FUNDAMENTO DA SEGURANA DA INFORMAO Segurana da informao a proteo da informao de vrios tipos de ameaas, visando garantir a continuao do negcio, minimizar

r os riscos que possam compromet-lo, minimizar o retorno sobre os investimentos e as oportunidades de negcio. A segurana da informao obtida com resultado da implementao de um conjunto de controles, compreendendo politicas, processos, procedimentos, estruturas organizacionais e funes de hardware e software. Onde, devero ser monitorados, analisados e continuamente melhorados, com o intuito de atender os objetivos do negocio, os riscos e garantindo os preceitos de segurana da organizao: Confidencialidade, Integridade, Disponibilidade e Autenticidade (CIDA). (Bezerra, Edison Kowask,2011). Segundo Flavio Estlia Silva Coelho e Luiz Geraldo Segadas de Arajo afirmam que: Confidencialidade compreende a proteo de dados transmitidos contra ataques passivos, isto , contra acessos no autorizados, envolvendo medidas como controle de acesso e criptografia. A perda da confidencialidade ocorre quando h uma quebra do sigilo de uma determinada informao (ex.: a senha de um usurio ou administrador de sistema) permitindo que seja exposta informaes restritas as quais seriam acessveis apenas por um determinado grupo de usurios. Integridade trata da garantia contra ataques ativos por meios de alteraes ou remoes no autorizadas. relevante o uso de um esquema que permita a verificao da integridade dos dados armazenados e em transmisso. A integridade pode ser considerada sob dois aspectos: servio sem

recuperao ou com recuperao. Uma vez que os ataques ativos so considerados no contexto, a deteco, ao invs da preveno, o que importa; ento, se o comprometimento da integridade detectado, pode-se report-lo e o mecanismo de recuperao imediatamente acionado. A integridade tambm um pr-requisito para outros servios de segurana. Por exemplo, se a integridade de um sistema de controle de acesso a um sistema operacional for violado, tambm ser violada a confidencialidade de seus arquivos. A perda de integridade surge no momento em que uma

determinada informao fica exposta ao manuseio por uma pessoa no autorizada, que efetua alteraes que no foram aprovadas e no esto sob o controle do proprietrio (corporativo ou privado) da informao. Disponibilidade determina que recursos estejam disponveis para acesso por entidades autorizadas, sempre que solicitadas, representando a proteo contra perdas ou degradaes. A perda de Disponibilidade acontece quando a informao deixa de estar acessvel por quem necessita dela. Seria o caso da perda de comunicao com sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicao critica do negcio, que aconteceu uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ao no autorizada de pessoas com ou sem m inteno. Autenticidade est preocupada em garantir que uma comunicao autntica, ou seja, origem e destino podem verificar a identidade da outra parte envolvida na comunicao, com o objetivo de confirmar que a outra parte realmente quem alega ser. A origem e o destino tipicamente so usurios, dispositivos ou processos.

RISCO DE SEGURANA A identificao de controles adequados requer um planejamento detalhado, para que possa ser possvel a verificao ou monitorao de seus recursos para assim poder se fazer uma anlise detalhada dos sistemas com o intuito de atender aos objetivos do negcio e de segurana da organizao. A seguir so detalhados alguns conceitos: Incidncia de segurana corresponde a qualquer evento adverso relacionado segurana: por exemplo, ataques de navegao de servios, roubo de informao, vazamento e obteno de acesso no autorizado a informaes. Ativo qualquer coisa que tenha valor para a organizao e para os negcios. Alguns exemplos banco de dados, software, equipamentos (computadores, notebook), servidores, elementos de rede(roteadores,

switches, entre outros),pessoas, processos e servios.

Ameaa qualquer evento que explore vulnerabilidades. Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao.

Vulnerabilidade

qualquer

fraqueza

que

possa

ser

explorada

comprometera segurana de sistemas ou informaes. Fragilidade de um ativo ou gruo de ativos que pode ser explorado por uma ou mais ameaas. Vulnerabilidades so falhas que permitem o surgimento de deficincia na segurana geral do computador ou da rede. Configuraes incorretas no computador ou na segurana tambm permitem a criao de

vulnerabilidades. Contudo, resultante a essas falhas, as ameaas exploram as vulnerabilidades, que, quando concretizadas, resultam em danos para o computador, para a organizao ou para os donos pessoais. Riscos combinao da probabilidade (chance da ameaa se concretizar) de um evento ocorrer e de suas consequncias para a organizao. Ataque qualquer ao que comprometa a segurana de uma organizao. Impacto consequncia avaliada de um evento em particular.

H quatro modelos de ataque possveis que so utilizados por usurios mal intencionados: Interrupo quando um ativo destrudo ou torna-se indisponvel (ou inutilizvel), caracterizando um ataque contra a disponibilidade. Por exemplo, a destruio de um disco rgido. Interceptao quando um ativo acessado por uma parte no autorizada (pessoa, programa ou computador), caracterizando um ataque contra a confidencialidade. Por exemplo, cpia no autorizada de arquivos ou programas. Modificao quando um ativo acessado por uma parte no autorizada (pessoa, programa ou computador) e ainda alterado, caracterizando um ataque contra a integridade. Por exemplo, mudar os valores em um arquivo de dados. Fabricao quando uma parte no autorizada (pessoa, programa ou computador) insere objetos falsificados em um ativo, caracterizando um ataque contra a autenticidade. Por exemplo, a adio de registros em um arquivo.

Protegendo sua rede H dois aspectos da segurana de uma rede proteger acesso aos dados e proteger a transmisso dos dados. Muitas organizaes protegem acesso aos dados, mas muito poucas do o passo extra para proteger a transmisso dos dados, especificamente, a maioria das organizaes requer a autenticao antes de acessar aos dados, mas a maioria no criptografa todas as transmisses de dados. Infelizmente, uma rede no est protegida a menos que o acesso a dados e a transmisso de dados estejam protegidos. Criptografar os dados que passam na sua rede tornar a autenticao mais segura e impedir que pessoas capturem informaes que voc enviou na rede. Os dados sero criptografados utilizando algum algoritmo para embaralhar os bits da mensagem para que apenas o receptor dos dados saiba desembaralh-los.(Edson Furmankiewicz,2002).