segurança física e lógica e análise de vunerabilidade (abnt)
DESCRIPTION
A segurança física surgiu para proteger informações e equipamentos para que só as pessoas certas tenham acesso a esse recurso.TRANSCRIPT
SEGURANÇA FÍSICA E LÓGICA E ANÁLISE DE VULNERABILIDADE
Rio de JaneiroAbril – 2013
SEGURANÇA FÍSICA
A segurança física surgiu para proteger informações e equipamentos para que só as pessoas certas tenham acesso a esse recurso.
Antes documentos eram protegidos por cadeados, cofres, gavetas e salas trancadas. Com a evolução da tecnologia, novos meios de proteção foram surgindo de forma a melhorar a segurança das empresas. Sala-cofre, câmeras de segurança, detectores de movimento e calor, leitor biométrico são algumas das tecnologias usadas para a proteção física de um ambiente.
Segurança física é voltada para proteção de equipamentos contra usuários não autorizados. Dessa forma previne o acesso a esses recursos. É baseada em perímetros predefinidos nas imediações dos recursos.Esse tipo de segurança pode ser explícito como um cofre ou sala-cofre, ou implícita, como áreas de acesso restrito.
A segurança física pode ser abordada como segurança de acesso ou segurança ambiental.Segurança de acesso trata das medidas de proteção contra o acesso físico não autorizado, utilizando recursos como sala-cofre, câmeras 24x7 entre outros.Segurança ambiental trata de medidas para prevenir danos causados pela natureza, utilizando recursos como equipamentos resistentes à água por exemplo.
O controle de acesso físico é muito importante. Deve ter uma forma de instituir formas de identificação que distinguem funcionários de visitantes e categorias diferenciadas de funcionários, caso necessite.
Deve-se ter cuidados com bens das empresas (crachás, chaves, cartões de acesso etc.) para que funcionários os devolvam caso sejam retirados de suas funções. Registrar datas de eventos como entrada e saída de materiais, equipamentos, pessoal etc.Registrar e restringir acesso de visitantes em determinadas áreas, se necessário, acompanhando-os aos locais de visita e destino.
A supervisão de equipes terceirizadas (limpeza, manutenção etc.) também é fundamental, assim como ter cuidado para não instalar em área de acesso público equipamentos que podem dar acesso a rede interna da corporação. Orientar os funcionários para que não deixem informações sobre a empresa à amostra, como senhas, computadores desbloqueados sem a devida supervisão.Utilizar mecanismos de controle de acesso físico (câmeras de vídeo, fechaduras eletrônicas, alarmes etc.) é um bom controle de acesso físico, como também proteger por onde passam as informações (telefones internos e externos, cabos de internet, modem etc.), proteger fisicamente as unidades de backup, restringir o acesso a computadores e impressoras que possam conter dados confidenciais.
Ter uma boa política de segurança física adequada para empresa também é essencial. Ela estará ligada diretamente a importância de seus ativos. Deve-se sempre observar a relação dos modelos de segurança do que apenas o uso de tecnologia.
É de fundamental importância analisar o perfil da empresa para definir a política de controle de acesso físico que se encaixe nas necessidades dos usuários.Quanto maior o investimento em prevenção menor será o prejuízo em caso de sinistro. Isso não se refere apenas ao uso de tecnologia avançada, mas à forma de como a empresa lida com a conscientização de seus funcionários.
Alguns itens de avaliação de riscos são: incêndios, danos pela água, eletricidade, climatização, treinamento de pessoal e controle de acesso.
Com o avanço constante da tecnologia novas formas de proteção vão surgindo. Novos tipos de travas, sensores mais precisos e câmeras de alta qualidade. Já existem equipamentos de vigilância
autônomos que com seu algoritmo consegue identificar uma invasão de área restrita. Cada vez mais se vê o uso de vigilância à distância por parte de donos de algum tipo de comércio. Essa forma de proteção vareia de acordo com a necessidade das empresas, mas se torna uma alternativa a mais para garantir a integridade das informações protegidas.Os smartphones e tablets com câmeras e aplicativos podem ajudar na vigilância e na segurança das empresas. A chegada do Google Glass (óculos interativo) pode transformar a forma como é feito a vigilância das empresas.
A segurança física tem como ponto positivo as várias opções para garantir a integridade das informações com tecnologias variadas e cada vez mais acessíveis. Pode-se uma vigilância quase autônoma de áreas que precisam de proteção e vigilância 24 horas por dia, 7 dias por semana.
O ponto negativo é que muitos funcionários ainda despreparados fazem com que a integridade da segurança seja, de certa forma, abalada, pois muitos esquecem de seguir os treinamentos dados pelas empresas e têm empresas que passam o treinamento inadequado ou não passam o treinamento para o funcionário.
SEGURANÇA LÓGICA
A segurança lógica evoluiu muito. Antes sistemas básicos de senhas eram usados para proteger arquivos nos computadores. Nos tempos atuais existem vários tipos e várias formas de criptografar senhas, arquivos etc.
“Um sujeito ativo deseja acessar um objeto passivo”. Isso é uma parte da funcionalidade da segurança lógica onde o sujeito é um usuário ou processo da rede e o objeto pode ser um arquivo ou outro recurso de rede (impressora, estação de trabalho etc).
A segurança lógica compreende um conjunto de medidas e procedimentos adotados pelas empresas com o objetivo de proteger dados, programas e sistemas contra tentativas de acessos não autorizados, feitas por usuários ou outros programas.
Alguns dos recursos a serem protegidos são: aplicativos (programas fonte e objetos), arquivos de dados, utilitários e sistema operacional; arquivos de senha e arquivos de log.
O controle de acesso lógico pode ser visualizado a partir de recurso computacional que se pretende proteger ou a partir do usuário a quem se pretende dar privilégios e acesso aos recursos. A proteção dos recursos computacionais baseia-se na necessidade de acesso de cada usuário. É usada uma identificação e uma senha durante o processo para que o usuário seja autenticado e identificado, e possa acessar os recursos a ele permitidos.
Existem alguns elementos básicos de controle do acesso lógico que são:
Apenas usuários autorizados devem ter acesso aos recursos computacionais; Os usuários devem ter acesso apenas aos recursos realmente necessários para a execução de
suas tarefas; O acesso a recursos críticos do sistema monitorado e restrito; Os usuários não podem realizar transações incompatíveis com sua função.
Um bom firewall também é essencial para a proteção lógica, evitando invasão a rede interna do sistema. O firewall deve ser acompanhado de uma boa estratégia lógica para melhor proteger o sistema. Um exemplo seria de usar uma porta única de entrada e saída da rede interna com a supervisão do firewall.
Detectores de intrusos também ajudam a evitar invasão.Os chamados IDS (Intrusion Detection Sytems) são responsáveis por analisar o comportamento de
uma rede ou sistema em busca de tentativas de invasão.Existe o HIDS (Host IDS) que monitora um host específico, e o NIDS (Network IDS) que monitora
um segmento de host específico.Um IDS utiliza dois métodos específicos:
Detecção por assinatura:Semelhante a assinaturas de antivírus. Associam um ataque a um determinado conjunto de pacotes
ou chamadas de sistema. Não só detecta o ataque como também o identifica. Exige atualização frequente do fabricante.
Detecção por comportamento:Observa o comportamento da rede em um período normal, e o compara com o comportamento atual
da rede. Utiliza métodos estatísticos e inteligência artificial.Detecta um ataque desconhecido, mas não sabe informar qual ataque está em andamento.
Existem também as Redes Virtuais Privadas.A VPN (Virtual Private Network) é uma forma barata de interligar duas redes privadas (intranet)
através da internet. Tem a ligação entre dois firewalls ou entre dois servidores de VPN para interligar
duas redes internas. Tem ligação entre uma estação na internet e serviços localizados dentro da rede interna (intranet).
VPN integra criptografia em cada pacote trafegado. A criptografia deve ser rápida o suficiente para não comprometer o desempenho entre as redes e segura o suficiente para impedir ataques.
As vantagens da VPN são substituição de linhas dedicadas a custo baixo e uso de infraestrutura já existente.
As desvantagens são os dados sensíveis trafegando em rede pública e os dados ficam sensíveis aos congestionamentos e interrupções que ocorrem na internet.
Muitas empresas estão apostando na computação em nuvem e isso tende a aumentar. As empresas que distribuem o serviço terão que aumentar a segurança e qualidade do produto em parceria com as empresas de internet e a empresa contratante.
A segurança digital está em evolução constante e novas formas de criptografia e sistemas inteligentes de defesa surgem para melhorar a segurança das empresas.
Em tempos de smartphone e tablets, empresas podem adaptar esses aparelhos para ajudar na segurança e autenticação dos funcionários, utilizando-os com a tecnologia NFC (Near Field Comunicaton) – que permite autenticação apenas aproximando um aparelho celular do dispositivo, por exemplo – podendo dispensar o crachá ou cartão, ou dando uma alternativa a mais ao funcionário.Em tempos de mobilidade e computação em nuvem o comportamento das empresas, em especial as de pequeno e médio porte, está mudando e se adaptando junto essa nova leva de tecnologia digital.
Segurança lógica tem como ponto positivo preservar informações essenciais para as empresas e evitando que pessoas não autorizadas tenham acesso aos mesmos. Claro que nem todo sistema é 100% seguro, mas esses softwares aumentam a segurança dos sistemas e integridade das informações.
Um sistema protegido por um firewall ou antivírus terá seu desempenho um pouco menor que um não protegido, pois a filtragem feita pela proteção exigirá mais tempo para varrer o sistema atrás de invasão. Essa é uma desvantagem necessária no sistema, mas se for planejada de maneira errada pode prejudicar e muito o desempenho do sistema.
ANÁLISE DE VULNERABILIDADE
A análise de vulnerabilidade tem por objetivo identificar fragilidades de segurança no ambiente tecnológico das empresas, visando a implementação de controles que irão proteger suas informações e seus respectivos negócios. É uma ferramenta analítica para o planejamento estratégico que identifica ameaças sutis ou esquecidas, que podem afetar ou mesmo destruir o negócio.
A análise de vulnerabilidade é um processo simples e barato. É um diagnóstico feito normalmente em grupo dentro da empresa sem uso de conceitos complexos, modelos elaborados ou grande quantidade de dados, mas a experiência e a capacidade de julgamento dos participantes, do grupo, de origem de todos os setores da empresa. Isso faz com que aumente a comunicação interdepartamental, pois todos que participam mostram divergências implícitas e explicitas nas suas hipóteses de planejamento.
O processo fornece um método pelo qual a administração da empresa pode sistematicamente identificar certas ameaças não notadas anteriormente, independente do tipo de negócio envolvido ou do local em que se situa. Então a empresa tem tempo para controlar situações ameaçadoras, revisar as opções de que dispõe e prepara um plano de contingência, se necessário.
Os objetivos da alta administração são definidos na análise vulnerabilidade porque lidam com assuntos que podem afetar negativamente a empresa futuramente.A análise de vulnerabilidade aumenta a eficiência do controle ambiental porque focaliza a atenção da empresa no que é mais importante para ela.
Existem empresas que não sabem usar a análise de vulnerabilidade corretamente, controlando tudo que se passa no ambiente, fazendo com que a empresa passe por riscos desnecessários.
Deve usar esse método para aumentar a eficiência do controle ambiental, focalizando a atenção de empresa no que é mais importante para ela.
Empresas ainda deixam passar uma série de condições ou forças ameaçadoras em potencial. Esta análise é uma ferramenta importante para a implementação de controles de segurança eficientes sobre os ativos de informação das empresas.
A análise de vulnerabilidade sobre ativos da informação compreende Tecnologias, Processos, Pessoas e Ambientes:
Tecnologias:Software e hardware usados em servidores, estações de trabalho e outros equipamentos pertinentes, como sistemas de telefonia, rádio e gravadores; Ex.: estações sem antivírus, servidores sem detecção de intrusão, sistemas sem identificação ou autenticação;
Processos:Análise do fluxo de informação, da geração da informação e de seu consumo. Analisa também como a informação é compartilha entre os setores da organização; Ex.: Em um processo de compra, se a lista de compra for passada de modo errôneo, esta pode ser apagada ou esquecida, ou interpretada errado. Causando a indisponibilidade do processo ou a falta de integridade dos resultados do processo.
Pessoas:As pessoas são ativos da informação e executam processos, logo, precisam ser analisadas. Pessoas podem possuir importantes vulnerabilidades. Ex.: Desconhecer a importância da segurança, desconhecer suas obrigações e responsabilidades, deixando processos com “dois pais” e outros “órfãos”.
Ambientes:
É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão instalados os componentes de tecnologia. Este item é responsável pela análise de áreas físicas. Ex.: Acesso não autorizado a servidores, arquivo e fichários.
Benefícios Maior conhecimento do ambiente de TI e seus problemas; Possibilidade de tratamento das vulnerabilidades, com base nas informações geradas; Maior confiabilidade do ambiente após a análise; Informações para o desenvolvimento da Análise de Risco;
Produtos Finais Reunião de conclusão da Análise de Vulnerabilidades; Relatório de Análise de Vulnerabilidades; Resumo Estratégico do Relatório de Vulnerabilidades; Plano de Ação para curto e médio prazo; Reunião de follow-up (acompanhamento).
A análise de vulnerabilidade evita que a maioria dos fatos negativos aconteça. Essa prevenção é essencial para que problemas sejam solucionados.Muitas empresas ainda deixam passar uma série de condições ou forças ameaçadoras em potencial isso pode prejudicar possíveis análises de vulnerabilidade.
CONCLUSÃO
A segurança física e lógica é essencial à maioria das empresas. Com elas consegue-se manter a integridade das informações, mantendo a segurança das empresas.É preciso começar com uma boa segurança física.
“Não adianta investir dinheiro em esquemas sofisticados e complexos se não instalarmos uma simples porta para proteger fisicamente os servidores da rede.”
O ambiente seguro é fundamental para se pensar melhor no ambiente lógico. Os dois combinados podem tornar as informações das empresas mais integras e seguras.
Os dois tipos de segurança já estão praticamente fundido nos dias atuais. São catracas com leitor biométrico, salas-cofre com identificação fácil entre muitas outras formas de proteção físicas e digitais dependentes.
“Alguém não autorizado passa por uma catraca que ativa o alarme. Isso faz parte da segurança física ou lógica?”
Com esses tipos de questionamentos vemos que está cada vez mais difícil separa os dois tipos de segurança e tem que se pensar cada vez mais em como utilizá-las paralelamente para deixar as empresas mais seguras, sem chances para falhas e roubo de dados.
Com a ajuda da análise de vulnerabilidade isso pode ficar mais fácil, pois estudando e prevenindo possíveis erros no futuro tem como melhorar o desempenho da segurança de maneira que erros não atrapalhem o “conjunto da obra”.
Não existe sistema de segurança 100% seguro, mas seguindo um padrão de acordo com que a empresa necessita para garantir a segurança de suas informações é possível diminuir e muito os riscos de invasão e de vazamento de informações.
Deve ter cuidado para não elaborar um projeto se segurança gigantesco, para uma empresa que não precisa de tanto, pois isso poderia deixar a empresa mais lenta e os custos mais caros sem necessidades.
Segurança física e lógica integrada e com uma análise de risco bem elaborada garantem uma grande porcentagem de segurança para empresa.
REFERÊNCIAS
< http://pt.wikipedia.org/wiki/Segurança_da_informação> Acesso em: 1 de abril – 2013.
<http://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_auditoria_e_analise_de_seguranca_aula_02.pdf> Acesso em: 2 de abril – 2013.
<http://xa.yimg.com/kq/groups/22195076/1606473661/name/Seguranca-2.pdf> Acesso em: 2 de abril – 2013.
<http://www.devmedia.com.br/convergencia-seguranca-fisica-e-logica/15760> Acesso em: 2 de abril – 2013.
<http://www.trackerti.com/consult/view/name/analise-vulnerabilidades> Acesso em: 3 de abril – 2013.
<http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=13203&sid=42> Acesso em: 4 de abril – 2013.
< http://www.mindconsultoria.com.br/artigos.asp?cod=56> Acesso em: 5 de abril – 2013.
<http://olhardigital.uol.com.br/negocios/digital_news/noticias/sete-tendencias-de-seguranca-para-controle-de-acesso-a-edificios-em-2012> Acesso em: 5 de abril – 2013.