DOE AGORA Qualquer valor

SEGURANÇA DA INFORMAÇÃO

format_align_left
format_align_justify
format_align_right

UNIDADE 1SEGURANÇA DA INFORMAÇÃO

A partir do estudo desta unidade, você deverá ser capaz de:

  • conhecer as principais características de segurança em um ambiente computacional e os principais motivadores de segurança;

  • compreender os principais fundamentos de segurança da informação;

  • entender a importância dos controles e medidas de segurança lógica, física e ambiental, tendo em vista as diversas vulnerabilidades existentes.

TÓPICO 1FUNDAMENTOS DA SEGURANÇA DA INFORMAÇÃO

1 INTRODUÇÃO

Segurança da informação é, de forma sucinta, um conjunto de ações para proteção de um dos mais valiosos ativos em nossa sociedade, a informação. Visando proteger o valor que ele possui, minimizando o risco e o impacto de possíveis ataques. Segurança da informação se aplica em todos os níveis de proteção da informação, independentemente se ela está armazenada em meio digital ou física.

O surgimento das redes de computadores e a interconexão destas aos meios de comunicação expuseram as informações mantidas por estas redes a inúmeros tipos de ataques e vulnerabilidades, dado o valor destas informações e sua importância para as empresas que as geraram e utilizam. O falso anonimato proporcionado por tais meios de comunicação, como por exemplo, a internet, torna ainda mais atrativo para pessoas mal-intencionadas à busca destas informações.

As empresas e instituições das mais diversas naturezas começaram a perceber os problemas relacionados à segurança da informação, e buscam a cada dia mitigar e/ou eliminar os riscos relacionados às vulnerabilidades existentes, protegendo seus dados contra-ataques.

Este tópico, portanto, tem por finalidade apresentar a você os principais conceitos relacionados à segurança da informação, os principais motivadores e os principais benefícios obtidos com a correta utilização de medidas de proteção no ambiente computacional.

2 PORQUE ESTUDAR SEGURANÇA DA INFORMAÇÃO

Historicamente, desde os primeiros homens com a descoberta do fogo, até os segredos industriais das empresas modernas, detinha o poder aquele que possuía a informação. Sun Tzu (2006) já dizia que atacar a estratégia do inimigo é de suprema importância na guerra, seja ela travada pela conquista de uma região, ou de um cliente. A informação, ou a desinformação, faz com que governos e governantes surjam ou mesmo desapareçam. Um grande exemplo disto foi a influência russa na eleição de Donald Trump em 2016 através de uma campanha digital direcionada e por ações de crackers (TIMES, 2016).

Como diz Soares (2014), cada vez mais ouvimos dizer que a informação é o ativo mais importante do século XXI, que a informação é um fator crítico de sucesso, que vivemos em uma sociedade da informação ou que informação é poder. E isto não é novidade, ainda mais hoje, depois de termos passado pela Era Industrial, caracterizada pela revolução industrial e suas industrias, e estarmos na transição entre a Era da Informação e a do Conhecimento, caracterizada pelo bombardeio de dados e informações que recebemos todos os dias por todas os dispositivos tecnológicos que estão ao nosso alcance.

São vários os exemplos de como a informação, ou a falta dela, pode fazer grandes diferenças. A fórmula de como produzir uma Coca-Cola foi, por muitos anos um segredo que manteve a marca entre as maiores do mundo. Outro exemplo são os gigantescos investimentos que as prefeituras estão fazendo para se transformarem em cidades inteligentes, gerando e analisando dados e informações de todas as formas possíveis. Ou ainda os investimentos que as grandes empresas estão fazendo em big data como diferencial competitivo. Ou ainda mais próximos de nós, imagine o que poderia acontecer se alguém conseguisse, independentemente como, os dados do seu cartão de crédito.

Um exemplo simples da aplicação da importância de como a informação é o ativo mais importante das organizações, foi o atentado terrorista às Torres Gêmeas em 11 de setembro de 2011. Várias empresas deixaram de existir porque operavam em uma das torres e mantinham seus backups na outra torre (SPANIOL, 2018). Como as duas torres foram abaixo, muitas destas empresas deixaram de existir não por causa da perda física ou de pessoas, e sim por não ter mais as informações que estavam armazenadas por lá. E este não é um caso isolado, há vários casos de empresas que encerraram suas operações porque seus datacenters sofreram por alguma vulnerabilidade, seja lógica, física ou ambiental.

Como um dos maiores crackers dos Estados Unidos nos anos 1990, Kevin Mitnick, hoje consultor de segurança, escreveu:

Qual é o ativo mais valioso do mundo em qualquer organização? Não é o hardware de computador, não são os escritórios nem a fábrica, nem mesmo o que é proclamado no tão conhecido clichê da corporação – ‘Nosso ativo mais valioso é nosso pessoal’. O fato óbvio é que qualquer um deles pode ser substituído. Tudo bem, não tão facilmente, não sem luta, mas muitas empresas sobreviveram depois que sua fábrica foi queimada ou que alguns funcionários chave saíram. Sobreviver à perda da propriedade intelectual, entretanto, é uma história totalmente diferente. Se alguém rouba seus designs de produto, sua lista de clientes, seus planos de novos produtos, seus dados de P&D, esse seria um golpe que poderia fazer sua empresa desaparecer (MITNICK; SIMON, 2005, p. 131).

icone uni

Apesar do que a mídia define como sendo um hacker, existe uma diferença entre hacker e cracker que estudaremos na Unidade 2. Segundo o Olhar Digital (2013, s.p.):

Na prática, os dois termos servem para conotar pessoas que têm habilidades com computadores, porém, cada um dos "grupos" usa essas habilidades de formas bem diferentes. Os hackers utilizam todo o seu conhecimento para melhorar softwares de forma legal e nunca invadem um sistema com o intuito de causar danos. No entanto, os crackers têm como prática a quebra da segurança de um software e usam seu conhecimento de forma ilegal, portanto, são vistos como criminosos.

icone uni

Curioso sobre o mundo hacker? Assista ao seriado Mr. Robot da USA Network. Este seriado é um drama, descrito como um suspense tecnológico, no qual um jovem programador que trabalha como engenheiro de segurança cibernética durante o dia e como hacker justiceiro durante a noite. Por mais que seja uma ficção, possui hackers reais trabalhando como consultores e apresenta técnicas e ferramentas reais de hacking.

Entendendo o valor das informações, observamos a necessidade de sua proteção, ou seja, a garantia de segurança destas. Mas, como podemos fazer isto? Antes de responder a esta questão, vamos analisar algumas outras informações.

icone uni

Neste livro, entende-se por informação todo e qualquer conteúdo ou dado que tenha algum valor.

Segundo dados do e-BIT (2018), mais de 55 milhões de consumidores fizeram pelo menos uma compra virtual em 2017, um aumento de 15% se comparado a 2016 ou de 480% se comparado a dez anos antes (9,5 milhões em 2007) ou ainda de 4914% se comparado ao 1,1 milhões de 2001 (e-BIT, 2009).

GRÁFICO 1 – EVOLUÇÃO DOS E-CONSUMIDORES (ATIVOS)

<p>GRÁFICO 1 – EVOLUÇÃO DOS E-CONSUMIDORES (ATIVOS)</p>

FONTE: E-bit (2018, s.p.)

Também podemos observar um crescimento exponencial similar no total de incidentes reportados ao CERT.br, o Grupo de Resposta a Incidentes de Segurança para a Internet no Brasil, mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil, responsável por tratar incidentes de segurança em computadores que envolvam redes conectadas à Internet no Brasil. Este levantamento mostra que passou de 12.301 ataques reportados em 2001 para 833.775 em 2017, um aumento de 6678% (CERT.br, 2018a). 

GRÁFICO 2 – TOTAL DE INCIDENTES REPORTADOS AO CERT.BR POR ANO

<p>GRÁFICO 2 – TOTAL DE INCIDENTES REPORTADOS AO CERT.BR POR ANO</p>

FONTE: CERT.br (2018a, s.p.)

Como podemos analisar com os dados apresentados acima, a expansão da utilização da internet trouxe com ela também o aumento da quantidade de incidentes de segurança, comprovando mais uma vez a necessidade de a segurança ser aplicada na área de tecnologia da informação. Devemos ter em mente que quanto maior for nossa exposição ao mundo digital, maiores serão os riscos digitais que estaremos correndo, se não tomarmos as devidas medidas protetivas. Por exemplo, você possui software antivírus no seu smartphone e em todos seus dispositivos digitais?

Uma maneira simples de entender porque devemos estudar a segurança no mundo digital é através da comparação com os níveis de segurança em atividades comuns. Por exemplo, quando compramos um automóvel, a principal segurança está relacionada com a chave que permite abrir a porta e ligá-lo. Para maior proteção contra os invasores que quebram os vidros, uma prática comum é a instalação de alarmes. Pode-se ainda ter o cuidado de sempre estacionar o automóvel em estacionamentos com vigilantes, além de outros cuidados adicionais. No mundo digital, a segurança funciona de maneira semelhante. Os dados pessoais armazenados em arquivos digitais estão protegidos de acordo com os níveis de segurança utilizados pelos usuários.

Voltando à analogia, mesmo tomando todas as medidas de segurança que você pode, seu automóvel sempre estará 100% seguro? Enquanto você precisa encontrar todas as brechas de segurança e implantar todas as barreiras, um invasor precisaria encontrar uma só brecha desprotegida para ser bem-sucedido. Ou seja, como diz o ditado, “a força de uma corrente é igual à força de seu elo mais fraco”.

Todavia, quanto você deve investir em segurança? Você blindaria seu automóvel, contrataria serviço de vigilância via satélite e escolta armada para protegê-lo enquanto fica parado na sua garagem? O custo de se proteger contra uma ameaça deve ser menor que o custo da recuperação se a ameaça o atingir (BLUEPHOENIX, 2008).

A questão é: existe segurança absoluta? Existe alguma situação em que não existe mais brecha e se está totalmente seguro, sem ameaça alguma ou vulnerabilidade, em que é totalmente impossível acontecer um ataque? A resposta é não! Mesmo sendo utilizado como marketing de alguns produtos, isto não é 100% garantido. Toda segurança é relativa. O que é possível fazer é administrar um nível aceitável de risco.

icone uni

Acesse o site Segurança Legal (www.segurancalegal.com). Ele possui bons artigos, inclusive um que será apresentado no final desta unidade, e excelentes podcasts (algo como um programa de rádio gravado, ou mesmo uma aula, que você pode ouvir a qualquer hora) que tratam de temas que envolvem Direito da Tecnologia, Segurança da Informação e tecnologia de forma geral.

3 O QUE É SEGURANÇA DA INFORMAÇÃO

A quantidade exponencial de dados que está sendo criada significa que cada ano potencialmente trará brechas de segurança ainda maiores. Mesmo assim, muitas empresas só começam a pensar nisto após terem passado por algum tipo de incidente de segurança. Como já discutimos anteriormente, informação é o ativo mais valioso das grandes empresas e exige uma proteção adequada.

A informação pode existir de diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou meio através do qual a informação é compartilhada ou armazenada, é recomendado que seja sempre protegida adequadamente (ABNT, 2013, p. 6).

icone uni

O Brasil tem seguido as normas da International Organization for Standardization – ISO, que são publicadas pela Associação Brasileira de Normas Técnicas – ABNT. A norma que trata de gerenciamento de segurança da informação é a ISO/IEC 7799, que foi traduzida e assumiu a sigla ABNT NBR ISO/IEC 17799 (ABNT, 2005). Posteriormente sua atualização, a ISO/IEC 27.002, assumiu a sigla ABNT NBR ISO/IEC 27.002:2013 (ABNT, 2013). Leia esta última para ter um maior domínio sobre as normas de segurança da informação e já se preparar para a Unidade 3.

Segundo o dicionário Houaiss (2018, s.p.), segurança é “estado, qualidade ou condição de quem ou do que está livre de perigos, incertezas, assegurado de danos e riscos eventuais; situação em que nada há a temer”. E o que é segurança da informação? “É a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio e maximizar o retorno sobre investimentos e as oportunidades de negócio” (ABNT, 2013, p. 9).

E como conseguir segurança da informação e administrar um nível aceitável de risco já que não existe segurança absoluta?

A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio (ABNT, 2013, p. 10).

4 PESSOAS, PROCESSOS E TECNOLOGIAS

Mitnick (2003, p. 4) diz que “a segurança não é um produto, é um processo. Além disso, a segurança não é um problema para a tecnologia, ela é um problema para as pessoas”. Isto quer dizer que a segurança possui um conjunto de atividades relacionadas que devem ser executadas em um ciclo contínuo de análise do problema, síntese de uma solução e avaliação da solução.

Segundo Pfleeger (1997), quem investe em segurança da informação deve ter como base três segmentos: pessoas, tecnologia e processos. As pessoas constituem a mais importante variável, mas que muitas vezes é deixada de lado nas organizações. Suas habilidades, atitudes e conhecimentos fazem com que a organização alcance a sua visão de futuro. Sem considerar quem vai executar e interagir, não seria possível definir nem os processos nem as tecnologias.

O processo é a diretriz que organiza e define as ações das pessoas, o caminho de como fazer a organização alcançar seus objetivos. Ele representa como aquela organização funciona, como serão executadas as atividades, por quem será feita esta execução e quais tecnologias serão utilizadas.

Por fim, as tecnologias são as ferramentas que permitem que os processos possam ser executados pelas pessoas, apoiando de forma a alcançar os melhores resultados para a organização. Este talvez seja o mais amplo dos três, pois todo dia é, ou pode ser, criada uma nova ferramenta para executar uma tarefa de uma melhor forma. Se aplicarmos a ideia em segurança da informação, sempre haverá uma nova forma de burlar um sistema.

Pessoas, processos e tecnologia, trabalhando de forma integrada, acabam por formar o tripé de sustentação, execução e entrega das estratégias corporativas. Assim, quanto maior a aderência e resposta deste tripé às exigências e definições estratégicas da empresa, maior será sua capacidade competitiva da mesma (CORP, 2011, s.p.).

FIGURA 1 – PROCESSO, PESSOAS E TECNOLOGIA

<p>FIGURA 1 – PROCESSO, PESSOAS E TECNOLOGIA</p>

FONTE: Oliveira (2018, s.p.)

A imagem anterior ilustra a importância da integração de pessoas, processos e tecnologia na busca de um ponto de equilíbrio. Caso não haja esta integração, poderá acontecer algum destes casos:

  • Processos e tecnologias sem pessoas implica na alienação e alta rotatividade das pessoas e, consequentemente, na subutilização dos sistemas.
  • Pessoas e tecnologias sem processos acarreta confusão e um caos automatizado, já que existe um sistema que auxilia em processos não otimizados, além de baixar a qualidade do atendimento ao cliente.
  • Pessoas e processos sem tecnologias causa frustração nas pessoas envolvidas e ineficiência nos processos, elevando os custos das operações.

Tenha sempre em mente que segurança da informação é um conjunto que envolve várias variáveis. Do que adiantaria ter um sistema de última geração se os usuários não são treinados para isto. Ou ainda, ter usuários treinados e que seguem processos, mas cujo sistema pode ser invadido por qualquer script kiddie. Então, lembre-se de levar em consideração todas estas variáveis em segurança da informação.

icone uni

Segundo o site sobre tecnologias CanalTech (2014), script kiddie é o nome atribuído de maneira depreciativa aos crackers inexperientes que procuram alvos fáceis para aplicar seus poucos conhecimentos técnicos. Seu objetivo é obter a conta do administrador de uma máquina (root) do modo mais simples possível e que não exija conhecimentos técnicos avançados.

5 AS PROPRIEDADES DE SEGURANÇA DA INFORMAÇÃO

Para proteger a informação, é necessário garantir algumas propriedades. As principais violações destas propriedades, identificadas na literatura, correspondem à revelação não autorizada, modificação e produção não autorizada da informação, além do ataque de negação de serviço (DoS – Denial of Service). Evitar estas violações em sistemas complexos é sempre uma tarefa árdua. Segundo a NBR ISO/IEC 27002 (ABNT, 2013) a segurança está fundamentada sobre três propriedades que devem ser mantidas: confidencialidade, integridade e disponibilidade das informações.

  • Confidencialidade: necessidade de garantir que as informações sejam divulgadas somente àqueles que possuem autorização para vê-las. Ex.: alguém obtém acesso não autorizado ao seu computador e lê as informações contidas na sua declaração de imposto de renda (ZUBEN, 2018).
  • Integridade: necessidade de garantir que as informações não tenham sido alteradas acidentalmente ou deliberadamente, e que elas estejam corretas e completas. Ex.: alguém obtém acesso não autorizado ao seu computador e altera informações da sua declaração de imposto de renda, momentos antes de você enviá-la à Receita Federal (ZUBEN, 2018).
  • Disponibilidade: necessidade de garantir que os propósitos de um sistema possam ser atingidos e que ele esteja acessível àqueles que dele precisam. Ex.: o seu provedor sofre uma grande sobrecarga de dados ou um DoS e por este motivo você fica impossibilitado de enviar sua declaração de Imposto de Renda à Receita Federal (ZUBEN, 2018).

icone uni

O ataque de negação de serviço, também conhecido como DoS, é uma técnica que visa deixar um sistema indisponível para seus utilizadores. O ataque não é uma invasão ao sistema, ele faz com o sistema seja sobrecarregado de tal forma que não consiga mais cumprir com sua função.

Estes três atributos também são referenciados na literatura como CID (confidencialidade, integridade e disponibilidade), CIA (availability, integrity e confidentiality) ou também como a tríade de segurança (PFLEEGER; PFLEEGER, 2006). Além destes citados, a NBR ISO/IEC 27002 (ABNT, 2013) também define que podem estar envolvidas:

  • Autenticidade: garante que uma mensagem provém do emissor anunciado e que é livre de adulterações ou qualquer outro tipo de corrupção da mensagem.
  • Não-repúdio: também chamado de irretratabilidade, é a garantia que o emissor da mensagem não poderá posteriormente negar a autoria da mensagem.
  • Confiabilidade: é a propriedade de comportamento e resultados pretendidos consistentes, ou seja, é confiável.

icone uni

A NBR ISO/IEC 27002 utiliza o termo 'não-repúdio', entretanto, a ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) adota o termo 'irretratabilidade' como vernáculo do inglês 'non-repudiation' por se tratar de termo jurídico tradicional, consagrado e amparado pela legislação vigente. As palavras 'repúdio' e 'retratação' referem-se a conceitos distintos no código de direito penal e o primeiro não caracteriza a infração cometida pelo signatário que nega, de má-fé, o compromisso contratual assumido.

Fontes (2006) ainda cita que proteger a informação significa garantir, além das três principais propriedades e do não-repúdio, também as propriedades a seguir:

  • Legalidade: o uso das informações deve estar de acordo com as leis aplicáveis, normas regulamentadoras, licenças, concessões, regimentos e contratos firmados, assim como com os princípios éticos seguidos pela organização e desejados pela sociedade.
  • Auditabilidade: o acesso e uso das informações devem ser registrados, permitindo identificar quem a acessou e o que este fez com a informação obtida.

Não existe uma hierarquia entre estas propriedades, mas dependendo do objetivo do sistema, podemos perceber uma maior relevância de um sobre os outros. Por exemplo, para acessar seu e-mail, o servidor que hospeda este serviço deve estar disponível naquele momento, enquanto que é mais importante que seus dados cadastrais em um serviço devem ser confidenciais e ninguém sem autorização possa ter acesso.

6 OS CONTROLES DE SEGURANÇA DA INFORMAÇÃO

Qualidade e segurança andam juntas. Algumas premissas da segurança são originadas nos conceitos que envolvem a qualidade, em que para se obter o desejado, neste caso segurança, é necessário planejamento e envolvimento dos diversos níveis da organização, como podemos observar na imagem a seguir e detalhados em seguida. Obviamente, esta é somente uma introdução para que você possa ter a fundamentação para algumas questões trabalhadas no decorrer desta unidade, mas na Unidade 3 detalharemos um pouco mais algumas políticas, normas, padrões e procedimentos.

FIGURA 2 – POLÍTICA, NORMAS E PROCEDIMENTOS

<p>FIGURA 2 – POLÍTICA, NORMAS E PROCEDIMENTOS</p>

FONTE: Bradesco (2018, s.p.)

  • Políticas: utilizadas no nível estratégico, definem a estrutura, as diretrizes e as obrigações referentes à segurança da informação. Um dos principais exemplos é a Política de Segurança da Informação, chamada de PSI, que é um documento que, entre outras coisas, orienta e estabelece as diretrizes para a proteção da informação.
  • Normas: são utilizadas pelos gerentes no nível tático, estabelecem obrigações e procedimentos, definidos de acordo com as diretrizes da política, a serem seguidos em diversas situações em que a informação é tratada. Um exemplo é a ABNT NBR ISO/IEC 27002 que, dentre outras coisas, normaliza a construção de uma PSI.
  • Procedimentos: instrumentalizam o disposto nas normas e na política, permitindo a direta aplicação nas atividades da organização, descrevendo as operações necessárias para a realização de uma tarefa. Hierarquicamente são utilizados no nível operacional. Um grande exemplo são os procedimentos de backups, importantes em várias situações e que devem estar definidas em um documento que especifique o procedimento de controle de backup e restore.

Estes três níveis de controles são definidos e utilizados na mitigação de riscos, ou seja, na busca de prever contra determinada situação, detectar e reagir de forma adequada, buscando diminuir o impacto de um incidente. Estes temas estão definidos a seguir.

7 ANÁLISE E GESTÃO DE RISCOS EM SEGURANÇA 

Risco é a combinação da probabilidade de um evento e de suas consequências (ABNT, 2009). Ou, conforme podemos observar na imagem que detalharemos a seguir, de acordo com Sêmola (2003, p. 50):

é a probabilidade de que agentes, que são ameaças, explorem vulnerabilidades, expondo os ativos a perdas de confidencialidade, integridade e disponibilidade, e causando impactos nos negócios. Esses impactos são limitados por medidas de segurança que protegem os ativos, impedindo que as ameaças explorem as vulnerabilidades, diminuindo, assim, o risco.

FIGURA 3 – RELACIONAMENTO ENTRE OS TERMOS ASSOCIADOS AO RISCO PARA A SEGURANÇA DA INFORMAÇÃO

<p>FIGURA 3 – RELACIONAMENTO ENTRE OS TERMOS ASSOCIADOS AO RISCO PARA A SEGURANÇA DA INFORMAÇÃO</p>

FONTE: Beal (2008, p. 16)

Um exemplo deste fluxo é apresentado na figura anterior. Quando um agente provoca uma ameaça e explora uma vulnerabilidade, produz um ataque ao alvo, causando um incidente de segurança e gerando um impacto. As medidas de proteção podem afastar ou mesmo evitar uma ameaça, proteger o alvo de ataques, evitar os incidentes e reduzir o impacto (BEAL, 2008). Detalharemos melhor estes conceitos nas próximas subseções.

Usando um exemplo de Tusset (2008), vamos começar diferenciando o que são ameaças, vulnerabilidades e ataques através do exemplo de uma casa. Podemos dizer que uma ameaça é o roubo de móveis, dinheiro e eletrodomésticos. Já algumas vulnerabilidades podem ser uma janela aberta ou uma porta que não esteja trancada. E o ataque consiste na invasão propriamente dita com o consequente roubo de bens.

A seguir, alguns outros exemplos apresentados por Lopes (2017):

1- Alguns usuários deixam suas senhas corporativas anotadas na última página da agenda, estas ficam sobre sua mesa de trabalho:

  • Agente: qualquer pessoa.
  • Alvo: agenda.
  • Ameaça: roubo da senha.
  • Vulnerabilidade: ligada ao ativo (agenda, acesso fácil sem controle).
  • Incidente: acessar indevidamente, roubo.

2- Os servidores ficam em uma sala sem controle de temperatura, a rede elétrica não é estabilizada, em caso de falta de energia elétrica não existe redundância e não há um controle de acesso a essa sala:

  • Agente: qualquer pessoa, queda de energia e superaquecimento.
  • Alvo: servidores com os sistemas.
  • Ameaça: roubo dos servidores, indisponibilidade de serviços por falta de energia ou danos causados por alta temperatura.
  • Vulnerabilidade: acesso fácil sem controle.
  • Incidente: roubo dos servidores, indisponibilidade de serviços por falta de energia, queima ou chaveamento automático de equipamentos.

3- Os sistemas operacionais das estações de trabalho não estão atualizados:

  • Agente: agentes mal-intencionados (vírus).
  • Alvo: sistemas, rede interna, aplicativos.
  • Ameaça: instalação de agentes mal-intencionados.
  • Vulnerabilidade: incompatibilidade de sistemas, envio de e-mails, redirecionamento de portas de acesso, acesso remoto indevido, roubo de arquivos ou corrupção deles.
  • Incidente: envio de e-mails, redirecionamento de portas de acesso, acesso remoto indevido, roubo de arquivos ou corrupção deles.

4- A navegação na internet (cabeada e sem fio) não requer autenticação alguma e é liberada:

  • Agente: qualquer pessoa.
  • Alvo: rede.
  • Ameaça: baixo desempenho da navegação.
  • Vulnerabilidade: qualquer acesso de qualquer pessoa.
  • Incidente: alto consumo de banda, improdutividade no trabalho e infecção da rede.

Os principais componentes descritos anteriormente estão melhor detalhados nas subseções a seguir.

7.1 AMEAÇAS

Uma ameaça é o primeiro ponto a ser estudado por um agente para a concretização de um ataque. Ameaça é a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização (ABNT, 2013). É qualquer coisa que possa afetar ou atingir o funcionamento, operação, disponibilidade e integridade da rede ou do sistema.

Segundo Beal (2008), as ameaças a que se sujeitam informação e ativos de informação podem ser classificadas como:

  • Ambientais: naturais, como fogo, chuva, raio, terremoto, ou decorrentes de condições do ambiente, como interferência eletrônica, contaminação por produtos químicos, falhas no suprimento de energia elétrica ou no sistema de climatização.
  • Técnicas: configuração incorreta de componentes de TI, falhas de hardware e software.
  • Lógicas: códigos maliciosos, invasão de sistema.
  • Humanas: erro de operação, fraude, sabotagem.

Sêmola (2003) também define as ameaças quanto a sua intenção, divididas em três grupos: naturais, involuntárias e voluntárias. A primeira, naturais, refere-se às ameaças decorrentes de fenômenos da natureza. Dentre aquelas que possuem interferência direta do ser humano, as involuntárias são as ameaças inconsistentes, quase sempre causadas pelo desconhecimento e as voluntárias são as ameaças propositais causadas, por exemplo, por crackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador e incendiários.

Sobre as ameaças voluntárias, é importante salientar que não são somente os hackers e crackers que estão motivados a realizar um ataque, mas também funcionários insatisfeitos, ex-funcionários, parceiros de negócio e concorrentes.

Alguns exemplos, não necessariamente da área de tecnologia da informação, mas que podem afetar a segurança da informação são:

  • Catástrofes: desabamento, explosão, incêndio e inundação.
  • Supressão de serviços: falta de energia, queda de comunicações e falha de equipamentos.
  • Comportamento antissocial: paralisações, motins, invasão e piquetes.
  • Ação criminosa: terrorismo, sequestro, roubos e furtos, fraudes, sabotagens e espionagem industrial.

A partir do momento em que um agente provocou uma ameaça, independentemente do tipo e da intenção, pode-se explorar alguma vulnerabilidade, que estudaremos na próxima subseção.

7.2 VULNERABILIDADES

As vulnerabilidades são os pontos fracos, ou falhas, existentes e que podem ser explorados em um ataque para gerar um incidente e causar um impacto. Segundo a Cartilha de Segurança para Internet do CERT.br (2018b, s.p.):

Uma vulnerabilidade é definida como uma condição que, quando explorada por um atacante, pode resultar em uma violação de segurança. Exemplos de vulnerabilidades são falhas no projeto, na implementação ou na configuração de programas, serviços ou equipamentos de rede.

Ou seja, a vulnerabilidade por si só não provoca os incidentes de segurança, pois são elementos passivos. Por isto precisam de um agente causador. As suas principais origens são:

  • Deficiência de projeto: brechas no hardware/software.
  • Deficiência de implementação: instalação/configuração incorreta, por inexperiência, falta de treinamento ou desleixo.
  • Deficiência de gerenciamento: procedimentos inadequados, verificações e monitoramento insuficientes.

Alguns exemplos de vulnerabilidades são:

  • Instalação física: má proteção física de equipamentos e mídia.
  • Hardware e software: situações não previstas, limites e bugs no projeto, deixando brechas que podem ser exploradas.
  • Mídia: roubo, perda, danificação, desgaste de discos.
  • Transmissão: interceptação de sinal, monitoramento, grampo.
  • Humana: desleixo, preguiça, estupidez, ganância, revolta.

Segundo pesquisa da TrendLabs (2012) as dez práticas mais arriscadas feitas por funcionários em empresas são:

  • Acessar a internet por redes sem fio desprotegidas.
  • Não remover informação confidencial e desnecessária dos computadores.
  • Compartilhar senhas com outros.
  • Usar o mesmo usuário e senha em diferentes sites e contas on-line.
  • Usar dispositivos USB sem criptografia para armazenar informação confidencial.
  • Deixar os computadores sem supervisão quando estão fora da empresa.
  • Não avisar a empresa após a perda de dispositivos USB com dados confidenciais.
  • Não usar telas de proteção ao trabalhar em documentos confidenciais fora da empresa.
  • Carregar informação sensível desnecessária no notebook durante viagens.
  • Usar dispositivos móveis pessoais para acessar a rede da empresa.

Por mais que esta lista seja de 2012, você considera que ela está desatualizada? Estas práticas estão relacionadas aos procedimentos que as pessoas utilizam e não à tecnologia. Mudar o hábito das pessoas normalmente é mais lento e/ou difícil do que atualizar uma tecnologia.

Analise a imagem a seguir e faça o seguinte exercício: quantas vulnerabilidades você consegue encontrar?

FIGURA 4 – BRECHAS DE SEGURANÇA

<p>FIGURA 4 – BRECHAS DE SEGURANÇA</p>

FONTE: Peixoto (2006, s.p.)

Nesta imagem vemos uma sala de escritório antiga com funcionários, computadores, mesas, livros e vários outros itens normais de um escritório. Entretanto, várias falhas estão evidentes. Cito algumas: usuário e senha em um post-it, um funcionário falando alto a sua senha por telefone, um visitante olhando uma funcionária trabalhar com dados sigilosos, uma caneca de café em cima dos HDs de backup que estão na mesma sala de trabalho, documentos oficiais no lixo padrão, entre várias outras irregularidades que eram inadmissíveis na data de publicação do charge, mas que ainda hoje são praticadas nas empresa.

icone uni

Pesquise informações sobre as vulnerabilidades da urna eletrônica brasileira, principalmente os artigos relacionados ao Prof. Diego Aranha, analise de forma crítica as informações e tire suas conclusões. Segue uma sugestão de link: <https://www.tecmundo.com.br/seguranca/122152-urnas-eletronicas-falhas-vulnerabilidades-fraudes-mesario.htm>. Acesso em: 25 abr. 2019.

Depois que uma vulnerabilidade foi explorada, um ataque ao alvo acontece. A subseção a seguir apresenta os principais tipos de ataques.

7.3 ATAQUES

Os ataques são o que mais ouvimos falar nas reportagens e abrangem desde um simples vírus até as guerras cibernéticas. Segundo a Cartilha de Segurança para Internet do CERT.br (2018b, s.p.):

Um ataque de exploração de vulnerabilidades ocorre quando um atacante, utilizando-se de uma vulnerabilidade, tenta executar ações maliciosas, como invadir um sistema, acessar informações confidenciais, disparar ataques contra outros computadores ou tornar um serviço inacessível.

Um ataque a um sistema é uma ação tomada por um intruso malicioso (ou, em alguns casos, um erro de operação por parte de um usuário inocente) que envolve a exploração de determinadas vulnerabilidades de modo a concretizar uma ou mais ameaças (TANENBAUM; WETHERALL, 2011).

Para entender melhor os ataques, devemos antes entender o modelo de comunicação da teoria da informação de Shannon (1948), ainda aplicado até hoje e que, no seu modelo mais simples, apresenta os seguintes elementos:

  • Remetente: responsável por enviar a mensagem.
  • Destinatário: a quem a mensagem será enviada.
  • Canal de comunicação: por onde a mensagem será enviada.
  • Mensagem: a mensagem propriamente dita.

Existem evoluções dela que apresentam um transmissor, um receptor, uma fonte de ruído, um código, entre outros, mas que não serão necessários para este tópico de estudo.

Na figura a seguir é apresentado o fluxo padrão de envio de uma mensagem, alguns possíveis ataques e a relação com os princípios de segurança da informação. Este fluxo normal é aquele que se pretende alcançar em uma comunicação eletrônica segura, em que o remetente A envia a mensagem de forma segura ao destinatário B.

FIGURA 5 – ATAQUES NO ENVIO DE UMA MENSAGEM

<p>FIGURA 5 – ATAQUES NO ENVIO DE UMA MENSAGEM</p>

FONTE: <https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqHNvQOl_FfMPl85rGc6ku5ExrKchbUy9jDNfX_hEBh96jVQ786xByBN3RQVKL9wtB4hqyb_wR7SOic9i3xJCRjgx7srywEzqTNJlX_3IjZxpwgR5W-Xfk-9-ESpVvNmUatl4gFbPWtSgq/s1600/fluxo.bmp>. Acesso em: 24 abr. 2019.

De acordo com Stallings (2015), apresentado na imagem anterior, os possíveis ataques são:

  • Interrupção: O fluxo de informação parte do remetente A, mas não chega ao destinatário B, pois é interrompido no meio do caminho. Isto pode ser causado por um impedimento do sistema de informação ou um dano físico às instalações necessárias à transmissão. Um exemplo é quando Alice tenta enviar uma mensagem para Bob, mas a mensagem não chega até ele.
  • Modificação: O fluxo de informação parte do remetente A, mas é interceptado por um agente malicioso M, que a modifica e envia para o destinatário B. Este tipo de ataque afeta a integridade da informação. Um exemplo deste ataque ocorre quando Alice tenta enviar uma mensagem para Bob, mas antes de ser entregue a mensagem é recebida por um atacante, que a modifica e envia para Bob.
  • Fabricação: O agente malicioso F entra no circuito de informação e envia uma mensagem ao destinatário B, se passando pelo remetente A, ou seja, a informação é fabricada pelo agente malicioso F e enviada para B. Este ataque afeta a autenticidade da informação. Isto ocorre, por exemplo, quando um atacante envia uma mensagem para Bob, se passando por Aline.
  • Interceptação: O fluxo de informação parte do remetente A e chega normalmente ao destinatário B, porém o agente malicioso I estava monitorando o fluxo e consegue também ter acesso à informação. Ou seja, a informação é interceptada pelo agente malicioso I sem que A ou B percebam. Este ataque afeta a confidencialidade da informação. Um exemplo é quando Alice envia uma mensagem para Bob, mas um atacante também consegue ler a mensagem.

Além disto, outras definições sobre o fluxo da informação é que eles podem ser classificados em dois tipos:

  • Passivo: quando só há a interceptação, monitoramento ou análise de tráfego (origem, destino, tamanho, frequência), sem a alteração da mensagem.
  • Ativo: quando há adulteração, fraude, reprodução (imitação) ou bloqueio do fluxo da mensagem.

Sobre as formas de ataques digitais, a seguir vemos um gráfico daqueles reportados ao CERT.br no ano de 2017 (CERT.br, 2018a) no qual é possível observar que mais de 50% deles estão relacionados ao escaneamento de portas na busca de brechas para ataques e em segundo lugar estão os ataques de negação de serviço, conhecidos como DoS. Estas portas proporcionam uma interface de entrada e saída para os dados que trafegam na rede. O escaneamento de portas é uma técnica utilizada para procurar por portas abertas em uma rede e desta forma encontrar uma vulnerabilidade.

GRÁFICO 3 – INCIDENTES REPORTADOS AO CERT.BR

<p>GRÁFICO 3 – INCIDENTES REPORTADOS AO CERT.BR</p>

FONTE: CERT.br (2018a, s.p.)

Antes de apresentar dois outros ataques que estão causando muito prejuízo às organizações (engenharia social e os ransomware), apresentamos um pouco sobre a segurança na internet que fundamenta uma boa parte dos tipos de ataques.

7.4 SEGURANÇA NA INTERNET

Vamos voltar um pouco no tempo e analisar a charge a seguir, publicada em 1993 no The New Yorker (STEINER, 1993). Nela, um cachorro em frente ao computador fala para outro cachorro: “Na internet, ninguém sabe que você é um cão” (tradução livre). Hoje, todo mundo tem pelo menos uma identidade on-line, mesmo que falsa. Qualquer pessoa conectada à internet pode fingir, ser qualquer outra pessoa, seja uma criança, um amigo ou um especialista divulgando notícias alarmantes, sem sequer revelar seu verdadeiro nome. Seja crítico, desconfie e tome as devidas precauções, pois do outro lado pode ser alguém mal-intencionado aplicando de engenharia social para conseguir algo de você.

FIGURA 6 – NA INTERNET, NINGUÉM SABE QUE VOCÊ É UM CÃO

<p>FIGURA 6 – NA INTERNET, NINGUÉM SABE QUE VOCÊ É UM CÃO</p>

FONTE: Steiner (1993, s.p.)

Em 2015, Hafeez fez uma releitura do cartum anterior, apresentado a seguir. Neste, os mesmos cachorros, ambos mais velhos, observam seu dono no computador quando um pergunta ao outro: “Lembra quando, na internet, ninguém sabia quem você era?” (tradução livre). A charge gera o questionamento se ainda há anonimato on-line. Podemos ainda não saber quem está do outro lado, mas com certeza existem aqueles que sabem. Por exemplo, Edward Snowden apresentou ao WikiLeaks, em 2013, provas de que a Agência de Segurança Nacional dos Estados Unidos da América (NSA) estava vigiando seus próprios cidadãos (G1, 2013). Ou ainda, como disse o ministro de Segurança Pública Raul Jungmann ao TSE em 2018: "Não existe anonimato na internet e a Polícia Federal tem capacidade de chegar a qualquer deles [autores], em qualquer lugar do mundo" (URIBE, 2018).

FIGURA 7 – LEMBRA QUANDO, NA INTERNET, NINGUÉM SABIA QUEM VOCÊ ERA?

<p>FIGURA 7 – LEMBRA QUANDO, NA INTERNET, NINGUÉM SABIA QUEM VOCÊ ERA?</p>

FONTE: Hafeez (2015, s.p.)

icone uni

Acesse o site <https://internetsegura.br/>, idealizado pelo CGI.br (Comitê Gestor da Internet no Brasil) e conheça as cartilhas e jogos didáticos, para todas as idades, que mostram como se manter seguro na internet.

7.5 ENGENHARIA SOCIAL

Sobre engenharia social Mitnick (2013, s.p.) diz: “Uma empresa pode gastar centenas de milhares de dólares em firewalls, sistemas de criptografia e outras tecnologias de segurança, mas se um cibercriminoso engana uma pessoa de confiança dentro da empresa, todo esse dinheiro investido não servirá para nada”.

Engenharia social se baseia na manipulação psicológica das pessoas, na busca que ela faça o que você deseja. Isto independe de tecnologia e muitas vezes só precisa ter um conhecimento mínimo sobre o assunto. O velho golpe do bilhete premiado, por exemplo, é um ataque de engenharia social. O e-mail com uma história envolvente, que contém um anexo ou um link para você clicar, também se utiliza desse tipo de ataque, e assim a lista vai crescendo, funcionando como base para muitos outros ataques mais complexos. Observe a seguir uma parábola, adaptada, sobre engenharia social, apresentada por Fontes (2006, s.p.).

O ELO MAIS FRÁGIL

Após vários meses de trabalho árduo com a equipe técnica responsável pela proteção dos servidores e da rede, o CIO resolveu contratar uma consultoria externa para tentar quebrar a segurança da empresa. Depois de vários contatos, uma consultoria reconhecida no mercado foi contratada. Os acertos iniciais foram feitos e as regras, acordadas.

Uma semana depois do início do trabalho, os especialistas da consultoria ainda não tinham conseguido entrar no ambiente da rede. O pessoal da organização tinha feito muito bem seu dever de casa.

O prazo para a consultoria estava terminando e nada de quebra de segurança. Até que um dia um dos consultores esqueceu o crachá da organização e teve de esperar no hall de entrada. Ele notou que não havia recepcionista e que os visitantes que chegavam olhavam uma lista de ramais e ligavam para a área de interesse. O funcionário, então, vinha buscar o visitante na recepção. O consultor olhou a lista e logo ligou para o Help Desk de outra unidade solicitando uma nova senha como se fosse um funcionário da empresa. Com um pouco de engenharia social, o atendente aceitou a explicação e forneceu a senha dizendo: “Somos muito rígidos! Essa senha é descartável e você só vai poder utilizá-la uma vez. Sabe como é, são procedimentos de segurança!”

Com um acesso válido, o consultor acessou a rede e, por medida de segurança, trocou a senha descartável. A partir daí foi fácil, pois o consultor tinha-se feito passar por um importante funcionário: o administrador da rede. A consultoria conseguiu mostrar, dentro das regras estabelecidas, a fragilidade na proteção da informação, e a organização recebeu um novo dever de casa para fazer.

Enquanto a engenharia social ataca as vulnerabilidades nas pessoas, existe uma vasta gama de ataques que visam a tecnologia. Os ransomwares são um ataque muito utilizado atualmente e que tem provocado grandes prejuízos. Eles são definidos como: “Um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário” (CERT.br, 2018b, s.p.).

Ou seja, um cracker invade seu servidor ou banco de dados, criptografa suas informações e exige um resgate, normalmente pago em alguma moeda digital não rastreável, para liberar a chave que decifra seus dados. Fique atento!

Sequestrar dados de empresas que acabam acarretando prejuízos financeiros é um grande problema, mas há criminosos que estão atacando até mesmo hospitais, colocando vidas em risco. Por este e outros motivos, os ransomwares estão na mira de grandes agências de segurança como, por exemplo, o FBI (FBI, 2018).

icone uni

Leia o livro A arte de enganar, de Kevin Mitnick (MITNICK, 2003). Neste livro o autor conta parte da sua história pessoal e como realizou vários ataques de engenharia social, inclusive contra a própria Agência Central de Inteligência Americana (CIA).

7.6 RANSOMWARE

Enquanto a engenharia social ataca as vulnerabilidades nas pessoas, existe uma vasta gama de ataques que visam a tecnologia. Os ransomwares são um ataque muito utilizado atualmente e que tem provocado grandes prejuízos. Eles são definidos como: “Um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário” (CERT.br, 2018b, s.p.).

Ou seja, um cracker invade seu servidor ou banco de dados, criptografa suas informações e exige um resgate, normalmente pago em alguma moeda digital não rastreável, para liberar a chave que decifra seus dados. Fique atento!

Sequestrar dados de empresas que acabam acarretando prejuízos financeiros é um grande problema, mas há criminosos que estão atacando até mesmo hospitais, colocando vidas em risco. Por este e outros motivos, os ransomwares estão na mira de grandes agências de segurança como, por exemplo, o FBI (FBI, 2018).

icone uni

Novamente o site <https://cartilha.cert.br/> (CERT.br, 2018b) traz bons esclarecimentos e boas dicas de como se proteger contra este ataque que vem a cada ano acarretando um grande prejuízo financeiro nas organizações, independentemente do tamanho delas.

Para afastar ou mesmo evitar uma ameaça, proteger o alvo de ataques, evitar os incidentes e reduzir o impacto, devemos utilizar de algumas medidas protetivas. Estas medidas são apresentadas na subseção a seguir.

7.7 MEDIDAS PROTETIVAS

Existem várias formas de diminuir o risco de segurança da informação. As medidas protetivas são técnicas ou métodos usados para se defender de ataques, ou para fechar ou compensar vulnerabilidades. Segundo Beal (2008), apresentados na figura a seguir, eles podem ser classificados em:

  • Medidas preventivas: cujo objetivo é evitar que os incidentes venham a ocorrer, são controles que reduzem as probabilidades de uma ameaça e vulnerabilidade, tais como políticas de segurança, controles de acesso físicos e lógicos, programas de conscientização e treinamento e sistemas de prevenção de intrusão.
  • Métodos detectivos: buscam identificar condições ou indivíduos causadores de ameaça, estes métodos detectam e expõem ataques/incidentes e desencadeiam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita, tais como monitoração da rede, sistemas de detecção de intrusos, auditorias ou até mesmo as câmeras de segurança.
  • Medidas reativas: que são ações voltadas à correção da estrutura para que se adapte às condições preventivas, reduzem o impacto de um incidente. São medidas tomadas após a ocorrência do evento, tais como ações legais, restauração do serviço e procedimentos de resposta a incidentes.

FIGURA 8 – COMPONENTES DO RISCO E MEDIDAS DE PROTEÇÃO USADAS PARA REDUZI-LO

<p>FIGURA 8 – COMPONENTES DO RISCO E MEDIDAS DE PROTEÇÃO USADAS PARA REDUZI-LO</p>

FONTE: Beal (2008, s.p.)

Além dos conceitos acima descritos, a imagem também demonstra que as ameaças somadas às vulnerabilidades, quando mal gerenciadas, facilitam o ataque a um ativo da informação e, caso seja concluído, gera o incidente de segurança que culmina em um impacto para os negócios da organização (PRATA, 2009). 

Descrição da figura: além do que foi apresentado no texto, a figura exemplifica os seguintes conceitos, já definidos e apresentados nas seções anteriores:

  • Ameaça: erro humano, desastres naturais, fraude, invasão espionagem etc.
  • Vulnerabilidade: pessoal mal treinado, instalações desprotegidas, controles inadequados etc.
  • Ataque: invasão, acesso indevido, inserção incorreta de dados etc.
  • Incidente: destruição de dados, perda de integridade, divulgação indevida, quebra de equipamentos etc.
  • Impacto: prejuízo financeiro, prejuízo para a imagem, perda de eficiência etc.

Estas medidas protetivas podem variar de atitudes mais simples, executadas em seu computador e dispositivos móveis, como listado a seguir (CERT.br, 2018b):

  • Mantenha os programas instalados com todas as atualizações aplicadas.
  • Use apenas programas originais.
  • Use mecanismos de proteção.
  • Use as configurações de segurança já disponíveis.
  • Seja cuidadoso ao manipular arquivos.
  • Proteja seus dados.
  • Mantenha seu computador/celular com a data e a hora corretas.
  • Crie um disco de recuperação de sistema.
  • Seja cuidadoso ao instalar aplicativos desenvolvidos por terceiros.
  • Seja cuidadoso ao enviar seu computador/celular para serviços de manutenção.
  • Seja cuidadoso ao utilizar seu computador/celular em locais públicos.
  • Tome cuidado ao usar computadores de terceiros.
  • Faça backups.
  • Utilize sempre boas senhas.
  • Utilize sempre que possível a criptografia.

Além destas técnicas e mecanismos mais simples, existem aqueles mais complexos e técnicos, como apresentado no quadro logo a seguir.

Mecanismos de segurança específicos - podem ser incorporados a fim de oferecer alguns dos serviços de segurança.

  • Codificação: o uso de algoritmos matemáticos para transformar os dados para um formato que não seja prontamente inteligível. A transformação e subsequente recuperação dos dados depende de um algoritmo e zero ou mais chaves de encriptação.
  • Assinatura digital: dados anexados a (ou uma transformação criptográfica de) uma unidade de dados que permite que um destinatário dela prove sua origem e integridade e a proteja contra falsificação (por exemplo, pelo destinatário).
  • Controle de acesso: uma série de mecanismos que impõem direitos de acesso aos recursos.
  • Integridade de dados: uma série de mecanismos utilizados para garantir a integridade de uma unidade de dados ou fluxo de unidades de dados.
  • Troca de autenticação: um mecanismo intencionado a garantir a identidade de uma entidade por meio da troca de informações.
  • Preenchimento de tráfego: a inserção de bits nas lacunas de um fluxo de dados na rede para frustrar as tentativas de análise de tráfego.
  • Controle de roteamento: permite a seleção de determinadas rotas fisicamente seguras para certos dados e mudanças de roteamento, sobretudo quando uma brecha de segurança é suspeitada.
  • Notarização: o uso de um terceiro confiável para garantir certas propriedades de uma troca de dados.

Mecanismos de segurança difusos: mecanismos que não são específicos a qualquer serviço.

  • Funcionalidade confiada: aquilo que é percebido como sendo correto com relação a alguns critérios (por exemplo, conforme estabelecido por uma política de segurança).
  • Rótulo de segurança: a marcação vinculada a um recurso (que pode ser uma unidade de dados) que nomeia ou designa os atributos de segurança desse recurso.
  • Detecção de evento: detecção de eventos relevantes à segurança.
  • Trilha de auditoria de segurança: dados coletados e potencialmente utilizados para facilitar uma auditoria de segurança, que é uma revisão e exame independentes dos registros e das atividades do sistema.
  • Recuperação de segurança: lida com solicitações de mecanismos, como funções de tratamento e gerenciamento de eventos, e toma medidas de recuperação.

FONTE: Stallings (2015, p. 15)

icone uni

Acesse o site <https://www.cert.br/docs/palestras/> do próprio CERT.br. Neste site, você pode encontrar várias palestras, tanto os slides quanto os vídeos, feitas pelo grupo em vários eventos nacionais e internacionais.

Após a introdução de alguns importantes conceitos relacionados com a problemática da análise e gestão do risco, na subseção a seguir é apresentada uma ferramenta que possibilita rapidamente verificar quais são os riscos que devem receber mais atenção.

7.8 MATRIZ DE RISCO

A matriz de riscos é uma ferramenta que classifica, qualitativamente, os pesos de impacto e probabilidade. Como apresentado na figura a seguir, é particionada em quatro áreas, as quais caracterizam os níveis de riscos (pequeno, moderado, alto e crítico), relacionando com os cinco graus de impacto do incidente (insignificante, pequeno, moderado, grande e catastrófico) e com os cinco níveis de probabilidade de ocorrer (raro, improvável, possível, provável e quase certo).

GRÁFICO 4 – MATRIZ DE RISCO

<p>GRÁFICO 4 – MATRIZ DE RISCO</p>

FONTE: MP (2016, p. 33)

Usando a matriz de riscos em um projeto:

Agora, para vermos na prática como a matriz de riscos funcionaria no gerenciamento de riscos de um projeto, vamos imaginar um projeto de implementação de um novo software em uma empresa. Neste caso, todos os dados de clientes, fornecedores, bem como de pedidos e vendas estão armazenados no sistema antigo (sem backup na nuvem) que vai ser 100% alterado. Vamos ver como seria o passo a passo.

Passo 1 – Liste os principais riscos identificados

Essa é uma breve lista de riscos que poderiam ocorrer ao longo desse projeto:

  • Incêndio do data center (com perda de todos os dados).
  • Perda de informações essenciais (por erro de um programador).
  • Sistema de acompanhamento das novas implementações falhas (impossibilitando registros).
  • Falta de compatibilidade entre dados antigos e sistema novo (gerando falhas).
  • Falta de qualidade do serviço prestado pela empresa contratada (atrasos, programação ruim etc.).
  • Reclamações de usuários por bugs (durante a mudança).
  • Aviso tardio aos usuários sobre mudanças (gerando confusão).
  • Sistema fora do ar (durante a mudança).
  • Ajustes não realizados dentro do prazo (prolongando reclamações e experiência ruim de clientes).
  • Quebra de contrato com nova empresa (ocasionando uma perda de tempo e dinheiro).

Passo 2 – Faça a matriz de riscos de cada risco

Ao fazer a matriz de riscos para cada um dos itens elencados, você vai gerar um nível de risco para cada um deles, também podendo gerar uma pontuação de acordo com os pesos que você define para cada nota. Costuma-se adotar uma pontuação de 1 a 5 para cada um dos eixos.

Neste exemplo, no qual a probabilidade é média e o impacto é grave, a nota para perda de informações essenciais seria 12 (3 x 4) de 25 (maior nível de risco possível).

Passo 3 – Analise os riscos mais relevantes em um ranking

Um cuidado importante é não gastar tempo com riscos muito pouco relevantes para o seu projeto. Por isso, depois de utilizar a matriz de riscos, faça a seleção dos riscos mais importantes. Veja que foram separados apenas 5 dos 10 que havia listado em um primeiro momento:

Passo 4 – Trace medidas para evitar que os riscos se concretizem

A partir de agora que você pode mostrar a qual etapa cada risco está atrelado, bem como listar uma série de soluções que podem ser realizadas para minimizar a chance de o risco acontecer ou para que diminua seu impacto caso o risco se concretize de fato.

Para o risco de falta de compatibilidade entre dados antigos e o sistema novo, uma solução simples são reuniões de alinhamento entre as empresas para que todos os pontos mais importantes sejam contemplados na migração.

Passo 5 – Realize novas medições periodicamente

O último passo do gerenciamento de riscos é o acompanhamento constante. Dependendo do tamanho do projeto ele pode ser realizado a cada etapa entregue, mensalmente ou de acordo com o cronograma do mesmo. O mais importante é ter a certeza de que não esqueceu de todos os riscos que podem impactar negativamente o seu projeto.

FONTE: Ávila (2015, s.p.)

icone uni

Dentre os pontos fortes da matriz de risco estão a sua simplicidade de cálculo, a determinação e a praticidade de sua aplicação, sobretudo por aqueles que possuem um alto conhecimento prático das situações de risco. Entretanto, a aplicação dela fica comprometida quando a sua não possui um conhecimento aprofundado do problema analisado. Desta forma, ao fazer a análise dos riscos, busque conhecer todas as variáveis envolvidas em todos os cenários possíveis.

RESUMO DO TÓPICO

Neste tópico, você aprendeu que:

  • É importante a utilização correta da segurança da informação.

  • Deve-se levar em consideração as principais características da segurança da informação, em um ambiente computacional.

  • Deve haver um equilíbrio entre os processos, tecnologias e pessoas.

  • As principais propriedades de segurança da informação são: confidencialidade, integridade, disponibilidade, autenticidade, não-repúdio, confiabilidade, legalidade e auditabilidade.

  • Os controles de segurança da informação são: políticas, normas e procedimentos.

  • Para garantir a proteção dos ativos, deve-se diminuir os riscos, vulnerabilidades e as ameaças inerentes ao sistema de informação através de medidas de segurança.

  • Deve-se realizar a análise dos possíveis riscos e o tratamento deles.

  • A matriz de risco pode ser utilizada para a mitigação dele.

AUTOATIVIDADES

Unidade 1 - Tópico 1

Utilize o cenário a seguir descrito para responder as questões desta autoatividade.

(ENADE 2008 - Adaptado) A Secretaria de Saúde de determinado município está executando um projeto de automação do seu sistema de atendimento médico e laboratorial, atualmente manual. O objetivo do projeto é melhorar a satisfação dos usuários com relação aos serviços prestados pela Secretaria. O sistema automatizado deve contemplar os seguintes processos: marcação de consulta, manutenção de prontuário do paciente, além do pedido e do registro de resultados de exame laboratorial. A Secretaria possui vários postos de saúde e cada um deles atende a um ou mais bairros do município. As consultas a cada paciente são realizadas no posto de saúde mais próximo de onde ele reside. Os exames laboratoriais são realizados por laboratórios terceirizados e conveniados.

A solução proposta pela equipe de desenvolvimento e implantação da automação contempla, entre outros, os seguintes aspectos:

sistema computacional do tipo cliente-servidor na web, em que cada usuário cadastrado utiliza login e senha para fazer uso do sistema;

uma aplicação, compartilhada por médicos e laboratórios, gerência o pedido e o registro de resultados dos exames. Durante uma consulta o próprio médico registra o pedido de exames no sistema;

uma aplicação, compartilhada por médicos e pacientes, permite que ambos tenham acesso aos resultados dos exames laboratoriais;

uma aplicação, compartilhada por médicos e pacientes, que automatiza o prontuário dos pacientes, em que os registros em prontuário, efetuados por cada médico para cada paciente, estão disponíveis apenas para o paciente e o médico específicos. Além disso, cada médico pode fazer registros privados no prontuário do paciente, apenas visíveis por ele;

uma aplicação, compartilhada por pacientes e atendentes de postos de saúde, que permite a marcação de consultas por pacientes e(ou) por atendentes. Esses atendentes atendem o paciente no balcão ou por telefone.

1  (TRE-CE 2011 – Adaptado) Um ponto muito importante e que deve ser levado em consideração nesta solução, mesmo porque ela irá tratar com dados privados e extremamente sensíveis, é a segurança da informação. Sobre este tema, avalie as afirmações a seguir:

I-   É obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

II-  Os controles de segurança precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.

III- É importante para os negócios do setor público para proteger as infraestruturas críticas, mas não no setor privado. A função da segurança da informação é viabilizar os negócios como o governo eletrônico (e-Gov) e evitar ou reduzir os riscos relevantes.

Assinale a alternativa CORRETA:

2  (SEFAZ-RS 2014 – Adaptado) Na segurança da informação, vários componentes estão envolvidos na gestão de riscos, tais como os agentes, as ameaças e os ataques. A fragilidade de um ativo, como os servidores que hospedam o sistema da Secretaria da Saúde, que pode ser explorada por uma ou mais ameaças, é chamada de:  

3  (SEFAZ-RS 2014 – Adaptado) Vários conceitos permeiam na análise e gestão de riscos em segurança da informação, tais como ameaças, vulnerabilidades, ataques, medidas protetivas, entre outros. No antigo sistema da Secretaria da Saúde, existia a fragilidade do armazenamento dos registros em papel que poderiam, por exemplo, serem queimados por um incêndio iniciado por um curto-circuito. A fragilidade deste ativo, que pode ser explorada por uma ou mais ameaças, é chamada de:   

4  (ENADE 2011 – Adaptado) Em um determinado momento, o servidor que hospeda o sistema da Secretaria de Saúde recebe uma quantidade de requisições de operações, vindas de números IPs distintos, muito acima das condições operacionais previstas para os seus recursos e “trava”, isto é, os seus serviços são interrompidos. Muitas empresas e entidades governamentais sofrem esse tipo de ataque hacker. Para realizá-lo, um atacante precisa distribuir um código, em vários computadores, normalmente sem o consentimento dos destinatários, que se tornam seus “zumbis”. Em um momento, o atacante ativa os “zumbis” que fazem muitos acessos a um determinado alvo, acabando por esgotar seus recursos e derrubando o sistema de informações. A respeito do ataque que o sistema da Secretaria de Saúde foi alvo, analise as afirmações a seguir:

I-   É um ataque de negação de serviço (Denial Of Service).

II-  É um ataque que ameaça o atributo da disponibilidade do sistema.

III- É um ataque em que os hackers roubam as senhas dos usuários, para poder enviar requisições.

IV- É um ataque não detectável por sistemas de antivírus.

Assinale a alternativa CORRETA:

5  (ENADE 2008 – Adaptado) Considerando que entre os principais benefícios deste projeto de melhoria de sistema de informação destacam-se o aumento da: eficiência (ato de fazer as coisas da maneira certa); eficácia (ato de fazer a coisa certa); integridade; e disponibilidade, avalie as afirmações a seguir:

I-    A falta de energia elétrica, por exemplo, poderá levar ao não funcionamento do servidor ou das máquinas clientes web, fazendo com que as informações sobre prontuários, pacientes, consultas e exames fiquem inacessíveis.

II-   Falhas de conectividade à internet poderão levar o sistema à indisponibilidade, e impedir que o médico acesse as informações do paciente, que os atendentes marquem consultas, que os laboratórios recebam e processem pedidos de exame etc.

III- Quebra de equipamentos de armazenamento, como discos rígidos e outras mídias, poderão levar a perda de informações sobre pacientes, médicos, exames, laboratórios etc.

IV- Incêndios em postos de saúde poderão prejudicar a restauração do funcionamento destes, pois todos os dados dos pacientes e médicos serão perdidos caso os computadores deste posto de saúde também sofram com o incêndio.

Assinale a alternativa que descreve riscos de segurança da informação que aumentam quando se substitui o sistema atual pelo sistema proposto, e que são relativos à interação entre pacientes e os serviços da referida secretaria de saúde.

6  (ENADE 2017 – Adaptado) A Secretaria de Saúde sofreu um novo ataque hacker e seus sistemas foram comprometidos. Depois de alguns dias, a equipe de Tecnologia da Informação (TI) da secretaria conseguiu reestabelecer os sistemas, tendo a gestora de TI apresentado um plano com o intuito de criar um setor especializado em segurança da informação para evitar novos ataques. Após a análise dos riscos e benefícios do plano, foi aprovada a implantação do referido setor de segurança da informação. A partir desta especificação do cenário, avalie as asserções a seguir e a relação proposta entre elas.

I-  A implantação de um setor de segurança da informação está associada ao desenvolvimento de uma política de segurança da informação, que é um conjunto de normas, métodos e procedimentos utilizados para a manutenção da segurança da informação, devendo ser formalizada e divulgada a todos os usuários.

PORQUE

II- É interessante verificar a possibilidade de implantação de um sistema que auxilie na preservação da confidencialidade, da integridade e da disponibilidade da informação, por meio da aplicação de um processo de gestão de riscos, fornecendo a confiança de que os riscos são adequadamente gerenciados, sendo importante que este sistema esteja integrado aos processos da organização e a sua estrutura global.

A respeito dessas asserções, assinale a opção CORRETA:

Comentários

Ebook

Postagens mais visitadas