Apostila de Padrões Normas e Politicas de Segurança Da Informação
Apostila de Padrões Normas e Politicas de Segurança Da Informação
Apostila de Padrões Normas e Politicas de Segurança Da Informação
DA INFORMAÇÃO
1
Sumário
Introdução.................................................................................................................. 5
Ameaças .................................................................................................................... 9
Ataques .................................................................................................................... 10
Estudo das normas ISO 27005 e ISO 31000 - Aplicação de normas e padrões
internacionais.......................................................................................................... 25
2
Criptografia, Certificações digitais, Assinatura digital ........................................ 39
Criptografia .............................................................................................................. 40
REFERÊNCIA ........................................................................................................... 61
3
NOSSA HISTÓRIA
4
Introdução
Segundo Sêmola (2003), “os computadores tomam conta dos ambientes de escritório,
quebram o paradigma e acesso local à informação, e chegam a qualquer lugar do
mundo através dos cada vez mais portáteis notebooks e da rede mundial de
computadores: a Internet.” (SÊMOLA, 2003, p.3).
Em função disto, a segurança da informação teve que evoluir e saiu do nível técnico,
reservado à TI, onde a única preocupação era ter um bom antivírus, um firewall bem
configurado. Com a evolução, houve a necessidade de se pensar também no nível da
gestão, investindo e desenvolvendo os processos e as pessoas. Os aspectos relativos
à implantação de uma eficiente Política de Segurança de Informação se encontram
em uma crescente nos últimos anos. Os procedimentos de segurança da informação
têm evoluído bastante desde o início quando a segurança se resumia à parte física e
a backups. Atualmente, essa segurança é composta de políticas, padrões,
treinamentos, estratégias, softwares e hardwares.
5
Veremos aqui as mais diversas formas de ataque, desde as mais simples e visíveis,
até as mais complexas e ocultas, no que diz respeito ao acesso indevido às
informações. Compreenderemos que a segurança da informação engloba vários
pontos onde cada um contribui de uma forma com o objetivo de manter sistemas,
bancos de dados e conhecimentos (tácitos e/ou explicitas) protegidos.
Segurança da Informação
6
Trata-se de um problema cultural/social e não somente de programação, técnico ou
de infraestrutura de redes e/ou comunicação.
7
O Brasil é um dos países mais expostos aos problemas de segurança da informação.
Isto ocorre, pois, o crescimento na utilização da internet e suas vantagens é muito
maior do que a melhoria e aplicação dos processos de segurança. Segundo relatório
da Conferência de Comércio e Desenvolvimento das Nações Unidas (Unctad), o Brasil
tem a segunda Internet mais vulnerável do mundo, perdendo apenas para os Estados
Unidos.
Desta forma, a utilização de todas as potencialidades do mundo digital será plena com
menor risco a integridade, disponibilidade e confidencialidade das informações.
Disponibilidade
Confidencialidade
Autenticidade
8
Permite a verificação da identidade de um usuário seja interno ou agente externo a
um sistema ou empresa. Este conceito também se aplica a confirmação de que uma
informação é autêntica ou verdadeira.
Integridade
Auditoria
É possível também, através da análise dos logs, identificar os usuários que tiveram o
contato com a informação.
Privacidade
Legalidade
Não há como “dizer não” sobre um sistema que foi alterado ou sobre um dado
recebido, ou seja, um usuário não poderá negar falsamente a autoria de uma
informação.
Ameaças
Neste caso, a ameaça ocorre quando há uma ação sobre um sistema ou sobre um
processo utilizando uma determinada vulnerabilidade e causa um problema ou
9
consequência, tais como: divulgação indevida, roubo de identidade, prejuízo financeiro
e prejuízo de visibilidade.
Tipos de Ameaça
Ataques
Tipos de ataque
Cavalo de Troia
10
O cavalo de troia ou trojan horse é um programa malicioso e vem disfarçado em outro
software. Baixar programas da Internet sem o devido cuidado é uma ótima maneira de
instalar um cavalo de troia. Estes programas instalam o cavalo de troia, que abre uma
porta do equipamento e que será utilizada para invasão. Eles se dedicam a roubar
senhas e outros dados sigilosos. São exemplos de trojans:
• NetBus,
• Back Orifice e
• SubSeven.
Quebra de Senha
O cracker é um programa usado pelo hacker para descobrir uma senha de acesso a
um sistema. O método mais comum consiste em testar sucessivamente várias
sequencias
Mail Bomb
Phreaking
11
É o uso não autorizado de linhas telefônicas, fixas ou celulares. Com o aumento da
segurança por parte das companhias telefônicas, essas técnicas foram se tornando
mais complexas e inteligentes. Hoje, o phreaking é uma atividade elaborada e que
poucos hackers dominam.
Scanners de Portas
Eles são programas que buscam portas TCP abertas, no computador, por onde é
efetuada a invasão. Uma forma de evitar que o usuário perceba a varredura é testar
as portas por vários dias e em horários aleatórios.
Smurf
Sniffing
O sniffer é um programa ou dispositivo que analisa o tráfego da rede. Eles são muito
úteis no gerenciamento de redes, porém, nas mãos de hackers permitem roubar
senhas e outras informações sigilosas não criptografadas.
Spoofing
Scamming
Esta técnica tem o objetivo de colher senhas e números de contas bancárias através
de e-mails falsos oferecendo serviços, simulando a página do banco.
12
Vírus
Prevenção
Prevenção
Controles de Segurança
Autenticar e Autorizar
13
Autorizar é permitir ou negar acesso a um sistema utilizando controles de acesso com
o objetivo de criar perfis. Com esses perfis, é possível definir, por exemplo, as tarefas
que serão realizadas por determinado usuário ou grupo de usuários.
Processo de Autenticação
Em relação às senhas, uma dica importante é que você sempre crie senhas que
possuam pelo menos oito caracteres, com letras, números e símbolos. Não utilize seu
nome, sobrenome, nomes de animais de estimação, placas de carros, números de
telefones ou datas que possam tenham relação com você. Procure alterá-las com
frequência e faça com que sejam diferentes para cada serviço. Se você compartilha
seu computador com outras pessoas, crie usuários com privilégios normais.
O uso abusivo na rede está ligado a características específicas como envio de spams
e correntes, distribuição de documentação protegida por direito autoral, uso indevido
da internet para ameaçar e difamar pessoas, ataques a outros computadores etc.
14
Registros de Eventos (logs)
A Verificação periódica dos logs do firewall e dos IDSs que estejam instalados no
computador é de extrema importância, pois pode evitar ou minimizar as tentativas de
ataques.
Muitas vezes não tratamos as normas com a devida importância por entendermos ser
algo dispensável. Ledo engano! As normas são criadas com base em acordos,
cooperações, estudos e avaliações por um órgão com conhecimento e competência
para tal. Elas sugerem um conjunto de boas práticas para execução e/ou produção
em um determinado tema.
O objetivo é fazer que aquilo que será produzido cumpra um padrão de qualidade e
funcionamento. Este produto pode ser um software, eletrodoméstico, edifício, veículo,
seminário, palestra etc. Diante desse fato, é importante ter a devida atenção e
compreensão dos conceitos que serão mostrados e a forma como se relacionam, de
modo que sejam aplicados da melhor forma.
15
tratar de assuntos técnicos. Estes comitês colaboram em áreas de interesse mútuo.
Outras organizações internacionais, governamentais e ligadas a ISO e a IEC também
podem atuar. Na área de TI, a ISO e a IEC criaram um comitê associando ISO/ IEC /
JTC1.
As normas 27001 e 27002 devem ser usadas em conjunto. Elas são as mais
conhecidas da família ISO 27000 sendo que o certificado da ISO 27002 é para
profissionais da área. Seus códigos e orientações facilitam a obtenção do certificado
ISO 27001, que é direcionado para empresas. Cada norma tem critérios diferentes
para a certificação.
Semelhante às normas ISO 9000 e ISO 14000, a norma 27001 segue o padrão para
a certificação de outros sistemas de gestão da ISO. Além da questão específica do
sistema de gestão de segurança da informação, é necessário atenção ao
funcionamento, monitoramento e melhoria do sistema. A certificação é realizada em
duas partes: sendo que a primeira é uma revisão documental, a segunda é detalhada,
semelhante a uma auditoria. Veremos mais sobre isto adiante.
16
• ISO/IEC 27000: São informações básicas sobre as normas desta série
(Vocabulários, objetivos e normas).
• ISO/IEC 27001: Bases para a implementação de um SGSI em uma
organização. Ela mostra a forma adequada de estabelecer um sistema de
gestão de segurança da informação, avaliado e certificado de forma
independente. Ela trata dos seguintes tópicos:
➢ Compreensão das necessidades e a importância da política da segurança da
informação;
➢ Implantar e manter controles para gestão de riscos;
➢ Acompanhar a performance, eficiência e eficácia da PSI;
➢ Estimular melhoria contínua. (Ciclo PDCA).
17
• ISO/IEC 27003: Diretrizes mais específicas para implementação do SGSI.
Nele, concentram-se os aspectos críticos para a implantação e projeto bem
sucedido de um SGSI, desde a concepção até a preparação da implantação,
incluindo aí o processo de aprovação da direção.
• ISO/IEC 27004: Normas sobre as métricas e relatórios do SGSI com o objetivo
de avaliar a eficácia do SGSI implementado, além dos controles e/ou grupos
de controles. É fundamental lembrar que as métricas e as respectivas
avaliações são de extrema importância para conhecer, controlar e melhorar
processos, políticas e procedimentos. Desta forma, é possível identificar
problemas ou falhas de implantação e execução.
• ISO/IEC 27005: Norma sobre gestão de riscos do SGSI. Estabelece diretrizes
para o processo de gestão de riscos de segurança da informação. Deve permitir
que o processo de segurança da informação ocorra de maneira eficaz, eficiente
e sem interrupções ao longo do tempo. É fundamental que um gestor de riscos
tenha uma visão de topo. Desta forma, a criação de processos integrados na
gestão de riscos será facilitada. Além disso, o foco deve ser na prevenção.
Veremos também que planos alternativos em caso de sinistro farão toda a
diferença para a estratégia organizacional.
• ISO/IEC 27006: Norma sobre auditoria e certificação de SGSI, especificando
requisitos e fornecendo orientações para empresas e/ou órgãos que prestem
serviços de certificação e auditoria em um SGSI. Ela pode ser utilizada como
referência para acreditação, avaliação de pares ou outros processos de
auditoria. A área de atuação de auditorias em Sistemas de Gestão de
Segurança da Informação está entre a segurança física e lógica da informação
até a adequação de conformidade com a legislação vigente e obrigações
contratuais.
18
Relacionamento entre as normas da série ISO/IEC 27000
19
• ameaças humanas: São as mais perigosas, provocadas por ladrões e espiões
(gerando fraudes e roubos). Normalmente, passam pela engenharia social
mencionada anteriormente.
20
(Fonte: Google)
21
• reduzir o risco de perda, roubo ou alteração da informação: já vimos que a
informação é o principal ativo de uma organização. Perda de ativo implica em
perdas financeiras, dentre outras;
• acessar as informações por meio de medidas de segurança: isto é fundamental,
pois formas corretas e seguras no acesso à informação evitam que usuários
não autorizados monitorem e/ou acessem indevidamente;
• aplicar a Gestão adequada de pessoas a todos os envolvidos na organização:
já sabemos que o elo mais fraco no controle e gestão da segurança da
informação é composto por pessoas. A correta gestão é fator determinante à
segurança;
• aumentar a segurança em relação à gestão de processos: processos mal
gerenciados podem gerar falhas e vulnerabilidades. Isto também implicará no
risco de um acesso não autorizado e perda de informações;
• aplicar a legislação sobre informação pessoal e propriedade intelectual: a
legislação permite que pendências jurídicas sejam resolvidas aos olhos
jurídicos. Com a devida clareza isto previne ataques por descuido ou falta de
informação;
• controlar e verificar continuamente os riscos e os seus controles: isto faz parte
dos processos de melhoria contínua que podem ser aplicados a qualquer área
do conhecimento. Verificações constantes implicam em aprimoramento;
• garantir a confidencialidade e a qualidade comercial: o bom gerenciamento
permite que a informação permaneça confidencial, gerando ótima visibilidade
estratégica da organização.
22
isto ocorre, tanto o desenvolvimento quanto a implantação do SGSI ficam
prejudicados. Isto irá provocar o retrabalho e possíveis perdas para a
organização;
• dificuldade em desenvolver uma abordagem sistemática, clara e simples na
gestão dos riscos: a gestão dos riscos é uma área extremamente importante,
pois é nela que os possíveis riscos são identificados e a forma de tratá-los é
definida de acordo com cada caso. Tratar isto com simplicidade e clareza pode
ser a diferença entre o sucesso ou o fracasso na implantação do SGSI;
• dificuldade em testar os planos de continuidade do negócio: muitas vezes não
há ambientes de simulação ou, quando existem, não são adequados. Desta
forma, os testes dos planos de continuidade do negócio ficam incompletos,
inconclusivos ou inexistentes, podendo gerar graves consequências em caso
de uma crise;
• designar indevidamente a área de TI no desenvolvimento do projeto: por falta
de definição ou compreensão por par te das outras, a área de TI fica
encarregada do desenvolvimento do projeto e, como vimos, o SGSI não é
exclusivo na gestão de informações de tecnologia. O gestor terá que buscar a
integração das áreas e pessoas envolvidas nos processos e procedimentos.
23
nas normas. E aí, como agir? Neste momento, o gestor terá que utilizar seus
conhecimentos e experiências, além de contar com profissionais que possuam
o conhecimento no problema que será tratado;
• pessoal e Orçamento com limitações: muitas vezes, principalmente no cenário
econômico atual, será necessário a convivência da necessidade de
desenvolver e implantar o SGSI com as restrições financeiras ou de pessoal.
Mesmo com as adversidades, a equipe de gestão terá que encontrar soluções
adequadas a este cenário. Além disto, sabemos que no relacionamento
humano; por mais profissional que as pessoas busquem ser, sempre há
conflitos e jogos de interesse. Isto pode dificultar o desenvolvimento e
implantação do SGSI. Caberá ao gestor tratar este ponto, utilizando técnicas
de motivação e de gestão de pessoas.
24
Estudo das normas ISO 27005 e ISO 31000 - Aplicação de normas e
padrões internacionais
As consequências dessas ameaças podem ser traduzidas por vários impactos nos
negócios das organizações como, por exemplo, perdas financeiras, paralização de
serviços essenciais, perda de confiança dos clientes, pane no fornecimento de energia
e falhas de telecomunicações. Conforme já vimos, as normas são criadas com base
em acordos, cooperações, estudos e avaliações, por um órgão com conhecimento e
competência para tal. Logo, é importante a devida atenção, compreensão e sua
correta aplicação. As normas propõem várias técnicas a serem adequadas à empresa.
Veremos que uma boa política de gestão da infraestrutura com controles de acessos,
físicos e lógicos bem definidos realmente minimizam grande parte dos riscos. Elas
mostram também que manter a redundância dos dados, informações e
conhecimentos, além de mantê-los o mais restrito possível (dentro das estratégias do
negócio), é uma das boas práticas propostas.
Conceitos associados
Antes de tratarmos das normas, é importante conhecermos alguns conceitos que são
importantes para compreensão dos assuntos que veremos aqui. É muito importante
que os conheçamos, pois permitirá integrar os conhecimentos e facilitar o
entendimento dos casos onde seja necessário.
25
Risco: probabilidade de que algo não tenha sucesso ou não fique de acordo com o
proposto ou esperado, por motivos incertos; eles podem ser provocados ou serem
resultado de ocorrências eventuais / naturais. Muitas vezes o risco pode ser previsto
e tratado de modo que não ocorra ou tenha uma baixa probabilidade de ocorrência.
Aversão ao risco: postura onde a organização objetiva afastar-se dos riscos. Isto
nem sempre ocorre, pois há tipos de riscos em que é melhor aceitar a possibilidade
de sua ocorrência do que preveni-lo.
Atenção ao risco: tipo e quantidade de riscos que uma empresa tem aptidão para
assumir, manter e buscar. É um tópico muito importante, pois uma avaliação indevida,
26
neste caso, poderá provocar uma interpretação errada e consequentes perdas
financeiras.
Fonte de risco: qualquer componente que possa originar os riscos, mesmo que este
componente atue em conjunto com outro ou tenha como origem uma fonte externa em
relação à organização.
27
Critérios de risco: pontos referenciais que objetiva avaliar um determinado risco.
Estes pontos são construídos com base na organização, suas estratégias, atuação no
mercado bem como projeções para o futuro.
Tratamento de riscos: Conjunto das tarefas, políticas e processos que unidos têm a
função para excluir, alterar, aceitar, transferir ou mitigar riscos. A decisão de qual
opção escolher irá variar de acordo com parâmetros organizacionais diversos
(Situação do mercado, participação da organização, capacidade de investimento etc.)
Parte interessada: pessoas e/ou organizações que podem afetar, serem afetadas, ou
perceberem–se afetada por uma decisão ou atividade que envolva a organização.
Conhecido também como stakeholder.
Contexto externo: ambiente externo onde a empresa quer atingir seus objetivos
(mercado, políticas públicas, condições ambientais etc.).
28
• atuação das partes internas interessadas e o relacionamento entre elas;
• fluxos e sistemas de informação e influência dos processos informais e formais
na tomada de decisão;
• normas, modelos e diretrizes organizacionais;
• a própria cultura da empresa;
• tipo das relações contratuais sejam formais, explicitas ou tácitas.
Controle: medidas com o objetivo de alterar o risco. Elas podem ser dispositivas,
práticas, processos, políticas, etc. Pode ocorrer de o controle não exercer o efeito
desejado sobre o risco.
Princípios da Gestão
29
A gestão de riscos aborda explicitamente a incerteza: isto porque risco e incerteza
estão ligados. A incerteza de que algo pode não funcionar está associada aos próprios
riscos.
A gestão de riscos é feita sob medida: ela deve estar alinhada à estratégia
organizacional, levando em conta os contextos interno e externo com o perfil do risco.
A gestão de riscos considera fatores humanos e culturais: ela deve estar atenta
e reconhecer as intenções, percepções e capacidades do pessoal (interno e externo)
Isto porque eles podem dificultar ou facilitar a realização dos objetivos organizacionais.
O gerenciamento de riscos gerando e protegendo valor: isso ocorre já que a
gestão de riscos proporciona maior facilidade na obtenção das metas e objetivos,
aumentando o desempenho organizacional.
30
A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças: Sabemos
que as circunstâncias se alteram com muita frequência em qualquer área do
conhecimento. Sendo assim, a gestão de riscos deve perceber e reagir às mudanças
de forma rápida e eficiente.
Apesar desta norma tratar a gestão de riscos de segurança da informação, ela não
trata de um método específico. Por isto é necessário que cada empresa defina a
melhor metodologia, de acordo com o cenário no qual se encontre.
31
• estimativa de riscos: valorar qualitativamente e/ou quantitativamente o impacto
de um possível risco além de avaliar a probabilidade que aconteça;
• avaliação de riscos: estabelecer a prioridade de cada risco por meio de
comparações entre os níveis estimado e aceitável, definidos pela empresa;
• tratamento do risco: criar e implantar controles com o objetivo de diminuir, reter,
evitar e transferir riscos;
• aceitação do risco: os planos de tratamento do risco bem como os riscos
residuais, a respectiva aprovação, devem ser documentados e aprovados pelas
partes interessadas;
• comunicação do risco: a comunicação dos riscos e dos controles adotados
deve ser ampla e abranger a todos os stakeholders;
• monitoramento e análise crítica de riscos: processo continuo de verificação dos
riscos e respectivas causas, com o objetivo de perceber possíveis alterações
nos procedimentos, fazendo com que a gestão de riscos de segurança da
informação esteja em conformidade com a situação organizacional.
Esta norma estabelece estrutura, princípios e um processo para gerir qualquer tipo de
risco, de forma sistemática, transparente e confiável em qualquer situação. Ela
disponibiliza os parâmetros para a gestão de risco, com os princípios e as diretrizes,
além de auxiliar as empresas a gerir o risco de forma eficaz e eficiente. É referência
mundial em gestão de riscos. Várias normas de gestão, com o objetivo de abordar o
risco com um mesmo padrão, utilizam-se, como base nesta norma, de seus princípios,
diretrizes e estrutura.
A ISO 31000 veio para ser uma referência na prática de gestão de riscos. Ela pode
ser aplicada a qualquer empresa e a qualquer tipo de risco de qualquer tipo de
negócio. Essa norma trata a gestão de riscos a um nível corporativo e não só no âmbito
da Segurança da Informação, fornecendo detalhes de cálculos de probabilidade,
avaliação de consequências.
Ela é uma norma bem ampla, tratando sobre todos os tipos de risco, sejam eles
financeiros, administrativos, econômicos, de gestão, crises locais e crises mundiais.
Além disso, estabelece bases para que a organização consiga prever o máximo de
32
riscos possíveis. Com esta previsão, a organização pode estabelecer políticas
internas, aliadas à norma, de modo a tratar estes riscos com as melhores práticas.
A série ISO 31000 é composta por três normas. As duas primeiras orientam a
organização a construir e manter a sua gestão de riscos. A terceira (ISO Guia 73)
mostra um glossário com termos pertinentes à gestão de riscos. Portanto a ISO 31000
trata dos conceitos básicos, diretrizes e princípios para a implantação da gestão de
riscos. Já a ISO/IEC 31010 trata dos métodos de avaliação e gerência de riscos. Os
principais benefícios da aplicação desta norma são:
A Gerência de Riscos trata o risco com uma visão estatística e probabilística de sua
ocorrência. As empresas que tratam e gerenciam os riscos de forma eficiente e eficaz
conseguem alto nível de proteção e estabilidade além de expandir seus negócios com
maior assertividade. Em relação às normas, as organizações devem integrar as
melhores práticas no seu cotidiano operacional, aplicando-as de forma ampla nas
práticas empresariais.
33
metodologia padrão) de Gerenciar os Riscos. Muitas vezes o que é feito é comparar
os procedimentos vigentes com os padrões, avaliando as possíveis alterações.
Tanto o tipo de risco quanto o valor do prejuízo são muito significativos para a
determinação do custo do risco. De acordo com o custo do risco, é possível elaborar
um plano de tratamento das perdas ou transferir esse risco.
Com o objetivo de criar um SGSI eficaz, são necessárias uma abordagem sistemática
no gerenciamento de riscos de segurança da informação e identificar as necessidades
da organização em relação aos requisitos deste tipo de segurança. É muito importante
que essa abordagem seja adequada ao ambiente organizacional, além de estar
alinhada aos processos de gestão de riscos corporativos. Além disso, os esforços de
segurança devem tratar os riscos de maneira efetiva e no tempo adequado, sempre
que necessário. É fundamental que a gestão de riscos de segurança da informação
componha as atividades de gestão de segurança da informação e que seja aplicada
na implementação e na operação cotidiana de um SGSI.
34
Essa gestão de riscos deve ser um processo contínuo e com melhoria contínua. Esse
processo deve definir os cenários externo e interno, avaliar os riscos e tratá-los com
um plano adequado com o objetivo de implementar o que foi estabelecido. A gestão
de riscos, antes de decidir o que será ou não feito, também deve analisar os possíveis
acontecimentos e suas consequências, com o objetivo de manter os riscos a um nível
aceitável de acordo com o que foi proposto.
Os principais benefícios das normas ISO/IEC 27005 e ISO/IEC 31000 como guia
para a gestão de riscos são:
35
• melhoria do fator “comunicação” em toda a organização, mantendo as partes
interessadas informadas sobre os assuntos da gestão de riscos;
• possibilitar o monitoramento contínuo e análise crítica periódica dos riscos e do
processo de sua gestão; permitir a criação de treinamentos adequados dos
colaboradores em todos os níveis em relação aos riscos e das ações
adequadas para cada caso;
• melhorar o foco na coleta de dados e informações com o objetivo de melhorar
a abordagem da gestão de riscos.
Existem algumas diferenças em cada uma das normas com relação a escopo,
estrutura, processo e execução do processo.
36
Em relação escopo, ISO/IEC 31000 se aplica qualquer setor da organização em várias
atividades, enquanto a ISO/IEC 27005 é uma norma voltada especificamente para a
segurança da informação.
Em relação a estrutura, ISO/IEC 31000 apresenta uma visão de alto nível dos
componentes necessários no gerenciamento de riscos, e o relacionamento entre os
mesmos. Já a ISO/IEC 27005 apresenta uma descrição da estrutura das atividades
existentes no processo, com elementos que estarão presentes em cada uma delas.
Apesar de possuírem focos diferentes, as duas normas têm o mesmo objetivo, ou seja,
a gestão de riscos. Elas são similares na sua estrutura, escopo e processo. Serão
explicadas rapidamente as etapas contidas na figura:
37
(Fonte: Google)
38
as organizações estivessem protegidas contra atividades que pudessem tornar
inacessíveis os seus ativos de informação.
Com isso, podem surgir algumas perguntas pertinentes: como esta área se preparou
para prever, lidar e reagir a sinistros que prejudiquem o funcionamento da empresa?
Caso ocorram, o que será impactado? A empresa irá parar?
39
representar a diferença entre o crescimento e o fracasso de uma empresa, ou ainda a
confiança ou não dos stakeholders e/ou acionistas. Existem muitas formas de ataque
e necessidade de defesa por meio de técnicas para gerenciar riscos e a continuidade
dos negócios.
Criptografia
É uma palavra formada pela junção de duas palavras gregas: kryptós, "escondido ou
camuflado" e gráphein, "escrita". Em termos de segurança da informação, é uma
técnica que consiste na conversão da informação da sua forma original para outra que
somente possa ser lida por “alguém” que tenha a chave de leitura. Dessa forma,
alguém não autorizado terá maior dificuldade de ler a informação. Os primeiros
métodos de criptografia utilizavam um único algoritmo de codificação. Dessa maneira,
era necessário que tanto o emissor quanto o receptor da informação conhecessem
esse algoritmo. Porém, se um invasor conhecer esse algoritmo decifrará a mensagem,
caso a intercepte.
40
pessoas não autorizadas, nada terá significado coerente. Porém, nesse tipo de
solução, com o uso constante dos códigos, eles podem ser decifrados de forma
mais fácil;
• Criptografia por cifras. É uma técnica na qual o conteúdo da mensagem é
cifrado pela substituição ou mistura (ou ambos) dos caracteres da mensagem
original (plain text). A decodificação ocorre, fazendo o procedimento inverso à
“cifragem”. Esse método é implementado com o uso de algoritmos associados
a chaves, que determinarão o formato do texto criptografado.
41
alfabeto, o "A" pela letra que está 3 posições a frente. Esse procedimento é
repetido até que a cifragem seja concluída.
A principal vantagem do método das cifras em relação ao dos códigos é que não há
limite para as mensagens que serão trocadas. O método das cifras também é mais
seguro em relação ao dos códigos.
➢ DES (Data Encryption Standard): algoritmo criado pela IBM em 1977 que
utiliza chaves de 56 bits o que equivale a 72 quatrilhões de combinações. É um
valor muito grande de combinações, porém já foi quebrado. Ocorreu em 1997
por meio de um desafio promovido na internet, usando uma técnica chamada
de "força bruta" (por tentativa e erro).
➢ IDEA (International Data Encryption Algorithm): Algoritmo criado em 1991
por James Massey e Xuejia Lai. Ele utiliza de chaves de 128, com estrutura
parecida com a do DES. Porém, em nível de softwares o IDEA é mais fácil de
ser implementado do que o DES.
➢ RC (Ron's Code ou Rivest Cipher): este algoritmo foi criado por Ron Rivest
na empresa RSA Data Security, utilizado em e-mails, utilizam chaves que
variam de 8 a 1024 bits. Foi lançado em várias versões, cuja principal diferença
é o tamanho das chaves.
42
Existem outros algoritmos tais como 3DES, o AES (Advanced Encryption Standard)
baseado no DES - o Twofish e sua variante Blowfish. As chaves simétricas possuem
algumas desvantagens. Por exemplo, não devem ser utilizadas nos casos em que a
informação tenha maior valor. Isso porque a quantidade de usuários interfere
diretamente na quantidade de chaves. Além disso, como o emissor e o receptor
conhecem e transmitem a mesma chave, em algum momento da transmissão, ela
pode ser rastreada por pessoas não autorizadas.
(Fonte: Google)
• RSA (Rivest, Shamir and Adleman): criado por Adi Shamir, Ron Rivest e Len
Adleman nos laboratórios do MIT (Massachusetts Institute of Technology) em
1977. É um dos algoritmos mais utilizados no trato da chave assimétrica. Nele,
a chave privada corresponde a dois números primos muito grandes, que são
multiplicados e a chave pública é o resultado obtido.
43
• ElGamal: foi criado por Taher ElGamal, do "logaritmo discreto" como padrão
de segurança. Ele é bastante usado em assinaturas digitais.
• Criptografia Hash: nesse tipo, através de uma string (conjunto de caracteres),
é calculado um identificador digital de tamanho fixo. Esse valor é chamado de
hash. Esse resultado pode ser formado por tamanhos que variam entre 16 e
512 bytes.
44
somente pode ler uma mensagem de cada vez. É dessa incerteza natural que a
criptografia quântica se aproveita.
Ataques e segurança
• Ataque por texto conhecido: em que o atacante utiliza dois textos, sendo um
plain text e o outro é a criptografia do primeiro. Dessa forma, ele analisa os
textos para descobrir a chave de criptografia para aplicar nas futuras
mensagens;
• Ataque por texto escolhido: aqui, é possível para o atacante escolher o plain
text e conseguir o seu correspondente criptografado;
• Criptoanálise diferencial: esse método é uma variante do método de ataque
por texto escolhido. O objetivo é criptografar vários documentos semelhantes e
avaliar os seus efeitos.
A situação ideal de uma criptografia, é que ela não seja fundamentada em algoritmos
de criptografia, mas sim, na dimensão das chaves usadas. Um algoritmo deve passar
45
por todos os tipos de testes e por todas as formas de ataques possíveis com o objetivo
de assegurar a sua resistência às ameaças. Um algoritmo é tão robusto quanto a sua
resistência em relação à quebra de seu código.
Se um atacante alterar o MAC (assim como pode alterar os dados), sem saber qual
foi a chave utilizada na criação do MAC, a alteração da informação fica inviável,
aumentando a segurança.
Assinaturas digitais
46
Além disso, deve haver a garantia que não houve alteração da mensagem durante a
transmissão.
47
Assinatura digital direta
Outra ameaça é de que alguma chave privada possa realmente ser roubada a partir
de X no momento TO oponente pode, então, enviar uma mensagem assinada com a
assinatura de X e estampada com uma hora antes ou igual a T.
Certificação digital
É um método digital que possibilita provar e/ou certificar que um arquivo digital foi
realmente produzido por alguma entidade ou pessoa. Isso acontece já que o emitente
da mensagem fornece uma chave pública para certificar a origem. Já o receptor se
utiliza dessa chave pública digital que fica “anexada” ao arquivo eletrônico. Portanto,
qualquer tentativa de alteração (proposital ou acidental) provoca sua invalidação.
48
Autoridade certificadora (CA ou AC): é uma entidade, privada ou pública, ligada a ICP-
Brasil, cujas responsabilidades são: emitir, revogar, renovar, distribuir e gerenciar
certificados digitais.
Outro ponto a se observar são os ataques internos, promovidos pelos “insiders”, isto
é, colaboradores da organização que por inocência ou malícia, exploram as
vulnerabilidades e atacam as informações e sistemas.
49
“conhecimento/informação”. Esses sistemas recebem a influência de diversos fatores,
sejam eles físicos, humanos e tecnológicos. Sendo assim, é fundamental que recebam
toda a proteção necessária em um ambiente controlado, com o objetivo de garantir a
qualidade das informações.
• Ações humanas;
• Invasão de terminais;
• Incêndios;
• Problema de fornecimento de energia elétrica;
• Falhas de hardware;
• Mudanças de programas;
• Problemas de telecomunicações;
• Falhas de software;
• Roubos de dados, de serviços e de equipamentos;
• Erros dos usuários.
A segurança da informação não deve ser tratada de uma única forma ou vista de
apenas um ângulo; há vários processos, políticas e procedimentos com o objetivo de
garantir que a informação esteja segura e ancorada nos pilares que representam esta
informação.
50
A segurança da informação deve ser tratada de maneira integrada, considerando
todos os pontos de vista, sejam eles no âmbito pessoal (áreas técnicas, de gestão,
operacional, etc.), como também em relação às necessidades e estratégias
organizacionais, além das especificidades de todos os setores e colaboradores
envolvidos.
São eles:
51
• consistência: segundo esse princípio, os procedimentos de proteção em
relação aos ativos com nível equivalente de importância também deverão se
equivaler. Isto significa que a forma de proteção deverá ser homogênea em
relação à importância dos ativos protegidos;
• proteção em camadas: este tipo de proteção sugere que os ativos e os
respectivos métodos de proteção (tanto lógicos, quanto físicos) sejam
organizados de maneira concêntrica, sendo que os mais importantes
estrategicamente fiquem no centro e os menos na periferia;
• relação custo/benefício: essa relação indica a necessidade de assegurar que
os gastos ligados à implementação de políticas de segurança e o retorno desse
investimento (ROI) seja traduzido em proteção e prevenção;
• redundância: esse fator reforça a necessidade de utilizar mais de uma maneira
de proteção para o mesmo tópico com o objetivo de preservar um ativo. Isso é
fundamental, pois garante que, em caso de perda do recurso principal de
segurança, um recurso secundário atue aumentando assim a segurança.
52
• usuários: são todos os que utilizam os sistemas de informação,
independentemente dos níveis de acesso que tenham. Suas habilidades e
conhecimentos técnicos variam de acordo, basicamente, com dois fatores: a
faixa etária e o tipo de atividade desempenhada;
• pessoal técnico: o software, hardware e outros recursos e insumos ligados à
TI (redes, dispositivos de redes, etc.) precisam de gerenciamento contínuo.
Essas tarefas de gestão ficam a cargo de colaboradores (contratados ou
terceirizados). Normalmente, independentemente da sua função, o pessoal da
área de TI possui conhecimentos mais profundos e específicos, de acordo com
sua atuação na área (redes, manutenção, desenvolvimento, suporte, etc.) se
comparado aos usuários leigos. Um treinamento insuficiente ou inadequado
pode abrir brechas para uma possível ameaça colocando em risco os ativos de
informação e conhecimento;
• parceiros: são as entidades externas que cooperam de alguma forma com os
negócios da organização, nos mais diversos níveis. Esses personagens podem
participar, ou até gerenciar as políticas de SI na empresa.
53
A internet oferece um paradoxo, pois tenta estabelecer o equilíbrio entre a fácil
acessibilidade e a restrição de acesso, ou seja, o acesso deve ser fácil e rápido aos
usuários autorizados e o mesmo acesso deve ser seguro e robusto para os usuários
indevidos. É fundamental compreender, que o triunfo das organizações está ligado
diretamente à segurança e ao controle das informações. Isso porque, conforme vimos,
as falhas de segurança estão em constante crescimento, aumentando também os
riscos das empresas, no que se refere à perda e/ou furto das informações. As
empresas necessitam de controles para detecção e prevenção de falhas de
segurança. Porém, é fundamental que isso seja efetuado de maneira organizada e
assertiva controlando as responsabilidades por toda a organização.
É importante que o gestor defina regras para realizar reuniões com o objetivo de
avaliar e classificar as possíveis ameaças e impactos. Algumas dessas regras podem
incluir:
54
• coleta ampla de ideias, em que todas devem ser igualmente válidas;
• os assuntos dever ser debatidos o mínimo possível;
• a objetividade deve ser um pré-requisito.
55
Atualmente, muitos sistemas e aplicações envolvendo sistemas de informação, são
utilizados por toda a sociedade moderna. Alguns exemplos são os sistemas de
companhias aéreas, sistemas bancários, comércio eletrônico, etc. Sendo assim, é fácil
perceber que esses sistemas devem possuir alta disponibilidade, desempenho e
estabilidade, pois problemas implicam em prejuízos. O principal objetivo da segurança
em Sistemas de Informação se relaciona com a proteção e controle do ambiente
computacional, garantindo a da segurança de informação.
Tais sistemas devem abranger todos os elementos e fatores úteis à direção dos
negócios. Esses elementos normalmente contemplam das atividades corriqueiras até
o conhecimento que foi produzido pela empresa.
56
• definir, com base nas estratégias e possibilidades da empresa, os níveis de
segurança desejáveis e essenciais aos sistemas;
• efetuar a devida comparação entre os níveis de segurança desejados e
atingidos;
• avaliar todas as técnicas disponíveis e possíveis, que tenham por objetivo a
segurança dos sistemas;
• desenvolver, implementar e implantar as técnicas escolhidas com base nos
itens anteriores;
• testar essas técnicas de modo a garantir a sua eficiência e eficácia.
57
• lógico: controla o acesso aos sistemas, por meio de autenticações, além das
permissões por níveis de acesso;
• humano: nesse caso, os treinamentos de colaboradores e parceiros são
fundamentais, pois aumentam a eficiência evitando erros de operação, além de
reduzir o risco por ataques por meio da engenharia social.
58
Lamentavelmente, não existem mecanismos com 100% de eficácia na proteção dos
sistemas de informação. Por isso, todos esses possíveis mecanismos devem atuar em
conjunto.
59
identificar as perdas; restabelecer o funcionamento dos sistemas e, por fim,
extinguir os motivos de modo a evitar nova ocorrência do sinistro.
Toda a equipe do projeto deve estar preparada para transmitir credibilidade ao longo
da implementação da Segurança de Informação.
Todas as diretrizes e normas devem ser divulgadas de forma intensiva por toda a
empresa. É necessário que essas normas e diretrizes descrevam o que será
protegido, bem como atitudes que serão tomadas no caso de problemas de
segurança.
60
REFERÊNCIA
61