Segurança da Informação: Conceitos, Riscos e Controles

Classificado em Computação

Escrito em em português com um tamanho de 12,39 KB

A Informação nos processos de negócio

A informação está cada vez mais presente nos processos de negócio. Informação é essencial para o negócio funcionar.

Porém, deve-se tomar cuidado com a informação disponibilizada, pois esta pode causar prejuízos.

Crescimento da dependência da informação — evolução dos riscos

Cada dia mais as empresas dependem das informações. Elas trocam informações e, muitas vezes, a informação só tem valor para a empresa se ela estiver circulando. Por isso fica mais difícil e complexo protegê‑la. Os riscos hoje são maiores do que os de antigamente porque agora compartilhamos informações para que elas tenham valor aos negócios. Assim, cada vez mais você depende dessa informação e está mais interconectado. Tudo isso aumenta o número de riscos, que devem ser devidamente tratados.

Propriedades da informação (CIDAL)

Confidencialidade

Significa que a informação tem um grau de sigilo adequado aos seus participantes. Ou seja, se eu mandei uma informação confidencial, só eu e a pessoa para quem eu a mandei teremos acesso a ela. Se outra pessoa entrar no círculo, não terá acesso à informação.

Integridade

Refere‑se à preservação das operações devidas e à proteção contra alterações indevidas das mensagens. Se a mensagem tiver integridade, então ela não sofrerá alterações não autorizadas. Exemplo: se eu solicito sacar dez reais e a informação chega como se eu quisesse sacar mil reais, houve perda de integridade. A informação deve sair e chegar mantendo‑se íntegra; só pode sofrer alterações devidas.

Disponibilidade

O usuário deve ter acesso à informação no momento em que precisar.

Autenticidade

Inclui a integridade e está relacionada à autoria. Algo autenticado permite ter certeza de que veio de quem diz ter vindo. Se eu mandei uma mensagem e ela foi autenticada, é possível confirmar se ela é realmente minha.

Legalidade

A informação não pode infringir nenhuma lei; ela deve estar em conformidade com as normas e com a legislação.

Ciclo de vida da informação (MATD)

Descreve o que acontece com a informação desde quando ela nasce até quando deixa de ser importante (morre).

Manuseio

Diz respeito a toda a parte de criação e atualização do conteúdo da informação.

Armazenamento

A informação em repouso: armazenada em cofres, servidores, etc. Exemplo: cofre, servidores, etc.

Transporte

Quando você envia a informação, ela está em trânsito. Exemplo: carta lacrada, e‑mail, etc.

Descarte

Quando a informação perde utilidade e chega ao fim de sua vida, ela será descartada. Exemplo: apagar, descartar o CD, picotar, etc.

O que são hackers — tipos

Hackers são especialistas em programação com habilidade para descobrir furos e falhas de sistemas. Muitos têm uma ética hacker e gostam de compartilhar conhecimento.

Cracker é um hacker com intenções maliciosas; é uma instância de hacker com objetivo prejudicial.

Por que a engenharia social é eficaz

Engenharia social explora sentimentos humanos e artifícios para persuadir pessoas a fazer coisas que não fariam em situações normais, como elogiar ou apelar para emoções. É eficaz porque, muitas vezes, as pessoas não estão preparadas para uma abordagem.

Visão do iceberg da segurança

A porção de gelo que vemos fora da linha d'água corresponde a apenas 1/5 de todo o bloco, sendo o restante submerso e escondido. As pessoas tendem a ver apenas a parte mais visível — a tecnologia — e esquecem o restante. Quando menos esperam, as ameaças os pegam de surpresa.

Vulnerabilidades, ameaças e risco

Vulnerabilidade

É entendida como uma fraqueza sua, do seu sistema ou da sua empresa — um ponto fraco que pode levar a um incidente.

Ameaças

São agentes maliciosos, geralmente externos, intencionais, que tentarão causar um incidente.

Risco

Probabilidade de uma ameaça explorar uma vulnerabilidade e transformá‑la em incidente.

O ROI da segurança

Análise feita por investidores ou empresários para verificar se vale a pena um investimento. Tratar a segurança como investimento (ROI), considerando tanto os custos de não agir — repetição de incidentes e prejuízos — quanto os benefícios, como melhor reputação da marca e impactos contábeis. A ideia é transformar segurança em investimento, não apenas em despesa.

Posicionamento hierárquico da segurança

Onde a área de segurança fica no organograma da empresa é importante. O erro comum é colocar a segurança subordinada à área de TI. Isso causa três problemas principais:

  • Visão limitada: o responsável tende a focar apenas na segurança de TI (parte tecnológica).
  • Falta de autoridade: subordinado a outro setor terá pouca autoridade para atuar em áreas diferentes.
  • Orçamento reduzido: orçamento fica condicionado ao que sobrou da TI, e geralmente não sobra.

Risco tendendo a zero

Não existe risco zero. Tentar zerar pode ser contraproducente, além de o risco ser dinâmico (o que é zero hoje pode não ser amanhã). O objetivo é reduzir o risco ao máximo e trazê‑lo a um nível que a organização seja capaz de suportar.

Normas ISO

ISO 17799

Série de controles, recomendações e boas práticas de segurança. Serve para recomendar boas práticas; não obriga, apenas orienta.

ISO 27001

Norma de certificação: para obter certificação, a empresa precisa implementar controles conforme a norma.

Autenticar e repúdio

Autenticar: garantir a autenticidade, aplicada a pessoas, mensagens ou servidores de sistema.

Repúdio: quando alguém nega algo que foi feito (negação de autoria ou negação de uma transação).

Planos e governança de segurança

Plano de retorno: engloba todas as fases da segurança da empresa, visando restaurar operações.

Plano Diretor de Segurança

Plano estratégico que envolve tudo relacionado à segurança.

Etapas: Identificação dos processos de negócio; mapeamento da relevância; estudo de impactos; estudo de prioridades; estudo de perímetros; estudo de atividades.

Sensibilidade (CIDAL)

Classificar cada ativo e processo de acordo com as cinco propriedades da informação (CIDAL) para verificar a sensibilidade do processo.

Matriz GUT

GUT (Gravidade, Urgência e Tendência): ferramenta de gestão que analisa cada item, ativo ou processo sob esses três critérios.

Planos de continuidade e contingência

Plano de continuidade de negócios: plano geral para tratar a contingência.

Plano de contingência: planejamento para possíveis incidentes que venham a acontecer.

Política de Segurança da Informação

Regras e normas a serem seguidas dentro de uma empresa.

Níveis: Diretrizes (estratégico), Normas (nível tático/intermediário, detalham as diretrizes) e Procedimentos (detalham as normas).

Análise de risco e testes

Análise de risco: diagnóstico que as empresas fazem; auditorias solicitam esse levantamento. Faz um raio‑X de todas as possíveis vulnerabilidades.

Teste de invasão: validar a segurança; não faz varredura de tudo, mas verifica se controles e proteção estão adequados.

Ferramentas de autenticação e técnicas

Para que você precisa de autenticação? Para saber se as pessoas com quem você está entrando em contato são realmente quem espera que sejam.

  • MACs: espécie de código simples para verificar a autenticidade da mensagem.
  • Assinatura digital: ato de criptografar a mensagem com sua chave privada; garante autenticidade.
  • Protocolos: diálogo entre duas partes que, se bem projetado, garante origem segura das informações trocadas.
  • Criptografia: escrita oculta — técnica para tornar a mensagem incompreensível a terceiros; hoje é meio fundamental na área de informação.
  • Esteganografia: ocultar a existência da mensagem (por exemplo, em imagens).
  • Criptoanálise: processo reverso da criptografia — verifica a força da cifra.

Técnicas clássicas e algoritmos modernos

Técnicas clássicas: facilmente quebráveis por força bruta. Criptografia de César: cifrava mensagens de forma simples, conhecida entre poucos (ex.: generais).

DES

Algoritmo simétrico projetado para chaves de 56 bits, criptografando em blocos de 64 bits. Característica: efeito avalanche — mudando um bit na entrada, aproximadamente 50% dos bits da saída mudam, dificultando a descoberta da chave.

RSA

Criptografia de chave pública baseada em problemas matemáticos complexos (fatoração de inteiros). Segurança baseada na dificuldade de fatorar os dois números primos. É um algoritmo mais pesado que algoritmos simétricos como DES.

AES

AES é um algoritmo simétrico mais moderno e é o padrão que substituiu o DES.

DSS e curvas elípticas

DSS (Digital Signature Standard) e criptografia por curvas elípticas são mecanismos de chave pública; curvas elípticas podem ser mais eficientes, porém matematicamente complexas.

Hash criptográfico

Função que gera um resumo (DNA) da mensagem — número de tamanho fixo resultado da transformação dos dados. Garante identidade da mensagem (usado em assinatura digital).

SHA-1, MD5 são exemplos de funções hash (observação: MD5 e SHA-1 têm vulnerabilidades conhecidas; para aplicações críticas, usar hashes mais robustos).

Auditoria

Auditoria: examinar, em uma empresa, procedimentos e controles para verificar se estão sendo seguidos.

Naturezas da auditoria

  • Operacional: dia a dia (operações cotidianas).
  • Financeira: saúde financeira da empresa.
  • Legalidade: conformidade com normas e leis.

Auditoria de TI

Auditoria de TI tem natureza operacional e exige conhecimento técnico específico do auditor.

Auditor

Muitas vezes é vantajoso selecionar um bom técnico de TI e treiná‑lo em auditoria. Um bom técnico não é necessariamente um bom auditor; o auditor também deve ter bom relacionamento interpessoal e ser confiável.

Controles organizacionais

Gerência de recursos humanos

Verificar a origem e o histórico das pessoas, independente do cargo.

Segregação de funções

Não permitir que uma pessoa ou grupo controle todas as etapas de um processo, para evitar fraudes. Uma pessoa fiscaliza a outra.

Gerência de recursos computacionais

Gerenciar recursos para prevenir problemas antes que aconteçam.

Diferenças entre criptografia simétrica e de chave pública

Criptografia simétrica

A mesma chave é usada para criptografar e decifrar. Problemas: é necessário um método seguro para trocar chaves e não garante assinatura. Vantagem: é mais rápida.

Chave pública (assimétrica)

Mais lenta, mas mais segura em termos de troca de chaves. Gera‑se um par de chaves (pública e privada) relacionadas matematicamente. Vantagem: para conversar com muitas pessoas, não é preciso ter vários pares simétricos — cada usuário mantém seu par (chave privada secreta e chave pública disponível).

Assinatura digital com chave pública

Tem assinatura digital quando eu criptografo a mensagem com minha chave privada; qualquer um pode verificar a autoria usando minha chave pública.

Certificados digitais e hierarquia de CAs

Certificado digital é a sua chave pública assinada por uma autoridade certificadora (CA).

A hierarquia de CAs organiza‑se em cadeias de confiança: autoridade maior emite certificados para autoridades subordinadas, criando uma cadeia em que uma CA confia na outra por meio de certificados entre elas.

Karma: 8%
Visitas: 0

Entradas relacionadas:

Etiquetas:
integridade engenharia social continuidade de negócios ISO 27001 certificado digital auditoria autenticação disponibilidade segurança da informação confidencialidade criptografia risco