informao, que seja um elemento essencial para os negcios de uma organizao, deve ser preservada pelo perodo necessrio, de acordo com sua importncia. A informao um bem como qualquer outro e por isso deve ser tratada como um ativo. De forma mais genrica, os ativos so elementos que a segurana busca proteger. Os ativos possuem valor para as empresas e, como conseqncia, precisam receber uma proteo adequada para que seus negcios no sejam prejudicados. Na viso de segurana da informao, so trs os elementos que compem o que chamamos de ativos: as informaes; os equipamentos e sistemas que oferecem suporte a elas; as pessoas que as utilizam. Neste captulo revisaremos com um pouco mais de detalhes os diferentes tipos de ativos, identificando tambm algumas das diversas vulnerabilidades que podem afet-los.


Pgina 31

NOTCIAS PELO MUNDO

Voc sabia que 94% das empresas que perdem seus dados desaparecem? *

Segundo um estudo realizado pela Universidade do Texas, apenas 6% das empresas que sofrem um desastre informtico sobrevivem. Os demais 94% desaparecem, mais cedo ou mais tarde. Pesquisas do Gartner Group, ainda que mais moderadas, confirmam essa tendncia ao indicar que duas de cada cinco empresas que enfrentam grandes ataques ou danos em seus sistemas deixam de existir por isso que a Hitachi Data Systems assegura que o mercado de armazenamento de dados crescer cerca de 12% ao ano no Chile at 2008. Enrique Mosiejko, diretor regional da Amrica Latina Sul da Hitachi Data Systems (HDS), explica que os dados de uma empresa podem desaparecer ou sofrer danos de muitas formas. Devido a m administrao da informao, erros humanos, vrus, hackers, ataques terroristas ou at mesmo desastres naturais. No Chile, por exemplo, os terremotos e as inundaes so uma sria ameaa para os equipamentos que armazenam a informao crtica das empresas. Como se pode observar na notcia, importante conhecer os ativos da empresa e detectar suas vulnerabilidades para proteger a confidencialidade, a disponibilidade e a integridade da informao. por isso que, neste captulo, abordaremos esses temas.*Fonte: http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35


Pgina 32

2.2 OBJETIVOS

Conhecer os diferentes tipos de ativos na empresa para identificar tudo aquilo que a segurana da informao deveria proteger. Detectar possveis vulnerabilidades relacionadas com esses ativos para nos prepararmos para sua proteo.


Pgina 33

2.3 TIPOS DE ATIVOSOs ativos so elementos que a segurana busca proteger. Os ativos possuem valor para as empresas e, como conseqncia, precisam receber uma proteo adequada para que seus negcios no sejam prejudicados. So trs os elementos que compem o que chamamos de ativos: as informaes; os equipamentos e sistemas que oferecem suporte a elas; as pessoas que as utilizam. Revisaremos com um pouco mais de detalhes os diferentes tipos de ativos. Para isso, consideramos esta classificao: a. Informaes b. Os equipamentos e sistemas que oferecem suporte a elas: c. Pessoas que as utilizam ou usurios:

b.1 Software b.2 Hardware b.3 Organizao

Conceito- chave

Um ativo todo elemento que manipula a informao, inclusive ela mesma, passando pelo seu emissor, o meio pelo qual ela transmitida ou armazenada, at chegar a seu receptor.


Pgina 34

2.3.1 - INFORMAESNeste grupo esto os elementos que contm informao registrada, em meio eletrnico ou fsico. Qualquer tipo de informao, independente do tipo de meio em que esteja armazenada, que seja importante para a empresa e seus negcios Cultura importante, exemplos desses ativos so: documentos relatrios livros manuais correspondncias patentes informaes de mercado cdigo de programao linhas de comando arquivos de configurao planilhas de remunerao de funcionrios plano de negcios de uma empresa etc.

Possveis vulnerabilidades

Documentos abandonados em locais pblicos, informaes publicadas em sistemas sem proteo de acesso, correspondncia em envelope no lacrado.


Pgina 35

2.3.2 - SOFTWARE (B1)Este grupo de ativos contm todos os programas de computador utilizados para a automatizao de processos, isto , acesso, leitura, trnsito, armazenamento e processamento das informaes. Dentre eles citamos: os aplicativos comerciais programas institucionais sistemas operacionais A segurana da informao busca avaliar a forma em que as aplicaes so criadas, como so colocadas disposio e como so utilizadas pelos usurios e pelos demais sistemas para detectar e corrigir problemas existentes na comunicao entre eles. Os aplicativos devero estar seguros para que a comunicao entre os bancos de dados, outros aplicativos e os usurios ocorra de forma segura, atendendo aos princpios bsicos da segurana da informao, a confidencialidade, a integridade e a disponibilidade So exemplos desse tipo de ativo os sistemas operacionais (Unix, Windows, Linux, etc.), sistemas informatizados, aplicativos especficos, programas de correio eletrnico e sistemas de suporte, entre outros. Falhas conhecidas e no reparadas que podem ser exploradas para permitir acessos no autorizados aos computadores. Sistema de autenticao por senha que permite o uso de senhas em branco.



Pgina 36

2.3.2 - HARDWARE (B2)Esses ativos representam toda a infra-estrutura tecnolgica que oferece suporte informao durante seu uso, trnsito, processamento e armazenamento. Faz parte desse grupo qualquer equipamento no qual se armazene, processe ou transmita as informaes da empresa: as estaes de trabalho os servidores os computadores portteis os mainframes as mdias de armazenamento


Infra-estrutura eltrica sujeita a falhas que danifiquem os equipamentos, centros de computao sujeitos a inundaes, computadores portteis sem vigilncia em locais pblicos.


Pgina 37

Presidente

Segurana

Financeiro

Produo

Compras

2.3.2 - ORGANIZAO (B3)Neste grupo, esto includos os aspectos que compem a estrutura fsica e organizacional das empresas. Refere-se organizao lgica e fsica do pessoal dentro da empresa em questo. Como exemplos de estrutura organizacional, temos, entre outros: a estrutura departamental e funcional o quadro de alocao dos funcionrios a distribuio de funes e os fluxos de informao da empresa os servidores Em relao ao ambiente fsico, entre outros, so considerados: salas e armrios onde esto localizados os documentos, fototeca, sala de servidores de arquivos


Localizao insegura de documentos, equipamentos ou pessoas. Estrutura organizacional que no permita mudanas em termos de segurana. Ausncia de equipe dedicada de segurana.


Pgina 38

2.4 - USURIOSO grupo usurios refere-se aos indivduos que utilizam a estrutura tecnolgica e de comunicao da empresa e que lidam com a informao. O enfoque da segurana nos usurios est voltado para a formao do hbito da segurana em todos os funcionrios de uma empresa para tomar decises e empreender aes, desde a alta direo at os usurios finais da informao, incluindo os grupos que mantm em funcionamento a estrutura tecnolgica, como tcnicos, operadores e administradores de ambientes tecnolgicos. So exemplos deste tipo de ativo: Funcionrios da rea de contabilidade. Direo da empresa


Desconhecimento dos mtodos de escolha de senhas fortes. Resistncia de funcionrios a adotar prticas de segurana. Descuido por parte dos usurios na manipulao da informao.


Pgina 39

2.6 - LIES APRENDIDAS Este captulo permitiu conhecer vrios conceitos novos de segurana da informao, o que permitir acelerar nosso processo rumo criao de uma poltica de segurana. Categorizamos os diferentes tipos de ativos na empresa e identificamos possveis vulnerabilidades. Isso ajudar a saber em quais ativos deve-se dedicar mais ateno em matria de segurana.


Pgina 40

Captulo

3AMEAAS E PONTOS FRACOS3.1 INTRODUONo captulo anterior conhecemos os ativos que devemos proteger atravs de medidas de segurana da informao. Para cada um dos grupos apresentados foram identificadas vulnerabilidades. Vulnerabilidades no seriam um problema se no houvesse elementos capazes de explor-las, causando danos. Estes elementos so conhecidos como Ameaas. Neste captulo conheceremos os diversos tipos de Ameaas que podem causar danos aos ativos, assim como suas diferentes classificaes. Tambm sero conhecidos os tipos de Vulnerabilidades e pontos fracos existentes nos ativos de uma empresa.


Pgina 41

NOTCIAS PELO MUNDO

A Atos Origin, parceira tecnolgica mundial do Comit Olmpico Internacional (COI), anunciou em Londres, no dia 17 de setembro de 2004, que a soluo de segurana implementada na infra-estrutura tecnolgica dos Jogos Olmpicos de Atenas 2004 conseguiu resolver sem problemas os ataques de vrus e hackers ocorridos durante o evento, garantindo a no-interrupo das transmisses e uma retransmisso precisa e em tempo real dos resultados tanto para os meios de comunicao para o resto do mundo. Durante os 16 dias que durou a competio, foram registrados mais de cinco milhes de alertas de segurana nos sistemas de informao dos Jogos, dos quais 425 foram graves e 20, crticos. Entre os invasores, encontravam-se pessoas autorizadas que pretendiam desconectar o sistema INFO 2004 a Intranet dos Jogos Olmpicos, que oferecia os resultados e o calendrio de provas, alm de informaes sobre os atletas , com a finalidade de conectar os computadores portteis para obter acesso Internet. A equipe responsvel conseguiu oferecer uma resposta rpida a todos esses alertas e evitar acessos no-autorizados. Devido ao enorme aumento no nmero de ataques e vrus de computador dos ltimos anos, a Atos Origin transformou a segurana tecnolgica em sua prioridade mxima, melhorando-a de forma significativa em relao de Salt Lake City, afirma o diretor de tecnologia do COI, Philippe Verveer. A Atos Origin gerenciou de forma eficiente e eficaz o grande nmero de alertas de segurana registrados durante os Jogos, garantindo que sua infra-estrutura tecnolgica no fosse afetada.

Fonte: http://www.sema.es/noticia_extendida_home.asp?id=64

A notcia apresentada nos leva a confirmar que conhecer perfeitamente as possveis ameaas e riscos aos quais se encontram expostos nossos ativos permite que nosso trabalho possa se transformar em um caso de sucesso. Neste captulo, vamos examinar o que se refere a ameaas e pontos fracos.


Pgina 42

3.2 - OBJETIVOS

Conhecer os diferentes tipos de ameaas que podem aparecer em todos os ativos da empresa para reconhecer sua importncia e nos permitir minimizar o impacto que geram. Identificar os diferentes tipos de vulnerabilidades dos ativos e saber como eles podem permitir que as ameaas alterem a disponibilidade, a confidencialidade ou a integridade das informaes.


Pgina 43

3.3 - AS AMEAAS

Conceitochave

As ameaas so causa potencial de um incidente indesejado, que caso se concretize pode resultar em dano. Ameaas exploram as falhas de segurana, que denominamos pontos fracos, e, como conseqncia, provocam perdas ou danos aos ativos de uma empresa, afetando os seus negcios.

Os ativos esto constantemente sob ameaas que podem colocar em risco a integridade, a confidencialidade e a disponibilidade das informaes. Essas ameaas sempre existiro e esto relacionadas a causas que representam riscos, as quais podem ser: causas naturais ou no-naturais causas internas ou externas Dessa forma, entendemos que um dos objetivos da segurana da informao impedir que as ameaas explorem os pontos fracos e afetem um dos princpios bsicos da segurana da informao (integridade, disponibilidade, confidencialidade), provocando danos ao negcio das empresas. Dados a importncia das ameaas e o impacto que elas pode ter para as informaes das organizaes, vamos revisar agora a sua classificao.


Pgina 44

As ameaas so constantes e podem ocorrer a qualquer momento. Essa relao de freqncia-tempo se baseia no conceito de risco, o qual representa a probabilidade de que uma ameaa se concretize por meio de uma vulnerabilidade ou ponto fraco. Elas podem se dividir em trs grandes grupos: 1. Ameaas naturais condies da natureza e a intemprie que podero provocar danos nos ativos, tais como fogo, inundao, terremotos. 2. Intencionais so ameaas deliberadas, fraudes, vandalismo, sabotagens, espionagem, invases e furtos de informaes, entre outros. 3. Involuntrias so ameaas resultantes de aes inconscientes de usurios, por vrus eletrnicos, muitas vezes causados pela falta de conhecimento no uso dos ativos, tais como erros e acidentes. Entre as principais ameaas, a ocorrncia de vrus, a divulgao de senhas e a ao de hackers esto entre as mais freqentes. Com a importncia estratgica que vem conquistando as tecnologias da informao, os prejuzos com as invases e incidentes na Internet provocam a cada ano um impacto mais profundo nos negcios das empresas brasileiras. O mercado est mais atento aos novos perigos que resultam da presena e do uso da Internet. Sete de cada dez executivos entrevistados acreditam que haver um aumento no nmero de problemas de segurana em 2000; 93% reconhecem a grande importncia da proteo dos dados para o sucesso do negcio, sendo que 39% a consideram vital para o ambiente corporativo. O controle daquilo que ocorre nas redes corporativas foi um dos pontos mais fracos nas empresas brasileiras. Destacamos os seguintes fatores crticos detectados pela pesquisa a ser analisada a seguir:


Pgina 45

Somente 27% afirmam nunca ter sofrido algum tipo de ataque. Cerca de 41% nem sequer sabem que foram invadidos, revelando o grande risco que as organizaes correm em no conhecer os pontos fracos da intranet. Para 85% das empresas, no foi possvel quantificar as perdas causadas por invases ou contingncias ocorridas. O acesso Internet por modem permitido em 38% das empresas. Este um grande perigo indicado pela pesquisa, j que as empresas no destacaram a utilizao de medidas de segurana para esse uso. Setenta e cinco por cento das empresas mencionam que os vrus so a maior ameaa segurana da informao nas empresas. Embora 93% das corporaes afirmem ter adotado sistemas de preveno contra vrus, 48% viram seus sistemas contaminados nos ltimos seis meses e apenas 11% das empresas entrevistadas declaram nunca ter sido infectadas. A divulgao de senhas foi indicada como a segunda maior ameaa segurana, sendo mencionada por 57% das empresas. Os hackers, tradicionalmente os maiores viles da Internet, aparecem em terceiro lugar (44%), e os funcionrios insatisfeitos (42%) em quarto lugar.


Pgina 46

3.4 - VULNERABILIDADESAs ameaas sempre existiram e de se esperar que, medida que a tecnologia progride, tambm surjam novas formas atravs das quais as informaes podem ficar expostas; portanto, importante conhecer a estrutura geral de como se classificam as vulnerabilidades ou pontos fracos que podem fazer com que essas ameaas causem menos impactos em nossos sistemas, comprometendo os princpios da segurana da informao. Fsicas

Naturais

De hardware

As vulnerabilidades cujos ativos podem estar expostos incluem:

De software

De meios de armazenagem

De comunicao

Humanas


Pgina 47

As vulnerabilidades so os elementos que, ao serem explorados por ameaas, afetam a confidencialidade, a disponibilidade e a integridade das informaes de um indivduo ou empresa. Um dos primeiros passos para a implementao da segurana rastrear e eliminar os pontos fracos de um ambiente de tecnologia da informao. Ao se identificarem as vulnerabilidades ou pontos fracos, ser possvel dimensionar os riscos aos quais o ambiente est exposto e definir as medidas de segurana apropriadas para sua correo. As vulnerabilidades dependem da forma como se organizou o ambiente em que se gerenciam as informaes. A existncia de vulnerabilidades est relacionada presena de elementos que prejudicam o uso adequado da informao e da mdia que ela est utilizando. Podemos compreender agora outro objetivo da segurana da informao: a correo de vulnerabilidades ou pontos fracos existentes no ambiente em que se usa a informao, com o objetivo de reduzir os riscos a que ela est submetida, evitando, assim, a concretizao de uma ameaa. Agora aprofundaremos um pouco mais a descrio de cada um desses tipos de vulnerabilidades: a) Vulnerabilidades fsicas

Os pontos fracos de ordem fsica so aqueles presentes nos ambientes em que esto sendo armazenadas ou gerenciadas as informaes. Fsicas Exemplo: Como exemplo desse tipo de vulnerabilidade distinguemse os seguintes: instalaes inadequadas do espao de trabalho, ausncia de recursos para o combate a incndios; disposio desorganizada dos cabos de energia e de rede, no-identificao de pessoas e de locais, entre outros.

Esses pontos fracos, ao serem explorados por ameaas, afetam diretamente os princpios bsicos da segurana da informao, principalmente a disponibilidade.


Pgina 48

b) Vulnerabilidades naturais

Os pontos fracos naturais so aqueles relacionados s condies da natureza que podem colocar em risco as informaes. Naturais Entre as ameaas naturais mais comuns, podemos citar: Exemplo: ambientes sem proteo contra incndios, locais prximos a rios propensos a inundaes, infra-estrutura incapaz de resistir s manifestaes da natureza, como terremotos, maremotos, furaces, etc.

Muitas vezes, a umidade, o p e a contaminao podem provocar danos aos ativos. Por isso, eles devem ficar protegidos para poder garantir suas funes. A probabilidade de estar expostos s ameaas naturais fundamental na escolha e na preparao de um ambiente. Devem ser tomados cuidados especiais com o local, de acordo com o tipo de ameaa natural que possa ocorrer em uma determinada regio geogrfica.

c) Vulnerabilidades de hardware

Os possveis defeitos de fabricao ou configurao dos equipamentos da empresa que poderiam permitir o ataque ou a alterao dos mesmos. De hardware Exemplo: A falta de configurao de suportes ou equipamentos de contingncia poderia representar uma vulnerabilidade para os sistemas da empresa.


Pgina 49

Existem muitos elementos que representam pontos fracos do hardware. Dentre eles, podemos mencionar: a ausncia de atualizaes de acordo com as orientaes dos fabricantes dos programas utilizados e a conservao inadequada dos equipamentos. Por isso, a segurana da informao busca avaliar: se o hardware utilizado est dimensionado corretamente para as suas funes. se possui rea de armazenamento suficiente, processamento e velocidade adequados.

d) Vulnerabilidades de softwares

Os pontos fracos dos aplicativos permitem que ocorram acessos indevidos aos sistemas de computador, inclusive sem o conhecimento de um usurio ou administrador de rede. De software Exemplo: Programas de email que permitem a execuo de cdigos maliciosos, editores de texto que permitem a execuo de vrus de macro, etc. esses pontos fracos colocam em risco a segurana dos ambientes tecnolgicos. Tambm podero ter pontos fracos os programas utilizados para edio de texto e imagem, para a automatizao de processos e os que permitem a leitura das informaes de uma pessoa ou empresa, como os navegadores de pginas da Internet. Esses aplicativos so vulnerveis a vrias aes que afetam sua segurana, como, por exemplo, a configurao e a instalao inadequadas, a ausncia de atualizaes, programao insegura, etc.

Os pontos fracos relacionados ao software podero ser explorados por diversas ameaas j conhecidas. Dentre eles, destacamos: A configurao e a instalao indevidas dos programas de computador, que podero levar ao uso abusivo dos recursos por parte de usurios mal-intencionados. s vezes, a liberdade de uso implica aumento do risco.


Pgina 50

Os aplicativos so os elementos que fazem a leitura das informaes e que permitem que os usurios acessem determinados dados em mdia eletrnica e, por isso, se transformam no objetivo preferido dos agentes causadores de ameaas. Os sistemas operacionais, como Microsoft Windows e Unix , que oferecem a interface para configurao e organizao de um ambiente tecnolgico. Esses so o alvo dos ataques, pois, atravs deles, ser possvel realizar qualquer alterao na estrutura de um computador ou rede.

e) Vulnerabilidades dos meios de armazenamento Os meios de armazenamento so os suportes fsicos ou magnticos utilizados para armazenar as informaes. Entre os tipos de suporte ou meios de armazenamento das informaes que esto expostos, podemos citar os seguintes: disquetes CD-ROMs fitas magnticas discos rgidos dos servidores e dos bancos de dados, bem como o que est registrado em papel.

Portanto... Se os suportes que armazenam as informaes no forem utilizados de forma adequada, seu contedo poder estar vulnervel a uma srie de fatores que podero afetar a integridade, a disponibilidade e a confidencialidade das informaes. Os meios de armazenamento podem ser afetados por pontos fracos que podem danific-los ou deixlos indisponveis. Dentre os pontos fracos, destacamos os seguintes: prazo de validade e expirao defeito de fabricao uso incorreto local de armazenamento em locais insalubres ou com alto nvel de umidade, magnetismo ou esttica, mofo, etc.

De meios de armazenamento Exemplos


Pgina 51

f) Vulnerabilidades de comunicao Esse tipo de ponto fraco abrange todo o trfego de informaes. Onde quer que transitem as informaes, seja por cabo, satlite, fibra ptica ou ondas de rdio, deve existir segurana. O sucesso no trfego dos dados um aspecto fundamental para a implementao da segurana da informao. A ausncia de sistemas de criptografia nas comunicaes poderia permitir que pessoas alheias organizao obtivessem informaes privilegiadas. A m escolha dos sistemas de comunicao para envio de mensagens de alta prioridade da empresa poderia fazer com que elas no alcanassem o destino esperado ou que a mensagem fosse interceptada no meio do caminho.

De comunicao Exemplos

H um grande intercmbio de dados atravs dos meios de comunicao que rompem as barreiras fsicas, como telefone, Internet, WAP, fax, telex, etc. Dessa forma, esses meio devero receber tratamento de segurana adequado com o propsito de evitar que: Qualquer falha na comunicao faa com que uma informao fique indisponvel para os seus usurios, ou, pelo contrrio, fique disponvel para quem no possua direitos de acesso. As informaes sejam alteradas em seu estado original, afetando sua integridade. Assim, a segurana da informao tambm est associada ao desempenho dos equipamentos envolvidos na comunicao, pois se preocupa com: a qualidade do ambiente que foi preparado para o trfego, tratamento, armazenamento e leitura das informaes.


Pgina 52

g) Vulnerabilidades humanas

Essa categoria de vulnerabilidade relaciona-se aos danos que as pessoas podem causar s informaes e ao ambiente tecnolgico que lhes oferece suporte.

Humanas Exemplo Senhas fracas, falta de uso de criptografia na comunicao, compartilhamento de identificadores como nome de usurio ou credencial de acesso, entre outros.

Os pontos fracos humanos tambm podem ser intencionais ou no. Muitas vezes, os erros e acidentes que ameaam a segurana da informao ocorrem em ambientes institucionais. A maior vulnerabilidade o desconhecimento das medidas de segurana adequadas que so adotadas por cada elemento do sistema, principalmente os membros internos da empresa. A seguir so destacados os pontos fracos humanos de acordo com seu grau de freqncia: a falta de capacitao especfica para a execuo das atividades inerentes s funes de cada um, a falta de conscincia de segurana para as atividades de rotina, os erros, omisses, descontentamentos, etc. No que se refere s vulnerabilidades humanas de origem externa, podemos considerar todas aquelas que podem ser exploradas por ameaas como: vandalismo, fraudes, invases, etc.


Pgina 53

3.5 - LIES APRENDIDAS Este captulo nos forneceu a oportunidade de saber que as ameaas podem ser divididas em trs grandes grupos: naturais, involuntrias e intencionais. Alm disso, aprendemos que as ameaas no provm unicamente de pessoas alheias empresa, podendo vir tambm de eventos naturais ou de erros humanos. Isso incrementa nosso panorama em torno da segurana. Identificamos algumas categorias dos diferentes pontos fracos ou vulnerabilidades que possvel encontrar nos ativos da empresa. Reconhecemos alguns exemplos dos pontos fracos e vulnerabilidades existentes em elementos fsicos, humanos, de comunicao, entre outros. Isso nos permitiu ter uma idia muito mais clara dos riscos que nossa empresa enfrenta.


Pgina 54

Captulo

4RISCOS, MEDIDAS E CICLO DE SEGURANA4.1 INTRODUOSegundo Thomas A. Wadlow [9], A segurana dever ser proporcional ao valor do que se est protegendo. Ou seja, a implantao do sistema de segurana da informao tem de apresentar uma relao custo benefcio que torne a tentativa de ataque to cara que desestimule o atacante, ao mesmo tempo em que ela mais barata do que o valor da informao protegida. Quando o valor do ativo que se est protegendo to alto que o dano causado ao mesmo difcil de ser calculado, devemos assumir o valor da informao como altssimo, imensurvel. Um exemplo a se analisar seria um receiturio de medicamentos para pacientes internados em um hospital. Este sistema de informao lida com dados que podem colocar em risco a vida humana caso a integridade dos dados seja corrompida, neste caso no temos como fazer uma anlise quantitativa do impacto, pois a vida humana tida como mais valiosa que qualquer ativo. Mesmo no se tratando de um valor imensurvel, temos ainda os ativos que so vitais para a empresa e aqueles que podem levar implicaes legais. Quando estamos lidando com a anlise de valor destes bens, consideramos que o dano nos mesmos pode resultar em grande perda de credibilidade pela empresa e at mesmo no posterior encerramento de suas atividades. Neste contexto, a segurana da informao a proteo da informao em si, dos sistemas, da infra-estrutura e dos servios que a suporta, contra acidentes, roubos, erros de manipulao, minimizando assim os impactos dos incidentes de segurana. A identificao da real necessidade de proteo de cada ativo baseada no conceito de Risco, que apresentado neste captulo. Uma vez identificados os maiores riscos s informaes, sero implementadas medidas de segurana, cuja definio e classificao tambm fazem parte deste captulo. A constante avaliao de risco e implementao de medidas de segurana fazem parte do ciclo de segurana, que fecha o conjunto de assuntos tratados neste mdulo.


Pgina 55

NOTCIAS PELO MUNDO

Especialistas em segurana informtica reunidos em Kuala Lumpur, na Malsia, explicaram que problemas identificados em determinados softwares poderiam permitir controlar o telefone de forma remota, ler a agenda dos diretores ou escutar secretamente uma conversa. Advertiram que a ltima gerao de telefones mveis vulnervel a ataques de hackers, segundo informou o site de notcias da BBC. Os participantes da conferncia "Hack in the Box", realizada na capital da Malsia, foram testemunhas de uma demonstrao dos defeitos de segurana encontrados no Java 2 Micro Edition ou J2ME, software desenvolvido em conjunto pela Sun Microsystems, Nokia, Sony Ericsson e Motorola. A vulnerabilidade do software, que vem includo em telefones "inteligentes" fabricados por essas empresas, est relacionada com a maneira usada pela linguagem Java para tentar evitar que o sistema operacional aceite ordens do exterior, ressaltou um porta-voz. "A nova gerao de telefones, na verdade, vem com um software muito mais poderoso dentro do sistema operacional", defendeu Dylan Andrew, o organizador do encontro. "Encontramos novos ataques que afetam essas novas plataformas, permitindo que o invasor, por exemplo, controle o telefone celular de forma remota, podendo at mesmo ler a agenda dos diretores ou escutar secretamente uma conversa", acrescentou. No entanto, o diretor de segurana sem-fio da empresa McAfee, esclareceu que o risco, embora exista, ainda mnimo. Fonte: http://www.laflecha.net/canales/seguridad/200410061/ Notcias como essa so comuns no mundo de hoje. Todos os dias ficamos sabendo de possveis riscos em diferentes dispositivos ou sistemas de gesto de informao. Para poder evitar esses riscos, necessrio conhec-los bem, alm de conhecer as medidas de segurana necessrias para minimiz-los.


Pgina 56

4.2 OBJETIVOS

Conhecer o conceito de risco e sua implicao na segurana das informaes da empresa. Distinguir a diferena entre aplicar ou no medidas de segurana nos diferentes aspectos de nossa empresa. Compreender o que se conhece como ciclo de segurana, o que nos permitir manter vigentes nossas aes nessa matria.


Pgina 57

4.3 RISCOSRisco a probabilidade de que as ameaas explorem os pontos fracos, causando perdas ou danos aos ativos e impactos no negcio, ou seja, afetando: a confidencialidade, a integridade e a disponibilidade da informao.

Conceitochave

Conclumos que a segurana uma prtica orientada para a eliminao das vulnerabilidades a fim de evitar ou reduzir a possibilidade de que as ameaas potenciais se concretizem no ambiente que se deseja proteger. O principal objetivo garantir o xito da comunicao segura, com informaes disponveis, ntegras e confidenciais, atravs de medidas de segurana que possam tornar o negcio de um indivduo ou empresa factvel com o menor risco possvel.


Pgina 58

4.4 MEDIDAS DE SEGURANAAs medidas de segurana so aes orientadas para a eliminao ou reduo de vulnerabilidades, com o objetivo de evitar que uma ameaa se concretize. Essas medidas so o primeiro passo para o aumento da segurana da informao em um ambiente de tecnologia da informao e devem considerar a totalidade do processo.

Conceitochave

Como existe uma variedade de tipos de pontos fracos que afetam a disponibilidade, a confidencialidade e a integridade das informaes, importante haver medidas de segurana especficas para lidar com cada caso. Antes da definio das medidas de segurana que sero adotadas, deve-se conhecer o ambiente nos mnimos detalhes, buscando os pontos fracos existentes.


Pgina 59

Medidas globais de segurana

Anlise de riscos

Poltica de segurana

Especificao de segurana

Administrao de segurana

A partir desse conhecimento, tomam-se medidas ou realizam-se aes de segurana que podem ser do tipo: Preventivo: buscando evitar o surgimento de novos pontos fracos e ameaas. Perceptivo: orientado para a revelao de atos que possam pr em risco as informaes. Corretivo: orientado para a correo dos problemas de segurana medida que ocorrem. As medidas de segurana so um conjunto de prticas que, quando integradas, constituem uma soluo global e eficaz da segurana da informao. Entre as principais medidas, destacamos: Anlise de riscos; Diretiva de segurana; Especificao de segurana; Administrao de segurana.

A segurana da informao deve ser garantida de forma integral e completa, por isso muito til conhecer com um pouco mais de detalhes estas quatro medidas de segurana que permitem nos mover desde a anlise de risco at a administrao da segurana:


Pgina 60

Anlise de riscos

uma medida que busca rastrear vulnerabilidades nos ativos que possam ser explorados por ameaas. A anlise de riscos tem como resultado um grupo de recomendaes para a correo dos ativos a fim de que possam ser protegidos. uma medida que busca estabelecer os padres de segurana que devem ser seguidos por todos os envolvidos no uso e na manuteno dos ativos. uma forma de administrar um conjunto de normas para guiar as pessoas na realizao de seu trabalho. o primeiro passo para aumentar a conscincia da segurana das pessoas, pois est orientada para a formao de hbitos, por meio de manuais de instruo e procedimentos operacionais. So medidas que objetivam instruir a correta implementao de um novo ambiente tecnolgico atravs do detalhe de seus elementos constituintes e a forma como os mesmos devem estar dispostos para atender aos princpios da segurana da informao. So medidas integradas para produzir a gesto dos riscos de um ambiente. A administrao da segurana envolve todas as medidas mencionadas anteriormente, a do tipo preventiva, perceptiva e corretiva, com base no ciclo da segurana apresentado a seguir.

Diretiva de segurana

Especificaes de segurana

Administrao da segurana


Pgina 61

4.5 CICLO DE SEGURANA

Agora que voc j conhece todos os conceitos necessrios para compreender o que a segurana, apresentamos a seguir o ciclo da segurana da informao, com todos os seus conceitos bsicos. O ciclo de segurana inicia com a identificao das ameaas que as empresas enfrentam. A identificao das ameaas permitir a visualizao dos pontos fracos que podem ser explorados, expondo os ativos a riscos de segurana. Essa exposio leva a uma perda de um ou mais princpios bsicos da segurana da informao, causando impactos no negcio da empresa, aumentando ainda mais os riscos a que esto expostas as informaes. Para que o impacto dessas ameaas ao negcio sejam reduzidas, necessrio tomar medidas de segurana para impedir a ocorrncia de pontos fracos. Acima, conclumos a definio de segurana da informao com a ilustrao do ciclo. Como podemos ver no diagrama anterior: os riscos na segurana da empresa aumentam medida que as ameaas conseguem explorar as vulnerabilidades e, portanto, provocar danos nos ativos. Esses danos podem fazer com que a confidencialidade, a integridade ou a disponibilidade da informao se percam, causando impactos no negcio da empresa.


Pgina 62

As medidas de segurana permitem diminuir os riscos e, assim, fazer com que o ciclo seja de muito menor impacto para os ativos e, portanto, para a empresa. Portanto, a segurana uma atividade cujo propsito : proteger os ativos contra acessos no-autorizados, evitar alteraes indevidas que possam pr em risco sua integridade maximizar a disponibilidade da informao E instrumentada por meio de polticas e procedimentos de segurana que permitem: a identificao e o controle de ameaas e pontos fracos, levando em considerao a preservao da confidencialidade, integridade e disponibilidade das informaes.


Pgina 63

4.6 LIES APRENDIDAS

Identificamos como devemos visualizar os diferentes riscos aos quais nossa empresa est exposta, o que nos permitir reduzi-los e aumentar a segurana dos ativos. Compreendemos os diferentes tipos de medidas de segurana que podemos tomar na empresa, sejam preventivas, perceptivas ou corretivas, aplicando-as e, assim, diminuindo os possveis impactos ou danos resultados dos ataques. Conhecemos o ciclo de segurana, no qual se recorre s diferentes medidas para evitar a ocorrncia de vulnerabilidades.


Pgina 64

4.7 REFERNCIA BIBLIOGRFICA1

Novo Dicionrio Aurlio O Dicionrio da Lngua Portuguesa edio de 1999. Timeline of the History of Information - Geoffrey Numberg Chappman

2

3

4

Security Controls for Computer Systems: Report of Defense Science Boad Task Force on Computer Security. Editado por W. H. Ware.5

CSC-STD-001-83 - Library No. S225,711 - Department of Defense Trusted Computer System Evaluation Criteria - 15 August 1983.6

An Introduction to Computer Security: The NIST Handbook Special Publication 800-12. http://www.iso27001security.com/html/iso27000.html. Decreto No 3.505, de 13 de junho de 2.000 Presidncia da Repblica Casa Civil.

7

8

9

Segurana de Redes Projeto e gerenciamento de redes seguras Thomas A. Wadlow. Editora Campus, 2000.


Pgina 65

curso básico de segurança da informação - essentials modulo1

Documents