livro cap01

15Segurança de Redes

Capítulo 1Introdução à segurança da informação

1.1 Introdução

Iniciaremos esse curso pela definição de alguns conceitos e pro-priedades da segurança da informação que se fazem necessários ao entendimento dos demais tópicos discutidos neste trabalho.

1.2 Segurança da informação

A segurança da informação é definida por (RamoS, 2006), como a proteção aos ativos da informação, ou seja, aqueles que produzem, processam, transmitem ou armazenam informações. Essa proteção pode ser alcançada a partir de um conjunto de estratégias e instru-mentos que englobam políticas, processos, procedimentos, estruturas organizacionais, softwares e hardware, em conjunto com outros pro-cessos da gestão da informação. Os fundamentos que norteiam esses objetivos são estabelecidos como:

• Confidencialidade: refere-se à garantia de que apenas as pessoas as quais devam ter conhecimento legitimamente so-bre um assunto terão acesso ao mesmo;

• Integridade: refere-se à proteção da informação contra alte-rações em seu estado original, sejam elas intencionais ou aci-dentais;

Capítulo1 Introdução à segurança da informação

16 Curso de Tecnologia em Análise eDesenvolvimento de Sistemas

• Disponibilidade: refere-se a garantia de que a informação só possa ser acessada por aqueles que dela necessitam e no momento em que precisam.

1.3 Ativo

Essa denominação foi adotada do ambiente financeiro. No con-texto da segurança da informação corresponde a todo elemento de va-lor para a organização. Pode estar distribuído e classificado como ativo físico, humano ou tecnológico. Ex: instalações prediais, funcionários, hardware, software, a informação e seus insumos e produtos.

1.4 Informação

De acordo com a análise de (SIANES, 2005), informação é defi-nida como uma série de dados organizados de um modo significativo, analisados e processados, que pressupõe soluções ou novos insumos para o processo de tomada de decisão, estando associado à utilidade que ela apresenta em determinado contexto.

1.5 Ciclo de vida da informação

Segundo (Sêmola, 2002), o ciclo de vida da informação é com-posto e identificado por momentos distintos durante a sua vida útil e que de alguma forma a colocam em uma situação vulnerável. Esses momentos envolvem ativos físicos, humanos e tecnológicos que fazem uso, alteram ou descartam a informação.

Esse ciclo é definido em quatro momentos durante a vida útil da informação sendo:



• Produção: momento em que a informação é criada e manipu-lada seja sob a forma física ou eletrônica;

• Armazenamento: momento em que a informação é armaze-nada, seja em papel, arquivo físico, banco de dados ou qual-quer tipo de mídia;

• Transporte: momento em que a informação é transportada, seja em papel, mídia ou por meio remoto em uma rede de computadores;

• Descarte: momento em que a informação é descartada. Seja a sua eliminação na forma eletrônica ou física.

Uma segurança adequada deve se preocupar com o ciclo de vida da informação para que sejam atendidos em cada fase desse ciclo, todos os requisitos primordiais da segurança: confidencialidade, inte-gridade e disponibilidade.

1.6 Condições que afetam a informação

Durante o seu ciclo de vida, a informação está sujeita a várias condições que a afetam. Conforme análise e segundo (Sêmola, 2002) algumas condições são definidas e mostradas na Figura 1.1:

• Ameaças: são condições, eventos ou agentes que podem causar incidentes que comprometam as informações e seus ativos por meio da exploração de vulnerabilidades e que tra-gam prejuízos a confidencialidade, integridade e disponibili-dade da informação. Dentro desse contexto, um agente, pode ser caracterizado por um hacker ou qualquer pessoa com in-tenções afins ou que possa causar problemas que atentem contra a segurança da informação, sistemas ou rede de com-putadores;

• Vulnerabilidades: são fragilidades existentes ou associadas



a ativos que processam informações e que se explorados po-dem comprometer a segurança da informação;

• Incidentes de segurança: fato decorrente da ação de uma ameaça que explora uma ou mais vulnerabilidades, levando à perda ou comprometimento de um ou mais princípios da segurança da informação;

• Riscos: são probabilidades de ameaças explorarem vulnera-bilidades, provocando perdas ou danos aos ativos e as infor-mações;

• Impacto: abrangência dos danos causados por um incidente de segurança sobre um ou mais processos de trabalho;

• Controles: são práticas, procedimentos, mecanismos e po-líticas que protegem um ativo contra uma ameaça, reduz a vulnerabilidade, limita o impacto de eventos indesejáveis e facilita o processo de recuperação do ambiente afetado.

Con

trole

sC

ontro

les

Con

trole

sC

ontro

les

Con

trole

sC

ontro

les Controles Controles

Ativos

StorageVulnerabilidade

Ameaça

Ameaça

Controles

Controles Controles Controles

Servidores Documentos

...

Figura 1.1 Relação entre ativos, controles, ameaças e vulnerabilidades.



1.7 Teoria do perímetro

Segundo (Sêmola, 2002) esta teoria está associado à compar-timentalização de espaços físicos e lógicos. Isso distribui a resistência por áreas, dificultando as tentativas de acesso indevido. Além disso, propicia o estabelecimento de diversas barreiras de proteção até que o agente possa alcançar o alvo, ou seja, a informação. Saber segmen-tar os ativos físicos, tecnológicos e humanos em categorias, conforme a similaridade de sua criticidade e valor facilitam a seleção dos me-canismos de proteção adequados e garantem maior efetividade dos mesmos.

1.8 Estratégias de proteção

Para otimizar a aplicação de recursos em função dos ativos a serem protegidos, (RamoS, 2006) propõem estratégias de proteção para o balanceamento entre a necessidade de proteção e as vulnerabi-lidades e ameaças sobre esses ativos:

• Privilégio mínimo (Least Privilege): refere-se a uma não ex-posição de risco desnecessária. Segundo esse enfoque, o acesso a um usuário deve ser restrito as suas reais necessi-dades para o desempenho de suas funções;

• Defesa em profundidade (Defense in Depth): refere-se à aplicação de defesas distintas, de controles complementares como redundância, para no caso de falha ou violação de um, haja outro controle e não torne o sistema como um todo vul-nerável e restrito a somente um único controle, pois em segu-rança nada é infalível;

• Elo mais fraco (Weakest Link): refere-se ao princípio de que o elo mais fraco de uma corrente define a resistência do sis-tema, pois o invasor precisará apenas de uma falha para al-cançar o seu objetivo;



• Ponto de estrangulamento (Choke Point): refere-se a adotar medidas de segurança estratégicas em um mesmo ponto de controle em que passem todos os usuários;

• Segurança pela obscuridade (Security Throught Obscurity): refere-se à estratégia de que quanto menos informações um agente tiver a respeito do ambiente alvo, maior será a sua di-ficuldade em invadi-lo, porém é preciso combinar outros con-troles para que seja eficaz;

• Simplicidade (Simplicity): refere-se à estratégia de que quan-to mais complexo um sistema, maior a dificuldade em torná-lo seguro.

De acordo com essa abordagem pode-se verificar que antes de implementar qualquer estratégia de segurança de informações, con-vém que se verifique as seguintes questões:

• O que proteger?

• Contra que ou quem?

• Quais as ameaças mais prováveis?

• Qual a importância de cada recurso?

• Qual o grau de proteção desejado?

• Quanto tempo, recursos humanos e financeiros se pretende gastar para atingir os objetivos de segurança desejados?

• Quais as expectativas dos usuários e clientes em relação à segurança das informações?

• Quais as consequências para a organização, caso seus siste-mas e informações sejam violados ou roubados?

Tendo a resposta a essas perguntas, é possível iniciar os primei-ros passos para a definição de uma política de segurança da informa-ção, tendo por base uma análise de riscos criteriosa.



1.9 Segurança de redes

Pela avaliação de (TANENbAUm, 2003), a conceituação de segu-rança talvez seja a mais complexa da Informática, pois envolve, obri-gatoriamente, todos os produtos e serviços associados aos computa-dores e processos automatizados, abrangendo políticas, ferramentas, tecnologias e diversos procedimentos.

Atualmente, para proteger a rede é necessário um conjunto de ferramentas e técnicas de segurança. Em virtude do aumento significa-tivo dos ataques as redes de computadores em todo o mundo é preciso investir em segurança de forma estratégica e inteligente.

As principais ameaças estão ligadas geralmente aos hackers, porém podem estar vinculadas à ex-funcionários, espiões, terroristas ou qualquer outra pessoa que se possa valer de algum método furtivo dos ativos ou informações de uma rede de computadores.

Atendo-se aos hackers, por ser o agente mais comum aos ata-ques as redes de computadores, verifica-se que os ataques realizados por eles são motivados por diversão, espionagem industrial, vingança ou vaidade, para mostrar a sua capacidade aos outros hackers.

Conforme (mITNICk, 2003), um hacker competente toma várias preocupações antes de realizar um ataque. Ele realiza um estudo do alvo buscando o máximo de informações possíveis sobre o sistema usado pela vítima e as falhas de segurança desse sistema.

Outro fator que é levado em consideração é a escolha do mo-mento em que ele será efetivado. Normalmente os dias e horários pre-feridos são durante os feriados, momento em que a equipe de segu-rança é reduzida e uma contra-medida ao ataque é mais trabalhosa e demorada.

Notoriamente, esses agentes estabelecem verdadeiros planos de ações que incluem: estudo do alvo, utilizando-se da engenharia social e de ferramentas de escuta; criação de um plano de execução, baseado na posse de informações sobre qual serviço da rede está vulnerável; informações sobre o sistema operacional usado e as vulnerabilidades



de código remoto existentes. Inclui-se, ainda, o estabelecimento de um ponto de entrada, atacando a vulnerabilidade mais recente; testes de vulnerabilidades em potencial, para saber se o ataque será bem suce-dido e se não irá gerar nenhum tipo de alerta; entre outros.

1.10 Engenharia social

É um método em que o agente se utiliza da persuasão para ob-ter acesso a informações críticas sobre um sistema ou empresa alvo, aproveitando-se da ingenuidade, confiança ou despreparo de usuários ou funcionários. A analogia do nome é definida em Engenharia, por ser baseado na construção de táticas de acesso a informações críticas; e social por que seu alvo são pessoas com papéis definidos em uma sociedade organizada.

Segundo (PEREIRA, 2005), o engenheiro social é capaz de es-tudar seu alvo por meses, procurando detalhes mínimos e falhas que possam levar a todas as informações necessárias até o momento da abordagem, seja ela presencial ou por meio tecnológico. Além disso, muitos dos engenheiros sociais dominam técnicas baseadas em PNL (Programação Neurolinguística), o que permite fazer um estudo do comportamento de seus alvos e definir modos de ações, de forma a garantir um grande grau de interação, ganhando a confiança de seu alvo para posteriormente conquistar seus objetivos. E tudo isso de uma forma aparentemente simples: perguntando!

Para (mITINIk, 2003) uma empresa pode ter adquirido as me-lhores tecnologias e ter treinado todo seu pessoal, porém mesmo as-sim essa empresa ainda estará vulnerável. Esses indivíduos ainda estarão completamente vulneráveis, porque o fator humano é o elo mais fraco da segurança. Nessa afirmação, (mITINIk, 2003) alerta para os erros em se canalizar os esforços na garantia da segurança baseado somente em controles técnicos e tecnológicos, deixando-se de levar em consideração o controle do fator humano e seus aspec-tos. Em sua abordagem atenta para o emprego de políticas de segu-



rança, a fim de conscientizar e preparar todos os funcionários a se defenderem desse tipo de ataque.

Deve-se considerar também a visão de (RamoS, 2006), sobre as estratégias de proteção já mencionadas, principalmente no que concerne as estratégias em relação ao elo mais fraco e a defesa em profundidade.

1.11 Política de segurança

A política de segurança tem o propósito de regular como deve ser gerenciada e protegida a informação, além dos recursos e usuários que com ela interagem durante todo o seu ciclo de vida, fornecendo orientação e apoio às ações de gestão de segurança. Dessa forma, estabelece padrões, responsabilidades e critérios para o manuseio, ar-mazenamento, transporte e descarte das informações, dentro do nível de segurança estabelecido sob medida para a organização. Convém que as dimensões a serem tratadas pela política de segurança abran-jam os pontos de controle das normas de padronizações como a (NbR 27002, 2005). Dentre estes controles pode-se citar: responsabilidades dos proprietários e custodiantes dos ativos da informação, estrutura e organização da gestão da segurança, controles de conformidade legal, requisitos de treinamento e capacitação de usuários, mecanismos de controle de acesso físico e lógico, responsabilizações, auditoria do uso de recursos, registros de incidentes, gestão da continuidade do negó-cio, requisitos de treinamento e capacitação de usuários, mecanismos de controle de acesso físico e lógico, auditoria do uso de recursos, en-tre outros controles aplicáveis a cada organização.

Em virtude de sua abrangência, a política de segurança é subdi-vidida em:

• Diretrizes: tem papel estratégico e expressa a importância que a empresa dá a informação, divulgando aos funcioná-rios seu valor e o grau de comprometimento exigido com a segurança, de acordo com estratégia e atuação da empresa.



Ex: estabelecimento da necessidade de salvaguarda de de-terminada informação.

• Normas: detalham ambientes, situações e processos especí-ficos. Fornecem orientação para uso adequado das informa-ções. Ex: normas para admissão e demissão de funcionários, para a criação e manutenção de senhas, para o descarte de informação em mídia magnética, para o desenvolvimento e manutenção de sistemas, para uso da Internet, para acesso remoto, para o uso de notebook, para a contratação de servi-ços terceirizados, para a classificação da informação, etc.

• Procedimentos e instruções: descreve meticulosamente cada ação e atividade associada a cada situação distinta de uso das informações. Ex: os procedimentos e os passos ne-cessários para o descarte de mídia magnética.

1.12 Classificação das informações

A classificação de informações é o processo de identificar e defi-nir níveis e critérios adequados de proteção visando garantir que cada informação tenha o tratamento de segurança adequado ao seu valor, aos requisitos legais, à sua sensibilidade, grau de criticidade e ao risco de sua perda para a organização. A classificação é um dos pilares da gestão da segurança da informação numa organização e deve estar alinhada a sua política de segurança e aos objetivos e natureza do negócio, observados os requisitos legais para o seu tratamento, de-vendo contemplar todo o seu ciclo de vida: produção, armazenamento, transporte e descarte.

Esse processo exige a formalização de dois documentos: o es-quema de classificação, que contém as definições dos níveis de pro-teção considerados, e um conjunto apropriado de procedimentos para rotulação e tratamento da informação segundo esse esquema.

Quanto aos procedimentos para rotulação e tratamento da infor-mação convém que sejam observados:



• A necessidade de segurança;

• A necessidade de acesso;

• A necessidade de conhecer;

• A natureza do seu conteúdo;

• A legislação vigente.

Quanto aos níveis de proteção e grau de sigilo, a classificação depende do tipo e natureza da organização. No âmbito da Adminis-tração Pública Federal, esse processo é regulado pelo Decreto 4.553 de 27 de dezembro de 2002, que define entre outras premissas, o tempo de vida da classificação de sigilo da informação e a sua reclassi-ficação. No âmbito privado esse processo dependerá das decisões do nível estratégico da empresa, observados a natureza, os objetivos da organização e os requisitos legais. De forma a ilustrar (Figura 1.2), a classificação da informação pode seguir o seguinte rótulo:

• Secreto: informação crítica e de vital importância para os pro-cessos de negócio da organização. O acesso deve ser restrito a um número bastante reduzido de pessoas;

• Confidencial: dados ou informações com alto grau de sensibi-lidade e criticidade e que pode levar a prejuízos estratégicos, financeiros ou a perda de credibilidade com clientes, fornece-dores ou parceiros de negócio;

• Reservado: dados ou informações com grau médio de sensi-bilidade criticidade e que pode levar ao desequilíbrio opera-cional da organização;

• Privativo: dados ou informações de interesse privativo ou se-torial da organização;

• Público: dados ou informações de acesso público.



InformaçãoNão Classi�cada

Público

Privativo

Reservado

Con�dencial

Secreto

Nível de SegurançaBaixo

Nível de SegurançaMédio

Nível de SegurançaMédio/Alto

Nível de SegurançaAlto

Figura 1.2 Níveis e rótulos de classificação da informação.

A ausência desse processo é um indicativo de que o tratamento da segurança da informação na organização não está sendo feito de forma consistente, pois aumenta o risco de que a proteção das infor-mações não esteja adequada às necessidades do negócio.

1.13 Resumo

Neste Capítulo foram abordados conceitos e propriedades bá-sicas da segurança da informação necessárias ao entendimento do estudo em curso. Aprendemos que a confidencialidade, integridade e disponibilidade são os pilares que sustentam a segurança da informa-ção e que para garanti-los é preciso aplicar um conjunto de estratégias e instrumentos, observando-se o valor dos ativos, a sua importância para a organização, bem como as variáveis, agentes ou condições que envolvem a sua exploração.

Dessa forma, foram apresentados conceitos acerca dos elemen-tos, dos ativos da informação e de seu ciclo de vida, definindo as téc-nicas e condições que a afetam e critérios gerais de proteção que envolvem políticas e instrumentos que serão detalhados nos demais capítulos.



Exercícios:

1) Associe:

1 - Teoria do perímetro

2 - Estratégia de proteção: ponto de estrangulamento

3 - Estratégia de proteção: defesa em profundidade

4 - Estratégia de proteção: segurança pela obscuridade

5 - barreiras de proteção

( ) Quanto menos informações um agente tiver a respeito do am-biente alvo, maior será a sua dificuldade em invadi-lo;

( ) Aplicação de defesas distintas, de controles complementares como redundância, para no caso de falha ou violação de um, haja outro controle e não torne o sistema como um todo vulne-rável e restrito a somente um único controle;

( ) Tem por objetivo tornar o custo da invasão maior do que o valor da informação;

( ) Resistência distribuída por espaços físicos e lógicos;

( ) Estratégicas em um mesmo ponto de controle em que passem todos os usuários.

2) Descreva sucintamente os três pilares da Segurança da Informação e cite exemplos de sua aplicação.

3) Qual a importância em se conhecer o ciclo de vida da informação?

4) Qual a importância da teoria do perímetro para a estratégia da segu-rança da informação?



5) Descreva sucintamente a correlação entre ameaça, vulnerabilidade e risco.

6) Descreva incidente de segurança.

7) Cite uma situação que reflete uma ação da técnica de engenharia social.

8) Qual a contra-medida recomendada para proteger os ativos da orga-nização contra a ação da engenharia social.

9) Cite uma norma que faz parte da política de segurança da sua em-presa.

10) Qual a importância da política de segurança para a organização?

11) Cite quatro benefícios da política de segurança para uma organi-zação.

12) Por que a organização deve classificar suas informações?

13) Cite alguns rótulos empregados na classificação da informação de sua organização.

14) Quais os prejuízos que uma organização pode sofrer por não clas-sificar a informação?

livro cap01

Documents