O que vem ser Segurança da Informação?

 

 

  Milton Ferreira - Certificate IT Infrastructure Library® - ITIL

  Analista de Segurança da Informação e Sistemas

 

  milton.sf@click21.com.br

 

 

 

Segurança da Informação está relacionada com proteção de um conjunto de dados,

no sentido de preservar o valor que possuem para um indivíduo ou uma organização.

São características básicas da segurança da informação os

atributos de confidencialidade, integridade e disponibilidade, não estando esta

segurança restrita somente a sistemas computacionais, informações eletrônicas

ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de

proteção de informações e dados. O conceito de Segurança Informática ou

Segurança de Computadores está intimamente relacionado com o de Segurança

da Informação, incluindo não apenas a segurança dos dados/informação, mas

também a dos sistemas em si.

 

Atualmente o conceito de Segurança da Informação está padronizado pela norma

ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799.

A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de

Segurança da Informação, incluindo a complementação ao trabalho original do

padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como

17799:2005 para fins históricos.

 

Conceitos de segurança

A Segurança da Informação se refere à proteção existente sobre as informações

de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações

corporativas quanto às pessoais. Entende-se por informação todo e qualquer

conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode

estar guardada para uso restrito ou exposta ao público para consulta ou

aquisição.

 

Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a

definição do nível de segurança existente e, com isto, serem estabelecidas as

bases para análise da melhoria ou piora da situação de segurança existente. A

segurança de uma determinada informação pode ser afetada por fatores

comportamentais e de uso de quem se utiliza dela, pelo ambiente ou

infra-estrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo

de furtar, destruir ou modificar tal informação.

 

A tríade CIA (Confidentiality, Integrity and Availability), Confidencialidade,

Integridade e Disponibilidade representa os principais atributos que,

atualmente, orientam a análise, o planejamento e a implementação da segurança

para um determinado grupo de informações que se deseja proteger. Outros

atributos importantes são a irretratabilidade e a autenticidade. Com o evoluir

do comércio electrónico e da sociedade da informação, a privacidade é também

uma grande preocupação.

 

Os atributos básicos (segundo os padrões internacionais) são os seguintes:

 

Confidencialidade - propriedade que limita o acesso a informação tão somente às

entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da

informação.

Integridade - propriedade que garante que a informação manipulada mantenha

todas as características originais estabelecidas pelo proprietário da informação,

incluindo controle de mudanças e garantia do seu ciclo de vida

(nascimento,manutenção e destruição).

Disponibilidade - propriedade que garante que a informação esteja sempre

disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo

proprietário da informação.

O nível de segurança desejado, pode se consubstanciar em uma "política de

segurança" que é seguida pela organização ou pessoa, para garantir que uma vez

estabelecidos os princípios, aquele nível desejado seja perseguido e mantido.

 

Para a montagem desta política, deve-se levar em conta:

 

Riscos associados à falta de segurança; Benefícios; Custos de implementação dos

mecanismos.

 

Mecanismos de segurança

O suporte para as recomendações de segurança pode ser encontrado em:

 

Controles físicos: são barreiras que limitam o contato ou acesso direto a

informação ou a infra-estrutura (que garante a existência da informação) que a

suporta.

Existem mecanismos de segurança que apóiam os controles físicos:

 

Portas / trancas / paredes / blindagem / guardas / etc ..

 

Controles lógicos: são barreiras que impedem ou limitam o acesso a informação,

que está em ambiente controlado, geralmente eletrônico, e que, de outro modo,

ficaria exposta a alteração não autorizada por elemento mal intencionado.

Existem mecanismos de segurança que apóiam os controles lógicos:

 

Mecanismos de criptografia. Permitem a transformação reversível da informação

de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos

determinados e uma chave secreta para, a partir de um conjunto de dados não

criptografados, produzir uma sequência de dados criptografados. A operação

inversa é a decifração.

Assinatura digital. Um conjunto de dados criptografados, associados a um

documento do qual são função, garantindo a integridade do documento associado,

mas não a sua confidencialidade.

Mecanismos de garantia da integridade da informação. Usando funções de "Hashing"

ou de checagem, consistindo na adição.

Mecanismos de controle de acesso. Palavras-chave, sistemas biométricos,

firewalls, cartões inteligentes.

Mecanismos de certificação. Atesta a validade de um documento.

Integridade. Medida em que um serviço/informação é genuíno, isto é, está

protegido contra a personificação por intrusos.

Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a

ação de um cracker, de um spammer, ou de qualquer agente externo estranho ao

sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma

vulnerabilidade daquele sistema.

Protocolos seguros: uso de protocolos que garantem um grau de segurança e usam

alguns dos mecanismos citados aqui Existe hoje em dia um elevado número de

ferramentas e sistemas que pretendem fornecer segurança. Alguns exemplos

são os detectores de intrusões, os anti-vírus, firewalls, firewalls locais,

filtros anti-spam, fuzzers, analisadores de código, etc.

 

 

Ameaças à segurança

As ameaças à segurança da informação são relacionadas diretamente à perda de uma

de suas 3 características principais, quais sejam:

 

Perda de Confidencialidade: seria quando há uma quebra de sigilo de uma

determinada informação (ex: a senha de um usuário ou administrador de sistema)

permitindo com que sejam expostas informações restritas as quais seriam

acessíveis apenas por um determinado grupo de usuários.

Perda de Integridade: aconteceria quando uma determinada informação fica exposta

a manuseio por uma pessoa não autorizada, que efetua alterações que não foram

aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da

informação.

Perda de Disponibilidade: acontece quando a informação deixa de estar acessível

por quem necessita dela. Seria o caso da perda de comunicação com um sistema

importante para a empresa, que aconteceu com a queda de um servidor de uma

aplicação crítica de negócio, que apresentou uma falha devido a um erro causado

por motivo interno ou externo ao equipamento.

No caso de ameaças à rede de computadores ou a um sistema, estas podem vir de

agentes maliciosos, muitas vezes conhecidos como crackers, (hackers não são

agentes maliciosos, pois tentam ajudar a encontrar possiveis falhas). Estas

pessoas são motivadas para fazer esta ilegalidade por vários motivos. Os

principais são: notoriedade, auto-estima, vingança e o dinheiro. De acordo com

pesquisa elaborada pelo Computer Security Institute, mais de 70% dos ataques

partem de usuários legítimos de sistemas de informação (Insiders) -- o que

motiva corporações a investir largamente em controles de segurança para seus

ambientes corporativos (intranet).

 

 

Nível de segurança

Depois de identificado o potencial de ataque, as organizações têm que decidir o

nível de segurança a estabelecer para uma rede ou sistema os recursos físicos e

lógicos a necessitar de proteção. No nível de segurança devem ser quantificados

os custos associados aos ataques e os associados à implementação de mecanismos

de proteção para minimizar a probabilidade de ocorrência de um ataque .

 

 

Segurança física

Considera as ameaças físicas como incêndios, desabamentos, relâmpagos,

alagamento, acesso indevido de pessoas, forma inadequada de tratamento e

manuseamento do material.

 

 

Segurança lógica

Atenta contra ameaças ocasionadas por vírus, acessos remotos à rede, backup

desatualizados, violação de senhas, etc.

 

 

Políticas de segurança

De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança

consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores

dos recursos de uma organização.

 

As políticas de segurança devem ter implementação realista, e definir claramente

as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas

e redes e da direção. Deve também adaptar-se a alterações na organização.

As políticas de segurança fornecem um enquadramento para a implementação de

mecanismos de segurança, definem procedimentos de segurança adequados, processos

de auditoria à segurança e estabelecem uma base para procedimentos legais na

sequência de ataques.

 

O documento que define a política de segurança deve deixar de fora todos os

aspectos técnicos de implementação dos mecanismos de segurança, pois essa

implementação pode variar ao longo do tempo. Deve ser também um documento de

fácil leitura e compreensão, além de resumido.

 

Algumas normas definem aspectos que devem ser levados em consideração ao

elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada

pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira

desta primeira). A ISO começou a publicar a série de normas 27000, em

substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira,

ISO 27001, foi publicada em 2005.

 

Existem duas filosofias por trás de qualquer política de segurança: a proibitiva

(tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não

é proibido é permitido).

 

Os elementos da política de segurança devem ser considerados:

 

A Disponibilidade: o sistema deve estar disponível de forma que quando o

usuário necessitar possa usar. Dados críticos devem estar disponíveis

ininterruptamente.

A Utilização: o sistema deve ser utilizado apenas para os determinados

objetivos.

A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.

A Autenticidade: o sistema deve ter condições de verificar a identidade dos

usuários, e este ter condições de analisar a identidade do sistema.

A Confidencialidade: dados privados devem ser apresentados somente aos donos dos

dados ou ao grupo por ele liberado.

 

Políticas de Senhas

Dentre as políticas utilizadas pelas grandes corporações a composição da senha

ou password é a mais controversa. Por um lado profissionais com dificuldade de

memorizar varias senhas de acesso, por outro funcionários displicentes que

anotam a senha sob o teclado no fundo das gavetas, em casos mais graves o

colaborador anota a senha no monitor.

 

Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a

regra fundamental é a conscientização dos colaboradores quanto ao uso e

manutenção das senhas.

 

Senha com data para expiração

Adota-se um padrão definido onde a senha possui prazo de validade com 30 ou 45

dias, obrigando o colaborador ou usuário a renovar sua senha.

Inibir a repetição

Adota-se através de regras predefinidas que uma senha uma vez utilizada não

poderá ter mais que 60% dos caracteres repetidos, p. ex: senha anterior

“123senha” nova senha deve ter 60% dos caracteres diferentes como “456seuze”,

neste caso foram repetidos somente os caracteres “s” “e” os demais diferentes.

Obrigar a composição com número mínimo de caracteres numéricos e alfabéticos

Define-se obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos,

por exemplo:

1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numéricos e os 4

subseqüentes alfabéticos por exemplo: 1432seuz.

Criar um conjunto possíveis senhas que não podem ser utilizadas

Monta-se uma base de dados com formatos conhecidos de senhas e proíbir o seu

uso, como por exemplo o usuário chama-se Jose da Silva, logo sua senha não deve

conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou

19XX, 1883emc ou I2B3M4 etc.