Segurança da Informação: Guia Completo

Classificado em Tecnologia

Escrito em em português com um tamanho de 7,23 KB

Pilares Básicos da Segurança da Informação

Confidencialidade

A informação só pode ser acessada por pessoas autorizadas. A confidencialidade pode ser ameaçada se alguém interceptar pacotes de dados durante a transmissão.

Integridade

A integridade garante que a informação não foi apagada, copiada ou alterada, não só no seu caminho, mas também na sua origem.

Disponibilidade

Refere-se às precauções contra danos à informação e ao acesso a ela. Greves, acidentes ou descuidos podem levar à necessidade de métodos de bloqueio.

Autenticidade

Confirma que o arquivo em questão é real, enquanto a integridade garante que o arquivo não foi adulterado ou editado. Os métodos de autenticação para verificação de identidade podem ser classificados em três categorias:

  • Algo que o usuário conhece (por exemplo, senha)
  • Algo que o usuário possui (por exemplo, um documento)
  • Propriedades físicas ou atos involuntários (por exemplo, impressão digital)

Elementos Protegidos pela Segurança da Informação

A segurança da informação não deve ser confundida com a segurança na Internet, que inclui informações contextuais, como a segurança física. A segurança do computador visa proteger quatro elementos principais:

  • Software: Conjunto de sistemas lógicos executados no hardware.
  • Hardware: Todos os sistemas físicos do computador.
  • Dados: Conjunto de sistemas lógicos cuja função é gerenciar software e hardware. Dados não são o mesmo que informação; um dado isolado não é consistente, enquanto a informação possui significado. Os dados se tornam informação quando seu criador lhes atribui significado.
  • Consumíveis: Itens que se desgastam com o uso contínuo (papel, cartuchos).

Importância dos elementos a serem protegidos: Informática > Software e Hardware > Elementos dispensáveis.

Tipos de Ataques

  • Interrupção (contra a disponibilidade): Quando os dados ou informações de um sistema são corrompidos, perdidos, bloqueados ou indisponíveis.
  • Fabricação (contra a autenticidade): Ocorre quando um invasor consegue inserir um objeto no sistema atacado.
  • Ajuste (contra a integridade): Um invasor, autorizado ou não, manipula os dados, afetando sua integridade.

Ameaças à Segurança da Informação

Fatores humanos e ex-funcionários representam o grupo mais poderoso. Outras ameaças incluem:

  • Hackers, Crackers, Lamers: Indivíduos que tentam invadir sistemas interna ou externamente.
  • Clickers e Gecece: Pessoas que dependem de programas, geralmente criados por hackers, para realizar ataques.
  • Intrusos pagos: Indivíduos com conhecimento privilegiado que podem receber pagamento por seus serviços.
  • Hackers: Pessoas interessadas ou apaixonadas por informática.
  • Crackers: Indivíduos que realizam engenharia reversa de software.
  • Clickers: Pessoas que dependem de programas feitos por hackers para realizar ataques.
  • Sniffers: Programas para captura de dados da web, como senhas.
  • Código-fonte: Código-fonte de elementos de outros softwares.

Políticas de Segurança da Informação

IMPORTANTE: É crucial criar uma política de segurança cooperativa, envolvendo pessoas ou grupos especializados em diferentes áreas da computação. Cada membro deve ter responsabilidades de acordo com o plano estabelecido.

Procedimentos

Após o inventário e a aceitação dos riscos, procede-se à enumeração dos procedimentos para construir uma política de segurança. Esses pontos devem ser apresentados por indivíduos ou grupos especializados, com a colaboração de um funcionário.

Perguntas Orientadoras para a Elaboração de Procedimentos

  • Quem usou o recurso? É fundamental conhecer as pessoas envolvidas no tratado de segurança, definindo direitos, responsabilidades e ações a serem tomadas.
  • Qual é o uso de cada recurso? É necessário criar documentos ou regras que os usuários devem ler, aprender e seguir. Essas normas são conhecidas como "Políticas de Uso Aceitável" e devem especificar o comportamento estrito, as ações permitidas e proibidas.
  • Quais são as obrigações dos usuários? Os usuários são responsáveis pelos sistemas que utilizam. As regras devem cumprir os requisitos definidos na política de segurança, abordando pontos como: escolha e cuidado com a senha, expiração de senha, privacidade de e-mail, regras a seguir independentemente dos recursos, privacidade da informação e limites de uso de recursos.
  • Quem aprova o uso de cada recurso? Os recursos da empresa podem variar para cada setor, portanto, deve haver alguém competente para autorizar o acesso.

Tipos de Distribuição de Acesso

  • Distribuição Central: Todos os requisitos são absorvidos por um único núcleo.
  • Distribuição Ampla ou Setorial: Os requisitos são absorvidos por um núcleo em cada setor.

O Administrador

O administrador é responsável pelo controle da gestão dos sistemas corporativos. Sua administração não pode ser ilimitada; a política de segurança deve nomear e listar as regras que ele deve seguir.

Incidentes

Sempre que alguém contradiz a política de segurança, consciente ou inconscientemente, ocorre um incidente. É crucial ter um plano de resposta a incidentes, que deve considerar: o usuário é externo ou interno? Houve intenção? O ato foi consumado?

Estratégias de Resposta a Incidentes

  • Proteger e Prosseguir: Prioriza a restauração dos serviços e recursos, agindo rapidamente. A desvantagem é que a velocidade nem sempre permite a identificação do invasor.
  • Perseguir e Julgar: Monitora e identifica o invasor, coletando evidências e aprendendo sobre suas técnicas e as fraquezas do sistema.

Problemas Comuns

  • Criação de diferentes pontos de acesso para os usuários.
  • Sistemas não verificados por padrão.
  • Versões desatualizadas dos aplicativos.
  • Dependência excessiva de funcionários.
  • Servidores públicos com autenticação fraca ou ausente.
  • Servidores privados com autenticação fraca ou ausente.
  • Uso de senhas fracas ou fáceis.

Modelos de Políticas de Segurança

  • Bell-LaPadula: Divide o acesso do usuário às informações com base em etiquetas de segurança. Focado na confidencialidade, não na integridade. Exemplo: sistemas militares dos EUA.
  • Clark-Wilson: Baseia-se na classificação de aplicativos para gestão de informações. Projetado para proteger a integridade das informações.

Entradas relacionadas: