Escolar Documentos
Profissional Documentos
Cultura Documentos
Mdulo 1 - Conceito
Est cada vez mais difcil manter em segurana as informaes referentes a
empresas ou pessoas. O descuido nessa rea pode causar prejuzos significativos, e
muitas vezes irreversveis. Mas felizmente a maior parte das empresas est
consciente do perigo e estamos vivendo um momento em que praticamente todas
elas mantm alguma poltica de segurana.
A Segurana da Informao refere-se proteo requerida para proteger as
informaes de empresas ou de pessoas, ou seja, o conceito se aplica tanto as
informaes corporativas quanto s pessoais. Entende-se por informao todo e
qualquer contedo ou dado que tenha valor para alguma organizao ou pessoa. Ela
pode estar guardada para uso restrito ou exposta ao pblico para consulta ou
aquisio.
Podem ser estabelecidas mtricas para definio do nvel de segurana existente e
requerido. Dessa forma, so estabelecidas as bases para anlise da melhoria da
situao de segurana existente. A segurana de uma determinada informao pode
ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo
ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que tm o
objetivo de furtar, destruir ou modificar tal informao.
Propriedades
As principais propriedades que orientam a anlise, o planejamento e a
implementao de uma poltica de segurana so confidencialidade, integridade e
disponibilidade. Na medida em que se desenvolve o uso de transaes comerciais em
todo o mundo, por intermdio de redes eletrnicas pblicas ou privadas, outras
propriedades so acrescentadas s primeiras, como legitimidade e autenticidade.
Confidencialidade Propriedade que limita o acesso informao to somente s
entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao.
Integridade Propriedade que garante que a informao manipulada mantenha
todas as caractersticas originais estabelecidas pelo proprietrio da informao,
incluindo controle de mudanas e garantia do seu ciclo de vida (nascimento,
manuteno e destruio).
-1-
-2-
-3-
-4-
Mdulo 2 - Tecnologias
O maior desafio da indstria mundial de software de segurana prover solues no
espao de tempo mais curto possvel, a partir da descoberta de determinada ameaa
ou problema. Mas foi-se o tempo em que tudo se resumia a encontrar um antivrus
eficaz, que fosse capaz de deter um determinado vrus. Hoje em dia, os vrus de
computador no so mais os nicos viles do crime digital.
No se trata mais de apenas proteger a estao de trabalho do funcionrio. A
companhia deve garantir que o correio eletrnico enviado desse mesmo computador
passar pelo servidor da empresa, seguir pela Internet (ou, em certos casos, por
uma rede privada virtual), chegar a um outro servidor, que transmitir a mensagem
ao destinatrio com a garantia de que se trata de um contedo totalmente protegido,
sem carregar qualquer truque ou surpresa inesperada.
Mas essa ainda apenas a ponta do iceberg. A Segurana da Informao deve estar
atrelada a um amplo Programa de Segurana da Informao, que se constitui de
pelo menos trs fases principais:
1) O primeiro passo consiste em realizar o levantamento e a classificao dos ativos
da empresa.
2) Concluda essa fase, preciso avaliar o grau de risco e de vulnerabilidade desses
ativos, testar suas falhas e definir o que pode ser feito para aperfeioar a sua
segurana.
3) A infra-estrutura de tecnologias a terceira fase desse planejamento, envolvendo
desde aquisio de ferramentas, at configurao e instalao de solues, criao
de projetos especficos e recomendaes de uso.
Infra-estrutura
Apresentar um organograma consolidado das ferramentas e solues que
compreendem a segurana de uma rede corporativa algo, em certo sentido, at
arriscado, considerando a velocidade com que se criam novos produtos e com que se
descobrem novos tipos de ameaas. No entanto, algumas aplicaes j fazem parte
da rotina e do amadurecimento tecnolgico de muitas organizaes que, pela
natureza de seus negcios, compreenderam quo crticas so suas operaes.
-5-
-7-
-8-
-9-
Qualificaes
Para atender aos requisitos de segurana lgica e fsica de redes globais cada vez
mais complexas e vulnerveis, o perfil do CSO evoluiu muito. Por um lado, o cenrio
apresenta ameaas crescentes e cada vez mais fatais, hackers, vrus, ataques
terroristas, enchentes, terremotos. Por outro, a vulnerabilidade e a complexidade
tecnolgica crescem tambm e aumentam as atribuies e as habilidades
necessrias para exercer a funo de CSO. Hoje, um CSO tem de entender de
segurana, conhecer bem os negcios e participar de todas as aes estratgicas da
empresa. Mais do que um tcnico, ele deve ser definitivamente um gestor de
negcios. As qualificaes que costumam ser exigidas para o cargo de CSOs so:
Habilidades em questes de segurana fsica Familiaridade com a linguagem e os
dilemas prprios da TI Experincia prvia em segurana um destaque, se
acompanhada tambm por conhecimento de negcios Exigncia de lidar com
pessoas Facilidade de comunicao, para ter a desenvoltura necessria para fazer
a interface tanto na esfera de deciso quanto nos diversos setores e nveis culturais
dentro da companhia Capacidade de liderana e de gerenciamento de equipes para
atingir uma atuao bem-sucedida em qualquer corporao Ter conhecimentos
maduros sobre questes como autenticao, auditoria, preservao da cena do crime
real ou virtual, e gerenciamento de risco Ter viso estratgica e experincia no
gerenciamento das operaes
Formao
Geralmente, o CSO possui formao em Cincias da Computao, Engenharia ou
Auditoria de Sistemas. O grande retorno que o CSO traz para as empresas diminuir
os riscos nas operaes, com todas as conseqncias positivas. Mas a verdade que
um profissional assim to completo no encontrado facilmente no mercado. Por
isso, calcula-se que h mais de 20 mil vagas abertas para CSOs naquele pas. No
Brasiol, a demanda no chega a ser to grande, mas esses profissionais j so
comuns em instituies financeiras, seguradoras, operadoras de telecomunicao e
empresas com operaes na Internet. Especialistas em carreira recomendam que o
CSO tenha atuao independente e no se reporte ao CIO, mas diretamente
diretoria ou presidncia.
Estatsticas recentes apontam para o crescimento dos empregos na rea de
segurana. De acordo com estudo anual feito pela IDC e patrocinado pelo
International Information Systems Security Certification Consortium, a projeo de
profissionais para a regio das Amricas passar de 647 mil em 2006 para 787 mil
em 2009.
- 10 -
- 11 -
- 12 -
Mdulo 4 - Vulnerabilidades
Em pouco tempo, os computadores se tornaram uma parte intrnseca e essencial da
vida cotidiana. O resultado um enorme potencial de lucros financeiros para os
criadores de programas mal-intencionados. Com a ascenso de tcnicas sofisticadas,
est ficando cada vez mais difcil para a base de usurios em geral identificar ou
evitar as infeces por programas mal-intencionados.
A principal ameaa segurana das transaes corporativas so as pessoas. Esta a
primeira resposta que muitos institutos de pesquisas e especialistas de segurana
tm utilizado quando questionados sobre a principal ameaa s transaes
corporativas. Solues tecnolgicas sofisticadas, integradas a parceiros, clientes e
fornecedores, a ltima palavra em ferramentas de gesto empresarial, relatrios
detalhados etc. Nada disso tem valor se no h restries, polticas e processos que
estabeleam e organizem a conduta do profissional dentro da corporao.
Na maior parte das vezes, j se verifica que os problemas relacionados
interferncia humana no esto diretamente ligados a aes fraudulentas ou s
demais situaes em que o funcionrio tem o objetivo de prejudicar sua empresa.
Pelo contrrio. A grande maioria dos incidentes de segurana ocorre por falta de
informao, falta de processos e orientao ao recurso humano.
Outro fator determinante nessa equao est vinculado evoluo rpida e contnua
das tecnologias. Em pouco tempo, at mesmo os computadores domsticos ganham
recursos em potncia e em capacidade de armazenamento. Ao mesmo tempo em
que essa evoluo proporciona inmeros benefcios, tambm se encarrega de gerar
novos riscos e ameaas virtuais. Esse cenrio, que estar presente em breve em
muitas residncias, sinaliza o que vir no ambiente corporativo.
Mas as questes de segurana atreladas gesto de pessoal so apenas parte dos
desafios que as empresas precisam enfrentar na atualidade. Antes desses, e no
menos crticas, esto as vulnerabilidades tecnolgicas, renovadas a cada instante.
Especialistas em identificar e estudar essas brechas vm se esforando para alertar
sobre aquelas que hoje so consideradas as principais ameaas s transaes
eletrnicas. O System Administration, Networking and Security (SANS) e o National
Infrastructure Protection Center (NIPC/FBI) so bons exemplos dessa realidade.
A seguir esto mencionadas algumas das falhas mais comumente identificadas,
independentemente do porte ou da rea de atuao da companhia, bem como da
complexidade de sua infra-estrutura tecnolgica e dos sistemas que utiliza.
- 13 -
Senhas fracas
Muitas vezes, as senhas de um funcionrio podem ser facilmente descobertas,
mesclando itens comuns como nome e sobrenome, data de aniversrio, nome de
esposa, filho etc. A administrao desses acessos tambm se d de forma
desordenada, o usurio geralmente no tem educao para lidar com seu cdigo de
acesso. Atualmente, as empresas contam com o benefcio de estabelecer uma
autenticao forte, isto , mesclar algo que o usurio sabe (memria), com algo que
ele tem (token) e algo que ele (biometria).
Algumas ferramentas possibilitam corporao verificar o grau de segurana das
senhas de seus funcionrios. Utilizar um desses recursos para quebra de senhas
pode ser um bom caminho para identificar contas com senhas fracas ou sem senha.
Sistemas de backups falhos
Muitas empresas afirmam realizar backups dirios de suas transaes, mas sequer
fazem manuteno para verificar se o trabalho realmente est sendo feito. preciso
manter backups atualizados e mtodos de recuperao dos dados previamente
testados. Muitas vezes, uma atualizao diria pouco diante das necessidades da
empresa, caso venha a sofrer algum dano. Tambm recomendvel tratar da
proteo fsica desses sistemas, que por vezes ficam relegados manuteno
precria. J comum, depois dos tristes fatos ocorridos em 11 de setembro de 2001,
sites de backup onde os dados so replicados e, em caso de uma catstrofe, os
sistemas so utilizados para a continuidade dos negcios.
Portas abertas
Portas abertas so convites para invases. Boas ferramentas de auditoria de
servidores ou de scan podem auxiliar a empresa a identificar quais so suas brechas
nos sistemas. Para no ser surpreendido, recomendado fazer uma auditoria regular
dessas portas. Independentemente da ferramenta utilizada para realizar essa
operao, preciso que ela varra todas as portas UDP e TCP do sistema, nas quais
se encontram os alvos atacados por invasores. Alm disso, essas ferramentas
verificam outras falhas nos sistemas operacionais tais como servios desnecessrios
e aplicaes de patches de segurana requeridos.
Brechas de instalaes
Muitos fornecedores de sistemas operacionais padro (default) e aplicativos
oferecem uma verso padro e de fcil instalao para seus clientes. Eles acreditam
que melhor habilitar funes que no so necessrias, do que fazer com que o
usurio tenha de instalar funes adicionais quando necessitar.
- 14 -
Embora esse posicionamento seja conveniente para o usurio, ele acaba abrindo
espao para vulnerabilidades, j que no mantm, nem corrige componentes de
software no usados.
Sobre os aplicativos, comum que instalaes default incluam scripts ou programas
de exemplos, que muitas vezes so dispensveis. Sabe-se que uma das
vulnerabilidades mais srias relacionadas a servidores web diz respeito aos scripts de
exemplo, os quais so utilizados por invasores para invadir o sistema. As
recomendaes bsicas so remover softwares desnecessrios, desabilitar servios
fora de uso e bloqueio de portas no usadas.
Falhas em sistemas de logs
Logs so responsveis por prover detalhes sobre o que est acontecendo na rede,
quais sistemas esto sendo atacados e os que foram de fato invadidos. Caso a
empresa venha a sofrer um ataque, ser o sistema de registro de logs o responsvel
por dar as pistas bsicas para identificar a ocorrncia, saber como ocorreu e o que
preciso para resolv-la. recomendvel realizar backup de logs periodicamente.
Transaes sem fio desprotegidas
Os equipamentos mveis so tecnologias emergentes. No entanto, os padres de
comunicao utilizados atualmente requerem configurao minuciosa para
apresentar um mnimo de segurana (encontre mais detalhes no prximo mdulo
deste curso). Novos padres prometem mais tranqilidade comunicao wireless.
No entanto, recomendvel ter cautela na adoo desses recursos, conforme o grau
de confidencialidade do que est sendo transmitido pelo canal sem fio.
Falha na atualizao de camadas de segurana e sistemas operacionais
A falta de gerenciamento de cada ferramenta de segurana e a correo de software
disponibilizado pelos fornecedores esto entre os fatores mais crticos na gesto
corporativa. Para muitos, esse um desafio constante, visto o volume de patches
anunciado por diversos fornecedores, bem como a velocidade com que se atualizam
os softwares de segurana. J existem, inclusive, empresas especializadas em
fornecer ferramentas que cumprem a funo especfica de automatizar a atualizao
de patches de segurana. Um Plano Diretor de Segurana deve contemplar e
explicar, em detalhes, como esses processos devem ser realizados.
- 15 -
- 17 -
Mdulo 5 - Mobilidade
Cada vez mais, equipamentos mveis, como notebooks e smartphones, esto
presentes na vida das pessoas, especialmente de executivos que se deslocam em
viagens de negcios. Porm, esses dispositivos mveis possuem fragilidades
diferentes das encontradas em computadores fixos. Isso exige uma poltica
segurana diferenciada para controlar possveis ameaas.
No novidade para ningum. A adoo em larga escala de equipamentos mveis,
especialmente notebooks e smartphones, traz vantagens inquestionveis para o
ambiente corporativo, como o aumento da produtividade, disponibilidade e
flexibilidade. Uma questo, no entanto, permanece sem resposta: at que ponto o
produto em suas mos seguro?
O contexto precisa ser explicado. Em meados dos anos 80, os computadores
pessoais substituram o mainframe e revolucionaram a forma pela qual as pessoas se
relacionavam com a tecnologia. Eles dominaram completamente o cenrio mundial.
O reinado, contudo, est terminando. A coroa est com os terminais mveis, com
predomnio dos notebooks, mas tambm com a presena crescente de handhelds,
smartphones, PDAs e telefones celulares.
A mudana est to consolidada que, hoje, inimaginvel um executivo de sucesso,
em qualquer vertical de atuao, que no carregue seu dispositivo mvel, seja este
qual for. Uma das exigncias para o sucesso no atual mercado globalizado a
capacidade de estar conectado a qualquer momento, pronto para fazer algum
negcio assim que ele aparea.
Essa reestruturao est revolucionando o mercado corporativo. Se, por um lado,
possvel atingir nveis de produtividade impensveis no formato antigo, quando o
executivo permanecia preso no ambiente tradicional de escritrio, por outro, a
Segurana da Informao surge como o seu calcanhar-de-aquiles. Os argumentos a
favor so atraentes: garantias de grande disponibilidade e flexibilidade, j que o
executivo pode acessar informaes da rede da companhia em qualquer horrio e de
qualquer lugar do mundo. Mas os contrrios, no entanto, assustam.
Nova realidade
Os dispositivos mveis possuem fragilidades que no encontram paralelo nas
estaes fixas, fato que exige do gestor de segurana da informao uma poltica
estruturada para cuidar de todos esses limites. As tecnologias de acesso sem fio,
outra base da mobilidade, tambm representam um grande problema. Independente
do padro escolhido, elas significam, no limite, uma falta de controle da organizao
sobre a rede em que se acessa. Especificamente, as funcionalidades integradas de
wireless LAN permitem o acesso a recursos corporativos por meio de redes terceiras,
que esto longe da viso da corporao e das suas polticas de segurana.
- 18 -
- 21 -
Mdulo 6 - Terceirizao
A terceirizao uma forte tendncia em todos os setores de TI, e no poderia ser
diferente, quando falamos em Segurana da Informao. Trata-se de um assunto
recorrente, isso porque a Segurana da Informao no especialidade da indstria
de manufatura, como tambm no faz parte dos negcios do setor automobilstico,
de empresas alimentcias ou do varejo. No entanto, para que possam manter o core
business de suas operaes, essas corporaes devem garantir a manuteno das
condies ideais de segurana, que cada vez mais se torna fator crtico em todas as
suas transaes.
Por isso, podemos nos preparar para ver as aes de proteo sendo executadas fora
da corporao. No caso da segurana, a diferena que a viabilidade do processo
depende do tamanho das organizaes. Grandes empresas tm pouca probabilidade
em passar a segurana para o esquema outsourcing. J as pequenas e mdias
empresas mostram-se mais abertas a essa opo, como podemos observar nas
estruturas de software as a service, que vm crescendo no mercado, tornando-se
mais maduras.
Muitos profissionais da rea acreditam que a terceirizao da Segurana da
Informao o caminho natural tanto para o mercado corporativo quanto para
usurios domsticos. A integridade dos dados um aspecto importante para usurios
em todos os nveis. Entre outros benefcios, a terceirizao dos processos de
proteo rede proporciona a reduo no custo de manuteno dos dispositivos. No
por acaso que os institutos de pesquisa tm indicado crescimento nos oramentos
de tecnologia da informao (TI) no que se refere segurana. Em alguns casos, a
verba dessa rea totalmente independente do que gasto com TI.
Porm, o outsourcing de segurana ainda est engatinhando no Brasil. Apesar disso,
nmeros da consultoria IDC indicam que a terceirizao tende a ganhar espao. O
segmento de MSS Managed Security Services o que mais cresce no mundo na
rea de segurana. Em 2006, os gastos com Segurana da Informao atingiram 38
bilhes de dlares mundialmente, sendo que 45% desse montante foram para as
mos dos provedores de servios. Do restante, 35% ficaram com a rea de hardware
e 19% com a de software.
Previso
A previso da consultoria que o setor cresa em mdia 16% at 2010, sendo que a
fatia de servios tende a aumentar o seu percentual no bolo. Segundo dados da Frost
& Sullivan, o mercado latino-americano de servios gerenciados de segurana deve
superar o total de US$ 272 milhes em 2011. De acordo com a consultoria, o Brasil
continuar a concentrar 40% desse mercado.
- 22 -
- 23 -
Como na maioria dos casos, essa tanto pode ser uma tima como uma pssima
opo. O que definir cada experincia depende de uma srie de processos
preestabelecidos.
- 25 -
- 27 -
Worms
Programa auto-replicante, semelhante a um vrus. Entretanto, o vrus infecta um
programa e precisa dele para se propagar. J o worm um programa completo e
no precisa de outro programa para se propagar. Alm da replicao, um worm pode
ser projetado para fazer muitas coisas, como deletar arquivos em um sistema ou
enviar documentos por e-mail. O worm pode trazer embutidos programas que geram
algum tipo de problema ou que tornam o computador infectado vulnervel a outros
ataques. Um worm pode provocar danos apenas com o trfego de rede gerado pela
sua reproduo.
Segurana 3.0
O novo modelo de segurana proposto pelo Gartner recebeu o nome de Segurana
3.0. Seu objetivo diminuir os gastos das companhias com segurana e melhorar o
desempenho das reas de negcio. A implementao dessa nova estrutura requer
investimentos: para construir uma plataforma concreta de proteo, deve-se
deslocar at 8% do oramento destinado anualmente TI para a rea de segurana.
Depois que o modelo estiver consolidado, a inverso pode ser reduzida para,
aproximadamente, 3%.
O Gartner indica que as empresas devem seguir cinco passos importantes na
implementao de uma plataforma de segurana 3.0. So eles:
1) Mudar o modo como a Tecnologia da Informao desenvolvida, construda
dentro da corporao.
2) Mudar a forma como as solues de negcio so desenvolvidas.
3) Mudar a metodologia e os responsveis pelo pagamento dos controles de
segurana.
4) Se no puder realizar todas as mudanas imediatamente, definir o que deve ser
feito primeiro, e comear a agir imediatamente.
5) Segurana deve ser uma jornada, portanto, preciso que se tenha um destino
pelo caminho.
No atual cenrio de ameaas sofisticadas e altamente perigosas, necessrio que as
empresas mudem seus perfis e, em vez de gastarem dois teros de suas verbas para
remediar incidentes, passem a investir na preveno de ameaas e na antecipao
de tendncias.
- 28 -
- 29 -
- 30 -
De acordo com a pesquisa, 59% das empresas declararam que possuem mtodos
para reforar a existncia de regras e polticas internas. Os meios mais utilizados
para isso so: disciplina (50%), revises de desempenho (25%), remoo de
privilgios (18%) e aes legais (4%).
No bastasse o controle interno, as corporaes precisam desenvolver armas para
barrar aquele que se tornou seu maior inimigo: as mensagens indesejadas, ou
spams. Segundo a pesquisa, 92% dos profissionais recebem algum material desse
tipo. Desses, 45% afirmam que as mensagens no-autorizadas representam mais de
10% de seu volume dirio de e-mails, percentual que ultrapassa 50% para 7% dos
ouvidos pela pesquisa.
Privacidade
No Brasil, grandes organizaes demitiram funcionrios que costumavam acessar
contedos pornogrficos ou sem qualquer relao com o negcio da empresa. Mas a
polmica ainda recente. Tanto que, em uma anlise mais minuciosa dos fatos e das
leis de privacidade, constata-se que a prpria legislao brasileira uma das
opositoras s prticas de monitorao.
Aprovado em junho de 2006 pela Comisso de Educao, o Projeto de Lei 76/2000
do Senado o mais completo texto legislativo produzido no Pas para regular a
represso a crimes de informtica. O PLS 76, relatado pelo senador Eduardo
Azeredo, com assessoria de Jos Henrique Santos Portugal, incorpora atualizaes e
contribuies de outros projetos de lei menos abrangentes e altera o Cdigo de
Processo Penal, o Cdigo Penal Militar e a Lei de Interceptao de Comunicaes
Telefnicas.
Dentre todos os dispositivos inclusos no texto, o mais polmico a determinao de
que todo aquele que prover acesso Internet ter de arquivar informaes do
usurio como o nome completo, data de nascimento e endereo residencial, alm
dos dados de endereo eletrnico, identificador de acesso, senha ou similar, data,
hora de incio e trmino, e referncia GMT da conexo. A medida tem sido alvo de
crticas enrgicas entre aqueles que prezam pela privacidade e o anonimato na rede,
sob a alegao de que dados de cunho pessoal no devem ficar em bancos de dados,
expostos a uma possvel devassa judicial, alm do possvel extravio para fins
escusos.
Regras claras
Discusses parte, o que se orienta que as empresas estabeleam regras claras de
acesso e usabilidade, esclarecendo que disponibiliza seus recursos para que sejam
utilizados como ferramenta de trabalho. Essas normas devem fazer parte de uma
Poltica de Segurana da Informao.
- 31 -
- 32 -
- 33 -