FALTA DE SEGURANÇA

Alberto Felipe Friderichs Barros

Porque Proteger?

A proteção de uma organização em TI não é apenas contra hackers, vírus efuncionários maliciosos, mas como uma garantia de que os negócios daempresa estarão disponíveis de forma fácil e flexível, favorecendo econcretizando as diversas tendências da globalização.

A Segurança dos sistemas de informação engloba um número elevado dedisciplinas que poderão estar sob a alçada de um ou vários indivíduos.

• Segurança de Redes;

• Segurança Física;

• Segurança de Computadores;

• Segurança da Pessoal;

• Segurança aplicacional;

• Criptografia;

• Formação

Prevenção é o conjunto de medidas que visam reduzir a complexidade deconcretização das ameaças existentes. O efeito desta extingue-se quando umaameaça torna-se incidente.

Proteção é o conjunto de medidas que visam dotar o sistemas de informaçãocom capacidade de inspeção, detecção, reação e reflexo, permitindo reduzir elimitar o impacto das ameaças quando estas se concretizam. Naturalmenteestas medidas só atuam quando ocorre um incidente.

Prevenção e Proteção

A grande maioria das empresas implementam algumas atividades de prevençãocontra incêndios: tais como a proibição de fumar em locais de risco e atividadesde proteção como a disponibilização de extintores, para o caso de iniciar umincêndio.

Prevenção e Proteção

Os atores da segurança são infinitos, pelo menos potencialmente de elementosinternos a empresa a perfeitos estranhos, de clientes a parceiros, passandoobviamente pelos funcionários, todos podem ter um impacto positivo ou negativosobre a segurança.

Atores da Segurança

Para o negócio a segurança afigura-se como um custo e uma necessidade paraa sua sobrevivência. Naturalmente a principal motivação da administração épara com a satisfação dos acionistas e clientes.

Administradores da empresa

São todos aqueles que usam os sistemas da informação independente dosprivilégios que detenham. Podem ser um elo fraco ou catalisador que fortalece acadeia. A principal característica comportamental dos utilizadores é a suatendência para facilitarem os processos que executam: se existirem duasmaneiras de fazer a mesma coisa (por exemplo, memorizar uma senha ouescreve-la em um papel que se cola no monitor, um utilizador que não estejasensibilizado ira invariavelmente escolher a opção mais cômoda.

Utilizadores

É pois necessário, numa aplicação direta da Lei de Murphy, definir as medidasde prevenção, partindo do princípio que se os sistemas de informação tiveremuma vulnerabilidade, está acabara por ser explorada pelo utilizador.

Utilizadores

Os equipamentos, software e outros recursos (redes, aplicações, etc.)necessitam de gestão diária, recaindo essa atribuição sobre indivíduosdesignados como: root, administrador ou técnico. Uma regra elementar desegurança é a da atribuição do menor privilégio: segundo este principio nãodeverá ser permitida a realização de ações incompatíveis com sua atividade.

Informáticos

Os clientes são de certa forma quem nos paga os ordenados. São eles os“patrões dos patrões”, ou seja, quem dita o que necessitamos fazer comoEmpresa. O cliente típico não quer saber o que está por trás do produto ouserviço que adquire, desta forma dificilmente se poderá contar com eles parapromover a segurança.

Clientes

Os parceiros são as entidades externas que participam do processo denegócios, por exemplo o fornecedor. Eles podem assumir uma parte doprocesso de segurança do negócio. Em regra geral os parceiros não teminteresse na nossa segurança, desde que não os afete.

Parceiros

O pessoal temporário é similar aos restantes utilizadores da empresa, no seucomportamento, embora a sua ligação à empresa seja mais tênue, o que requera introdução de medidas que impeçam a extensão dos privilégios de acesso aossistemas de informação para além do fim do vinculo a empresa.

Pessoal Temporário

Gestão de risco é um conjunto de medidas que permitam conferir a empresa onível de segurança desejado. Este processo faz parte do plano de segurança econsiste nas etapas:

1 – Identificação dos Riscos

2 – Análise dos Riscos

3 – Identificação de Controles

4 – Seleção do Controle

Gestão de Risco

As ameaças podem ser identificas tanto através da produção de cenários oupela criação de listas de tipificação.

Desastres ou Perigos

* Provocados por águas

- Infiltrações

- Inundações

* Provocados por fogo

- incêndios

* Provocados por Ventos

- Tempestades

Origem humana

* Acidental

- Configuração incorreta

- Derrame de substancias químicas

* Intencional

- Greve

- Furto

- Terrorismo

- Quebra contratual

Ameaças

A identificação das vulnerabilidades visa permitir aproximar o cálculo daprobabilidade de concretização da ameaça inerente a realidade da empresa.Exemplo: Qualquer empresa está sujeita a terrorismo, embora uma organizaçãoligada a uma facção num conflito quente tenha que encarar este risco como real.

Localização Geográfica

* das instalações

- Instalações em locais inacessíveis a meios de socorro

- Instalações em locais densamente povoados

Política

* postura política do país

Vulnerabilidades

A principal dificuldade na identificação dos bens, bem como na estimativa dosdanos, refere-se aos bens intangíveis uma vez que seu caráter subjetivo dificultaa análise. Ex: a ameaça de quebra de confidencialidade pela divulgaçãoacidental de informação podem gerar perdas intangíveis na imagem da marca eaté na preferencia dos clientes, neste caso será difícil quantificar as perdas.

Tangíveis

* Informática

- Servidores de Rede

Intangíveis

* Informática

- Software

Bens

Exercícios

1. Cite exemplos de ameaças físicas.

2. Cite exemplos de ameaças lógicas.

3. O que fazer para se proteger das ameaças citadas?