Escolar Documentos
Profissional Documentos
Cultura Documentos
P Plan
D Do
C Check
A Act
Índice
1. Introdução............................................................................................................................................6
1.1. Objetivos.........................................................................................................................................6
1.1.1. Objetivos Gerais..........................................................................................................................6
1.1.2. Objetivo específicos.....................................................................................................................6
1.2. Metodologia.....................................................................................................................................7
1.3. Segurança da informação.................................................................................................................8
1.4. Princípios básicos da informação.....................................................................................................9
1.5. Sistemas de computador são tão vulneráveis a destruição, erros e uso indevido..............................9
1.6. Ameaças....................................................................................................................................10
1.6.1. Vírus..........................................................................................................................................13
1.6.2. Worm.........................................................................................................................................13
1.6.3. Trojan........................................................................................................................................13
1.6.4. Hacker.......................................................................................................................................13
1.7. O valor empresarial da segurança e do controle.............................................................................15
1.7.1. A Segurança Empresarial...........................................................................................................15
1.8. Os componentes de uma estrutura organizacional para segurança e controle................................16
1.8.1. Plan............................................................................................................................................19
1.8.2. Do..............................................................................................................................................19
1.8.3. Check.........................................................................................................................................19
1.8.4. Act.............................................................................................................................................19
1.8.5. Gestão da segurança da informação...........................................................................................21
1.8.6. Monitoramento..........................................................................................................................21
1.8.7. Configuração e administração....................................................................................................21
1.8.8. Gestão de identidade..................................................................................................................21
1.9. Ferramentas que permitem a correta identificação de um usuário para lhe conferir acesso de
acordo com seu perfil................................................................................................................................22
1.9.1. Identificação/Autenticação........................................................................................................22
1.9.2. Autorização/Controle de acesso.................................................................................................22
1.9.3. Public Key Infrastructure/Certification Authority......................................................................22
1.9.4. Defesa contra ameaças...............................................................................................................22
1.9.5. Proteção de perímetro................................................................................................................22
1.9.6. Detecção de anomalias e intrusão..............................................................................................22
1.9.7. Proteção contra infecção............................................................................................................23
1.9.8. Identificação de vulnerabilidades...............................................................................................23
1.9.9. Backup/recovery........................................................................................................................23
1.9.10. Criptografia das informações.....................................................................................................24
1.10. As ferramentas e tecnologias mais importantes para salvar e guardar os recursos de informação
25
1.10.1. Tokens.......................................................................................................................................25
1.10.2. Firewall......................................................................................................................................25
1.11. Conclusões.................................................................................................................................27
1.12. Referências Biliográficas...........................................................................................................28
1. Introdução
É sabido que a facilidade na troca de informação tem evoluído de uma maneira muito rápida,
porém essa facilidade na comunicação mundial gera um problema: o acesso indevido a essas
informações e a falta de confiabilidade dos dados.
Em agosto de 2013, o Yahoo teve o maior vazamento de dados da história onde afirma que
dados associados a mais de um bilhão de contas de usuários foram roubados, entre eles, nomes,
endereços de e-mail, números telefônicos, datas de nascimento e senhas criptografadas
(COMPUTERWORLD, 2016).
1.1. Objetivos
1.1.1. Objetivos Gerais
O presente trabalho teve como objetivo descrever segurança em sistema de informação;
1.1.2. Objetivo específicos
Vulnerabilidade dos sistemas e uso indevido;
Valor empresarial de segurança e de controle;
Componente de uma estrutura organizacional para segurança e controle;
As ferramentas e tecnologias mais importantes para salvar e guardar os recursos de
informação;
1.2. Metodologia
Para a realização deste trabalho, será abordada uma pesquisa bibliográfica, constituído
principalmente de livros, artigos de periódicos e atualmente com material disponibilizado na
internet. Deste modo, visa interpretar, compreender e analisar tais dados e ações através de
recursos e técnicas.
Na segunda etapa será realizado um estudo dos principais problemas de ataques humanos e
tecnológicos que afetam a quebra de confidencialidade no ciclo de vida da informação.
A terceira etapa consiste em unificar quais mecanismos de segurança podem ser utilizados
contra os diversos tipos de ataques no ciclo da informação e a busca de ferramentas que podem
ser utilizadas na implementação dos mecanismos de segurança.
Após, será desenvolvida uma estratégia operacional. Segundo COSTA (2009), é baseado em
técnicas produtivas, técnicas de comunicação e sistemas de informação.
Ainda, de acordo com Ximenes (2000), a estratégia é uma arte militar do planejamento e
execução de operações relativas a pessoas e materiais, garantindo posições vantajosas para
alcançar um objetivo específico.
Por estes conceitos, neste estudo, a tática se dá na preparação de um conjunto de diretrizes para
o ciclo da informação da organização. Diretivas estas que levam em conta a quebra de sigilo das
informações, as vulnerabilidades e as normas de segurança garantindo confidencialidade,
integridade, disponibilidade e autenticidade das informações.
A quarta etapa consiste na seleção de uma organização para aplicar a estratégia operacional
analisada e, após, validar e aprimorar as recomendações desenvolvidas da terceira etapa.
E por fim, a última etapa consiste na análise e avaliação dos resultados obtidos com a
implementação realizada na quarta etapa do estudo de caso, a fim de sugerir melhorias nas
recomendações sobre os problemas com a quebra de confidencialidade definidas.
1.3. Segurança da informação
A informação sempre foi de grande relevância para a tomada de decisão da organização. Para
Sêmola (2003), informação pode ser um conjunto de dados usados para troca de mensagens
entre máquinas e pessoas. Ela pode estar presente ou pode ser manuseada por vários elementos
deste processo.
Segundo a norma NBR ISO/IEC 27002 (ABNT, 2013), “a segurança da informação é alcançada
pela implementação de um conjunto adequado de controles, incluindo políticas, processos,
procedimentos, estrutura organizacional e funções de hardware e software”. Ainda assim, esses
controles precisam ser estabelecidos, implementados, monitorados, analisados e melhorados
continuamente, para atender os objetivos do negócio e a segurança da informação da
organização.
Ainda, Galvão (2015), afirma que a segurança da informação tem como objetivo a proteção dos
sistemas contra a alteração e invasão dos dados por pessoas não autorizadas. Ela deve prevenir,
detectar, deter e documentar qualquer ameaça aos seus dados e processamento, haja vista que
uma informação incorreta, ou a falta dela, pode ocasionar grandes perdas que comprometam o
funcionamento da organização e seu retorno (FONTES, 2006).
Entre esses métodos, três deles devem ganhar importância quando se trata de prevenção da
informação: confiabilidade, integridade e disponibilidade.
1.4. Princípios básicos da informação
A tríade conhecida por cia (confidentiality, integrity and availability) representam os princípios
básicos da segurança da informação, demonstrado na figura 1.
De acordo com Fontes (2006), a informação apenas deve ser utilizada e acessada
exclusivamente por quem necessita da informação e por quem tem permissão de acesso e uso
dentro das organizações. Para Galvão (2015), confidencialidade representa a garantia que a
informação estará acessível somente para a pessoa autorizada. Se uma pessoa sem autorização
tem conhecimento, ocorre uma violação de privacidade.
1.6. Ameaças
Ameaças são quaisquer eventos que explorem vulnerabilidades, com potencial de causar
incidentes indesejados, resultando em danos para a organização. As ameaças podem afetar
mais de um ativo, provocando impactos que variam de acordo com o tipo e a importância do
ativo (ABNT NBR ISO/IEC 27005, 2011). As principais ameaças encontradas na literatura
(OLIVEIRA, 2001; ABNT NBR ISO/IEC 27005, 2011; SÊMOLA, 2003; STALLINGS,
2008) são descritas no Quadro 1.
O crime por computador pode acarretar danos tanto pessoais como empresariais. Os danos
pessoais são obtidos no envio de mensagens com conteúdo pejorativo, falso ou pessoal em nome
da pessoa, utilizando somente os dados dos e-mails, na movimentação de contas bancárias com o
intuito de fazer transações, saques ou até mesmo pagamento de contas, na utilização de dados de
cartão de crédito para fazer compras e na divulgação de fotos ou imagens com intenção de causar
danos morais. As empresas também sofrem com estas invasões nos seus dados e informações
confidenciais. Os crimes ocasionam não somente danos financeiros, mas também danos
empresariais, visto que as organizações têm que fazer novamente a manutenção das máquinas
danificadas. Podemos categorizar tais crimes em dois tipos básicos: crimes cometidos utilizando
o computador como ferramenta para cometer a infração e aqueles que o crime é cometido contra
o computador em si, o objeto é danificado ou prejudicado de alguma forma. O crime informático
pode ser utilizado sem autorização dos criadores dos produtos ou marcas.
Phishing, termo oriundo do inglês (fishing) que quer dizer pesca, é uma forma de fraude
eletrônica, caracterizada por tentativas de adquirir dados pessoais de diversos tipos; senhas,
dados financeiros como número de cartões de crédito e outros dados pessoais. O ato consiste em
um fraudador se fazer passar por uma pessoa ou empresa confiável enviando uma comunicação
eletrônica oficial. Isto ocorre de várias maneiras, principalmente por email, mensagem
instantânea, SMS, dentre outros. Como o nome propõe (Phishing), é uma tentativa de um
fraudador tentar "pescar" informações pessoais de usuários desavisados ou inexperientes. O
roubo de identidade se tornou um problema contemporâneo grande. Isso se deve ao descuido de
pessoas ao acessarem a rede, onde compartilham informações pessoas sem maiores
preocupações, não protegerem seu sistema.
Recentes leis e acordos internacionais, como a Sarbanes-Oxley Act e Basiléia II, demonstram a
preocupação dos governos com fraudes e outros problemas relativos à confiabilidade e
disponibilidade de informações, que podem colocar sob suspeita as ações de empresas. Alguns
requisitos dessas leis referem-se nitidamente à segurança da informação, como a disponibilidade
de informações de sistemas de informação (logs), garantia de não-repúdio de transações,
sistemas menos suscetíveis a fraudes, segregação de funções e controle rígido de acesso.
Novas atribuições profissionais surgiram para suprir essa necessidade, como o CISO – Chief
Information Security Officer, CSO – Chief Security Officer, funções normalmente encarregadas
da gestão da segurança de uma corporação e das atividades de enquadramento das companhias às
regulamentações de mercado. O papel desses profissionais tornou-se muito importante à medida
que os sistemas de informação corporativos tornaram-se críticos e que os gestores da empresa
passaram a ter responsabilidade cível sobre a precisão das informações corporativas.
Dessa maneira, nada mais natural que a busca de um padrão único e reconhecido de práticas para
a segurança da informação e sistemas. A normalização e certificação de sistemas de gestão têm
sido freqüentes e usuais como, por exemplo, as Normas de Qualidade (ISO 9001), Meio
Ambiente (ISO 14001), Segurança do Trabalho (OHSAS 18001), entre diversas outras que
atestam a adequação dos processos de uma empresa em relação aos requisitos de uma norma
específica.
Nessa linha, o mercado reconhece a Norma ISO/IEC 17799 como a principal referência de
melhores práticas para a gestão da segurança da informação. Essa norma teve como origem a BS
7799, da BSI – British Standards Institution, padrão britânico de segurança da informação e, ao
contrário de outras normas ISO, como as séries ISO 9000 e ISO 14000, a ISO/IEC 17799 ainda
não tem um guia de certificação. Atualmente, a certificação de segurança da informação somente
é possível pela Norma BS 7799-2:2002.
Quando uma corporação adota a ISO/IEC 17799 como referência, ela adota naturalmente uma
abordagem orientada para processos, que permite maior eficácia na gestão da segurança. Esse
tipo de abordagem concentra-se nos processos que impactam diretamente os resultados do
negócio, e não apenas em soluções tecnológicas que aumentam o nível de segurança. A
corporação passa a avaliar e gerenciar os riscos inerentes a cada processo de negócio, e a
segurança passa a ser incorporada naturalmente na gestão dos processos.
Considerando esse quadro, a Norma ISO/IEC 17799 tem como principal característica descrever
controles preventivos, em sua grande maioria, evitando a ocorrência de incidentes envolvendo as
informações corporativas. Há também controles de monitoramento, visando reduzir o tempo de
exposição ao risco, que permitem detectar, de maneira mais rápida e efetiva, eventuais violações
às regras do Sistema.
Na documentação de um SGSI, existem três níveis de abstração que definem algumas dimensões
da gestão da segurança: políticas, processos e procedimentos. Uma política deve descrever o
entendimento, diretrizes e objetivos da empresa com relação à segurança da informação. Essa
política deve ser simples o suficiente para ser facilmente compreendida por todos os
colaboradores da empresa, e também genérica para que seja aplicável a toda a corporação.
Uma política normalmente é implementada através de processos que descrevem quais atividades
devem ser executadas para que uma tarefa seja cumprida. Podemos citar como exemplo o
processo de cadastramento de um novo usuário: seria necessário criar uma conta de acesso à
rede, criar uma conta de acesso no servidor de correio, permitir o acesso da pessoa nos ambientes
físicos da empresa, cadastrar as permissões de acesso num determinado repositório da empresa e
também os perfis nos aplicativos que tenha que utilizar.
1.8.1. Plan
Estabelecer um Sistema de Gestão de Segurança da Informação
• Atribuir um valor para cada ativo, conhecer suas vulnerabilidades e ameaças e o impacto
associado a cada ameaça.
• Definir, de acordo com as práticas da norma, quais controles devem ser introduzidos para
reduzir o risco existente.
1.8.2. Do
Implementar e operar o Sistema de Gestão da Segurança da Informação
1.8.3. Check
Monitorar e revisar o Sistema de Gestão da Segurança da Informação
• Verificar se, no tratamento dos riscos identificados, os planos delineados foram adequados.
• Verificar se o Sistema está atingindo os objetivos esperados.
1.8.4. Act
Manter e melhorar o Sistema de Gestão da Segurança da Informação
A Norma ISO/IEC 17799 pode ser aplicada em qualquer processo ou âmbito de uma empresa. A
situa-ção ideal é iniciar a implantação de um Sistema de Gestão da Segurança da Informação
num âmbito reduzido e, com o amadurecer do sistema, expandir sua abrangência para outras
áreas.
A tendência é que a Norma ISO/IEC 17799 tenha rápida expansão, no médio prazo, e que venha
a se tornar uma exigência comum para a contratação de serviços ou até mesmo para a análise do
risco financeiro de uma companhia. Até o final de 2005, mais de 1800 companhias deverão
receber seus certificados e outras dezenas de milhares já estarão trabalhando conforme os
preceitos dessa norma.
Uma nova revisão da ISO/IEC 17799 está em andamento, devendo incluir os requisitos para a
certificação e tendo sua numeração alterada para ISO/IEC 27001. Uma vez que a certificação é
feita somente pela norma britânica BS 7799-2:2002, a disponibilização de uma versão ISO
certamente irá estimular as empresas a certificarem seus sistemas de gestão da segurança da
informação.
Espera-se que essa nova versão não tenha mudanças significativas em relação à versão atual da
norma (ISO/IEC 17799:2005). A transferência dos certificados já emitidos, segundo os critérios
da BS 7799-2:2002, será gradual.
1.8.6. Monitoramento
Realizam a análise e correlação de eventos originados em diversos sistemas através de uma
plataforma única, e permitem a análise forense de incidentes, oferecendo um painel de bordo às
equipes de segurança.
1.9.1. Identificação/Autenticação
Permitem identificar unicamente um usuário e verificar a autenticidade da sua identidade através
de mecanismos variados, como, por exemplo, senhas pré-definidas, certificados digitais,
biometria ou dispositivos portáteis (tokens, smart cards).
1.9.9. Backup/recovery
Permitem o backup, de forma automatizada, de informações contidas em estações de trabalho e
servidores. Além disso, possuem funcionalidades de recuperação e restauração de informações
perdidas em caso de incidentes.
Em meio à crescente sofisticação das soluções de segurança, algumas tendências vêm ganhando
destaque e devem marcar os próximos passos do desenvolvimento de novas ferramentas. A
primeira delas é a utilização de ferramentas que congregam diversas funcionalidades de
segurança em um elemento único, os elementos de segurança multifuncionais. A segunda
tendência é a integração da segurança nos elementos de rede. Por último, podemos ressaltar
também a crescente importância de ferramentas de gestão da segurança.
Sistemas de computação tolerantes a falhas são sistemas de computador que continuam a operar
em um nível reduzido, porém aceitável, depois de uma falha do sistema. Computação de alta
disponibilidade é todo o tipo de soluções redundantes de equipamento informático e serviços, no
sentido de manter o funcionamento contínuo desses sistemas e, consequentemente, da empresa.
Plano de recuperação de desastres são estratégias para restaurar os serviços de computação e
comunicação após eles terem sofrido uma interrupção. Plano de continuidade dos negócios é a
análise de cada área da empresa e aponta os locais mais vulneráveis.
As empresas podem utilizar métricas ou testes de software. Métricas são premissas objetivas do
sistema na forma de medidas quantificadas. Os testes em suma, são identificadores de erros, de
forma que estes sejam corrigidos o que contribui para a consistência do software.
1.11. Conclusões
A informação tornou-se imprescindível dentro das organizações. Os controles que antes eram
realizados manualmente, foram automatizados e sistematizados. Com essa evolução tecnológica
as empresas ficaram dependentes da tecnologia, necessitam proteger suas informações pois elas
se tornaram principal ativo dentro das organizações.
O presente trabalho teve por objetivo analisar os principais tipos de ataques, ameaças,
mecanismos de segurança e ferramentas relacionadas com a quebra de confidencialidade.
Primeiro foi necessário realizar um estudo sobre conceitos de segurança de informação, ciclo de
vida, ameaças, mecanismos e ferramentas de segurança da informação encontradas na literatura.
No decorrer do estudo foi necessário aplicar um questionário aos envolvidos da empresa para
entender a percepção sobre segurança da informação. Neste levantamento ficou visível que a
empresa tem conhecimento e preocupação em relação as informações geridas diariamente,
porém utiliza poucas ferramentas e mecanismos na proteção. Após, uma análise de risco foi
realizada, onde verificou-se que 16% das ameaças estudadas estavam diretamente ligadas aos
ativos humanos. Dentre as origens avaliadas, 22% delas foi constatado que acontece de forma
intencional.