Fundamentos e Estratégias de Segurança da Informação

Segurança: Definição Abrangente

Estado, qualidade ou condição de uma pessoa ou coisa que está livre de perigos, de incertezas, assegurada de danos e riscos eventuais, afastada de todo mal.

Segurança: Uma Perspectiva Alternativa

Segurança é uma falsa percepção da realidade.

Auditoria: Exame Detalhado

Exame analítico minucioso de uma empresa pública ou privada.

Segurança da Informação: Conceito Essencial

Refere-se a todas as normas, procedimentos, ferramentas e técnicas usadas para proteger os sistemas de informação contra acessos não autorizados, alterações, roubos e danos físicos.

Profissional de Segurança da Informação: Papel

O profissional em segurança da informação zela pela integridade e resguardo de informações das empresas, protegendo-as contra acessos não autorizados. Assim, dentro dos princípios de confidencialidade, integridade e disponibilidade, esse profissional realiza análises de riscos, administra sistemas de informações, projeta, planeja contingências e recuperação em sinistros.

Profissional de SI: Responsabilidades Chave

• Definir critérios de segurança para gestão de tecnologia da informação;
• Desenvolver e implementar políticas de segurança da informação;
• Identificar vulnerabilidades em sistemas de proteção da informação;
• Implementar algoritmos criptográficos de domínio público.

Profissional de SI: Áreas de Atuação

Gestão

Política de segurança da informação, evitar vulnerabilidades, confidencialidade.

Análise de Segurança

Papel técnico, implementação de tecnologias de segurança, cumprir as políticas de segurança, combater malware, melhoria na segurança de rede.

Análise de Teste

Avaliar a segurança; processos, tecnologias e controles físicos.

Computação Forense

Todas as anteriores, investigador, âmbito jurídico, criminal.

Importância da Segurança da Informação

• Crescente informatização das corporações;
• Aumento do volume de informação circulando em meios digitais;
• Avanço da internet e mercados globalizados.

Problemas na Percepção da SI

• Importância da SI é subestimada;
• Atribuir SI apenas à área tecnológica;
• Considerar SI como despesa, não como investimento.

Principais Objetivos da SI

• Confidencialidade;
• Integridade;
• Disponibilidade;
• Autenticidade.

Confidencialidade

Garantia de que a informação é acessível somente por pessoas autorizadas.

Integridade

Garantia da exatidão e completude da informação e dos métodos de processamento.

Disponibilidade

Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

Autenticidade

Garantir que um usuário é de fato quem alega ser.

Outros Objetivos da SI

Não-Repúdio

Capacidade do sistema de provar que um usuário executou uma determinada ação.

Legalidade

Garantir que o sistema esteja aderente à legislação pertinente.

Privacidade

Capacidade de um sistema manter anônimo um usuário, impossibilitando o relacionamento entre o usuário e suas ações.

Auditoria

Capacidade do sistema de auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataque.

Conceitos Essenciais em Segurança da Informação

Incidente de Segurança

É a ocorrência de um evento que possa causar interrupções nos processos de negócio em consequência da violação de algum dos objetivos da SI.

Ativo de Informação

Composto pela informação e tudo aquilo que a suporta ou a utiliza.

Ataque

Um tipo de incidente de segurança caracterizado pela existência de um agente que busca obter algum tipo de retorno, atingindo algum ativo.

Risco

Probabilidade de uma ameaça se concretizar juntamente com o impacto que estas ameaças trarão.

Valor

Importância da informação.

Vulnerabilidades em SI

• Ausência de quaisquer mecanismos de proteção;
• Configurações mal feitas nos mecanismos existentes;
• Existência de mecanismos inadequados de proteção;
• Ausência ou deficiência de uma cultura empresarial de segurança.

Ameaça: Definição

É um ataque potencial a um ativo de informação.

Tipos de Ameaça

Natural

Fenômenos naturais/meteorológicos.

Acidental

Erros de usuário, falhas de sistema, falta de energia.

Intencional

Invasões, espionagem, extorsão, terrorismo.

Incidente de Segurança: Detalhes e Exemplos

Violação, explícita ou implícita, de uma política de segurança. Ex:

• Tentativas de acesso não autorizado a sistemas ou dados;
• Uso ou acesso não autorizado a um sistema;
• Ataques de negação de serviço;
• Roubos de informação.

Categorias de Ativos

Ativos de Informação

• Base de dados;
• Arquivos;
• Documentação de sistemas;
• Informações em geral.

Ativos Físicos

• Equipamentos computacionais/comunicação;
• Mídias;
• Ambientes físicos;
• Equipamentos técnicos.

Ativos de Software

• Aplicativos;
• Sistemas operacionais;
• Ferramentas de desenvolvimento.

Tipos de Proteção em SI

Preventiva

Evita que incidentes ocorram.

Desencorajadora

Desencoraja a prática de ações.

Limitadora

Diminui danos causados.

Monitoradora

Monitora o estado e funcionamento de ativos de informação.

Detectora

Detecta a ocorrência de incidentes.

Reativa

Reage a determinados incidentes.

Corretiva

Repara falhas existentes.

Recuperadora

Repara danos causados por incidentes.

Estratégias de Proteção em SI

Privilégio Mínimo

Usuários devem ter acesso apenas aos ativos que lhes permitam desempenhar sua tarefa adequadamente.

Defesa em Profundidade

Diversas barreiras físicas ou lógicas atuando de forma complementar.

Elo Mais Fraco

A segurança de um sistema é equivalente à segurança oferecida pelo ponto mais frágil.

Ponto de Estrangulamento

Limitar o acesso externo a um único ponto, para que os controles possam ser efetivos.

Princípios Adicionais de Segurança

Obscuridade

Omitir informações, evitar a engenharia social.

Simplicidade

Alta complexidade dificulta a compreensão de possíveis situações adversas.