Segurança da Informação: Guia Completo
Classificado em Tecnologia
Escrito em em português com um tamanho de 7,23 KB
Pilares Básicos da Segurança da Informação
Confidencialidade
A informação só pode ser acessada por pessoas autorizadas. A confidencialidade pode ser ameaçada se alguém interceptar pacotes de dados durante a transmissão.
Integridade
A integridade garante que a informação não foi apagada, copiada ou alterada, não só no seu caminho, mas também na sua origem.
Disponibilidade
Refere-se às precauções contra danos à informação e ao acesso a ela. Greves, acidentes ou descuidos podem levar à necessidade de métodos de bloqueio.
Autenticidade
Confirma que o arquivo em questão é real, enquanto a integridade garante que o arquivo não foi adulterado ou editado. Os métodos de autenticação para verificação de identidade podem ser classificados em três categorias:
- Algo que o usuário conhece (por exemplo, senha)
- Algo que o usuário possui (por exemplo, um documento)
- Propriedades físicas ou atos involuntários (por exemplo, impressão digital)
Elementos Protegidos pela Segurança da Informação
A segurança da informação não deve ser confundida com a segurança na Internet, que inclui informações contextuais, como a segurança física. A segurança do computador visa proteger quatro elementos principais:
- Software: Conjunto de sistemas lógicos executados no hardware.
- Hardware: Todos os sistemas físicos do computador.
- Dados: Conjunto de sistemas lógicos cuja função é gerenciar software e hardware. Dados não são o mesmo que informação; um dado isolado não é consistente, enquanto a informação possui significado. Os dados se tornam informação quando seu criador lhes atribui significado.
- Consumíveis: Itens que se desgastam com o uso contínuo (papel, cartuchos).
Importância dos elementos a serem protegidos: Informática > Software e Hardware > Elementos dispensáveis.
Tipos de Ataques
- Interrupção (contra a disponibilidade): Quando os dados ou informações de um sistema são corrompidos, perdidos, bloqueados ou indisponíveis.
- Fabricação (contra a autenticidade): Ocorre quando um invasor consegue inserir um objeto no sistema atacado.
- Ajuste (contra a integridade): Um invasor, autorizado ou não, manipula os dados, afetando sua integridade.
Ameaças à Segurança da Informação
Fatores humanos e ex-funcionários representam o grupo mais poderoso. Outras ameaças incluem:
- Hackers, Crackers, Lamers: Indivíduos que tentam invadir sistemas interna ou externamente.
- Clickers e Gecece: Pessoas que dependem de programas, geralmente criados por hackers, para realizar ataques.
- Intrusos pagos: Indivíduos com conhecimento privilegiado que podem receber pagamento por seus serviços.
- Hackers: Pessoas interessadas ou apaixonadas por informática.
- Crackers: Indivíduos que realizam engenharia reversa de software.
- Clickers: Pessoas que dependem de programas feitos por hackers para realizar ataques.
- Sniffers: Programas para captura de dados da web, como senhas.
- Código-fonte: Código-fonte de elementos de outros softwares.
Políticas de Segurança da Informação
IMPORTANTE: É crucial criar uma política de segurança cooperativa, envolvendo pessoas ou grupos especializados em diferentes áreas da computação. Cada membro deve ter responsabilidades de acordo com o plano estabelecido.
Procedimentos
Após o inventário e a aceitação dos riscos, procede-se à enumeração dos procedimentos para construir uma política de segurança. Esses pontos devem ser apresentados por indivíduos ou grupos especializados, com a colaboração de um funcionário.
Perguntas Orientadoras para a Elaboração de Procedimentos
- Quem usou o recurso? É fundamental conhecer as pessoas envolvidas no tratado de segurança, definindo direitos, responsabilidades e ações a serem tomadas.
- Qual é o uso de cada recurso? É necessário criar documentos ou regras que os usuários devem ler, aprender e seguir. Essas normas são conhecidas como "Políticas de Uso Aceitável" e devem especificar o comportamento estrito, as ações permitidas e proibidas.
- Quais são as obrigações dos usuários? Os usuários são responsáveis pelos sistemas que utilizam. As regras devem cumprir os requisitos definidos na política de segurança, abordando pontos como: escolha e cuidado com a senha, expiração de senha, privacidade de e-mail, regras a seguir independentemente dos recursos, privacidade da informação e limites de uso de recursos.
- Quem aprova o uso de cada recurso? Os recursos da empresa podem variar para cada setor, portanto, deve haver alguém competente para autorizar o acesso.
Tipos de Distribuição de Acesso
- Distribuição Central: Todos os requisitos são absorvidos por um único núcleo.
- Distribuição Ampla ou Setorial: Os requisitos são absorvidos por um núcleo em cada setor.
O Administrador
O administrador é responsável pelo controle da gestão dos sistemas corporativos. Sua administração não pode ser ilimitada; a política de segurança deve nomear e listar as regras que ele deve seguir.
Incidentes
Sempre que alguém contradiz a política de segurança, consciente ou inconscientemente, ocorre um incidente. É crucial ter um plano de resposta a incidentes, que deve considerar: o usuário é externo ou interno? Houve intenção? O ato foi consumado?
Estratégias de Resposta a Incidentes
- Proteger e Prosseguir: Prioriza a restauração dos serviços e recursos, agindo rapidamente. A desvantagem é que a velocidade nem sempre permite a identificação do invasor.
- Perseguir e Julgar: Monitora e identifica o invasor, coletando evidências e aprendendo sobre suas técnicas e as fraquezas do sistema.
Problemas Comuns
- Criação de diferentes pontos de acesso para os usuários.
- Sistemas não verificados por padrão.
- Versões desatualizadas dos aplicativos.
- Dependência excessiva de funcionários.
- Servidores públicos com autenticação fraca ou ausente.
- Servidores privados com autenticação fraca ou ausente.
- Uso de senhas fracas ou fáceis.
Modelos de Políticas de Segurança
- Bell-LaPadula: Divide o acesso do usuário às informações com base em etiquetas de segurança. Focado na confidencialidade, não na integridade. Exemplo: sistemas militares dos EUA.
- Clark-Wilson: Baseia-se na classificação de aplicativos para gestão de informações. Projetado para proteger a integridade das informações.