A segurança da informação busca proteger as informações que possui um valor, para uma pessoa ou empresa, que ela esteja gerando, manipulando, transmitindo ou eliminando (garantir a não recuperação de uma informação). A ABNT NBR ISO/IEC 27002:2005 define como “a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”.
Complementa dizendo que“A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.”
Seus princípios abrangem, basicamente, os seguintes aspectos (tríade):
- Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação;
- Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações;
- Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado.
Ainda existem alguns outros conceitos que são interessantes ficar sabendo, como:
- Identificação: deixar que uma entidade informe quem ela é;
- Autenticação: fazer uma verificação para saber se a entidade é realmente quem ela diz ser;
- Autorização: dar permissão para que uma entidade realize determinada ações;
- Não repúdio: evitar que uma entidade negue ações que ela tenha realizado.
Entenda como “entidade” uma pessoa, empresa ou programa de computador.
Tipos de ataques
Cada tipo de ataque tem um objetivo específico, que são eles:
Interrupção: este tipo de ataque irá afetar diretamente a disponibilidade da informação, fazendo com que ela seja inacessível;
Interceptação: este afeta a confidencialidade da informação;
Modificação: este afeta a integridade da informação;
Fabricação: afeta a autenticidade da informação.
Tipos de ataques
Também podemos ainda classificar os ataques como:
- Passivo – Envolve ouvir as trocas de comunicações ou gravar de forma passiva as atividades do computador. Por si só, o ataque passivo não é prejudicial, mas a informação coletada durante a sessão pode ser extremamente prejudicial quando utilizada (adulteração, fraude, reprodução, bloqueio);
- Ativos – Neste momento, faz-se a utilização dos dados coletados no ataque passivo para, por exemplo, derrubar um sistema, infectar o sistema com malwares, realizar novos ataques a partir da máquina-alvo ou até mesmo destruir o equipamento (ex.: interceptação, monitoramento, análise de pacotes);
Modelos e mecanismos
Política de Segurança da Informação
Este documento irá auxiliar no gerenciamento da segurança da organização através de regras de alto nível que representam os princípios básicos que a entidade resolveu adotar de acordo com a visão estratégica da mesma, assim como normas (no nível tático) e procedimentos (nível operacional). Seu objetivo será manter a segurança da informação. Todos os detalhes definidos nelas serão para informar sobre o que pode e o que é proibido, incluindo:
Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca.
Política de backup: define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e frequência de execução.
Política de privacidade: define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários.
Política de confidencialidade: define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros.
Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP): também chamada de “Termo de Uso” ou “Termo de Serviço”, define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas.
A política deve ser divulgada para todos os funcionários da organização, de forma a manter a segurança das informações.
Leia mais em Política de Segurança da Informação.
Contas e senhas
“É por meio das suas contas e senhas que os sistemas conseguem saber quem você é e definir as ações que você pode realizar.” (CERT.BR)
Cópias de segurança (Backups)
O Backup ajuda a proteger os dados de perdas acidentais se ocorrerem falhas de hardware ou de mídia de armazenamento no sistema. São classificados em:
- Backups completos;
- Backups incrementais;
- Backups diferenciais;
- Backups delta;
Criptografia
É o estudo dos princípios e técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário (detentor da “chave secreta”), o que a torna difícil de ser lida por alguém não autorizado. Assim sendo, só o receptor da mensagem pode ler a informação com facilidade.
A criptografia provavelmente é o aspecto mais importante da segurança de comunicações e está se tornando cada vez mais importante como um componente básico para a segurança do computador. O crescente uso do computador e dos sistemas de comunicação pela indústria aumentou o risco de roubo de informações particulares. Embora essas ameaças possam exigir diversas contramedidas, a criptografia é um dos principais métodos para proteger informações eletrônicas valiosas. Com certeza a criptografia é a ferramenta automatizada mais importante para a segurança da rede e das comunicações.
Certificado digital e Assinatura digital
A Certificação Digital pode ser vista como um conjunto de técnicas, processos e normas estabelecidas ou adotadas, que visam propiciar mais segurança às comunicações e transações eletrônicas, proporcionando a autenticidade e integridade das informações que tramitam de forma eletrônica.
O mesmo método de autenticação dos algoritmos de criptografia de chave pública operando em conjunto com uma função resumo, também conhecido como função de hash, é chamada de assinatura digital.
Registro de eventos (logs)
“É o registro de atividade gerado por programas e serviços de um computador. Ele pode ficar armazenado em arquivos, na memória do computador ou em bases de dados.” (CERT.BR)
Controle de acesso
Os controles de acesso são um conjunto de procedimentos e medidas com o objetivo de proteger dados, programas e sistemas contra tentativas de acesso não autorizadas feitas por pessoas ou outros programas.
O controle de acesso físico pode ser compreendido como o tipo de sistema que torna o acesso físico a uma determinada área, como, por exemplo, um prédio, uma sala, uma empresa, uma casa, um container etc., totalmente controlado, sendo que somente pessoas autorizadas são permitidas a adentrar.
Firewall
Firewall é um sistema de proteção de redes internas contra acessos não autorizados originados de uma rede não confiável (Internet), ao mesmo tempo que permite o acesso controlado da rede interna à Internet. Eles podem ser um hardware e/ou software, tendo diferentes tipos de proteção como: pacotes, e-mail, web, etc.
Pode utilizar algumas estratégias, como:
- Privilégio mínimo
- Defesa em profundidade
- Ponto de passagem obrigatória (Choke Point)
- Falha Segura
Filtro antispam
“Spam é o termo usado para referir-se aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas.” (antispam.br)
Spam zombies são computadores de usuários finais que foram comprometidos por códigos maliciosos em geral, como worms, bots, vírus e cavalos de tróia. Estes códigos maliciosos, uma vez instalados, permitem que spammers utilizem a máquina para o envio de spam, sem o conhecimento do usuário. Enquanto utilizam máquinas comprometidas para executar suas atividades, dificultam a identificação da origem do spam e dos autores também. Os spam zombies são muito explorados pelos spammers, por proporcionar o anonimato que tanto os protege.
Estes filtros são responsáveis por evitar que mensagens indesejadas cheguem até a sua caixa de entrada no e-mail. São gerenciáveis através das seguintes formas:
- Listas negras (blacklists): e-mails, domínios e/ou IPs daqueles que você considera spammers;
- Listas brancas (whitelists): e-mails, domínios e/ou IPs de quem você deseja receber e-mails;
- Quarentena: local onde são armazenados os e-mails suspeitos de serem spams.
Antimalwares
“Ferramentas antimalware são aquelas que procuram detectar e, então, anular ou remover os códigos maliciosos de um computador. Antivírus, antispyware, antirootkit e antitrojan são exemplos de ferramentas deste tipo.” (cartilha.br)
Referências:
- http://cartilha.cert.br/
- http://antispam.br
- Mecanismos de controle de acesso
- Mecanismos de certificação e a criptografia
- ABNT NBR ISO/IEC 27002:2005
- Política de Segurança da Informação do IMA (SP)
Diego Macêdo
Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.
É de facto um site para estudantes, “Curiosos”!
Bom dia Diego, estou escrevendo um artigo científico na área de segurança da informação e gostaria de saber se você possui algum para eu estudar.
Não tenho artigos publicados, apenas fiz para as minhas especializações.