Mdulo 1 - Introduo Segurana da Informao

Mercado britnico contabiliza perdas com ao de vrus * Muitas empresas sofrem ameaas constantes em seus ativos, o que poderia representar milhares ou milhes de dlares de prejuzo. As vulnerabilidades em nossos sistemas de informao podem representar problemas graves, por isso muito importante compreender os conceitos necessrios para combat-los e para nos defendermos de possveis ataques as nossas informaes. Por exemplo, recentemente foi publicada uma notcia* sobre um vrus desenvolvido para lanar ataques em massa e a forma de se prevenir contra ele a fim de evitar conseqncias indesejadas. Trata-se de um vrus do tipo worm que se propaga com os nomes LoveSan, Blaster ou MSBlaster e se aproveita de uma falha na segurana do Windows 2000 e do Windows XP, mais especificamente no software que permite compartilhar arquivos com outras mquinas. Sua finalidade reunir computadores para realizar um ataque hacker contra um site da Microsoft. O vrus Blaster no tem muito em comum com as pragas informticas tradicionais: no se propaga pelos meios habituais, apenas circula pela Internet em busca de mquinas nas quais possa realizar seu ataque. Esse um exemplo claro de como uma vulnerabilidade do Windows pode ser aproveitada pelo Blaster. Essa vulnerabilidade, denominada RPC DCOM, consiste em um desdobramento do buffer na interface RPC e foi qualificada como "crtica" pela prpria Microsoft. Ela afeta as verses NT 4.0, 2000, XP e Windows Server 2003. Em linhas gerais, trata-se de um problema de segurana que permitiria controlar todos os computadores de forma remota. Por isso e, com o objetivo de evitar possveis ataques, aconselha-se, tanto aos administradores e aos responsveis da rea de informtica quanto aos usurios particulares, a instalao imediata dos patches fornecidos pela Microsoft para corrigir essa vulnerabilidade. Eles podem ser baixados em http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp onde tambm podem ser encontradas informaes detalhadas sobre o

problema. Fonte:
http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2215&pagecounter=0&idiom=0

Esse um exemplo claro de como uma vulnerabilidade do Windows pode ser aproveitada pelo Blaster. Essa vulnerabilidade, denominada RPC DCOM, consiste em um desdobramento do buffer na interface RPC e foi qualificada como "crtica" pela prpria Microsoft. Ela afeta as verses NT 4.0, 2000, XP e Windows Server 2003.

Podemos representar a implantao de um sistema de segurana da informao na empresa como a escalada de uma grande montanha, na qual, pouco a pouco, iremos subindo e alcanando novos nveis de maturidade em termos de conceitos, anlise, implementao e administrao da segurana dentro das empresas. Contedo da unidade:

Conceitos bsicos; Ativos; Ameaas e pontos fracos; Riscos, medidas e ciclo de segurana;

Objetivos

Com o objetivo de proteger os ativos da empresa o aluno deve: Conhecer as diferentes categorias de ativos; Dominar os conceitos de integridade, confidencialidade e disponibilidade da informao; Interpretar a classificao proposta das possveis ameaas encontradas nos diferentes processos da empresa; Compreender o conceito de vulnerabilidades, permitindo sua identificao e eliminao dentro do contexto empresarial; Conhecer o conceito de risco e sua implicao no ciclo de segurana das informaes da empresa; Compreender os conceitos bsicos de anlise de riscos e poltica de segurana, dois pontos muito importantes para definir as aes em matria de segurana aplicveis no contexto empresarial.

Captulo 1 - Conceitos bsicos

1.1 Introduo Nesta primeira etapa da escalada, voc conhecer os conceitos bsicos da segurana da informao. Depois de entender cada conceito, voc receber uma nova ferramenta para ajudar a montar sua barraca e, assim, poder continuar a escalada da montanha, avanando at os prximos captulos para compreender de forma aprofundada como se implementa a segurana da informao. Nesta etapa, voc ainda no possui essas ferramentas, por isso vai comear a escalada com um acampamento bsico. Esse acampamento ilustra a situao em que se encontram as empresas na etapa inicial da implementao da segurana: baixo controle do ambiente, alto ndice de risco, processo de segurana pessoal e intuitiva, entre outros. Ento vamos conhecer os principais conceitos da segurana da informao e entender por que ela necessria para o sucesso dos negcios nos dias de hoje.

1.2 Objetivos

Compreender os conceitos bsicos de segurana da informao para ter uma melhor idia de suas implicaes; Entender a importncia que a informao possu nos negcios atualmente para que possamos proteg-la de forma mais eficiente; Conhecer quais elementos precisam ser protegidos para se oferecer segurana para as informaes da empresa.

1.3 Conceitos bsicos da segurana da informao Depois de se familiarizar com as ameaas e pontos frgeis do ambiente, adquiridos na anlise de riscos ou depois da definio formal das intenes e atitudes da organizao que esto definidas na poltica de segurana da informao, devemos tomar algumas medidas para a implementao das aes de segurana recomendadas ou estabelecidas.

Desde o surgimento da raa humana na Terra, a informao esteve presente sendo representada atravs de diferentes formas e tcnicas. O homem buscava o registro de seus hbitos, costumes e intenes atravs de diversos meios que pudessem ser utilizados e compreendidos por ele e por outras pessoas. Alm disso, havia tambm a necessidade de se armazenar e transportar estas informaes de um lugar para outro. As informaes importantes eram registradas em objetos valiosos e sofisticados usando pinturas magnficas, entre outros mtodos, que eram armazenados com muito cuidado em locais de difcil acesso, e sua forma e contedo ficavam restritos aqueles que tivessem conhecimento para interpretlos.

Atualmente, as informaes constituem um dos objetos de maior valor para as empresas. O progresso da informtica e das redes de comunicao nos apresenta um novo cenrio, no qual os objetos e dados do mundo real podem ser representados por bits e bytes, que ocupam lugar em outra dimenso e possuem formas diferentes das originais, sem deixar de ter o mesmo valor que os objetos reais e, em muitos casos, tendo um valor maior. Em um cenrio mais recente, a economia mundial evoluiu de um modelo industrial para um modelo baseado em conhecimento. Por isso, as informaes, isto , o conhecimento das empresas, passam a ser um de seus maiores diferenciais competitivos em relao as outras empresas.

Por esses e outros motivos que a segurana da informao um assunto to importante para todos, pois afeta diretamente todos os negcios de uma organizao ou de um indivduo. Apesar de muitas vezes possuir um foco empresarial, a segurana da informao tambm muito importante para a esfera governamental e o chamado terceiro setor, que inclui as organizaes nogovernamentais.

A segurana da informao tem como propsito proteger os chamados ativos de informao, no importando onde eles estejam armazenados ou representados: impressos em papel, armazenados em discos rgidos de computadores ou at mesmo na memria das pessoas que os conhecem. Entendemos por ativos de informao todas as peas de informao que uma empresa possu, como arquivos e sistemas, que possuam valor, demandando necessidades em termos de proteo.

Os objetos reais ou tangveis (como coisas de valor fsico - jias, pinturas, dinheiro, etc.) esto protegidos por tcnicas que os isolam atrs de grades ou dentro de caixas fortes, sob a mira de cmeras e seguranas. Mas e as informaes encontradas dentro de servidores de arquivos, que transitam pelas redes de comunicao ou que so lidas na tela de um computador? O que fazer para proteglas, j que no possvel usar as mesmas tcnicas de proteo de objetos reais?

Para responder essas perguntas, convidamos voc a continuar estudando e acompanhando este curso, onde conheceremos com detalhes os princpios que nos permitem proteger as informaes. Por enquanto, neste captulo, encerraremos dizendo que

 uma das preocupaes da segurana da informao proteger os elementos que fazem parte da comunicao. Assim, para comear, necessrio identificar os elementos que a segurana da informao tenta proteger:

As informaes; Os equipamentos que as suportam; As pessoas que fazem uso delas.

Para reforar o ltimo elemento importante ressaltar que todos os funcionrios da empresa devem ter conscincia de como lidar com as informaes de forma segura, j que de nada serve o melhor sistema de segurana, por mais sofisticado e completo que seja, se os funcionrios, por exemplo, facilitam o acesso ou fornecem seu nome de usurio e senha a pessoas estranhas empresa. Desta forma, deixam aberta a porta para possveis ataques ou vazamento de informaes importantes.

1.4 Lies aprendidas

Aprendemos ao longo deste captulo os conceitos gerais que configuram a segurana da informao; Compreendemos a importncia atual que tem para a empresa proteger as informaes que permitem a realizao de seus negcios; Conhecemos o que deve ser protegido em um sistema de segurana de informao: as informaes, os equipamentos que as suportam e as pessoas que as utilizam.