Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurana da Informao est relacionada com proteo de um conjunto de dados, no sentido de preservar o valor que possuem para um indivduo ou uma organizao. So caractersticas bsicas da segurana da informao os atributos de confidencialidade, integridade e disponibilidade, no estando esta segurana restrita somente a sistemas computacionais, informaes eletrnicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteo de informaes e dados. O conceito de Segurana Informtica ou Segurana de Computadores est intimamente relacionado com o de Segurana da Informao, incluindo no apenas a segurana dos dados/informao, mas tambm a dos sistemas em si. Atualmente o conceito de Segurana da Informao est padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padro ingls (British Standard) BS 7799. A srie de normas ISO/IEC 27000 foram reservadas para tratar de padres de Segurana da Informao, incluindo a complementao ao trabalho original do padro ingls. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins histricos.
ndice
[esconder]
1 Conceitos de segurana 2 Mecanismos de segurana 3 Ameaas segurana 4 Nvel de segurana o 4.1 Segurana fsica o 4.2 Segurana lgica 5 Polticas de segurana o 5.1 Polticas de Senhas 6 Ligaes externas
dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que tm o objetivo de furtar, destruir ou modificar tal informao. A trade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibilidade -- representa os principais atributos que, atualmente, orientam a anlise, o planejamento e a implementao da segurana para um determinado grupo de informaes que se deseja proteger. Outros atributos importantes so a irretratabilidade e a autenticidade. Com o evoluir do comrcio electrnico e da sociedade da informao, a privacidade tambm uma grande preocupao. Os atributos bsicos (segundo os padres internacionais) so os seguintes:
Confidencialidade - propriedade que limita o acesso a informao to somente s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao. Integridade - propriedade que garante que a informao manipulada mantenha todas as caractersticas originais estabelecidas pelo proprietrio da informao, incluindo controle de mudanas e garantia do seu ciclo de vida (nascimento,manuteno e destruio). Disponibilidade - propriedade que garante que a informao esteja sempre disponvel para o uso legtimo, ou seja, por aqueles usurios autorizados pelo proprietrio da informao.
O nvel de segurana desejado, pode se consubstanciar em uma "poltica de segurana" que seguida pela organizao ou pessoa, para garantir que uma vez estabelecidos os princpios, aquele nvel desejado seja perseguido e mantido. Para a montagem desta poltica, deve-se levar em conta:
Controles fsicos: so barreiras que limitam o contato ou acesso direto a informao ou a infra-estrutura (que garante a existncia da informao) que a suporta.
Existem mecanismos de segurana que apiam os controles fsicos: Portas / trancas / paredes / blindagem / guardas / etc ..
Controles lgicos: so barreiras que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado.
Mecanismos de criptografia. Permitem a transformao reversvel da informao de forma a torn-la ininteligvel a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados no criptografados, produzir uma sequncia de dados criptografados. A operao inversa a decifrao. Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual so funo, garantindo a integridade do documento associado, mas no a sua confidencialidade. Mecanismos de garantia da integridade da informao. Usando funes de "Hashing" ou de checagem, consistindo na adio. Mecanismos de controle de acesso. Palavras-chave, sistemas biomtricos, firewalls, cartes inteligentes. Mecanismos de certificao. Atesta a validade de um documento. Integridade. Medida em que um servio/informao genuno, isto , est protegido contra a personificao por intrusos. Honeypot: o nome dado a um software, cuja funo detectar ou de impedir a ao de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema. Protocolos seguros: uso de protocolos que garantem um grau de segurana e usam alguns dos mecanismos citados aqui
Existe hoje em dia um elevado nmero de ferramentas e sistemas que pretendem fornecer segurana. Alguns exemplos so os detectores de intruses, os anti-vrus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de cdigo, etc.
Perda de Confidencialidade: seria quando h uma quebra de sigilo de uma determinada informao (ex: a senha de um usurio ou administrador de sistema) permitindo com que sejam expostas informaes restritas as quais seriam acessveis apenas por um determinado grupo de usurios. Perda de Integridade: aconteceria quando uma determinada informao fica exposta a manuseio por uma pessoa no autorizada, que efetua alteraes que no foram aprovadas e no esto sob o controle do proprietrio (corporativo ou privado) da informao. Perda de Disponibilidade: acontece quando a informao deixa de estar acessvel por quem necessita dela. Seria o caso da perda de comunicao com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicao crtica de negcio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ao no autorizada de pessoas com ou sem m inteno.
No caso de ameaas rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, muitas vezes conhecidos como crackers, (hackers no so agentes maliciosos, pois tentam ajudar a encontrar possiveis falhas). Estas pessoas so motivadas para fazer esta ilegalidade por vrios motivos. Os principais so: notoriedade,
auto-estima, vingana e o dinheiro. De acordo com pesquisa elaborada pelo Computer Security Institute ([1]), mais de 70% dos ataques partem de usurios legtimos de sistemas de informao (Insiders) -- o que motiva corporaes a investir largamente em controles de segurana para seus ambientes corporativos (intranet).
Standards Institution) e a NBR ISO/IEC 17799 (a verso brasileira desta primeira). A ISO comeou a publicar a srie de normas 27000, em substituio ISO 17799 (e por conseguinte BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005. Existem duas filosofias por trs de qualquer poltica de segurana: a proibitiva (tudo que no expressamente permitido proibido) e a permissiva (tudo que no proibido permitido). Os elementos da poltica de segurana devem ser considerados:
A Disponibilidade: o sistema deve estar disponvel de forma que quando o usurio necessitar, possa usar. Dados crticos devem estar disponveis ininterruptamente. A Utilizao: o sistema deve ser utilizado apenas para os determinados objetivos. A Integridade: o sistema deve estar sempre ntegro e em condies de ser usado. A Autenticidade: o sistema deve ter condies de verificar a identidade dos usurios, e este ter condies de analisar a identidade do sistema. A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.
Senha com data para expirao Adota-se um padro definido onde a senha possui prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usurio a renovar sua senha.
Inibir a repetio Adota-se atravs de regras predefinidas que uma senha uma vez utilizada no poder ter mais que 60% dos caracteres repetidos, p. ex: senha anterior 123senha nova senha deve ter 60% dos caracteres diferentes como 456seuse, neste caso foram repetidos somente os caracteres s e os demais diferentes.
Define-se obrigatoriedade de 4 caracteres alfabticos e 4 caracteres numricos, por exemplo: 1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numricos e os 4 subseqentes alfabticos por exemplo: 1432seuz.
Criar um conjunto possveis senhas que no podem ser utilizadas Monta-se uma base de dados com formatos conhecidos de senhas e probir o seu uso, como por exemplo o usurio chama-se Jose da Silva, logo sua senha no deve conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4 etc.