Introduo segurana informtica

Junho 2014
Com o desenvolvimento da utilizao de Internet, cada vez mais empresas abrem o seu sistema
de informao aos seus parceiros ou aos seus fornecedores, por conseguinte essencial
conhecer os recursos da empresa a proteger e dominar o controlo de acesso e os direitos dos
utilizadores do sistema de informao. O mesmo aquando da abertura do acesso empresa na
Internet. Alm disso, com o nomadismo, consistindo em permitir ao pessoal ligar-se ao sistema
de informao a partir de qualquer lugar, o pessoal levado a transportar uma parte do sistema
de informao para fora da infra-estrutura protegida da empresa.

Introduo segurana
O risco em termos de segurana carateriza-se geralmente pela equao seguinte :

A ameaa (em ingls threat) representa o tipo de aco susceptvel de prejudicar em absoluto,
enquanto a vulnerabilidade (em ingls vulnerability, chamada s vezes falha ou brecha)
representa o nvel de exposio ameaa num contexto especfico. Por ltimo, a medida
defensiva o conjunto das aces implementadas para a preveno da ameaa.
As medidas defensivas a aplicar no so unicamente solues tcnicas, mas igualmente
medidas de formao e sensibilizao para os utilizadores, bem como um conjunto de regras
claramente definidas.
A fim de poder proteger um sistema, necessrio identificar as ameaas potenciais, e por
conseguinte conhecer e prever a maneira de proceder do inimigo. O objectivo deste dossier
assim apresentar um resumo das motivaes eventuais dos piratas, calassificar estes ltimos, e
por ltimo dar uma ideia da sua maneira de proceder para compreender melhor como possvel
limitar os riscos de intruses.

Objectivos da segurana informtica

O sistema de informao define-se geralmente como o conjunto dos dados e dos recursos
materiais e software da empresa que permite armazen-los ou faz-los circular. O sistema de
informao representa um patrimnio essencial da empresa, que convm proteger.
A segurana informtica, geralmente, consiste em garantir que os recursos materiais ou software
de uma organizao so utilizados unicamente no mbito previsto.

A segurana informtica visa geralmente cinco objectivos principais:

A integridade, ou seja, garantir que os dados so efectivamente os que cr ser;
A confidencialidade, consistindo em assegurar que s as pessoas autorizadas tm
acesso aos recursos trocados;
A disponibilidade, permitindo manter o bom funcionamento do sistema de informao;
No repudiao, permitindo garantir que uma transaco no pode ser negada;
A autenticao, consistindo em assegurar que s as pessoas autorizadas tm acesso aos
recursos.

A confidencialidade
A confidencialidade consiste em tornar a informao initeligvel para outras pessoas alm dos
actores da transao.

A integridade
Verificar a integridade dos dados consiste em determinar se os dados no foram alterados
durante a comunicao (de maneira fortuita ou intencional).

A disponibilidade
O objectivo da disponibilidade garantir o acesso a um servio ou recursos.

A no-repudiao
A no rpudiation da informao a garantia de que nenhum dos correspondentes poder
negar a transaco.

A autenticao
A autenticao consiste em garantir a identidade de um utilizador, ou seja, garantir a cada um
dos correspondentes que o seu parceiro efectivamente aquele que cr ser. Um controlo de
acesso pode permitir (por exemplo, por meio de uma senha que dever ser codificada) o acesso
a recursos unicamente s pessoas autorizadas.

Necessidade de uma abordagem global

A segurana de um sistema informtico frequentemente objecto de metforas. Com efeito,
compara-se regularmente a uma cadeia explicando que o nvel de segurana de um sistema
caracterizado pelo nvel de segurana do elo mais fraco. Assim, uma porta blindada intil
numa construo se as janelas estiverem abertas para a rua.
Isto significa que a segurana deve ser abordada num contexto global e nomeadamente ter em
conta os aspectos seguintes :

A sensibilizao dos utilizadores para os problemas de segurana

A segurana lgica, ou seja, a segurana a nvel dos dados, nomeadamente os dados da
empresa, as aplicaes ou ainda os sistemas de explorao.
A segurana das telecomunicaes: tecnologias rede, servidores da empresa, redes
de acesso, etc.
A segurana fsica, ou seja a segurana a nvel das infra-estruturas materiais: salas
protegidas, lugares abertos ao pblico, espaos comuns da empresa, postos de trabalho
do pessoal, etc.

Implementao de uma poltica de segurana

A segurana dos sistemas informticos limita-se geralmente a garantir os direitos de acesso aos
dados e recursos de um sistema implementando mecanismos de autenticao e de controlo que
permitem garantir que os utilizadores dos ditos recursos possuem unicamente os direitos que
lhes foram concedidos.
Os mecanismos de segurana implementados podem no entanto provocar um embarao a nvel
dos utilizadores e as instrues e regras tornam-se cada vez mais complicadas medida que a
rede se estender. Assim, a segurana informtica deve ser estudada de maneira a no impedir
os utilizadores de desenvolver os usos que lhes so necessrios, e de fazer de modo a que
possam utilizar o sistema de informao em total confiana.
a razo pela qual necessrio definir inicialmente uma poltica de segurana, cuja
implementao se faz de acordo com as quatro etapas seguintes :
Identificar as necessidades em termos de segurana, os riscos informticos que pesam
sobre a empresa e as suas eventuais consequncias;
Elaborar regras e procedimentos a implementar nos diferentes servios da organizao
para os riscos identificados;
Supervisionar e detectar as vulnerabilidades do sistema de informao e manter-se
informado das falhas sobre as aplicaes e materiais utilizados;
Definir as aces a empreender e as pessoas a contactar em caso de deteco de uma
ameaa;
A poltica de segurana por conseguinte o conjunto das orientaes seguidas por uma
organizao (em sentido lato) em termos de segurana. A esse respeito ela deve ser elaborada
a nvel da direco da organizao interessada, porque se refere a todos os utilizadores do
sistema.
A esse respeito, no cabe s aos administradores informticos definir os direitos de acesso dos
utilizadores mas aos responsveis hierrquicos destes ltimos. O papel do administrador
informtico por conseguinte garantir que os recursos informticos e os direitos de acesso a
estes esto em coerncia com a poltica de segurana definida pela organizao.
Alm disso, j que o nico a conhecer perfeitamente o sistema, cabe-lhe fazer aumentar as
informaes relativas segurana sua direco, eventualmente aconselhar as instncias de
deciso sobre as estratgias a aplicar, bem como ser o ponto de entrada relativo comunicao
destinada aos utilizadores sobre os problemas e recomendaes em termos de segurana.

A segurana informtica da empresa assenta num bom conhecimento das regras pelos
empregados, graas a aces de formao e de sensibilizao junto dos utilizadores, mas deve
ir alm disso e nomeadamente cobrir os seguintes campos :
Um dispositivo de segurana fsico e lgico, adaptado s necessidades da empresa e aos
usos dos utilizadores;
Um procedimento de gesto das actualizaes;
Uma estratgia de salvaguarda correctamente planificada;
Um plano de retoma aps incidente;
Um sistema documentado actualizado;

As causas da insegurana
Distinguem-se geralmente dois tipos de insegurana:
o estado acivo de insegurana, ou seja,o no conhecimento pelo utilizador das
funcionalidades do sistema, algumas das quais lhe podem ser prejudiciais (por exemplo, o
facto de no desactivar servios de redes no necessrias ao utilizador)
o estado passivo de insegurana, ou seja a ignorncia dos meios de segurana
implementados, por exemplo quando o administrador (ou o utilizador) de um sistema no
conhece os dispositivos de segurana de que dispe.
Introduction to IT Security Introduccin a la seguridad informtica Einfhrung in die
Informatiksicherheit Introduction la scurit informatique Introduzione alla sicurezza informatica
Este documento, intitulado Introduo segurana informtica a partir de Kioskea (pt.kioskea.net) est
disponibilizado sob a licena Creative Commons. Voc pode copiar, modificar cpias desta pgina, nas condies
estipuladas pela licena, como esta nota aparece claramente.