ATIVOS, AMEAAS E

VULNERABILIDADES
Luiz Eduardo Guarino de Vasconcelos

Objetivo
Ativo
Ameaa
Vulnerabilidade
Risco
Medidas de segurana

Voc sabia que 94% das empresas que perdem seus dados
desaparecem? *
Segundo um estudo realizado pela Universidade do Texas,
apenas 6% das empresas que sofrem um desastre informtico
sobrevivem. Os demais 94% desaparecem, mais cedo ou mais
tarde. Pesquisas do Gartner Group, ainda que mais
moderadas, confirmam essa tendncia ao indicar que duas de
cada cinco empresas que enfrentam grandes ataques ou danos
em seus sistemas deixam de existir
por isso que a Hitachi Data Systems assegura que o mercado
de armazenamento de dados crescer cerca de 12% ao ano
no Chile at 2008.

O que so Ativos?
Os ativos so elementos que a segurana busca
proteger. Os ativos possuem valor para as empresas
e, como conseqncia, precisam receber uma proteo
adequada para que seus negcios no sejam
prejudicados.
So trs os elementos que compem o que chamamos
de ativos:
As informaes;
Os equipamentos e sistemas que oferecem
suporte a elas (SW, HW, Organizao);
As pessoas que as utilizam.

Ativo: Informao
Qualquer tipo de informao, independente do tipo
de meio em que esteja armazenada, que seja
importante para a empresa e seus negcios Cultura
importante, exemplos desses ativos so:
Documentos, relatrios, livros, manuais,
correspondncias, patentes, informaes de mercado,
cdigo de programao, linhas de comando, arquivos
de configurao, planilhas de remunerao de
funcionrios, plano de negcios de uma empresa etc.

Ativo: Informao
Possveis vulnerabilidades
Documentos abandonados em locais pblicos,
informaes publicadas em sistemas sem proteo de
acesso, correspondncia em envelope no lacrado.

Ativo: SOFTWARE
Programas de computador utilizados para a
automatizao de processos, isto , acesso, leitura,
trnsito, armazenamento e processamento das
informaes. Dentre eles citamos:
Os aplicativos comerciais
Programas institucionais
Sistemas operacionais

Ativo: SOFTWARE
Possveis vulnerabilidades
Falhas conhecidas e no reparadas que podem ser
exploradas para permitir acessos no autorizados
aos computadores.
Sistema de autenticao por senha que permite o uso
de senhas em branco.

Ativo: Hardware
Representam toda a infra-estrutura tecnolgica que
oferece suporte informao durante seu uso,
trnsito, processamento e armazenamento. Faz parte
desse grupo qualquer equipamento no qual se
armazene, processe ou transmita as informaes da
empresa:
As estaes de trabalho
Os servidores
Os computadores portteis
Os mainframes
As mdias de armazenamento

Ativo: Hardware
Possveis vulnerabilidades
Infra-estrutura eltrica sujeita a falhas que
danifiquem os equipamentos, centros de computao
sujeitos a inundaes, computadores portteis sem
vigilncia em locais pblicos.

Ativo: Organizao
Estrutura fsica e organizacional das empresas.
Refere-se organizao lgica e fsica.
Temos, entre outros:
A estrutura departamental e funcional
O quadro de alocao dos funcionrios
A distribuio de funes e os fluxos de informao
da empresa os servidores
Em relao ao ambiente fsico, entre outros, so
considerados:
Salas e armrios onde esto localizados os
documentos, fototeca, sala de servidores de arquivos

Ativo: Organizao
Possveis vulnerabilidades
Localizao insegura de documentos, equipamentos
ou pessoas.
Estrutura organizacional que no permita mudanas
em termos de segurana.
Ausncia de equipe dedicada de segurana.

Ativo: Humano
O grupo usurios refere-se aos indivduos que utilizam
a estrutura tecnolgica e de comunicao da empresa
e que lidam com a informao.
Formao do hbito da segurana em todos os
funcionrios.
So exemplos deste tipo de ativo:
Funcionrios da rea de contabilidade.
Direo da empresa

Ativo: Humano
Possveis vulnerabilidades
Desconhecimento dos mtodos de escolha de senhas
fortes.
Resistncia de funcionrios a adotar prticas de
segurana.
Descuido por parte dos usurios na manipulao da
informao.

Ameaas
Para cada um dos grupos apresentados foram identificadas
vulnerabilidades.
Vulnerabilidades no seriam um problema se no houvesse
elementos capazes de explor-las, causando danos. Estes
elementos so conhecidos como Ameaas.
As ameaas so causa potencial de um incidente indesejado, que
caso se concretize pode resultar em dano. Ameaas exploram as
falhas de segurana, que denominamos pontos fracos, e, como
conseqncia, provocam perdas ou danos aos ativos de uma
empresa, afetando os seus negcios.

Notcia
A Atos Origin, parceira tecnolgica mundial do Comit Olmpico Internacional (COI),
anunciou em Londres, no dia 17 de setembro de 2004, que a soluo de segurana
implementada na infra-estrutura tecnolgica dos Jogos Olmpicos de Atenas 2004 conseguiu
resolver sem problemas os ataques de vrus e hackers ocorridos durante o evento,
garantindo a no-interrupo das transmisses e uma retransmisso precisa e em tempo
real dos resultados tanto para os meios de comunicao para o resto do mundo.
Durante os 16 dias que durou a competio, foram registrados mais de cinco milhes de
alertas de segurana nos sistemas de informao dos Jogos, dos quais 425 foram graves e
20, crticos. Entre os invasores, encontravam-se pessoas autorizadas que pretendiam
desconectar o sistema INFO 2004 a Intranet dos Jogos Olmpicos, que oferecia os resultados
e o calendrio de provas, alm de informaes sobre os atletas , com a finalidade de
conectar os computadores portteis para obter acesso Internet. A equipe responsvel
conseguiu oferecer uma resposta rpida a todos esses alertas e evitar acessos noautorizados.
Devido ao enorme aumento no nmero de ataques e vrus de computador dos ltimos anos, a
Atos Origin transformou a segurana tecnolgica em sua prioridade mxima, melhorando-a de
forma significativa em relao de Salt Lake City, afirma o diretor de tecnologia do COI,
Philippe Verveer. A Atos Origin gerenciou de forma eficiente e eficaz o grande nmero de
alertas de segurana registrados durante os Jogos, garantindo que sua infra-estrutura
tecnolgica no fosse afetada.

Ameaas
Podem ser:
Causas naturais ou no-naturais
Causas internas ou externas
E sobre frequncia podem se dividir em:
Ameaas naturais condies da natureza e a intemprie que
podero provocar danos nos ativos, tais como fogo, inundao,
terremotos.
Intencionais so ameaas deliberadas, fraudes, vandalismo,
sabotagens, espionagem, invases e furtos de informaes, entre
outros.
Involuntrias so ameaas resultantes de aes inconscientes
de usurios, por vrus eletrnicos, muitas vezes causados pela
falta de conhecimento no uso dos ativos, tais como erros e
acidentes.

Ameaa
Vrus
Divulgao de senhas
Hackers
Funcionrios insatisfeitos
Acessos indevidos
Vazamento de informaes
Erros e acidentes
Roubo/furto
Fraudes

%
75
57
44
42
40
33
31
18
18

Vulnerabilidade
As vulnerabilidades so os elementos que, ao serem
explorados por ameaas, afetam a confidencialidade,
a disponibilidade e a integridade das informaes de
um indivduo ou empresa. Um dos primeiros passos para
a implementao da segurana rastrear e eliminar os
pontos fracos de um ambiente de tecnologia da
informao.

Vulnerabilidade
importante conhecer a estrutura para causar menos
impactos nos sistemas, comprometendo os princpios da
segurana da informao.
Fsicas: instalaes
Naturais: natureza (incndio, enchente, etc)
Hardware: Defeitos e m configurao de equipamentos
Softwares: aplicativos
Meios de armazenamento: HD, pen-drive, servidor
Comunicao: fibra, rdio, telefone, etc
Humanas: senhas fracas, compartilhamento de senhas, etc

Risco
Risco a probabilidade de que as ameaas
explorem os pontos fracos, causando perdas ou
danos aos ativos e impactos no negcio, ou seja,
afetando: a confidencialidade, a integridade e a
disponibilidade da informao.

O que so medidas de segurana?

So aes orientadas para a eliminao de
vulnerabilidades, com o objetivo de evitar que uma
ameaa se torne realidade.
Aes podem ser:
Preventivas: Busca evitar o surgimento de novos
pontos fracos e ameaas.
Perceptivas: Busca revelar atos que possam pr
em risco as informaes.
Corretivas: Buscar corrigir os problemas de
segurana medida que eles ocorrem.

medidas de segurana
Anlise de riscos
uma medida que busca rastrear vulnerabilidades nos
ativos que possam ser explorados por ameaas. A
anlise de riscos tem como resultado um grupo de
recomendaes para a correo dos ativos a fim de
que possam ser protegidos.

medidas de segurana
Diretiva de segurana
uma medida que busca estabelecer os padres de
segurana que devem ser seguidos por todos os
envolvidos no uso e na manuteno dos ativos. uma
forma de administrar um conjunto de normas para
guiar as pessoas na realizao de seu trabalho. o
primeiro passo para aumentar a conscincia da
segurana das
pessoas, pois est orientada para a formao de
hbitos, por meio de manuais de instruo e
procedimentos operacionais.

medidas de segurana
Especificaes de segurana
So medidas que objetivam instruir a correta
implementao de um novo ambiente tecnolgico
atravs do detalhe de seus elementos constituintes e a
forma como os mesmos devem estar dispostos para
atender aos princpios da segurana da informao.

medidas de segurana
Administrao da segurana
So medidas integradas para produzir a gesto dos
riscos de um ambiente. A administrao da segurana
envolve todas as medidas mencionadas anteriormente,
a do tipo preventiva, perceptiva e corretiva, com base
no ciclo da segurana apresentado a seguir.

Exerccio 1
Um executivo da empresa U-TI esqueceu a senha de trs
importantes arquivos que contm informaes sobre as
finanas da empresa (um .doc e dois .xls)
Voc dever descobrir as senhas destes arquivos usando
quaisquer recursos.
Ao descobri-las, envie por e-mail a soluo adotada de
forma detalhada (as tentativas que falharam, a tentativa
com sucesso e o tempo mdio utilizado para quebrar cada
uma delas) e as senhas encontradas para
du.guarino@gmail.com
Apenas o primeiro que enviar o e-mail ser considerado

Exerccio 2
Pesquise 2 programas que recuperam arquivos e pastas
de pen-drive ou HD e faa uma comparao entre eles.
Responda:

Onde conseguir?

Funcionamento

Quantos arquivos e pastas foram recuperadas?

Qual o melhor?

Gratuito ou pago? Trial ou Completo?

Bibliografia
Novo Dicionrio Aurlio O Dicionrio da Lngua Portuguesa edio
de 1999.
Timeline of the History of Information - Geoffrey Numberg
Security Controls for Computer Systems: Report of Defense Science
Boad Task Force on Computer Security. Editado por W. H. Ware.
CSC-STD-001-83 - Library No. S225,711 - Department of Defense
Trusted Computer System Evaluation Criteria - 15 August 1983.
An Introduction to Computer Security: The NIST Handbook Special
Publication 800-12.
http://www.iso27001security.com/html/iso27000.html.
Decreto No 3.505, de 13 de junho de 2.000 Presidncia da Repblica
Casa Civil.
Segurana de Redes Projeto e gerenciamento de redes seguras
Thomas A. Wadlow. Editora Campus, 2000.