Escolar Documentos
Profissional Documentos
Cultura Documentos
1.1. Objetivos
Fornecer ao aluno uma viso geral sobre segurana da informao Entender a importncia da segurana da informao no mundo de hoje Conhecer as principais ameaas Compreender a terminologia bsica utilizada Conhecer algumas certificaes da rea
Capacidade de manter seguro. Proteo contra a fuga ou escape. Profissional ou servio responsvel pela guarda e proteo de algo. Confiana em si mesmo. Dentro do escopo com relao ao que iremos estudar, os trs primeiros tpicos adequam-se perfeitamente ao que ser abordado ao longo do curso. No entanto, veremos esses aspectos na viso do atacante, aquele que tem por objetivo justamente subverter a segurana. E o que queremos proteger? Vamos analisar o contexto atual em primeiro lugar... Na poca em que os nobres viviam em castelos e possuam feudos, com mo de obra que trabalhavam por eles, entregando-lhes a maior parte de sua produo e ainda pagavam extorsivos importos, qual era o maior bem que possuam? Terras! Isso mesmo, quem tinha maior nmero de terras era mais poderoso e possua mais riqueza. Posto que quanto mais terras, maior a produo recebida das mos dos camponeses que arrendavam as terras de seu suserano. Aps alguns sculos, com o surgimento da Revoluo Industrial, esse panorama muda completamente... Os camponeses deixam os campos e passam a trabalhar nas fbricas, transformando-se em operrios. Quem nunca viu o filme Tempos Modernos de Chaplin? Chaplin ilustra muito bem como era a rotina desses operrios. Nessa fase da histria da civilizao, o maior ativo a mo de obra,
Captulo 1 Introduo Segurana da Informao - 14 juntamente com o capital. Quem tinha o maior nmero de operrios, trabalhando incansavelmente, detinha o poder, pois possua maior capital, gerado pela produo incessante das indstrias. No entanto, como tudo o que cclico e est em constante mudana, o cenrio mundial novamente se altera, inicialmente com o movimento iluminista. O Iluminismo, a partir do sculo XVIII, permeando a Revoluo Industrial, prepara o terreno para a mudana de paradigma que est por vir. Os grandes intelectuais desse movimento tinham como ideal a extenso dos princpios do conhecimento crtico a todos os campos do mundo humano. Supunham poder contribuir para o progresso da humanidade e para a superao dos resduos de tirania e superstio que creditavam ao legado da Idade Mdia. A maior parte dos iluministas associava ainda o ideal de conhecimento crtico tarefa do melhoramento do estado e da sociedade. E com isso, comeamos a ver, atravs de uma grande mudana de paradigma, que a deteno de informaes ou conhecimentos, que tinham algum valor, que define quem tem o poder nas mos ou no. E surge, ento, a era da informao! Com esse acontecimento, inicia-se o surgimento da internet e a globalizao, possibilitando o compartilhamento em massa da informao. Nesse momento no mais a mo de obra, terras, mquinas ou capital que regem a economia e dita quem tem o poder, mas sim a informao, que se torna o principal ativo dessa era. Estamos na era da informao, e nada mais lgico que um corpo de conhecimento fosse criado para dar a devida ateno s anomalias e proteger esse ativo to importante. Essa rea de atuao, que j existia h muito anos, mas agora com tarefas bem mais definidas, com regras e normas a serem seguidas a Segurana da Informao, ou SI.
Captulo 1 Introduo Segurana da Informao - 15 Entendendo esse conceito, no suficiente apenas conhecer as normas existentes e as vrias formas possveis de proteo, mas necessrio tambm conhecer os riscos inerentes e as possveis formas de ataque. De acordo com o maior estrategista que j existiu, Sun Tzu, se voc conhece a si mesmo e ao seu inimigo, no precisar temer o resultado de mil batalhas. Afinal, se conhece os estratagemas empregados por atacantes maliciosos, estar muito mais capacitado para proteger seu principal ativo: a informao.
1.4.3. Basileia II
uma norma da rea financeira, conhecida tambm como Acordo de Capital de Basileia II. Essa norma fixa-se em trs pilares e 25 princpios bsicos sobre contabilidade e superviso bancria.
1.4.4. PCI-DSS
A norma Payment Card Industry Data Security Standard, uma padronizao internacional da rea de segurana de informao definida pelo Payment Card Industry Security Standards Council. Essa norma foi criada para auxiliar as organizaes que processam pagamentos por carto de crdito na preveno de fraudes, atravs de maior controle dos dados e sua exposio.
1.4.5. ITIL
um conjunto de boas prticas para gesto, operao e manuteno de servios de TI, aplicados na infraestrutura. A ITIL busca promover a gesto de TI com foco no cliente no servio, apresentando um conjunto abrangente de processos e procedimentos gerenciais, organizados em disciplinas, com os quais uma organizao pode fazer sua gesto ttica e operacional em vista de alcanar o alinhamento estratgico com os negcios.
1.4.6. COBIT
Do ingls, Control Objectives for Information and related Technology, um guia de boas prticas, como um framework, voltadas para a gesto de TI. Inclui, em sua estrutura de prticas, um framework, controle de objetivos, mapas de auditoria, ferramentas para a sua implementao e um guia com tcnicas de gerenciamento.
Captulo 1 Introduo Segurana da Informao - 17 Aumento do uso de redes e interligao das aplicaes Tudo est conectado atualmente! E quando uma mquina ou sistema comprometido, tudo o que est ao seu redor corre o risco de ser comprometido tambm. Isso demanda uma maior capacidade de gerenciamento do parque computacional, que cresce exponencialmente e muitas vezes de forma desordenada. Diminuio do nvel de conhecimento para a execuo de um ataque avanado Com a facilidade de uso aumentando gradativamente, a necessidade de conhecimento de alto nvel para realizar ataques avanados tambm diminui. Se um adolescente de 12 anos procurar na internet sobre ataques de negao de servio, por exemplo, encontrar ferramentas de simples utilizao e pode facilmente derrubar um grande servidor. Aumento da complexidade para administrao de infraestrutura de
computadores e gerenciamento Quanto maior o parque computacional, mais difcil se torna seu gerenciamento, e disso surgem inmeros problemas graves, de consequncias desastrosas. Com o aumento da complexidade da infraestrutura e, consequentemente, da sobrecarga dos administradores de rede, torna-se cada vez mais difcil gerenciar tudo o que ocorre e monitorar satisfatoriamente o funcionamento da infraestrutura organizacional.
1.6.1. Confidencialidade
Esse pilar o responsvel pelo controle de acesso informao apenas por aquelas pessoas ou entidade que tenham permisso compatvel com sua funo e
1.6.2. Integridade
Aqui, atravs dessa propriedade, determinada a necessidade de garantir que a informao mantenha todas as suas caractersticas originais como determinadas pelo proprietrio da informao.
1.6.3. Disponibilidade
Propriedade que define que determinada informao esteja sempre disponvel para o acesso quando necessrio, de maneia ntegra e fidedigna. Alguns dos ataques conhecidos buscam justamente derrubar a disponibilidade, e para algumas empresas o simples fato de no ter suas informaes disponveis durante determinado perodo de tempo, isso pode acarretar prejuzos estrondosos.
1.6.4. Autenticidade
Propriedade responsvel por garantir que a informao vem da origem informada, permitindo a comunicao segura e garantia de que a informao a qual tem acesso correta e de fonte confivel.
1.6.5. Legalidade
a propriedade que define se determinada informao, ou operao, est de acordo com as leis vigentes no pas. As mesmas leis que regem um pas podem ser completamente diferentes em outro, o que pode ocasionar uma srie de problemas, caso o sistema de gesto no seja adaptvel. Podemos ver na figura a seguir alguns dos distrbios mais comuns aos pilares da SI, vinculados a ataques que visam rea de TI:
O nvel de segurana desejado, pode se consubstanciar em uma poltica de segurana que seguida pela organizao ou pessoa, para garantir que uma vez estabelecidos os princpios, aquele nvel desejado seja perseguido e mantido. de extrema importncia saber equilibrar o nvel de segurana com a funcionalidade e facilidade de uso do sistema, pois o mais importante para a empresa o negcio, e a segurana existe para proteger o negcio da empresa, e no atrapalh-lo.
Captulo 1 Introduo Segurana da Informao - 21 vingana ou participam de alguma ao de espionagem industrial, vendendo as informaes conseguidas para o concorrente. Outro tipo de ataque vindo de insiders, surge de funcionrios
despreparados, que sem o devido conhecimento do funcionamento do sistema, ou das polticas organizacionais, age de maneira errnea, causando o comprometimento do sistema da empresa. Quando vamos analisar os ataques externos, novamente nos deparamos com a possibilidade de comprometimentos cujos objetivos estejam vinculados espionagem industrial, que apesar de ser ilegal, muitas organizaes recorrem a esse expediente para no ficar para trs, na luta pelo domnio de mercado. Outra possibilidade da origem de comprometimentos de sistemas, pode ser a curiosidade ou simplesmente o desafio que representa para um cracker, cujo objetivo de comprometer o sistema, seja basicamente isso: comprometer o sistema e poder dizer que foi ele quem fez isso. Ou ento, o furto de dados que de alguma forma sejam teis para o cracker. Bons exemplos desse tipo de ataques, podem ser encontrados no livro A Arte de Invadir, de autoria de Kevin Mitnick. Exemplo de ameaa: Uma chuva de granizo em alta velocidade Exemplo de vulnerabilidade: Uma sala de equipamentos com janelas de vidro Exemplo de ataque: A chuva de granizo contra as janelas de vidro O risco ser calculado considerando a probabilidade de uma chuva de granizo em alta velocidade ocorrer e atingir a janela de vidro.
Captulo 1 Introduo Segurana da Informao - 22 lgicas. Para cada contexto, temos grupos diferentes de mecanismos que podem ser utilizados.
Captulo 1 Introduo Segurana da Informao - 23 Anti-Spam Os mecanismos lgicos, so barreiras que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado.
1.10. Certificaes
Na rea de segurana, h muitas certificaes reconhecidas pelo mercado. Sendo que cada ma delas possui um foco diferente, nvel de conhecimento diferente e formas de avaliaes diversas. Abaixo listamos as principais certificaes da rea de SI:
CompTIA Security+ Cisco Systems CCNA Security CCSP CCIE Security EC-Council CEH CHFI ECSA ENSA LPT GIAC GSIF GSEC GCIA GCFW GCFA GCIH GPEN GCUX GCWN GWAPT GAWN GREM GSE ISACA CISA CISM (ISC) CAP CISSP CSSLP ISSAP ISSEP ISSMP SSCP ISECOM OPSA OPST Offensive Security OSCP OSCE Immunity NOP
Dentro do contedo estudado e de acordo com o contexto que estamos estudando, algumas certificaes possuem em sua avaliao muito dos assuntos
Captulo 1 Introduo Segurana da Informao - 25 abordados em aula. Podemos citar, dentre essas, as certificaes: CEH, ECSA, LPT, OPSA, OSCP, GPEN