Segurana da informao

Origem: Wikipdia, a enciclopdia livre.

Segurana da Informao est relacionada com proteo de um conjunto de dados, no sentido de preservar o valor que possuem para um indivduo ou uma organizao. So caractersticas bsicas da segurana da informao os atributos de confidencialidade, integridade e disponibilidade, no estando esta segurana restrita somente a sistemas computacionais, informaes eletrnicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteo de informaes e dados. O conceito de Segurana Informtica ou Segurana de Computadores est intimamente relacionado com o de Segurana da Informao, incluindo no apenas a segurana dos dados/informao, mas tambm a dos sistemas em si. Atualmente o conceito de Segurana da Informao est padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padro ingls (British Standard) BS 7799. A srie de normas ISO/IEC 27000 foram reservadas para tratar de padres de Segurana da Informao, incluindo a complementao ao trabalho original do padro ingls. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins histricos.

ndice
[esconder]

1 Conceitos de segurana 2 Mecanismos de segurana 3 Ameaas segurana 4 Nvel de segurana o 4.1 Segurana fsica o 4.2 Segurana lgica 5 Polticas de segurana o 5.1 Polticas de Senhas 6 Ligaes externas

[editar] Conceitos de segurana

A Segurana da Informao se refere proteo existente sobre as informaes de uma determinada empresa ou pessoa, isto , aplica-se tanto as informaes corporativas quanto s pessoais. Entende-se por informao todo e qualquer contedo ou dado que tenha valor para alguma organizao ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao pblico para consulta ou aquisio. Podem ser estabelecidas mtricas (com o uso ou no de ferramentas) para a definio do nvel de segurana existente e, com isto, serem estabelecidas as bases para anlise da melhoria ou piora da situao de segurana existente. A segurana de uma determinada informao pode ser afetada por fatores comportamentais e de uso de quem se utiliza

dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que tm o objetivo de furtar, destruir ou modificar tal informao. A trade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibilidade -- representa os principais atributos que, atualmente, orientam a anlise, o planejamento e a implementao da segurana para um determinado grupo de informaes que se deseja proteger. Outros atributos importantes so a irretratabilidade e a autenticidade. Com o evoluir do comrcio electrnico e da sociedade da informao, a privacidade tambm uma grande preocupao. Os atributos bsicos (segundo os padres internacionais) so os seguintes:

Confidencialidade - propriedade que limita o acesso a informao to somente s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao. Integridade - propriedade que garante que a informao manipulada mantenha todas as caractersticas originais estabelecidas pelo proprietrio da informao, incluindo controle de mudanas e garantia do seu ciclo de vida (nascimento,manuteno e destruio). Disponibilidade - propriedade que garante que a informao esteja sempre disponvel para o uso legtimo, ou seja, por aqueles usurios autorizados pelo proprietrio da informao.

O nvel de segurana desejado, pode se consubstanciar em uma "poltica de segurana" que seguida pela organizao ou pessoa, para garantir que uma vez estabelecidos os princpios, aquele nvel desejado seja perseguido e mantido. Para a montagem desta poltica, deve-se levar em conta:

Riscos associados falta de segurana; Benefcios; Custos de implementao dos mecanismos.

[editar] Mecanismos de segurana

O suporte para as recomendaes de segurana pode ser encontrado em:

Controles fsicos: so barreiras que limitam o contato ou acesso direto a informao ou a infra-estrutura (que garante a existncia da informao) que a suporta.

Existem mecanismos de segurana que apiam os controles fsicos: Portas / trancas / paredes / blindagem / guardas / etc ..

Controles lgicos: so barreiras que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado.

Existem mecanismos de segurana que apiam os controles lgicos:

Mecanismos de criptografia. Permitem a transformao reversvel da informao de forma a torn-la ininteligvel a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados no criptografados, produzir uma sequncia de dados criptografados. A operao inversa a decifrao. Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual so funo, garantindo a integridade do documento associado, mas no a sua confidencialidade. Mecanismos de garantia da integridade da informao. Usando funes de "Hashing" ou de checagem, consistindo na adio. Mecanismos de controle de acesso. Palavras-chave, sistemas biomtricos, firewalls, cartes inteligentes. Mecanismos de certificao. Atesta a validade de um documento. Integridade. Medida em que um servio/informao genuno, isto , est protegido contra a personificao por intrusos. Honeypot: o nome dado a um software, cuja funo detectar ou de impedir a ao de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema. Protocolos seguros: uso de protocolos que garantem um grau de segurana e usam alguns dos mecanismos citados aqui

Existe hoje em dia um elevado nmero de ferramentas e sistemas que pretendem fornecer segurana. Alguns exemplos so os detectores de intruses, os anti-vrus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de cdigo, etc.

[editar] Ameaas segurana

As ameaas segurana da informao so relacionadas diretamente perda de uma de suas 3 caractersticas principais, quais sejam:

Perda de Confidencialidade: seria quando h uma quebra de sigilo de uma determinada informao (ex: a senha de um usurio ou administrador de sistema) permitindo com que sejam expostas informaes restritas as quais seriam acessveis apenas por um determinado grupo de usurios. Perda de Integridade: aconteceria quando uma determinada informao fica exposta a manuseio por uma pessoa no autorizada, que efetua alteraes que no foram aprovadas e no esto sob o controle do proprietrio (corporativo ou privado) da informao. Perda de Disponibilidade: acontece quando a informao deixa de estar acessvel por quem necessita dela. Seria o caso da perda de comunicao com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicao crtica de negcio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ao no autorizada de pessoas com ou sem m inteno.

No caso de ameaas rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, muitas vezes conhecidos como crackers, (hackers no so agentes maliciosos, pois tentam ajudar a encontrar possiveis falhas). Estas pessoas so motivadas para fazer esta ilegalidade por vrios motivos. Os principais so: notoriedade,

auto-estima, vingana e o dinheiro. De acordo com pesquisa elaborada pelo Computer Security Institute ([1]), mais de 70% dos ataques partem de usurios legtimos de sistemas de informao (Insiders) -- o que motiva corporaes a investir largamente em controles de segurana para seus ambientes corporativos (intranet).

[editar] Nvel de segurana

Depois de identificado o potencial de ataque, as organizaes tm que decidir o nvel de segurana a estabelecer para uma rede ou sistema os recursos fsicos e lgicos a necessitar de proteo. No nvel de segurana devem ser quantificados os custos associados aos ataques e os associados implementao de mecanismos de proteo para minimizar a probabilidade de ocorrncia de um ataque.

[editar] Segurana fsica

Considera as ameaas fsicas como incndios, desabamentos, relmpagos, alagamento, acesso indevido de pessoas, forma inadequada de tratamento e manuseamento do material.

[editar] Segurana lgica

Atenta contra ameaas ocasionadas por vrus, acessos remotos rede, backup desatualizados, violao de senhas, etc. Segurana lgica a forma como um sistema protegido no nvel de sistema operacional e de aplicao. Normalmente considerada como proteo contra ataques, mas tambm significa proteo de sistemas contra erros no intencionais, como remoo acidental de importantes arquivos de sistema ou aplicao.

[editar] Polticas de segurana

De acordo com o RFC 2196 (The Site Security Handbook), uma poltica de segurana consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organizao. As polticas de segurana devem ter implementao realista, e definir claramente as reas de responsabilidade dos utilizadores, do pessoal de gesto de sistemas e redes e da direo. Deve tambm adaptar-se a alteraes na organizao. As polticas de segurana fornecem um enquadramento para a implementao de mecanismos de segurana, definem procedimentos de segurana adequados, processos de auditoria segurana e estabelecem uma base para procedimentos legais na sequncia de ataques. O documento que define a poltica de segurana deve deixar de fora todos os aspectos tcnicos de implementao dos mecanismos de segurana, pois essa implementao pode variar ao longo do tempo. Deve ser tambm um documento de fcil leitura e compreenso, alm de resumido. Algumas normas definem aspectos que devem ser levados em considerao ao elaborar polticas de segurana. Entre essas normas esto a BS 7799 (elaborada pela British

Standards Institution) e a NBR ISO/IEC 17799 (a verso brasileira desta primeira). A ISO comeou a publicar a srie de normas 27000, em substituio ISO 17799 (e por conseguinte BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005. Existem duas filosofias por trs de qualquer poltica de segurana: a proibitiva (tudo que no expressamente permitido proibido) e a permissiva (tudo que no proibido permitido). Os elementos da poltica de segurana devem ser considerados:

A Disponibilidade: o sistema deve estar disponvel de forma que quando o usurio necessitar, possa usar. Dados crticos devem estar disponveis ininterruptamente. A Utilizao: o sistema deve ser utilizado apenas para os determinados objetivos. A Integridade: o sistema deve estar sempre ntegro e em condies de ser usado. A Autenticidade: o sistema deve ter condies de verificar a identidade dos usurios, e este ter condies de analisar a identidade do sistema. A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.

[editar] Polticas de Senhas

Dentre as polticas utilizadas pelas grandes corporaes a composio da senha ou password a mais controversa. Por um lado profissionais com dificuldade de memorizar varias senhas de acesso, por outro funcionrios displicentes que anotam a senha sob o teclado no fundo das gavetas, em casos mais graves o colaborador anota a senha no monitor. Recomenda-se a adoo das seguintes regras para minimizar o problema, mas a regra fundamental a conscientizao dos colaboradores quanto ao uso e manuteno das senhas.

Senha com data para expirao Adota-se um padro definido onde a senha possui prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usurio a renovar sua senha.

Inibir a repetio Adota-se atravs de regras predefinidas que uma senha uma vez utilizada no poder ter mais que 60% dos caracteres repetidos, p. ex: senha anterior 123senha nova senha deve ter 60% dos caracteres diferentes como 456seuse, neste caso foram repetidos somente os caracteres s e os demais diferentes.

Obrigar a composio com nmero mnimo de caracteres numricos e alfabticos

Define-se obrigatoriedade de 4 caracteres alfabticos e 4 caracteres numricos, por exemplo: 1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numricos e os 4 subseqentes alfabticos por exemplo: 1432seuz.

Criar um conjunto possveis senhas que no podem ser utilizadas Monta-se uma base de dados com formatos conhecidos de senhas e probir o seu uso, como por exemplo o usurio chama-se Jose da Silva, logo sua senha no deve conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4 etc.