O
que vem ser Segurança da Informação?
Milton Ferreira - Certificate IT Infrastructure
Library® - ITIL
Analista de Segurança da Informação e
Sistemas
Segurança da Informação está relacionada com proteção de um conjunto de dados,
no sentido de preservar o valor que possuem para um indivíduo ou uma organização.
São características básicas da segurança da informação os
atributos
de confidencialidade, integridade e disponibilidade, não estando esta
segurança
restrita somente a sistemas computacionais, informações eletrônicas
ou
sistemas de armazenamento. O conceito se aplica a todos os aspectos de
proteção
de informações e dados. O conceito de Segurança Informática ou
Segurança
de Computadores está intimamente relacionado com o de Segurança
da
Informação, incluindo não apenas a segurança dos dados/informação, mas
também
a dos sistemas em si.
Atualmente
o conceito de Segurança da Informação está padronizado pela norma
ISO/IEC
17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799.
A
série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de
Segurança
da Informação, incluindo a complementação ao trabalho original do
padrão
inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como
17799:2005
para fins históricos.
Conceitos
de segurança
A
Segurança da Informação se refere à proteção existente sobre as informações
de
uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações
corporativas
quanto às pessoais. Entende-se por informação todo e qualquer
conteúdo
ou dado que tenha valor para alguma organização ou pessoa. Ela pode
estar
guardada para uso restrito ou exposta ao público para consulta ou
aquisição.
Podem
ser estabelecidas métricas (com o uso ou não de ferramentas) para a
definição
do nível de segurança existente e, com isto, serem estabelecidas as
bases
para análise da melhoria ou piora da situação de segurança existente. A
segurança
de uma determinada informação pode ser afetada por fatores
comportamentais
e de uso de quem se utiliza dela, pelo ambiente ou
infra-estrutura
que a cerca ou por pessoas mal intencionadas que têm o objetivo
de
furtar, destruir ou modificar tal informação.
A tríade CIA (Confidentiality, Integrity and
Availability), Confidencialidade,
Integridade
e Disponibilidade representa os principais atributos que,
atualmente,
orientam a análise, o planejamento e a implementação da segurança
para
um determinado grupo de informações que se deseja proteger. Outros
atributos
importantes são a irretratabilidade e a autenticidade. Com o evoluir
do
comércio electrónico e da sociedade da informação, a privacidade é também
uma
grande preocupação.
Os
atributos básicos (segundo os padrões internacionais) são os seguintes:
Confidencialidade
- propriedade que limita o acesso a informação tão somente às
entidades
legítimas, ou seja, àquelas autorizadas pelo proprietário da
informação.
Integridade
- propriedade que garante que a informação manipulada mantenha
todas
as características originais estabelecidas pelo proprietário da informação,
incluindo
controle de mudanças e garantia do seu ciclo de vida
(nascimento,manutenção
e destruição).
Disponibilidade
- propriedade que garante que a informação esteja sempre
disponível
para o uso legítimo, ou seja, por aqueles usuários autorizados pelo
proprietário
da informação.
O
nível de segurança desejado, pode se consubstanciar em uma "política de
segurança"
que é seguida pela organização ou pessoa, para garantir que uma vez
estabelecidos
os princípios, aquele nível desejado seja perseguido e mantido.
Para
a montagem desta política, deve-se levar em conta:
Riscos
associados à falta de segurança; Benefícios; Custos de implementação dos
mecanismos.
Mecanismos
de segurança
O
suporte para as recomendações de segurança pode ser encontrado em:
Controles
físicos: são barreiras que limitam o contato ou acesso direto a
informação
ou a infra-estrutura (que garante a existência da informação) que a
suporta.
Existem
mecanismos de segurança que apóiam os controles físicos:
Portas
/ trancas / paredes / blindagem / guardas / etc ..
Controles
lógicos: são barreiras que impedem ou limitam o acesso a informação,
que
está em ambiente controlado, geralmente eletrônico, e que, de outro modo,
ficaria
exposta a alteração não autorizada por elemento mal intencionado.
Existem
mecanismos de segurança que apóiam os controles lógicos:
Mecanismos
de criptografia. Permitem a transformação reversível da informação
de
forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos
determinados
e uma chave secreta para, a partir de um conjunto de dados não
criptografados,
produzir uma sequência de dados criptografados. A operação
inversa
é a decifração.
Assinatura
digital. Um conjunto de dados criptografados, associados a um
documento
do qual são função, garantindo a integridade do documento associado,
mas
não a sua confidencialidade.
Mecanismos
de garantia da integridade da informação. Usando funções de "Hashing"
ou
de checagem, consistindo na adição.
Mecanismos
de controle de acesso. Palavras-chave, sistemas biométricos,
firewalls,
cartões inteligentes.
Mecanismos
de certificação. Atesta a validade de um documento.
Integridade.
Medida em que um serviço/informação é genuíno, isto é, está
protegido
contra a personificação por intrusos.
Honeypot:
É o nome dado a um software, cuja função é detectar ou de impedir a
ação
de um cracker, de um spammer, ou de qualquer agente externo estranho ao
sistema,
enganando-o, fazendo-o pensar que esteja de fato explorando uma
vulnerabilidade
daquele sistema.
Protocolos
seguros: uso de protocolos que garantem um grau de segurança e usam
alguns
dos mecanismos citados aqui Existe hoje em dia um elevado número de
ferramentas
e sistemas que pretendem fornecer segurança. Alguns exemplos
são
os detectores de intrusões, os anti-vírus, firewalls, firewalls locais,
filtros
anti-spam, fuzzers, analisadores de código, etc.
Ameaças
à segurança
As
ameaças à segurança da informação são relacionadas diretamente à perda de uma
de
suas 3 características principais, quais sejam:
Perda
de Confidencialidade: seria quando há uma quebra de sigilo de uma
determinada
informação (ex: a senha de um usuário ou administrador de sistema)
permitindo
com que sejam expostas informações restritas as quais seriam
acessíveis
apenas por um determinado grupo de usuários.
Perda
de Integridade: aconteceria quando uma determinada informação fica exposta
a
manuseio por uma pessoa não autorizada, que efetua alterações que não foram
aprovadas
e não estão sob o controle do proprietário (corporativo ou privado) da
informação.
Perda
de Disponibilidade: acontece quando a informação deixa de estar acessível
por
quem necessita dela. Seria o caso da perda de comunicação com um sistema
importante
para a empresa, que aconteceu com a queda de um servidor de uma
aplicação
crítica de negócio, que apresentou uma falha devido a um erro causado
por
motivo interno ou externo ao equipamento.
No
caso de ameaças à rede de computadores ou a um sistema, estas podem vir de
agentes
maliciosos, muitas vezes conhecidos como crackers, (hackers não são
agentes
maliciosos, pois tentam ajudar a encontrar possiveis falhas). Estas
pessoas
são motivadas para fazer esta ilegalidade por vários motivos. Os
principais
são: notoriedade, auto-estima, vingança e o dinheiro. De acordo com
pesquisa
elaborada pelo Computer Security Institute, mais de 70% dos ataques
partem
de usuários legítimos de sistemas de informação (Insiders) -- o que
motiva
corporações a investir largamente em controles de segurança para seus
ambientes
corporativos (intranet).
Nível
de segurança
Depois
de identificado o potencial de ataque, as organizações têm que decidir o
nível
de segurança a estabelecer para uma rede ou sistema os recursos físicos e
lógicos
a necessitar de proteção. No nível de segurança devem ser quantificados
os
custos associados aos ataques e os associados à implementação de mecanismos
de
proteção para minimizar a probabilidade de ocorrência de um ataque .
Segurança
física
Considera
as ameaças físicas como incêndios, desabamentos, relâmpagos,
alagamento,
acesso indevido de pessoas, forma inadequada de tratamento e
manuseamento
do material.
Segurança
lógica
Atenta
contra ameaças ocasionadas por vírus, acessos remotos à rede, backup
desatualizados,
violação de senhas, etc.
Políticas
de segurança
De
acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança
consiste
num conjunto formal de regras que devem ser seguidas pelos utilizadores
dos
recursos de uma organização.
As
políticas de segurança devem ter implementação realista, e definir claramente
as
áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas
e
redes e da direção. Deve também adaptar-se a alterações na organização.
As
políticas de segurança fornecem um enquadramento para a implementação de
mecanismos
de segurança, definem procedimentos de segurança adequados, processos
de
auditoria à segurança e estabelecem uma base para procedimentos legais na
sequência
de ataques.
O
documento que define a política de segurança deve deixar de fora todos os
aspectos
técnicos de implementação dos mecanismos de segurança, pois essa
implementação
pode variar ao longo do tempo. Deve ser também um documento de
fácil
leitura e compreensão, além de resumido.
Algumas
normas definem aspectos que devem ser levados em consideração ao
elaborar
políticas de segurança. Entre essas normas estão a BS 7799 (elaborada
pela
British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira
desta
primeira). A ISO começou a publicar a série de normas 27000, em
substituição
à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira,
ISO
27001, foi publicada em 2005.
Existem
duas filosofias por trás de qualquer política de segurança: a proibitiva
(tudo
que não é expressamente permitido é proibido) e a permissiva (tudo que não
é
proibido é permitido).
Os
elementos da política de segurança devem ser considerados:
A
Disponibilidade: o sistema deve estar disponível de forma que quando o
usuário
necessitar possa usar. Dados críticos devem estar disponíveis
ininterruptamente.
A
Utilização: o sistema deve ser utilizado apenas para os determinados
objetivos.
A
Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
A
Autenticidade: o sistema deve ter condições de verificar a identidade dos
usuários,
e este ter condições de analisar a identidade do sistema.
A
Confidencialidade: dados privados devem ser apresentados somente aos donos dos
dados
ou ao grupo por ele liberado.
Políticas
de Senhas
Dentre
as políticas utilizadas pelas grandes corporações a composição da senha
ou
password é a mais controversa. Por um lado profissionais com dificuldade de
memorizar
varias senhas de acesso, por outro funcionários displicentes que
anotam
a senha sob o teclado no fundo das gavetas, em casos mais graves o
colaborador
anota a senha no monitor.
Recomenda-se
a adoção das seguintes regras para minimizar o problema, mas a
regra
fundamental é a conscientização dos colaboradores quanto ao uso e
manutenção
das senhas.
Senha
com data para expiração
Adota-se
um padrão definido onde a senha possui prazo de validade com 30 ou 45
dias,
obrigando o colaborador ou usuário a renovar sua senha.
Inibir
a repetição
Adota-se
através de regras predefinidas que uma senha uma vez utilizada não
poderá
ter mais que 60% dos caracteres repetidos, p. ex: senha anterior
“123senha”
nova senha deve ter 60% dos caracteres diferentes como “456seuze”,
neste
caso foram repetidos somente os caracteres “s” “e” os demais diferentes.
Obrigar
a composição com número mínimo de caracteres numéricos e alfabéticos
Define-se
obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos,
por
exemplo:
1s4e3u2s
ou posicional os 4 primeiros caracteres devem ser numéricos e os 4
subseqüentes
alfabéticos por exemplo: 1432seuz.
Criar
um conjunto possíveis senhas que não podem ser utilizadas
Monta-se
uma base de dados com formatos conhecidos de senhas e proíbir o seu
uso,
como por exemplo o usuário chama-se Jose da Silva, logo sua senha não deve
conter
partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou
19XX, 1883emc ou I2B3M4 etc.