TÓPICOS ESPECIAIS EM SEGURANÇA DA INFORMAÇÃO

Transcrição

1 TÓPICOS ESPECIAIS EM SEGURANÇA DA INFORMAÇÃO VERSÃO PROF. MARCO ANDRÉ LOPES MENDES PROF. MEHRAN MISAGHI

2 6 AULA 1 PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO OBJETIVOS DA AULA Identificar as classes da informação; Conhecer o ciclo de vida da segurança da informação; Compreender a origem dos problemas ou ataques; Conhecer os mecanismos de segurança; Identificar as medidas de segurança que podem ser aplicadas. CONTEÚDO DA AULA Acompanhe os assuntos desta aula, se preferir, após o seu término, assinale o conteúdo já estudado. Nesta aula, veremos: Classificação da Informação; Ciclo de vida da segurança; Origem dos problemas ou ataques; Mecanismos de segurança; Medidas de segurança.

3 7 Classificação da Informação Nem toda informação é crucial ou essencial a ponto de merecer cuidados especiais. Por outro lado, algumas informações podem ser tão vitais que o custo de sua integridade, qualquer que seja, ainda será menor que o custo de não dispor dela adequadamente. Em (Wadlow, 2000; Abreu, 2001; Boran, 1996) é apresentada, a necessidade de classificação da informação em níveis de prioridade, respeitando a necessidade de cada organização assim como a importância da classe de informação para a manutenção das atividades da organização. As classes de informação são: 1. pública: informação que pode vir a público sem maiores conseqüências danosas ao funcionamento normal da organização, e cuja integridade não é vital; 2. interna: o acesso a esse tipo de informação deve ser evitado, embora as conseqüências do uso não autorizado não sejam por demais sérias. Sua integridade é importante, mesmo que não seja vital; 3. confidencial: informação restrita aos limites da organização, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, perdas financeiras, ou de confiabilidade perante o cliente externo, além de permitir vantagem expressiva ao concorrente; 4. secreta: informação crítica para as atividades da organização, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas. A manipulação desse tipo de informação é vital para a companhia. Ciclo de vida da segurança Devemos definir o que precisa ser protegido? Esta pergunta é extremamente importante e auxilia no processo de elaboração da política de segurança, e implementação dos mecanismos de segurança. Não se pode proteger a organização

4 8 inteira. É necessário definir as prioridades conforme tempo, quantia a ser destinada para esta finalidade entre outros fatores. A figura abaixo ilustra o clico de vida da segurança O que precisa ser protegido? Simulação de um ataque Como proteger? Qual prejuízo, se ataque sucedido? Qual é nível da proteção? Qual é probabilidade de um ataque? Figura 1 - Ciclo de vida da segurança Após de ser definido e direcionado o que será protegido, deve-se pensar em metodologias, mecanismos e ferramentas que podem fornecer a segurança e definir qual é o nível da proteção que se pretende implementar. Certamente, conforme o nível escolhido, o custo, tempo e a ferramenta serão diferentes. Sempre que se pensa em proteger algo, deve se pensar e calcular a probabilidade da realização de um ataque e também mensurar os prejuízos, caso o ataque seja bem-sucedido. Para testar o mecanismo proposto, nada melhor do que a simulação de ataque ao seu sistema. No caso em que o ataque tenha sucesso, deve-se voltar para o início do ciclo de segurança. As etapas do ciclo serão repetidas até que não haja mais ataques bemsucedidos ou tais ataques não resultem em ameaças que sejam riscos imediatos.

5 9 Origem dos problemas ou ataques Normalmente quando nos deparamos com um problema, não nos preocupamos de onde tal problema pode ter sido originado. A origem de um problema ou ataque nos auxilia na prevenção de que tal ataque venha a ocorrer novamente. Como principais origens de problemas e ataques, podemos citar: (Stallings, 2003 e 2006) 1. estudante: alterar ou enviar em nome de outros; 2. hacker: examinar a segurança do sistema; roubar informação; 3. empresário: descobrir o plano de marketing estratégico do competidor; 4. ex-empregado: vingar-se por ter sido despedido; 5. contador: desviar dinheiro de uma organização; 6. corretor: negar uma solicitação feita a um cliente por ; 7. terrorista: roubar segredos de guerra; 8. outros. Mecanismos de segurança Um mecanismo de segurança da informação fornece meios para reduzir as vulnerabilidades existentes em um Sistema de Informação. A segurança fornece a possibilidade e a liberdade necessária para a criação de novas oportunidades de negócios. Não pode se esquecer que a segurança envolve tecnologia, processos e pessoas. É evidente que os negócios estão cada vez mais dependentes das tecnologias e estas precisam estar de tal forma a proporcionar confidencialidade, integridade e disponibilidade que conforme (NBR 17999, 2003; Krause e Tipton, 1999; Albuquerque e Ribeiro, 2002), são os princípios básicos para garantir a segurança das informações (Laureano, 2004): 1. confidencialidade: a informação somente pode ser acessada por pessoas explicitamente autorizadas; É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso ao mesmo. O aspecto mais importante deste item é garantir a identificação e autenticação das

6 10 partes envolvidas; 2. integridade: a informação deve ser retornada em sua forma original no momento em que foi armazenada; É a proteção dos dados ou informações contra modificações intencionais ou acidentais não-autorizadas; 3. disponibilidade: a informação ou sistema de computador deve estar disponível no momento em que a mesma for necessária. O item integridade não pode ser confundido com confiabilidade do conteúdo (seu significado) da informação. Uma informação pode ser imprecisa, mas deve permanecer integra (não sofrer alterações por pessoas não autorizadas). A segurança visa também aumentar a produtividade dos usuários através de um ambiente mais organizado, proporcionando maior controle sobre os recursos de informática, viabilizando até o uso de aplicações de missão crítica (Laurenao, 2004). Outros autores (Dias, 2000; Wadlow, 2000; Shirey, 2000; Krause e Tipton, 1999; Albuquerque e Ribeiro, 2002; Sêmola, 2003; Sandhu e Samarati, 1994) defendem que para uma informação ser considera segura, o sistema que a administra ainda deve respeitar: 1. autenticidade: garante que a informação ou o usuário da mesma é autêntico; atesta com exatidão, a origem do dado ou informação; 2. não-repúdio: não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação; não é possível negar o envio ou recepção de uma informação ou dado; 3. legalidade: garante a legalidade (jurídica) da informação; Aderência de um sistema à legislação; característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes; 4. privacidade: foge do aspecto de confidencialidade, pois uma informação pode ser considerada confidencial, mas não privada. uma informação privada deve ser vista, lida e alterada somente pelo seu dono. Garante ainda, que a informação não será disponibilizada para outras pessoas (neste é caso é atribuído o caráter de confidencialidade a informação). É a capacidade de um usuário realizar ações em um sistema sem que seja identificado;

7 11 5. auditoria: rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação foi submetida, identificando os participantes, os locais e horários de cada etapa. Auditoria em software significa uma parte da aplicação, ou conjunto de funções do sistema, que viabiliza uma auditoria. Consiste no exame do histórico dos eventos dentro de um sistema para determinar quando e onde ocorreu uma violação de segurança. Medidas de segurança Para garantir a segurança da informação deve-se aplicar práticas, procedimentos e mecanismos de proteção para os ativos e as informações (SÊMOLA: 2003). As medidas a serem adotadas podem ser de três tipos: preventivas: visam evitar que incidentes antes que ocorram na organização; detectivas: visam identificar o que pode causar uma ameaça, a fim de evitar que sejam exploradas as vulnerabilidades; corretivas: visam uma estratégia de continuidade das operações caso ocorra algum incidente de segurança.

8 12 EXERCÍCIOS PROPOSTOS 1. Existem vários mecanismos e formas de proteção em um ambiente computacional. Relacione três mecanismos de segurança que sejam relacionados com processos, três mecanismos de segurança relacionados a tecnologias e três mecanismos relacionados as pessoas. 2. Em sua opinião, qual das origens de ataque merece mais atenção? Justifique a sua resposta através de exemplos. 3. Existem três tipos de medidas de segurança. Explique a diferença entre as medidas de segurança através do emprego de um exemplo para cada tipo. SÍNTESE Nesta aula vimos: Classificação da Informação; Ciclo de vida da segurança; Origem dos problemas ou ataques; Mecanismos de segurança; Medidas de segurança.

9 13 REFERÊNCIAS 1) ABREU, Dimitri. Melhores Práticas para Classificar as Informações. Módulo e- Security Magazine. São Paulo, agosto Disponível em 2) BORAN, Sean. IT Security Cookbook, Disponível em 3) KATZAM JR, Harry. Segurança de em Computação. Editora LTC. Rio de Janeiro, ) MISAGHI, Mehran. Princípios de Segurança da Informação. Palestra, Comdex, São Paulo, ) NAKAMURA, EMÍLIO TISSATO e GEUS, PAULO LÍCIO DE. Segurança de redes em ambientes cooperativos. São Paulo: Berkeley Brasil, ) STALLINGS, William. Cryptography and Network Security: Principles and Practice, 3th ed., Prentice Hall, ) WADLOW, Thomas. Segurança de Redes. Editora Campus. Rio de Janeiro, ) KRAUSE, Micki e TIPTON, Harold F. Handbook of Information Security Management. Auerbach Publications, ) ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurança no Desenvolvimento de Software Como desenvolver sistemas seguros e avaliar a segurança de aplicações desenvolvidas com base na ISO Editora Campus. Rio de Janeiro, ) SÊMOLA, Marcos. Gestão da Segurança da Informação Uma visão Executiva. Editora Campus. Rio de Janeiro, ) SANDHU, Ravi S. e SAMARATI, Pierangela. Authentication, Acess Control, and Intrusion Detection. IEEE Communications, 1994.