A Segurana da Informao

Facilitador: Prof. Esp. Elton Marinho Disciplinas: Sistemas de Informao e Tecnologia da Informao e Comunicao Fafich - 2010

Inicialmente lembremos que a Informao compreende qualquer contedo que possa ser armazenado ou transferido de algum modo, servindo a determinado propsito e sendo de utilidade ao ser humano. Trata-se de tudo aquilo que permite a aquisio de conhecimento. Nesse sentido, a informao digital um dos principais, seno o mais importante, produto da era atual. Ela pode ser manipulada e visualizada de diversas maneiras. Assim, medida que a informao digital circula pelos mais variados ambientes, percorrendo diversos fluxos de trabalho, ela pode ser armazenada para os mais variados fins, possibilitando ela ser lida, modificada ou at mesmo apagada.

Do que trata...

Desde a insero do computador, na dcada de 40, como dispositivo auxiliar nas mais variadas atividades, at os dias atuais, temos observado uma evoluo nos modelos computacionais e tecnologias usadas para manipular, armazenar e apresentar informaes.

Mas como controlar?

o controle de acesso s informaes um requisito fundamental nos sistemas atuais. Vale ressaltar que, atualmente, a grande maioria das informaes disponveis nas organizaes encontra-se armazenadas e so trocadas entre os mais variados sistemas automatizados. Dessa forma, inmeras vezes decises e aes tomadas decorrem das informaes manipuladas por esses sistemas. Dentro deste contexto, toda e qualquer informao deve ser correta, precisa e estar disponvel, a fim de ser armazenada, recuperada, manipulada ou processada, alm de poder ser trocada de forma segura e confivel. oportuno salientar que, nos dias atuais, a informao constitui uma mercadoria, ou at mesmo uma commodity, de suma importncia para as organizaes dos diversos segmentos. Por esta razo, segurana da informao tem sido uma questo de elevada prioridade nas organizaes.

Mas o que esta Segurana compreende?

Segurana da informao compreende um conjunto de medidas que visam proteger e preservar informaes e sistemas de informaes, assegurando-lhes: Integridade; Disponibilidade; No repdio; Autenticidade; Confidencialidade; Esses elementos constituem os cinco pilares da segurana da informao e, portanto, so essenciais para assegurar a integridade e confiabilidade em sistemas de informaes.

Assim...

Nesse sentido, esses pilares, juntamente com mecanismos de proteo tm por objetivo prover suporte a restaurao de sistemas informaes, adicionando-lhes capacidades deteco, reao e proteo. Vale, no entanto, ressaltar que o uso desses pilares feito em conformidade com as necessidades especficas de cada organizao. Assim, o uso desses pilares pode ser determinado pela suscetibilidade das informaes ou sistemas de informaes, pelo nvel de ameaas ou por quaisquer outras decises de gesto de riscos.

Ento...

Por esta razo...

Perceba que esses pilares so essenciais no mundo atual, onde se tem ambientes de natureza pblica e privada conectados a nvel global. Dessa forma, torna-se necessrio dispor de uma estratgia, levando em conta os pilares acima mencionados, a fim de compor uma arquitetura de segurana que venha unificar os propsitos dos cinco pilares.

O que as Organizaes utilizam?

Forte uso de criptografia; Incentivo a educao em questes de segurana; Disponibilidade de tecnologia da informao com suporte a segurana; Infra-estrutura de gesto de segurana; Disponibilidade de mecanismos de monitoramento de ataques, capacidade de alerta e aes coordenadas.

Enquanto os pilares...
Os pilares visam prover os sistemas de informaes contra os mais variados tipos de ameaas como, por exemplo: Revelao de informaes em casos de espionagem; Fraude no reconhecimento da origem, modificao de informaes ou mesmo caso de espionagem; Interrupo modificao de informaes; Usurpao modificao de informaes, negao de servios ou espionagem.

As ameaas podem ser de diversas naturezas

As ameaas so, geralmente, classificadas como passiva, ativa, maliciosa, no maliciosa. Para lidar com essas ameaas, torna-se necessrio a definio de polticas e mecanismos de segurana, visando dar suporte a: Preveno evitar que invasores violem os mecanismos de segurana; Deteco habilidade de detectar invaso aos mecanismos de segurana; Recuperao mecanismo para interromper a ameaa, avaliar e reparar danos, alm de manter a operacionalidade do sistema caso ocorra invaso ao sistema.

Mecanismos de criptografia
Mecanismos de criptografia. Permitem a transformao reversvel da informao de forma a torn-la ininteligvel a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados no criptografados, produzir uma sequncia de dados criptografados. A operao inversa a decifrao.

Segurana fsica x Segurana lgica

Segurana fsica Considera as ameaas fsicas como incndios, desabamentos, relmpagos, alagamento, acesso indevido de pessoas, forma inadequada de tratamento e manuseamento do material.
Segurana lgica Atenta contra ameaas ocasionadas por vrus, acessos remotos rede, backup desatualizados, violao de senhas, etc. Segurana lgica a forma como um sistema protegido no nvel de sistema operacional e de aplicao. Normalmente considerada como proteo contra ataques, mas tambm significa proteo de sistemas contra erros no intencionais, como remoo acidental de importantes arquivos de sistema ou aplicao.

Mecanismos de segurana
Controles fsicos: so barreiras que limitam o contato ou acesso direto a informao ou a infra-estrutura (que garante a existncia da informao) que a suporta. Existem mecanismos de segurana que apiam os controles fsicos: Portas / trancas / paredes / blindagem / guardas / etc ..

E ainda...
Controles lgicos: so barreiras que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado. Existem mecanismos de segurana que apiam os controles lgicos:

Polticas de segurana
As polticas de segurana devem ter implementao realista, e definir claramente as reas de responsabilidade dos utilizadores, do pessoal de gesto de sistemas e redes e da direo. Deve tambm adaptar-se a alteraes na organizao. As polticas de segurana fornecem um enquadramento para a implementao de mecanismos de segurana, definem procedimentos de segurana adequados, processos de auditoria segurana e estabelecem uma base para procedimentos legais na sequncia de ataques.

Polticas de Senhas
Dentre as polticas utilizadas pelas grandes corporaes a composio da senha ou password a mais controversa. Por um lado profissionais com dificuldade de memorizar varias senhas de acesso, por outro funcionrios displicentes que anotam a senha sob o teclado no fundo das gavetas, em casos mais graves o colaborador anota a senha no monitor.

Recomenda-se a adoo de regras para minimizar o problema, mas a regra fundamental a conscientizao dos colaboradores quanto ao uso e manuteno das senhas.

As regras so...
Senha com data para expirao
Adota-se um padro definido onde a senha possui prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usurio a renovar sua senha.

Inibir a repetio
Adota-se atravs de regras predefinidas que uma senha uma vez utilizada no poder ter mais que 60% dos caracteres repetidos, p. ex: senha anterior 123senha nova senha deve ter 60% dos caracteres diferentes como 456seuse, neste caso foram repetidos somente os caracteres s e os demais diferentes.

E mais...
Obrigar a composio com nmero mnimo de caracteres numricos e alfabticos Define-se obrigatoriedade de 4 caracteres alfabticos e 4 caracteres numricos, por exemplo: 1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numricos e os 4 subseqentes alfabticos por exemplo: 1432seuz. Criar um conjunto possveis senhas que no podem ser utilizadas Monta-se uma base de dados com formatos conhecidos de senhas e proibir o seu uso, como por exemplo o usurio chama-se Jose da Silva, logo sua senha no deve conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, etc.

Isso tudo pessoal!!!