Aspectos importantes como a autenticação e autorização. Tipos de ameaças: Atividade não autorizada; Downloads não autorizados; Redes: local de transmi

Transcrição

1 MODELO DE REFERÊNCIA DE SEGURANÇA Criado para definir uma arquitetura de rede confiável e que implemente uma política de segurança, que consiste em uma série de regras, procedimentos, autorizações e negações que garantem a manutenção da segurança e da confiabilidade da rede. Um modelo de referência de segurança é constituído pelos seguintes componentes: Equipamentos de rede (roteadores, servidores de comunicação, switches, gateways, etc.); Sistemas de autenticação: biométricos, assinatura digital, certificação digital; Sistemas de segurança: criptografia, firewall; Sistemas de auditoria; Para definir o nível de segurança em um sistema de computação, é necessário conhecer os serviços de segurança que o sistema implementa, sendo os principais: Integridade; Autenticidade; Confidencialidade; Não repúdio; Disponibilidade; Controle de acesso; Auditoria. Integridade: A integridade é a garantia da exatidão e completeza da informação e dos métodos de processamento (NBR ISO/IEC 27002:2005), ou seja, não sofreu alguma espécie de modificação durante sua transmissão ou armazenamento. Exemplo de uma transação bancária. O objetivo é prevenir a existência de fraude ou erros de processamento. É fundamental e crítica em quais casos? Sistemas de controle de tráfego aéreo, financeiros, comércio eletrônico, etc. Conceitos para ajudar a garantir a integridade: Troca constante de pessoas na equipe; O usuário deve saber só o necessário; Divisão de responsabilidade/controle das situações; Hash: técnica para verificação e garantia da integridade dos dados. É o resultado de uma função matemática. Exemplo de redes de computadores. Os principais algoritmos são: SHA-1 (Secure Hash Algorith) que gera um resultado de 512 bits e MD5 gerando 128 bits. Confidencialidade: A confidencialidade é a garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso (NBR ISO/IEC 27002:2005). Garante a privacidade dos dados. Caso a informação seja acessada por uma pessoa não autorizada, intencionalmente ou não, ocorre a quebra da confidencialidade.

2 Aspectos importantes como a autenticação e autorização. Tipos de ameaças: Atividade não autorizada; Downloads não autorizados; Redes: local de transmissão e criptografia dos dados; Vírus e trojans; Engenharia social: passar por algo que não é. Disponibilidade: A disponibilidade é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário (NBR ISO/IEC 27002:2005). Quando a informação está indisponível para o acesso, ou seja, quando os servidores estão inoperantes por conta de ataques e invasões, considera-se um incidente de segurança da informação por quebra de disponibilidade. Mesmo as interrupções involuntárias de sistemas, ou seja, não intencionais, configuram quebra de disponibilidade. Não repúdio: garantir que o emissor de uma mensagem não possa negar, no futuro, o envio dela. Auditoria: Consiste na capacidade de verificação das atividades do sistema e determinação do que foi feito por quem, quando e o que foi afetado. ABNT NBR ISO/IEC 27002:2013 Tecnologia da informação Técnicas de segurança Código de prática para controles de segurança da informação. Normas Necessárias para a aplicação da ABNT NBR ISO/IEC 27002:2013: PLANO DE SEGURANÇA Após a análise de riscos, define-se as decisões a serem tomadas. Deve-se também levar em conta, além de perdas físicas, a reputação e imagem da empresa. Ameaças: As ameaças podem ser, naturais: são aquelas que se originam de fenômenos da natureza; involuntárias: são as que resultam de ações desprovidas de intenção para causar algum dano, e intencionais: são aquelas deliberadas, que objetivam causar danos, tais como hacker. (DANTAS, 2011) Vulnerabilidade: A NBR ISO/IEC 27002:2005 define a vulnerabilidade como uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Segundo Campos (2007), vulnerabilidade são as fraquezas presentes nos ativos, que podem ser exploradas, seja ela intencionalmente ou não, resultando assim na quebra de um ou mais princípios da segurança da informação. Riscos: Com relação a segurança, os riscos são compreendidos como condições que criam ou aumentam o potencial de danos e perdas. É medido pela possibilidade de um evento vir a acontecer e produzir perdas.

3 Backup: A ISO/IEC (2005) recomenda que o backup dos sistemas seja armazenado em outro local, o mais longe possível do ambiente atual, como em outro prédio. Segurança física: O objetivo é prevenir o acesso físico não autorizado. Convém que sejam utilizados perímetros de segurança para proteger as áreas que contenham informações e instalações de processamento da informação, segundo a ISO/IEC 27002:2005(2005). POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Para Dantas (2001), pode-se definir a política de segurança como um documento que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades sobre o que deve ser feito para alcançar um padrão desejável de proteção para as informações. A política de segurança deve estabelecer princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos computacionais e, consequentemente, as informações por eles manipuladas. Segundo a NBR ISSO/IEC27002(2005), é recomendado que a política de segurança da informação seja revisada periodicamente e de forma planejada ou quando ocorrerem mudanças significativas, para assegurar a sua continua pertinência, adequação e eficácia. CLASSIFICAÇÃO DA INFORMAÇÃO Antes de estabelecer uma política é necessário definir o que será protegido e, e para isso, classificar as informações em níveis de prioridade, assim como sua importância. As informações são, usualmente, classificadas em: Pública: pode vir a público sem consequências danosas para a empresa; Interna: deve ter o acesso evitado, porém as consequências do uso não autorizado não sejam prejudiciais à organização; Confidencial: restrita aos limites da empresa, cuja publicação pode levar ao desequilíbrio operacional, perdas financeiras, desvantagem de competitividade; Secreta: crítica para as atividades da empresa, cuja integridade deve ser mantida a qualquer custo e o acesso restrito a poucas pessoas. Esta informação é vital para a organização. Tem a variação da classificação quanto a área da organização, exemplo: militar, médica, etc.

4 DEFININDO UMA POLÍTICA DE SEGURANÇA DE INFORMAÇÕES Seguir as normas da ISO/IEC 27002, além das leis, decretos e outras medidas que a organização possui. Tem os seguintes propósitos: Descrever o que está sendo protegido e por quê; Prioridades sobre o que precisa ser protegido e os custos; Estabelecer um acordo entre várias partes da empresa; Garantir o funcionamento (autoridade) do departamento de segurança. Ir além de sistemas ou recursos computacionais. COMO COMEÇAR UMA POLÍTICA DE SEGURANÇA 1.Escrever uma política para sua organização: não incluir nada específico como hardware ou software. Reunir algumas ideias essenciais, como um levantamento de informações sobre a empresa; 2.Criar um comitê de política de segurança: com pessoas de setores diferentes para colaborarem com pontos de vista diferentes, que estejam comprometidas com a ideia de política de segurança; 3.Divulgue a intenção e deixe um espaço aberto para opiniões externas ao comitê; 4.Trate as políticas e regras como a força de leis: não permitir violações, com apoio da administração; 5.Problemas com a política? Crie emendas: bem elaborada; 6.Consolidação (atualização) da política e das emendas: reuniões com o comitê; 7.Sempre manter a política atualizada e divulgada na organização. DIVISÕES DA POLÍTICA Quando o documento tende a ser muito grande (devido o tamanho da organização, complexidade da segurança da informação, etc.) pode ser mais prático o documento conter regras específicas para cada situação. Texto em nível estratégico: exemplo de abrir uma porta firewall para que uma operação da empresa seja realizada temporariamente. Algo que seja crucial. Texto em nível tático: Padronização de ambiente: equipamentos, softwares, senhas, backups, segurança física, etc. Texto em nível operacional: SO, redes, softwares. Padronizar detalhes desses ambientes.

5 REFERÊNCIAS LAUREANO, Marcos A. P. Segurança da Informação. Curitiba: Livro Técnico, MORAES, Alexandre F. Segurança em Redes: Fundamentos. 1. ed. São Paulo: Érica, OLIVEIRA, Paulo C. Política de Segurança da Informação: definição, importância, elaboração e implementação. Disponível em < Acesso em 18 de julho de Questões 1.Explique a diferença de um dado e de informação. 2.Comente sobre a ISO/IEC 27002: Diferencie: ameaça, vulnerabilidade e risco. 4.Busque na Internet e cite exemplos reais de Políticas de Segurança da Informação.