Você está na página 1de 36

Associação Nacional das

Empresas de Segurança
CURSO DE ESPECIALIZAÇÃO EM DIREÇÂO DE SEGURANÇA

Manual d e
Segurança da
Informação
CONTEÚDOS

Por
João Magalhães Mateus
Índice
UNIDADE DIDÁCTICA 1: REQUISITOS DE SEGURANÇA ............................................................. 2
INTRODUÇÃO ............................................................................................................................................ 2
Objectivos da segurança...................................................................................................................... 3
Vertentes e Princípios da Segurança ................................................................................................... 4
Requisitos de Segurança ...................................................................................................................... 7
UNIDADE DIDÁCTICA 2: MÉTODOS DE ATAQUE ......................................................................... 9
INTRODUÇÃO ............................................................................................................................................ 9
SEGURANÇA DE SISTEMAS INFORMÁTICOS ............................................................................................. 10
Defesa contra Catástrofes ................................................................................................................. 10
Defesa contra Faltas/Falhas previsíveis ........................................................................................... 10
Defesa contra Actividades não Autorizadas ...................................................................................... 10
ATAQUES TÍPICOS ................................................................................................................................... 11
Malware ............................................................................................................................................. 11
Vírus de computador.......................................................................................................................... 11
Cavalos de Tróia (Trojan Horse) ...................................................................................................... 12
Negação de Serviço (Denial of Service - DoS) .................................................................................. 12
Phishing ............................................................................................................................................. 13
Key logger.......................................................................................................................................... 13
Spoofing ............................................................................................................................................. 14
Session Hijacking............................................................................................................................... 15
Password Attacks ............................................................................................................................... 15
UNIDADE DIDÁCTICA 3: INFRAESTRUTURA DE CHAVE PÚBLICA (PKI) ............................ 17
CRIPTOGRAFIA ........................................................................................................................................ 17
CRIPTOGRAFIA SIMÉTRICA E ASSIMÉTRICA ............................................................................................ 17
CHAVE PÚBLICA ..................................................................................................................................... 18
CHAVE PRIVADA ..................................................................................................................................... 18
INFRAESTRUTURA DE CHAVE PÚBLICA ................................................................................................... 19
Assinatura Electrónica ...................................................................................................................... 19
Certificado Digital ............................................................................................................................. 20
Entidade Certificadora ...................................................................................................................... 21
Autoridade Credenciadora ................................................................................................................ 21
Validação cronológica....................................................................................................................... 21
UNIDADE DIDÁCTICA 4. NORMAS E LEGISLAÇÃO APLICÁVEL ........................................... 22
NORMA ISO 27001 ................................................................................................................................. 23
Controlos com implicações legais ..................................................................................................... 24
Controlos de Boas Práticas ............................................................................................................... 24
Gestão de Activos .............................................................................................................................. 25
Gestão de operações e comunicações................................................................................................ 25
Gestão de Incidentes de Segurança ................................................................................................... 26
Riscos de Segurança .......................................................................................................................... 26
Valor de um activo ............................................................................................................................. 26
Ameaças ............................................................................................................................................. 27
Vulnerabilidades ................................................................................................................................ 27
Controlos ........................................................................................................................................... 27
LEGISLAÇÃO APLICÁVEL ........................................................................................................................ 28
UNIDADE DIDÁCTICA 5. POLÍTICA DE SEGURANÇA ................................................................ 29
Finalidade das políticas de segurança .............................................................................................. 29
Características Principais da Política de Segurança ........................................................................ 30
Como escrever uma política de segurança ........................................................................................ 30
Factores de sucesso de uma política de segurança ........................................................................... 31
Problemas identificados das políticas de segurança ......................................................................... 31
Sugestões para directrizes de segurança ........................................................................................... 32
Considerações Finais acerca da política de segurança .................................................................... 34
REFERÊNCIAS BIBLIOGRÁFICAS.................................................................................................... 35
Segurança da Informação

Unidade didáctica 1: Requisitos de segurança

Introdução

A generalidade das organizações são fortemente dependentes dos seus sistemas


informáticos para gerir as suas actividades e suportar a tomada de decisão. Esta realidade,
juntamente com a evolução da utilização da Internet e divulgação das tecnologias de
informação, levou ao aparecimento de novos tipos de ameaças, sendo necessário prevenir
o seu desencadeamento ou minimizar o seu impacto, no caso de ocorrerem. É fundamental
que as organizações criem mecanismos que protejam os seus sistemas e processos de
negócio.

É necessário encarar de forma integrada a segurança dos sistemas de informação das


organizações. A segurança, mais do que um simples produto ou tecnologia que se pode
adquirir e implementar, é um processo contínuo e global, com implicações em todas as
áreas empresariais. É um processo em permanente evolução, mutação e transformação,
que requer um esforço constante para o seu sucesso e uma forte capacidade para provocar
e gerir mudanças, tanto nos hábitos instituídos como na infra-estrutura de suporte da
organização.

Nas organizações, a informação é um dos activos mais importantes, suportando todos os


seus processos de negócio com fins lucrativos ou não, devendo garantir permanentemente
a continuidade do negócio, sem alteração de algumas das propriedades fundamentais da
informação: confidencialidade, integridade e disponibilidade.

Os Sistemas de Informação ao procurar satisfazer as necessidades de informação dos


processos de negócio, são um dos factores determinantes para a competitividade das
organizações, constituindo uma ferramenta que estimula a sua produtividade,
imprescindível ao processo de tomada de decisão aos vários níveis de gestão.

No entanto as organizações actualmente integradas numa sociedade em rede através da


Internet, devem preparar-se para novas ameaças dirigidas aos seus Sistemas de
Informação organizacionais, independentemente do tipo de organização, da dimensão, da

João Magalhães Mateus 2


Segurança da Informação

natureza (pública ou privada) e dos recursos de tecnologias de informação e comunicação


existentes.

Objectivos da segurança

O objectivo da segurança da informação é assegurar a continuidade da actividade ou


negócio das Organizações e minimizar os prejuízos prevenindo e reduzindo a
possibilidade de ocorrerem acidentes. Como matéria transversal que é, a segurança deve
envolver todos os níveis da organização e ser encarada como um facilitador dos processos
e como forma de aumentar os níveis de confiança e qualidade internos e externos. É este
o grande argumento sobre o qual qualquer organização poderá capitalizar o seu
investimento nesta área. Ao implementar este programa, estará a transmitir uma imagem
de preocupação nesta matéria, cada vez mais importante e com maior visibilidade,
conseguindo simultaneamente gerir o risco a que se encontra sujeita. O programa de
segurança serve, deste modo, vários objectivos:

 a criação de uma base de protecção e confiança sobre a qual é desenvolvida uma


actividade;

 um sinal claro e inequívoco de que a organização tem preocupações fundamentais


com a integridade e preservação dos seus activos (quer sejam processos, produtos,
informação ou outros);

 a afirmação pública de dedicação de um cuidado particular aos interesses de


parceiros, clientes ou fornecedores.

A segurança deve ser encarada como uma opção estratégica e não apenas tecnológica. A
tecnologia serve para um objectivo, não sendo nunca um fim em si mesma.

A criação de um programa de segurança requer tempo e perseverança para atingir


compromissos e gerir o nível percebido pelos diversos clientes, dos internos aos externos.

João Magalhães Mateus 3


Segurança da Informação

Vertentes e Princípios da Segurança

A segurança da informação engloba um número elevado de disciplinas que poderão estar


sob a alçada de um ou vários indivíduos. Entre estas disciplinas encontram-se as
seguintes:

 segurança de redes;

 segurança física;

 segurança de computadores;

 segurança do pessoal;

 segurança aplicacional;

 criptografia;

A preservação da confidencialidade, integridade e disponibilidade da informação


utilizada nos sistemas de informação requer medidas de segurança, que por vezes são
também utilizadas como forma de garantir a autenticidade e o não repúdio.

Todas estas medidas, independentemente do seu objectivo, necessitam ser implementadas


antes da concretização do risco, ou seja, antes do incidente ocorrer. As medidas de
segurança podem ser classificadas, em função da maneira como abordam as ameaças, em
duas grandes categorias: prevenção e protecção.

A prevenção é o conjunto das medidas que visam reduzir a probabilidade de concretização


das ameaças existentes. O efeito destas medidas extingue-se quando uma ameaça se
transforma num incidente.

A protecção, por seu lado, é o conjunto das medidas que visam dotar os sistemas de
informação com capacidade de inspecção, detecção, reacção e reflexo, permitindo reduzir
e limitar o impacto das ameaças quando estas se concretizam. Naturalmente, estas
medidas só actuam quando ocorre um incidente.

Exemplo: a vasta maioria das empresas implementa algumas actividades de prevenção


contra incêndio, tais como a proibição de fumar em locais de risco (por exemplo, locais
onde são armazenadas matérias inflamáveis) e actividades de protecção, tais como a
disponibilização de extintores, para o caso de se iniciar um incêndio.

João Magalhães Mateus 4


Segurança da Informação

Um programa de segurança bem estruturado deverá reduzir as vulnerabilidades dos


sistemas de informação e fazer evoluir as suas capacidades de inspecção, detecção,
reacção e reflexo, assentando num conjunto universal de princípios que garanta o seu
equilíbrio e eficiência.

Os princípios da segurança são, então, os seguintes:

 relação custo/benefício;

 concentração;

 protecção em profundidade;

 consistência do plano;

 redundância.

Procuraremos em seguida descrever estes princípios.

Relação Custo/Benefício

A relação custo/benefício traduz a necessidade de garantir uma relação favorável entre os


gastos associados à implementação de medidas de segurança e o retorno em matéria de
prevenção e protecção.

Embora assente no senso comum, este princípio é frequentemente esquecido, sendo


normalmente considerados apenas os custos ou os benefícios isoladamente.

Concentração

Este princípio defende a concentração dos bens a proteger em função da sua sensibilidade.

Tem como objectivo melhorar a eficiência da gestão das medidas de protecção, reduzindo
as duplicações necessárias quando se tem de proteger diferentes repositórios de
informação sensível com requisitos de protecção idênticos.

A observância deste princípio implica a classificação da informação quanto à sua


sensibilidade, tópico esse que será detalhado em “Segurança da Informação”, no capítulo
“Áreas da Segurança Empresarial”.

João Magalhães Mateus 5


Segurança da Informação

Protecção em Profundidade

A protecção em profundidade requer que os bens, e respectivas medidas de protecção,


sejam dispostos de forma (física e/ou lógica) concêntrica, com os bens mais sensíveis no
centro e os menos sensíveis no perímetro. Deste modo, a protecção é concebida sob a
forma de anéis concêntricos, que constituem barreiras sucessivas, gradualmente mais
difíceis de transpor, à medida que o grau de sensibilidade da informação aumenta.

A aplicação deste princípio evita a existência de um conjunto de medidas de protecção


distintas e avulsas, transformando-as numa sequência de obstáculos somados, adaptados
aos fins a que se destinam. Na segurança física, por exemplo, as áreas contendo
informação sensível não deverão, consequentemente, estar fisicamente expostas pela
presença de portas e janelas com abertura directa para a rua.

Consistência

O princípio da consistência afirma que as medidas de protecção dos bens com grau de
sensibilidade equivalente deverão ser, também, equivalentes, ou seja, a protecção deverá
ser homogénea face à sensibilidade dos bens protegidos.

A sua aplicação implica um grau de protecção idêntico em todos os acessos,


independentemente da sua natureza (o acesso físico ou o acesso lógico) ou grau de
utilização, o que significa, por exemplo, que deverá ser evitada a situação clássica do
porteiro e câmaras na porta da frente e apenas uma fechadura, destrancada, na porta das
traseiras.

Redundância

O princípio da redundância dita a necessidade de empregar mais de uma forma de


protecção para o mesmo fim, de modo a impedir que a protecção de um bem seja
comprometida por uma única falha (ponto único de falha).

Exemplos típicos da sua aplicação são a utilização de clusters, de firewalls redundantes,


ou a utilização de medidas de controlo de acesso físico distintas, tais como a presença de
um porteiro junto a uma porta com fechadura.

São estes os princípios que o responsável pela segurança deverá dominar e articular na
definição e implementação do Programa de Segurança. Quanto mais íntimo for o seu
conhecimento das características, implicações e interacção entre eles, maior será a
eficácia e melhores os resultados dos esforços desenvolvidos.
João Magalhães Mateus 6
Segurança da Informação

Requisitos de Segurança

A segurança da informação tem as suas raízes na disciplina da segurança dos sistemas


informáticos. Com a evolução verificada ao longo da última década no domínio dos
sistemas de computação pessoal, bem como dos sistemas distribuídos e ambientes de
"networking", a segurança da informação passou a estar fortemente interligada com a
segurança das redes informáticas e de informação.

A segurança da informação engloba um conjunto variado de dimensões, que abrangem


inclusive os aspectos de infra-estrutura física no acesso aos sistemas informáticos e de
informação. São normalmente consideradas como características da segurança da
informação a garantia ou "confiança" dos 5 seguintes aspectos ou propriedades nos
processos de transacção ou comunicação electrónica:

 Autenticidade: A garantia de que a identidade é válida de todos os intervenientes


num processo de comunicação electrónica, ou de acesso a um sistema electrónico.
Ou seja, de que é "autêntica" a identidade de um utilizador de determinado sistema
ou rede electrónica.

 Integridade: A garantia de que um documento electrónico ou sistema electrónico


não sofre ou sofreu alterações durante um processo de comunicação electrónica
ou no acesso a esse mesmo objecto ou documento. Ou seja, que determinado
documento electrónico ou informação mantém a sua "integridade" não sofrendo
alterações.

 Confidencialidade: A garantia de que uma transacção ou comunicação


electrónica é confidencial, ou seja não sofre do problema de acesso não autorizado
a essa mesma transacção por parte de terceiros que não são autorizados para tal.
Sendo uma informação ou documento considerado como "confidencial" o seu
conteúdo só poderá ser acedido por entidade autorizadas para tal.

 Privacidade: A garantia de que a informação ou conteúdos de um dado


documento ou as características de um processo ou transacção electrónicas são
preservados como "privados" para quem tenha autorização para o seu acesso. Não
é assim violado o aspecto "privado" da posse ou possibilidade de acesso de
determinada informação.

João Magalhães Mateus 7


Segurança da Informação

 Não Repúdio: A garantia de que numa dada comunicação ou transacção


electrónica, as partes envolvidas estejam dotadas dos meios que lhes permitam
"não negar" a efectiva realização de tal transacção ou processo. Ou seja, quaisquer
partes envolvidas não repudiam o facto de que em data e tempo específicos,
ocorreu o acesso a determinada informação ou a comunicação ou transacção
electrónica de determinado documento.

João Magalhães Mateus 8


Segurança da Informação

Unidade didáctica 2: Métodos de ataque

Introdução

Actualmente muitas pessoas possuem computadores pessoais ou redes domésticas ligados


de forma intermitente ou permanente à Internet. Pequenas e médias empresas investem
igualmente na ligação das suas redes à Internet, tanto para fornecerem uma interacção
mais rica e actual com os seus clientes, como para dinamizarem o seu processo de
negócio.

Frequentemente os utentes e administradores das máquinas ou redes ligadas à Internet


pouco sabem objectivamente acerca dos riscos de segurança a que estão expostos.

Por outro lado existem ameaças aos sistemas de informação e redes de dados das
organizações perpetrados por criminososos (hackers ou crackers na gíria informática) que
têm motivações de vária ordem:

 Aceder a recursos que supostamente privados ou restritos;

 Demonstrar habilidades técnicas para depois ganhar notariedade;

 Desejo de fama, de estatuto, vingança, motivações políticas e outras.

Os seus objectivos passam sempre por obter previlégios máximos sobre um sistema para
assim o poder controlar. Para isso os atacantes exploram vulnerabilidades nos sistemas,
falhas de configuração, erros humanos e outras possíveis portas de entrada para a sua
acção. Por outro lado como as ferramentas de que os atacantes se servem estão muitas
delas livremente disponíveis na Internet, temos um perfil de atacante que vai do
adolescente que quer entrar no sistema de informação da sua escola para alterar a sua
nota, até aos criminosos mais sofisticados capazes de penetrar nos sistemas de defesa
militar, recursos energéticos e banca só para citar alguns.

João Magalhães Mateus 9


Segurança da Informação

Segurança de Sistemas Informáticos

A Segurança de Sistemas Informáticos engloba:

 Defesa contra Catástrofes

 Defesa contra Faltas/falhas previsíveis

 Defesa contra Actividades não autorizadas

Defesa contra Catástrofes

 Catástrofes ambientais: tremor de terra, incêndios, inundações, queda de raios,


tempestades magnéticas e outras.

 Catástrofes políticas: ataques terroristas, motins, etc.

 Catástrofes materiais: degradação irreparável de equipamentos computacionais,


como discos magnéticos, perda/roubo de equipamentos, etc.

Defesa contra Faltas/Falhas previsíveis

 Quebras no funcionamento de energia eléctrica ou falha na fonte de alimentação


de um equipamento computacional.

 Bloqueio na execução de aplicações ou sistemas operativos.

 Falhas temporárias de conectividade em troços de rede.

Defesa contra Actividades não Autorizadas

 Acesso a informação.

 Alteração de informação.

 Utilização exagerada ou abusiva de recursos computacionais.

 Impedimento de prestação de serviço (Denial of Service - DOS).

 Vandalismo.

João Magalhães Mateus 10


Segurança da Informação

Ataques típicos

Malware

É um programa informático (Malware = malicious software) destinado a instalar-se num


sistema informático alheio de forma ilícita, com o intuito de causar algum dano ou roubo
de informações (confidenciais ou não).

Como exemplos de malware temos os vírus de computador, os Vermes (Worms), os


Cavalos de Tróia (Trojan Horses), Spyware entre outros.

Também pode ser considerada malware uma aplicação legal que por uma falha de
programação (intencional ou não) execute funções que se enquadrem na definição supra
citada.

Vírus de computador

Um vírus de computador é um programa malicioso desenvolvido por programadores


informáticos que, tal como um vírus biológico, infecta o sistema computacional e tem a
capacidade de se replicar, isto é de fazer cópias de si mesmo. O vírus tem um
comportamento autónomo, sem a intervenção humana tentando espalhar-se para outros
computadores, utilizando diversos meios.

A maioria das contaminações ocorre pela acção do utilizador executando o ficheiro


infectado recebido como um anexo de um e-mail (por exemplo). A segunda causa de
contaminação é por Sistema Operativo desactualizado, sem correcções de segurança, que
poderiam corrigir vulnerabilidades conhecidas dos sistemas operativos ou aplicações, que
poderiam causar a recepção e execução do vírus inadvertidamente.

Ainda existem alguns tipos de vírus que permanecem ocultos em determinadas horas,
entrando em execução a horas específicas.

Assim um vírus de computador é que um programa ou instrução de máquina que visa


prejudicar o próprio utilizador ou terceiros.

João Magalhães Mateus 11


Segurança da Informação

Cavalos de Tróia (Trojan Horse)

Certos vírus trazem consigo código que permite a um estranho aceder ao computador
infectado ou recolher dados e enviá-los pela Internet para um desconhecido, sem notificar
o utilizador.

Estes códigos são denominados de Trojans ou cavalos de Tróia. Inicialmente, os cavalos


de Tróia permitiam que o computador infectado pudesse receber comandos externos, sem
o conhecimento do utilizador. Desta forma o invasor poderia ler, copiar, apagar e alterar
dados do sistema. Actualmente os cavalos de Tróia procuram roubar dados confidenciais
do utilizador, como senhas de acesso bancárias.

Os vírus eram no passado, os maiores responsáveis pela instalação dos cavalos de Tróia,
como parte de sua acção, pois eles não têm a capacidade de se replicar. Actualmente, os
cavalos de Tróia não chegam exclusivamente transportados por vírus, agora são
instalados quando o utilizador descarrega um ficheiro de origem duvidosa da Internet e o
executa.

Negação de Serviço (Denial of Service - DoS)

Um ataque de negação de serviço (também conhecido como DoS, um acrónimo em inglês


para Denial of Service), é uma tentativa de tornar os recursos de um sistema indisponíveis
para os seus utilizadores.

Os alvos típicos são servidores de páginas, e o ataque tenta tornar as páginas hospedadas
indisponíveis na WWW.

Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga.

Os ataques de negação de serviço são feitos geralmente de duas formas:

 Forçar o sistema vítima a reinicializar ou a consumir todos os recursos (como


memória ou processamento, por exemplo) de forma que ele não possa fornecer,
normalmente, o seu serviço.

 Obstruir o meio de comunicação entre os utilizadores e o sistema vítima de forma


a não conseguirem comunicar adequadamente.

João Magalhães Mateus 12


Segurança da Informação

O ataque de negação de serviço pode assumir uma forma massiva e distribuída por vários
computadores atacantes (sem saber que o são). Um ataque distribuído de negação de
serviço (também conhecido como DDoS, um acrónimo em inglês para Distributed Denial
of Service) consiste em enviar múltiplos pedidos de acesso ao site-alvo por parte de
múltiplos computadores que foram comprometidos, até que este não consiga dar resposta
e o acesso fique impossibilitado.

Neste caso, as tarefas de ataque de negação de serviço são distribuídas a milhares de


computadores comprometidos na sua segurança. O ataque consiste em fazer com que
esses computadores (denominados zombies - máquinas infectadas e sob um comando
unificado) se preparem para aceder a um determinado recurso num determinado servidor
num mesmo momento. Como os servidores de internet possuem um número limitado de
utilizadores que podem atender simultaneamente, o grande e repentino número de
requisições de acesso esgota esse número, fazendo com que o servidor não seja capaz de
atender a mais nenhum pedido. Dependendo do recurso atacado, o servidor pode chegar
a reiniciar ou até mesmo ficar bloqueado.

Phishing

Este termo deriva da sua palavra homófona fishing (com a mesma pronúncia, mas escrita
de modo diferente) que literalmente significa pescar. De facto, o atacante tenta “pescar”
informações confidenciais dos utilizadores como por exemplo a sua senha de acesso
bancária. Recentemente, alguns clientes da Caixa Geral de Depósitos, o maior banco
português, foram alvo de ataques de phishing em que os atacantes (que faziam passar-se
por funcionários do banco) solicitavam a actualização dos seus dados incluindo o
preenchimento dos códigos do cartão matriz que possibilita o livre acesso às contas. Na
prática do Phishing surgem artimanhas cada vezmais sofisticadas para roubar
informações sigilosas dos utilizadores.

Key logger

Key logger (que significa registador do teclado em inglês) é um programa de computador


do tipo spyware cuja finalidade é monitorar tudo o que a vítima digita, com o fim de
descobrir as suas senhas de acesso do banco, números de cartão de crédito e outros.

João Magalhães Mateus 13


Segurança da Informação

Muitos casos de phishing, assim como outros tipos de fraudes virtuais, baseiam-se no uso
de algum tipo de keylogger, instalado no computador sem o conhecimento da vítima, que
captura dados sensíveis e os envia para um hacker que depois os utiliza para fraudes.

Existem programas de computador apropriados para se defender deste tipo de ameaça. É


sempre oportuno que um computador ligado à internet seja protegido através de um
software "AntiSpyware“, de uma "Firewall" e de um "AntiVirus".

Para evitar a contaminação por keyloggers é fundamental usar um bom Antivírus e um


bom AntiSpyware e uma boa Firewall, ambos actualizados e residentes em memória
(protecção em tempo real).

Spoofing

É uma técnica de mascaramento em que o atacante usa a identificação de outro, fazendo-


se passar por essa pessoa ou dispositivo. No contexto das redes de computadores, o IP
spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar
(spoof) pacotes IP (o tráfego da Internet) utilizando endereços de remetentes falsificados.

Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com


base numa premissa muito simples: o pacote deverá ser encaminhado para o destinatário
(endereço-destino) e não há verificação do remetente — não há validação do endereço IP
nem relação deste com o router anterior (que encaminhou o pacote).

Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação


simples do cabeçalho IP. Desta forma, vários computadores podem enviar pacotes
fazendo-se passar por um determinado endereço de origem, o que representa uma séria
ameaça para os sistemas baseados em autenticação pelo endereço IP.

Esta técnica, utilizada com outras de mais alto nível, aproveita-se, sobretudo, da noção de
confiabilidade que existe dentro das organizações: supostamente não se deveria temer
uma máquina de dentro da empresa, se ela é da empresa.

Por outro lado, um utilizador torna-se também confiável quando se sabe de antemão que
estabeleceu uma ligação com determinado serviço. Esse utilizador torna-se interessante,
do ponto de vista do atacante, se ele possuir (e estiver a usar) direitos privilegiados no
momento do ataque.

João Magalhães Mateus 14


Segurança da Informação

Session Hijacking

O Termo “Session Hijacking” refere-se à exploração de uma sessão válida de um


computador – por vezes também chamada Session Key ou ID – para conseguir acesso
não-autorizado a informações ou serviços de um sistema de computador. O termo
particular é usado para se referir ao roubo do Magic Cookie, utilizado para autenticar um
utilizador num servidor remoto.

Isto é particularmente relevante para os programadores Web, já que os HTTP Cookies


usados para manter uma sessão em diversos sites Web podem facilmente ser roubados
por um atacante utilizando um computador que esteja no meio da comunicação ou então
acedendo aos cookies guardados no computador da vítima.

Se um atacante estiver habilitado a roubar este cookie, ele pode fazer requisições como
se fosse o utilizador legítimo, ganhando o acesso a informações privilegiadas ou até
modificar dados. Se o cookie for um Cookie Persistente, o roubo de identidade pode-se
estender por um tempo muito longo.

O ataque por Session Hijacking não é limitado para a Internet. Em qualquer rede usando
um protocolo cujo o estado é mantido através de uma chave que é verificada através de
dois computadores é vulnerável, especialmente se não for cifrada.

Password Attacks

Existem diversas razões que levam as pessoas a roubar as passwords, desde simplesmente
aborrecer alguém até a prática de actividades ilícitas.

As pessoas ainda precisam gerar e manter as suas próprias passwords e, para facilitar a
tarefa, lançam mão de um sem-número de expedientes inseguros. De post-its reveladores
a palavras fáceis de descobrir, as passwords de um sistema são um pesadelo constante
para os administradores. Os Trojans facilitam o roubo de passwords.

Os atacantes podem tentar descobrir as passwords pelo método da força bruta, que
consiste em enviar automáticamente tentativas de acesso experimentando de cada vez
uma senha diferente até conseguir acesso. É também comum o uso de dicionários com
João Magalhães Mateus 15
Segurança da Informação

passwords típicas como por exemplo 123456, sporting, benfica, e tentar as palavras no
dicionário em primeiro lugar. Vários sítios já possuem mecanismos de defesa em relação
a esses ataques, como por exemplo o serviço de mail da gmail que à terceira tentativa e
erro, obriga a uma autenticação que implica uma descodificação de caracteres escritos
numa imagem que, em princípio, só um humano consegue decifrar. Isto porque este tipo
de ataques é lançado de forma automática por computadores que quando confrontados
com o reconhecimento de caracteres estranhos, não o conseguem fazer, abortando assim
o ataque. Outra variante é o ataque por injecção de código SQL (standard query language)
no acesso a sítios. Neste ataque em vez do nome de utilizador, o atacante introduz uma
instrução SQL tentando aceder directamente à base de dados de validação da password
(onde estão guardados os nomes de utilizador e as correspondentes senhas de acesso) e
tentando assim obter acesso.

Um conselho útil tanto para administradores de sistemas de informação, como para


utilizadores comuns é escolher passwords fortes, isto é que não venham em nenhum
dicionário, e que combinem letras minúsculas e maiúsculas com números e caracteres não
alfa numéricos para tornar mais difícil a sua quebra por procedimentos manuais ou
automáticos.

João Magalhães Mateus 16


Segurança da Informação

Unidade didáctica 3: Infraestrutura de Chave


Pública (PKI)

Criptografia

A criptografia consiste em tornar um texto legível num conjunto de caracteres ilegível.


Para ser possível ler este conjunto de caracteres aparentemente ilegível há que usar uma
regra ou chave que transforma o legível em ilegível. Por exemplo se tivermos o texto
“Bom dia” e a chave de encriptação (a regra) for avançar um dígito a frase encriptada
ficaria “Cpn ejb” e só quem souber a chave é que pode descodificar o que foi escrito. Na
realidade este é um exemplo muito simples e qualquer pessoa com um pouco de paciência
consegue descobrir a chave de encriptação. Com as regras usadas hoje em dia é muito
difícial a um ser humano tentar descobrir as regras de encriptação e por isso o uso de
computadores com elevado poder de cálculo é usado nesta tarefa. A palavra “criptografia”
etimologicamente significa escrita escondida (do Grego kryptós, "escondido", e gráphein,
"escrita") e consiste no estudo dos princípios e técnicas pelas quais a informação pode ser
transformada da sua forma original para outra ilegível, de forma que possa ser conhecida
apenas pelo seu destinatário. Para descodificar uma mensagem criptografada o
destinatário deverá possuir a regra ou chave de descodificação. No exemplo acima a
chave de descodificação seria substituir uma letra pela sua antecessora no alfabeto
português. O objectivo da criptografia é tornar difícil determinada mensagem ser lida por
alguém não autorizado. Como a representação da informação em computadores se
processa em bits (“0” e “1”), o processo de criptografia é feito por sistemas de regras
denominados algoritmos que fazem a mistura e combinação dos bits dessa informação a
partir de uma determinada chave ou par de chaves, dependendo do sistema criptográfico
escolhido.

Criptografia Simétrica e Assimétrica

Designa-se por criptografia simétrica um sistema convencional criptográfico, geralmente


referido como Sistema de Chave Simétrica, criptografia de chave única, ou criptografia
de chave secreta. A criptografia simétrica baseia-se numa única chave, usada por ambos
interlocutores, e na premissa de que esta é conhecida apenas por eles. Este sistema é tanto

João Magalhães Mateus 17


Segurança da Informação

ou mais seguro quanto o for a própria chave e o meio em que ela foi dada a conhecer a
ambos interlocutores. É comum a chave estar guardada num local seguro.

Por sua vez designa-se por criptografia assimétrica a criptografia de chave pública e é um
método de criptografia que utiliza um par de chaves: uma chave pública e uma chave
privada. A chave pública é distribuída livremente para todos os correspondentes via e-
mail ou outras formas, enquanto a chave privada deve ser conhecida apenas pelo seu
dono.

Num algoritmo de criptografia assimétrica, uma mensagem criptografada com a chave


pública pode somente ser descriptografada pela sua chave privada correspondente. Do
mesmo modo, uma mensagem criptografada com a chave privada pode somente ser
descriptografada pela sua chave pública correspondente.

Os algoritmos de chave pública podem ser utilizados para autenticidade e


confidencialidade. Para confidencialidade, a chave pública é usada para criptografar
mensagens. Apenas o dono da chave privada pode descriptografar a mensagem. Para
autenticidade, a chave privada é usada para criptografar mensagens. Neste caso garante-
se que apenas o dono da chave privada poderia ter criptografado a mensagem que foi
descriptografada com a chave pública.

Chave Pública

Considera-se como "chave pública", no contexto das tecnologias de criptografia


assimétrica o elemento do par de chaves assimétricas destinado a ser divulgado, com o
qual se verifica a assinatura digital aposta no documento electrónico pelo titular do par
de chaves assimétricas, ou se cifra um documento electrónico a transmitir ao titular do
mesmo par de chaves.

Chave privada

Considera-se como "Chave privada", no contexto das tecnologias de criptografia


assimétrica o elemento do par de chaves assimétricas destinado a ser conhecido apenas
pelo seu titular, mediante o qual se apõe a assinatura digital no documento electrónico,
ou se decifra um documento electrónico previamente cifrado com a correspondente chave
pública.

João Magalhães Mateus 18


Segurança da Informação

Infraestrutura de Chave Pública

A Infraestrutura de Chave Pública, muito conhecida apenas por PKI (de Public Key
Infrastructure) é um sistema (uma infraestrutura) formado por componentes de natureza
legislativa ou jurídica, de infra-estrutura física e de equipamentos tecnológicos, bem
como de normas, regulamentos e procedimentos que definem políticas e práticas de
certificação, para garantia da segurança da informação. A peculiaridade das denominadas
"infra-estruturas de chaves públicas" em relação a outros sistemas de segurança, é o facto
de estarem suportadas na utilização de tecnologia de criptografia assimétrica de "chave
pública" em contraposição com a tecnologia de criptografia simétrica.

A partilha de "chaves públicas" e "chaves privadas" entre as várias entidades no sistema


de certificação cria a necessária "confiança" para garantia da segurança das transacções
electrónicas entre as pessoas e entidades que utilizam determinada PKI.

Existem vários modelos de organização das entidades certificadoras que compõem uma
dada "Infraestrutura de Chave Pública", que vão desde modelos estatais de PKI, até
modelos hierárquicos ou ainda de certificação cruzada. A escolha de um dado modelo de
organização deve obedecer a critérios de optimização para a realidade do sistema de
segurança que se pretende implementar.

Assinatura Electrónica

Segundo o Decreto-Lei n.º 88/2009, de 9 de Abril, considera-se como um "documento


electrónico" um documento elaborado mediante processamento electrónico de dados.
Considera-se ainda como "Endereço electrónico" a identificação de um equipamento
informático adequado para receber e arquivar documentos electrónicos.

Por sua vez considera-se como uma "assinatura electrónica" o resultado de um


processamento electrónico de dados susceptível de constituir objecto de direito individual
e exclusivo e de ser utilizado para dar a conhecer a autoria de um documento electrónico
ao qual seja aposta, de modo que:

1. Identifique de forma unívoca o titular como autor do documento;

2. A sua aposição ao documento dependa apenas da vontade do titular;

João Magalhães Mateus 19


Segurança da Informação

3. A sua conexão com o documento permita detectar toda e qualquer alteração


superveniente do conteúdo deste;

Uma assinatura digital é um método de autenticação de informação digital análoga à


assinatura física em papel. Embora existam analogias, também existem diferenças que
podem ser importantes. O termo assinatura electrónica, por vezes confundido, tem um
significado diferente: refere-se a qualquer mecanismo, não necessariamente criptográfico,
para identificar o remetente de uma mensagem electrónica.

Considera-se ainda como "assinatura digital" o processo de assinatura electrónica baseado


em sistema criptográfico assimétrico composto de um algoritmo ou série de algoritmos,
mediante o qual é gerado um par de chaves assimétricas exclusivas e interdependentes,
uma das quais privada e outra pública, e que permite ao titular usar a chave privada para
declarar a autoria do documento electrónico ao qual a assinatura é aposta e concordância
com o seu conteúdo, e ao declaratário usar a chave pública para verificar se a assinatura
foi criada mediante o uso da correspondente chave privada e se o documento electrónico
foi alterado depois de aposta a assinatura.

A utilização da assinatura digital providencia a prova inegável de que uma mensagem


veio do emissor. Para verificar este requisito, uma assinatura digital deve ter as seguintes
propriedades:

 autenticação - o receptor deve poder confirmar a assinatura do emissor;

 integridade - a assinatura não pode ser falsificável;

 não repúdio - o emissor não pode negar a sua autenticidade;

Certificado Digital

Considera-se como um "Certificado de assinatura" um documento electrónico


autenticado com assinatura digital e que certifique a titularidade de uma chave pública e
o prazo de validade da mesma chave.

Um "certificado digital qualificado" é um certificado digital tal como definido acima, ao


qual é aposta uma assinatura electrónica qualificada, ou seja uma assinatura electrónica
emitida por uma entidade certificadora credenciada.

João Magalhães Mateus 20


Segurança da Informação

Entidade Certificadora

Considera-se como "entidade certificadora" uma entidade ou pessoa singular ou colectiva


credenciada que cria ou fornece meios para a criação das chaves, emite os certificados de
assinatura, assegura a respectiva publicidade e presta outros serviços relativos a
assinaturas digitais.

Autoridade Credenciadora

Segundo o Decreto-Lei n.º 88/2009, de 9 de Abril, considera-se como Autoridade


credenciadora a entidade competente para a credenciação e fiscalização das entidades
certificadoras a prestarem serviços de certificação electrónica.

É considerado como "Credenciação" o acto pelo qual é reconhecido a uma entidade que
o solicite e que exerça actividade de entidade certificadora o preenchimento de um
conjunto de requisitos tais como:

Validação cronológica

Considera-se como "validação cronológica" a declaração de uma entidade certificadora


que atesta a data e hora da criação, expedição ou recepção de um documento electrónico.

João Magalhães Mateus 21


Segurança da Informação

Unidade didáctica 4. Normas e Legislação


Aplicável
Em termos de normas as referências fundamentais são os requisitos para Sistema de
Gestão de Segurança da Informação (SGSI) - (ISO 27001:2013) e o Código de Boas
Práticas para Gestão da Segurança da Informação ISO 27002:2013.

A Organização Internacional de Normalização (em inglês: ISO - International


Organization for Standardization), conhecida abreviadamente por ISO é uma entidade
responsável por aprovar normas internacionais em todos os campos técnicos e para o caso
de sistemas de informação estas normas são codificadas na família 27000.

Na figura abaixo podemos ver um breve resumo das normas 27000.

Figura 1. Normas da Família 27000

João Magalhães Mateus 22


Segurança da Informação

Norma ISO 27001

A norma ISO 27001 especifica os requisitos para estabelecer, implementar, manter e


melhorar continuamente um sistema de gestão de segurança da informação no contexto
da organização. Esta norma também inclui requisitos para a avaliação e tratamento de
riscos de segurança da informação à medida das necessidades da organização. Os
requisitos estabelecidos nesta norma são genéricos e generalizáveis a todas as
organizações, independentemente do tipo, tamanho ou natureza.

Informação é um activo que, como outros importantes activos de negócio, tem valor para
a organização e consequentemente necessita de ser adequadamente protegida.

A informação pode existir em diversas formas. Pode ser impressa ou escrita em papel,
guardada electronicamente, transmitida por correio ou utilizando meios electrónicos,
mostrada em filme, ou transmitida em conversações. Qualquer que seja a forma que a
informação possua, o meio na qual é partilhada ou guardada, deverá sempre ser
apropriadamente protegida.

Exemplos de conjuntos de informação num Sistema de Gestão de Segurança da


Informação:

 Interna – Informações que não gostaria que a sua concorrência possuísse

 Clientes – Informações que os clientes não desejam que sejam divulgadas

 Parceiros –Informações que são necessárias partilhar com parceiros de negócio

Neste âmbito é importante ter em consideração a informação do sítio do Programa de


Segurança Económica (www.pse.com.pt).

A norma ISO 27001:2013 é uma atualização da norma ISO 27001:2005. A nova versão
enfatiza a monitorização e avaliação do nível de desempenho do sistema de gestão de
segurança de informação (SGSI), existindo uma nova seção sobre as atividades
asseguradas por terceiros (“outsourcing”), o que vem dar resposta ao fato de que muitas
organizações externalizarem atividades do seu sistema de gestão. Na nova versão é dada
mais atenção ao contexto organizacional da segurança da informação, e foi alterada a
avaliação de risco.

João Magalhães Mateus 23


Segurança da Informação

Esta nova versão da norma 27001 surge para dar respostas a novas tendências
computacionais, como por exemplo, a “nuvem” (Cloud Computing) que consiste em que
as empresas deixem de ter que possuir os seus servidores para alojar a sua informação,
passando esta a residir em servidores próprios ou de terceiros e disponível através de um
acesso seguro na internet (daí o termo “nuvem”).

Esta norma identifica também 8 controlos como “princípios guia que possibilitam um
bom começo para a implementação da segurança da informação. Estes são baseados ou
em requisitos legais considerados essenciais ou em boas práticas comuns para a protecção
da informação”.

Controlos com implicações legais

 Direitos de Propriedade Intelectual;

 Salvaguarda de Registos da Organização;

 Protecção de Dados e Privacidade de Dados.

Controlos de Boas Práticas

 Documento da Política de Segurança da Informação. “Um documento de política


deve ser aprovado pela gestão, publicado e comunicado, apropriadamente, a todos
os colaboradores”;

 Atribuição de responsabilidades em matéria de Segurança da Informação;

 Formação, sensibilização e treino em Segurança da Informação;

 Procedimento para registo de incidentes de segurança;

 Modelo para gestão para a continuidade de negócio;

João Magalhães Mateus 24


Segurança da Informação

Gestão de Activos

Tem por objectivo alcançar e manter a protecção adequada dos activos da organização.

– Responsabilidade pelos activos

– Classificação da Informação

Consideram-se activos face à ISO 27001 aqueles que são relevantes para o âmbito do
sistema de gestão de segurança da informação

Um activo é algo ao qual a organização atribui valor, por exemplo:

 Activos de Informação lógica

 Documentos em papel

 Activos de software

 Activos físicos

 Pessoas

 Imagem e reputação da Organização

 Serviços

No entanto, para a norma ISO 27001, como activos não se incluem necessariamente todos
os bens que habitualmente se consideram como tendo valor para a organização. A
organização tem que determinar quais os activos que podem materialmente afectar a
entrega de seus produtos e/ou serviços, em caso de ausência ou degradação.

Gestão de operações e comunicações

Tem por objectivo garantir a operação segura e correcta dos recursos de processamento
de informação

 Procedimentos e responsabilidades operacionais

 Gestão de serviços por entidades terceiras

João Magalhães Mateus 25


Segurança da Informação

 Planeamento e aceitação de sistemas

 Protecção contra código malicioso e código móvel

 Cópias de segurança

 Gestão da segurança de redes

 Manuseamento de suportes amovíveis com dados

 Troca de informação

 Serviços de comércio electrónico

 Monitorização

Gestão de Incidentes de Segurança

 Relato de eventos e fragilidades de segurança da informação

 Gestão de incidentes e melhorias de segurança da informação

Riscos de Segurança

Um risco de segurança é o potencial que uma ameaça específica tem em explorar


vulnerabilidades a fim de causar dano num activo ou grupo de activos.

A norma ISO 27001 requer que seja definida uma metodologia para avaliação dos riscos
e que seja executada essa tarefa para identificar as ameaças dos activos.

Valor de um activo

A organização tem que demonstrar que identificou os activos de informação a


salvaguardar. Terá de incluir o método utilizado para o assegurar de que os activos
definidos são os apropriados para o sistema de gestão de segurança da informação
proposto e que a lista destes está completa.

João Magalhães Mateus 26


Segurança da Informação

Uma vez que o âmbito se encontra declarado, as funções e processos intrínsecos ou


relacionados com este, podem ser definidos, em conjunto com os seus inter-
relacionamentos

O valor de um activo será estabelecido em termos de impacto para a organização, seus


fornecedores, parceiros, clientes e outras partes interessadas, em caso de quebra de
segurança que afectem a sua confidencialidade, integridade ou disponibilidade.

O valor de um activo deve ser estabelecido de acordo com a sua relevância no contexto
da sua utilização/existência.

Ameaças

Uma ameaça tem o potencial de causar um incidente indesejado que pode resultar em
problemas para um sistema ou para uma organização e seus activos.

Vulnerabilidades

Uma vulnerabilidade por si não causa malefícios. É meramente uma condição, ou


conjunto de condições, que possibilita a concretização de uma ameaça num activo.

Controlos

Os controlos têm de ser seleccionados com base no resultado de uma análise de risco.
Como resultado da análise de risco, deve ficar claro quais os controlos que constituem a
base, quais são obrigatórios e quais são considerados opcionais. Os controlos
seleccionados deverão reflectir em a estratégia de gestão de risco da organização.

A norma ISO 27001 expressa que nem todos os controlos serão relevantes para qualquer
situação ou organização. Deste modo as organizações têm que interpretar a norma para
atingir dos seus próprios objectivos. A adequação para o objectivo é um dos dilemas do
auditor de segurança.

João Magalhães Mateus 27


Segurança da Informação

Legislação Aplicável

Em Angola existe a Lei de Combate à Criminalidade no Domínio das Tecnologias de


Informação e Comunicação e dos Serviços da Sociedade da Informação, que dá os seus
primeiros passos na sua aplicação. Esta lei dá poderes às forças de segurança para
procurar e confiscar os dados sem uma ordem judicial e cria penas de até 12 anos de
prisão para qualquer crime cometido usando um computador. A lei serve também para
prevenir conflitos em Angola que sejam coordenados pelas redes sociais.

Em Portugal,toda a matéria que versa criminalidade informática é da competência


exclusiva da Polícia Judiciária (Lei Orgânica da Polícia Judiciária e Lei n.º 48/2008 de
27 de Agosto Artigo 7º).

A Lei n.º 53/2008 de 29 de Agosto aprova a Lei de Segurança Interna. No Artigo 17 esta
Lei atribui ao secretário-geral do Sistema de Segurança Interna (SG-SSI) “poderes de
organização e gestão administrativa, logística e operacional dos serviços, sistemas, meios
tecnológicos e outros recursos comuns das forças e dos serviços de segurança (FSS).”

As forças e serviços de segurança de Portugal têm o seu exercicio regulamentado de


acordo com a Constituição da República Portuguesa e com as Leis Orgânicas internas
(LOGNR - Lei n.º 63/2007 de 06Nov, LOPSP Lei n.º 53/2007, LOPJ - Lei n.º 37/2008,
de 06Ago) e com a Lei de Organização da Investigação Criminal (LOIC – Lei n.º 49/2008
de 27Ago).

Cada FSS possui um conjunto de competências genericas e exclusivas que se encontram


vertidas na sua Lei Orgânica. Assim é da competência genérica a GNR e a PSP receberem
as queixas sobre qualquer tipo de crime e iniciar procediementos cautelares de
identificação e preservação de locais/meios de prova, no entanto é da competência
exclusiva da PJ toda a matéria que versa criminalidade informática.

A Lei mais específica sobre a Criminalidade Informática é a Lei n.º 109/2009 de 15Set.
Esta lei estabelece as disposições penais materiais e processuais, bem como as
disposições relativas à cooperação internacional em matéria penal, relativas ao domínio
do cibercrime e da recolha de prova em suporte electrónico.

João Magalhães Mateus 28


Segurança da Informação

Unidade didáctica 5. Política de segurança

Todas as organizações deverão possuir uma política de segurança da informação. Para


implementar política de segurança, é necessária a análise de 3 factores:

 O que proteger: Quais os recursos/informação mais crítica para a organização,


com graus de protecção diferenciados.

 De que proteger: é necessário descobrir quais os tipos de acção que podem


comprometer a seguranças das informações ou do sistema da organização (por
exemplo, actividades de hacking buscam falhas de configuração e
vulnerabilidades nas redes alvo). Segurança deve também proteger a rede e
sistemas de ameaças internas.

 Como proteger: que processos, meios, técnicas e sistemas a organização possui de


modo a salvaguardar a disponibilidade, a confidencialidade e a autenticidade da
sua informação.

Segundo a ISO/IEC 27001:2013 é necessário entender os requisitos de segurança da


informação de uma organização e a necessidade de estabelecer políticas de segurança da
informação. Estas servirão para proporcionar uma orientação e apoio de gestão para a
segurança da informação de acordo com os requisitos de negócio e com as leis e
regulamentos aplicáveis.

A política de segurança deve responder:

 Quem pode aceder

 A que recursos

 De que modo

Finalidade das políticas de segurança

I. Identificar a informação e activos sensíveis.

II. Garantir as propriedades da segurança.

III. Clarificar as responsabilidades.

João Magalhães Mateus 29


Segurança da Informação

IV. Estabelecer prioridades de implementação.

V. Promover a cultura / percepção da segurança.

VI. Servir de guia aos novos colaboradores.

Características Principais da Política de Segurança

I. Documento de alto nível, que indica os objectivos e as restrições de utilização do


sistema.

II. Comunicada a todos os colaboradores.

III. Curta extensão, que indica o que fazer e não o como fazer.

IV. Escrita de forma clara, precisa, com termos que não mudem frequentemente e que
deve ser entendida por todos.

V. Elevado nível de abstracção, de modo a poder crescer e adaptar-se facilmente.

VI. A necessidade do seu realismo e independência face à tecnologia.

Como escrever uma política de segurança

1. Propósito da Politica.

2. Responsabilidades atribuídas.

3. Âmbito da política

4. Directivas de segurança a observar e requisitos a satisfazer.

5. Sanções a aplicar.

6. Referências a documentos complementares.

7. Procedimentos para a comunicação de incidentes.

8. Procedimento de monitorização e revisão.

João Magalhães Mateus 30


Segurança da Informação

9. Data em que deve ser revista.

10.Definições de terminologia e conceitos fundamentais.

11.Excepções ao estipulado pela política.

12.Identificação do autor da política.

13.Identificação do responsável que autorizou a política.

14.Identificação do responsável por fazer cumprir.

15.Data da aprovação da política.

16.Identificação da entidade a contactar em caso de dúvida.

17. Limitações da responsabilidade institucional.

Factores de sucesso de uma política de segurança

I. Apoio dos gestores na elaboração e adopção.

II. Proceder a revisões periódicas.

III. Comunicar e disseminar a política.

IV. Integração com os objectivos, processos e cultura da organização.

V. Garantir que é realista.

Problemas identificados das políticas de segurança

I. Interpretação incorrecta das políticas.

II. Implementação deficiente.

III. Rápida desactualização.

IV. Dificuldade em manter a coerência e o alinhamento.

V. Não utilização após a formulação.


João Magalhães Mateus 31
Segurança da Informação

Sugestões para directrizes de segurança

1. Basear as decisões de segurança na política de segurança.

 Declaração de alto nível

 Define “o que” em vez do “como”

 Reflectida nos requisitos do sistema

2. Evitar um Único Ponto de Falha

 Não resultar na falha geral do sistema

 Usar vários controlos de segurança

 “Defesa em profundidade”

3. Falhar de Maneira Protegida

 Falhas são inevitáveis

 Procedimentos de contingência seguros

 Evitar acesso a dados “classificados”

4. Equilibrar Segurança e Facilidade de Utilização

 São muitas vezes contraditórias

 Mais controlos, menos facilidade no uso

 Encontrar o ponto de equilíbrio

5. Estar ciente das possibilidades da Engenharia Social

 Difícil “de combater”

João Magalhães Mateus 32


Segurança da Informação

 Iludir os utilizadores

 Aproveitar a boa vontade em ajudar

6. Usar redundância e diversidade para reduzir riscos

 Mais que uma versão no sistema

 Usar diferentes plataformas ou tecnologias

 Evitar a falha total do sistema

7. Compartimentar os activos

 Não permitir acesso a todo o sistema

 Conter o efeito de um ataque

 Improvável toda a informação afectada

8. Projectar para ter capacidade de recuperação

 Prever que uma falha pode ocorrer

 Recuperar o sistema

 Restaurar para estado “operacional”

9. Validar todas as Entradas

 Evitar entradas inesperadas

 Atenção ao uso de código malicioso

 Causam comportamento imprevisto

10. Projectar para implementação

 Compreender e definir o ambiente operacional do software

João Magalhães Mateus 33


Segurança da Informação

 Configurar o software no ambiente operacional

 Instalar o software nos computadores nos quais funcionará

 Configurar o software com detalhe no computador

11. Projectar para implementação

 Incluir apoio para visualização e análise de configurações

 Minimizar privilégios default

 Facilidade de localizar parâmetros de configuração

 Garantir maneiras simples para reparar vulnerabilidade

Considerações Finais acerca da política de segurança

I. Escrever uma politica de segurança é o meio principal meio para explicar a sua
necessidade.

II. A política de segurança fornece as linhas orientadoras.

III. A política de segurança é um meio de coordenação.

IV. A política de segurança promove a cultura/percepção.

V. A política de segurança garante o cumprimento de leis e regulamentos.

João Magalhães Mateus 34


Segurança da Informação

Referências Bibliográficas

ALBERTS, Christopher e DOROFEE, Audrey (2001). OCTAVE – Method


Implementation Guide Version 2.0, Carnegie Mellon, Software Engineering Institute,
United States of America.

DULANEY, E (2011). CompTia Security + (Study Guide), SYBEX.

ISO / IEC: 27001 (2013). Information technology - Security techniques - Information


Security Management Systems - Requirements.

ISO / IEC: 27002 (2013). Information technology - Security techniques - Code of practice
for information security controls.

KUROSE, James e ROSS, Keith (2008). Computer Networking, Addison Wesley, 4th
Edition.

LAUDON, Kenneth C. e LAUDON, Jane P. (2012). Management Information Systems,


Prentice Halll, 12ª ed, United States of America.

MARTINS, José Carlos L. (2008). Framework de Segurança para um Sistema de


Informação, Tese de Mestrado, Escola de Engenharia,Universidade do Minho.

PFLEEGER, C. P. and PFLEEGER, S. L (2007). Security in Computing, Prentice Hall


Professional Techinical Reference, 4th ed, United States of America.

TIPTON, F. Harold and KRAUSE, Micki (2004). Information Security Management


Handbook. 5th Edition, Averbach, United States of America.

João Magalhães Mateus 35