Segurança – Fundamentos

Segurança – Perguntas Principais

Quais as principais perguntas e respostas sobre fundamentos da segurança da informação na empresas?

Cibercrime

O que é cibercrime e quais são as suas categorias?

O cibercrime, também chamado de crime informático, é qualquer atividade ilegal que envolve um computador ou dispositivo conectado à rede, como um telefone celular.

Pode ser segmentado em 3 categorias:

  • Crimes em que o dispositivo de computação é o alvo, por exemplo, para obter acesso à rede;
  • Crimes em que o computador é usado como arma, por exemplo, para iniciar um ataque de negação de serviço ( DoS );
  • Crimes em que o computador é usado como acessório para um crime, por exemplo, quando do uso deum computador para armazenar dados obtidos ilegalmente.

Envolve uma ampla gama de atividades maliciosas, incluindo a interceptação ilegal de dados, interferências do sistema que comprometem a integridade e a disponibilidade da rede e infrações de direitos autorais. Outras formas de cibercrime incluem o jogo ilegal, a venda de itens ilegais como armas, drogas ou produtos falsificados, bem como a solicitação, produção, posse ou distribuição de pornografia infantil.

O cibercrime tem a característica peculiar de que a vítima e o criminosos nunca estão em contato direto; em muitos casos, são separados por milhares de quilômetros. Para reduzir ainda mais as chances de detecção e acusação, os cibercriminosos geralmente optam por operar em países com leis de cibercrimes fracas ou inexistentes. Devido à velocidade, conveniência, o anonimato e a falta de fronteiras, permite ao computador realizar, mais facilmente, vários crimes financeiros, tais como roubo, lavagem dinheiro, fraude, perseguição , assédio moral, dentre outros.

BYOD, Mobilidade e Segurança

Qual a relação entre consumerização, BYOD, Mobilidade e Segurança?

A consumerização de TI – a mistura de uso pessoal e comercial de dispositivos e aplicações – está crescendo devido à uma nova força de trabalho, mais móvel, que cresceu com a Internet.  Hoje, os funcionários têm boa tecnologia em casa e esperam poder usá-la no trabalho também. Isso é chamado de BYOD (Bring Your Own Device). Essa mistura de tecnologia pessoal e comercial está tendo um impacto significativo nos departamentos de TI corporativos, que tradicionalmente disponibilizam e controlam a tecnologia que os funcionários usam para executar o trabalho.

Segurança da Informação

O que é Segurança?

É um conjunto de estratégias  e mecanismos para gerenciar os processos, ferramentas e políticas necessárias para prevenir, detectar, documentar e combater  vulnerabilidades e ameaças às informações digitais e não digitais.

  • É muito mais que proteção contra hackers, funcionários descontentes e vírus.
  • Deve ser tratada como um Processo. Um dos grandes equívocos é tratar Segurança somente no âmbito da tecnologia.
  • Segurança é um habilitador essencial de negócios. Não significa despesa.
  • Permite maiores lucros e margens através de uma conectividade segura com qualquer um em qualquer parte do mundo.
  • Várias soluções e dispositivos podem compor a segurança: firewalls, roteadores, proxies, DMZs (Demilitarized Zone), VPNs (Virtual Private Networks), criptografia, IDS (Intrusion Detection System), IPS (antivírus, e assim por diante.

A segurança foca em 3 principais áreas: confidencialidade , integridade e disponibilidade de sistemas e dados de negócios.

  • Confidencialidade:  divulgar informações apenas às partes autorizadas.
  • Integridade: impedir a modificação não autorizada de dados (integridade)
  • Disponibilidade: garantem que os dados possam ser acessados ​​pelas partes autorizadas quando solicitadas.

A segurança nas empresas. Muitas grandes empresas empregam um grupo de segurança dedicado para implementar e manter a segurança da organização. Normalmente, esse grupo é responsável por conduzir o gerenciamento de riscos , um processo pelo qual as vulnerabilidades e ameaças aos ativos de informação são continuamente avaliadas, e os controles de proteção apropriados são decididos e aplicados. O valor de uma organização está em suas informações – sua segurança é fundamental para as operações de negócios, além de manter a credibilidade e conquistar a confiança dos clientes.

5 princípios de segurança – CIDAL

Como os 5 princípios de segurança CIDAL possibilitam uma abordagem estruturada, completa e efetiva?

Os cinco princípios da Segurança – CIDAL – Confidencialidade, Integridade, Disponibilidade, Autenticidade, Legalidade – possibilitam uma abordagem estruturada, completa e efetiva. Cada princípio se relaciona com tecnologias e serviços que cooperam com a elaboração e gerência da “política de segurança” da organização:

  • Confidencialidade se refere ao nível ou capacidade da manutenção do sigilo de determinada informação. O sigilo da informação é obtido pelo controle dos acessos e através de diretrizes que identificam por quem e como os dados poderão ser acessados. Garantir o sigilo, ou garantir a confidencialidade das transações eletrônicas significa assegurar que os dados que trafegam na rede não sejam observados por terceiros, isto é, por intrusos com equipamentos de varredura ou de captura de dados. A informação deve ser observada ou exposta somente àqueles que têm direito a acessá-las.
  • Integridade é a capacidade de manutenção da informação tal qual ela foi gerada. Isto é, garantir que o conteúdo da informação inicial seja fielmente reproduzido na informação final, em uma transação ou serviço.A Integridade indica se há garantia de que a informação se manteve inalterada depois de armazenada, indicando se é confiável e precisa. Em suma, protege a informação contra modificações não autorizadas.
  • Disponibilidade é a capacidade que os usuários possuem de acessar informações que necessitam, quando estas são necessárias. Informações armazenadas não têm utilidade se não há acesso a elas. A disponibilidade diz respeito ao acesso dos usuários aos recursos que demandarem, assim que os solicitarem, através de serviços de rede, como servidores, sistemas ou a rede como um todo. Para tal, a arquitetura de rede deve atender aos requisitos mínimos de banda, latência, tolerância a falha, defesa contra ataques etc.
  • Autenticidade. É a certeza de que um objeto provém das fontes anunciadas e que não foi alvo de mutações ao longo de um processo. Define-se pela veracidade do emissor e receptor de informações trocadas. Existem algumas tecnologias que permitem identificar os emissores e receptores de modo confiável.
  • Legalidade: Trata-se do embasamento legal às operações que se utilizam das tecnologias de informática e telecomunicação.

Estes 5 princípios cobrem todas as necessidades dos gestores para assegurar o controle de informações da empresa.

Ameaça, Vulnerabilidade e Risco

O que é ameaça, vulnerabilidade e risco? Qual a relação entre eles?

Figura – Ativos, Ameaças, Vulnerabilidades e Risco.

Ameaça é qualquer circunstância ou evento que tenha o potencial de causar danos a um sistema ou rede. Isto significa que a existência de uma vulnerabilidade, ainda que desconhecida, implica ameaça. Ameaça é algo que pode ocorrer voluntária ou involuntariamente em prejuízo de alguém ou de alguma coisa, em virtude de uma vulnerabilidade.

Vulnerabilidade é qualquer fraqueza em qualquer sistema, seja em hardware ou software, capaz de impactar a segurança de informações e redes de serviços. Qualquer procedimento que possa ser realizado em um software para se ter acesso ou interferência no sistema é chamado de vulnerabilidade. Na maioria dos casos um hacker acessa a rede ou um computador determinado explorando suas vulnerabilidades. Por exemplo, um ataque de negação de serviço (também conhecido como DoS, um acrônimo em inglês para Denial of Service), objetiva tornar os recursos de um sistema indisponíveis aos seus utilizadores. Exemplos de Vulnerabilidades

  • Servidores, notebooks, desktops com erros de configuração ou sem os patches atualizados;
  • Política de segurança desatualizada;
  • Disponibilidade de hardware, software ou de aplicações na rede não autorizadas;
  • Password de fácil dedução, como o nome da empresa, a palavra amor, a palavra Brasil.

Risco é o resultado da combinação da probabilidade de ocorrência de um evento e de seu impacto resultante.

  • Risco  =  Probabilidade de Ocorrência do evento x Gravidade dos efeitos

Gestão de Riscos é o processo de acompanhamento dos níveis de risco e níveis de controles para eliminar vulnerabilidades, afastar ameaças e reduzir a probabilidade de uma ameaça explorar uma vulnerabilidade e provocar impactos à confidencialidade, integridade e disponibilidade da informação.

Ativos

O que são ativos TIC (Tecnologia de Informação e Comunicação)?

Ativo é qualquer coisa que pode gerar valor para pessoas ou empresas – informações, conhecimento, dispositivos de informação e comunicação, dentre outros. Ativos precisam estar disponíveis para gerar valor.

A preservação dos Ativos no contexto de tecnologias de informação e comunicação, diante do uso massivo da Internet, tem gerado grande preocupação e oportunidades de diferenciação, o que acarreta maior prioridade aos investimentos no setor de segurança de informações e redes.

Exemplos de Ativos em TIC

  • Informação – Informação documentada, eletronicamente ou em papel, ou recursos intelectuais.
  • Sistemas– Sistemas de informação que processam e armazenam a informação. Exemplo: hosts, clientes, servidores de arquivo, servidores WEB, bancos de dados etc. A rede, como um todo, pode ser considerada um único sistema.
  • Hardware – Estações de trabalho, roteadores, appliances de firewall, cabeamento etc.
  • Financeiros – Ativos financeiros e monetários de uma empresa.
  • Pessoas (peopleware) – Funcionários da organização, incluindo suas habilidades, treinamento, conhecimento, e experiência.

 

Dados, informação e conhecimento

Qual a relação e diferença entre dados, informação e conhecimento?

Dados representam fatos, conceitos ou instruções de uma maneira normalizada para fins de comunicação, interpretação e processamento pelo ser humano ou através de computadores. São representados por símbolos. Exemplo: letras, números, fotos etc.

Informação pode ser definida como dados tratados. Estão associadas a conceitos. As informações têm significado e suportam decisões. Dados são tratados pelo computador; informações, não. Desta forma podemos dizer que as informações é o conjunto de dados que foram processados, seja por meio eletrônico, mecânico ou manual e que produziu um resultado com significado.

Conhecimento é uma atividade intelectual, um processo mental onde indagamos, questionamos e estabelecemos relações entre as diversas informações obtidas. O conhecimento pode ser obtido pelo tratamento da informação. O que resulta do processo de conhecimento são novas informações que, por sua vez, serão comunicadas, apreendidas e também empregadas em novos processos. O conhecimento vai além das informações, pois além de ter um significado, tem uma aplicação. Se informação é dado trabalhado, então conhecimento e informação trabalhada.


Conclusão: O contexto que se impõe hoje é o da sociedade da informação e do conhecimento . Esta nova sociedade, globalizada, apóia-se em tecnologias de informação e comunicação, exigindo que esta última ocorra numa estrutura em rede. Esta contextualização traz consigo a nova forma de administrar. Os principais ativos desta nova forma de administrar são a informação e o conhecimento, que, acessados, compartilhados e trabalhados, geram o conhecimento novo, a inovação e a inteligência corporativa.

 

Classificação das Informações

Qual a diferença entre informação pública, interna, confidencial e secreta?

O primeiro passo ao lidar com informações é o entendimento de cada uma delas, saber sua importância e classifica-la da melhor maneira e mais objetiva possível a fim de saber quais os cuidados a tomar.

  • Pública. Informação de uso público ou sem qualquer implicação para a corporação – tais dados não são confidenciais. A perda do serviço devido aos ataques maliciosos é um perigo aceitável. Exemplos: folhetos distribuídos externamente, textos sobre produtos que necessitam ser divulgados e promovidos.
  • Interna. O acesso externo a esse tipo de informação deve ser evitado. O acesso indevido pode não acarretar grandes riscos, mas tem um nível de relevância superior à informação pública. A integridade dos dados é importante, mas não é vital. Exemplos: agendas de telefones, documentos ou processos de trabalhos regulares, organogramas.
  • Confidencial. Informação restrita ao perímetro da corporação. Sua distribuição indevida poderá afetar a organização e ocasionar eventuais perdas, sejam elas de ordem financeira, moral ou mercadológica (vantagem competitiva para seus concorrentes). Exemplo: informações sobre pagamentos, senhas e contratos.
  • Secreta. Informação crítica para as atividades da empresa. A integridade deve ser altamente preservada, de sorte a inexistir qualquer acesso externo, além de tornar os acessos internos bastante restritos. Neste caso, a integridade é vital e pode causar perdas enormes para a corporação. Exemplos: planejamento de marketing, relatórios financeiros internos, banco de dados de clientes, contratos críticos à empresa etc.

Cada tipo de informação se adequa a uma situação e essa adequação é um dos principais fatores para que se garanta a segurança da informação, pois a partir dessas definições podemos determinar o quão importante ela é, até onde sua divulgação é segura e decidir quais permissões serão atribuídas a elas.

Trabalhando nessas “dimensões da informação” podemos atingir a construção de uma estrutura base da informação onde se tem o treinamento do usuário no manuseio e classificação da informação, a tecnologia que irá trabalhar com os dados e os processos a serem seguidos para garantir a segurança.


Problemas e Soluções de Segurança

Quais são exemplos de problemas e soluções de segurança?

Veja um resumo na tabela abaixo:

Ameaças e Soluções de Segurança

Quais são as ameaças e soluções de segurança mais frequentes?

Nos dias de hoje gestores de TI perceberam que é igualmente importante proteger suas redes de comunicações contra intrusos e sabotadores de dentro e de fora da empresa. Não temos de ser excessivamente paranoicos para encontrar boas razões para isso.


Veja as ameaças mais frequentes:

  • Auscultar o fio (meio físico) para obter acesso a dados e senhas.
  • Representação para obter acesso não autorizado aos dados ou para criar e-mails não autorizados, pedidos, etc.
  • Denial-of-service para sobrecarregar os recursos de rede e torná-los não funcionais.
  • Repetição de mensagens para obter acesso às informações e alterá-las em trânsito.
  • Adivinhar senhas e chaves para obter acesso à informações e serviços que normalmente seriam negados (ataques de dicionário)
  • Vírus, Cavalos de Tróia e bombas lógicas para destruir dados

Embora esses ataques não sejam exclusivamente específicos para redes TCP / IP, eles devem ser considerados potenciais ameaças para quem irá basear a sua rede em TCP / IP, que é o que as empresas, organizações e pequenas empresas em todo o mundo estão fazendo hoje.


Veja as soluções às ameaças mais frequentes:

  • Encriptação para proteger os dados e senhas
  • Autenticação e autorização para evitar o acesso indevido
  • Verificação de integridade e autenticação de mensagens para proteger contra a interceptação e alteração indevida de mensagens
  • Não-repúdio para certificar de que uma ação não pode ser negada pela pessoa que executou
  • Assinaturas digitais e certificados para averiguar a identidade das partes
  • Senhas e “apertos de mão de duas vias simultâneas” para autenticar mutuamente as partes de uma conversa
  • Alteração frequente da chave e uso de chave forte para proteger contra a quebra de chave
  • “Ocultar a morada”, para proteger contra a ataques de negação de serviço
  • Inspeção de conteúdo para verificar os dados no nível de aplicação para averiguar conteúdos maliciosos, antes de entregar para a rede segura

Note que qualquer uma dessas soluções resolve apenas um único ou apenas um número limitado de problemas de segurança. Portanto, uma combinação de várias dessas soluções deve ser considerada para garantir um certo nível de segurança desejado.

Política de Segurança

Quais são os principais objetivos de uma política de segurança?

Política de Segurança é a base para todas as questões relacionadas a segurança da informação. Tem como o objetivo fornecer orientação e apoio às ações de gestão da Segurança. Estabelece padrões, responsabilidades e critérios para o manuseio, armazenamento, transporte e descarte das informações, dentro do nível de segurança determinada pela empresa.

As Políticas de Segurança têm vários objetivos. Destacamos os principais:

  • Proteger as pessoas e a informação.
  • Regular regra de conduta para operadores, administradores de sistemas, gerência, e grupo de Segurança da Informação.
  • Descrever o que está sendo protegido e de que forma.
  • Definir prioridades sobre o que precisa ser protegido em primeiro lugar e os custos envolvidos.
  • Definir funções e responsabilidades sobre os ativos organizacionais com um grande número de funcionários, gerentes e diretores envolvidos.
  • Autorizar a empresa para que a comunicação de um funcionário seja monitorada, filtrada e até investigada, se necessário.
  • Definir as medidas que serão tomadas em caso de uma violação da política, invasão e qualquer crime digital.

 

Diretrizes de Segurança

Quais são exemplos de perguntas que devem ser feitas para ajudar a desenvolver diretrizes de segurança para  uma empresa?

Não é possível implementar a segurança, se  ainda não decidimos o que precisa ser protegido e de quem. Precisamos de uma política de segurança, uma lista do que consideramos admissível e o que você não consideramos admissível, sobre como  basear as decisões em termos de segurança. Devemos também determinar a resposta à  violações de segurança. As perguntas a seguir exemplificam o desenvolvimento de diretrizes gerais:

  • Exatamente de quem queremos nos proteger?
  • Usuários remotos precisam ter acesso a nossa rede e sistemas?
  • Como classificamos as nossas informações confidenciais ou sensíveis?
  • Quais as consequências se essas informações forem divulgadas para concorrentes ou outras pessoas de fora?
  • Nossas senhas ou criptografia fornecem proteção suficiente?
  • Precisamos acessar à Internet?
  • Quantos acesso serão permitidos aos nossos sistemas a partir da Internet e / ou usuários fora da rede (parceiros de negócios, fornecedores, afiliados corporativos, etc)?
  • Que medidas tomaremos se descobrirmos brechas na nossa segurança?
  • Quem na nossa organização irá impor e fiscalizar esta política?

Esta lista é curta, e uma política de segurança empresarial irá provavelmente demandar mais do que isso. Qualquer política de segurança é baseada no quanto confiamos nas pessoas, tanto dentro quanto fora da empresa. A política deve proporcionar um equilíbrio entre permitir aos seus usuários um acesso razoável à informação que necessitam para fazer o trabalho, e não permitir o acesso às outras informações. O ponto onde esta linha é delineada irá determinar a sua política de segurança empresarial.

Essas perguntas compõem um check list simples e inicial que ajuda a investigar a situação, necessidades/problemas, implicações e imagens de soluções, risco e valor da segurança para uma empresa


 

Política de Segurança e Boas Práticas

Quais as boas políticas devem compor seu plano de segurança de TI?

A maioria dos planos de segurança de TI inclui os tópicos de política a seguir:

  1. Política de Uso Aceitável. Definir o que pode ser usado. O escopo desta política inclui todo e qualquer uso de recursos corporativos de TI, incluindo, entre outros, sistemas de computadores, e-mail, a rede corporativa e a conexão corporativa com a Internet e que todos na organização reconheçam por meio de assinatura que eles leram e entenderam.
  2. Política de dados confidenciais Os dados confidenciais geralmente são os dados que mais valorizam uma empresa.  Essa política detalha como os dados confidenciais devem ser tratados e exemplos do que a organização considera confidencial.
  3. Política de E-mail. E-mail fornece um registro escrito de comunicações. A política de e-mail detalha as diretrizes de uso da organização para o sistema de e-mail. Essa política ajudará a empresa a reduzir o risco de um incidente de segurança relacionado a e-mail, promover boas comunicações de negócios interna e externamente e fornecer uma aplicação consistente e profissional dos princípios de e-mail da empresa. O escopo desta política inclui o sistema de e-mail da empresa em sua totalidade, incluindo aplicativos de e-mail baseados em desktop e / ou na Web, aplicativos do lado do servidor, retransmissões de e-mail e hardware associado. Abrange todos os e-mails enviados do sistema e as contas de e-mail externas acessadas a partir da rede da empresa.
  4. Política de dispositivos móveis. Abrange qualquer dispositivo móvel capaz de entrar em contato com os dados da empresa.
  5. Política de Resposta a Incidentes. É fundamental para a recuperação bem-sucedida de um incidente de dados. Abrange todos os incidentes que possam afetar a segurança e a integridade dos ativos de informações da empresa e descreve as etapas a serem tomadas no caso de um incidente ocorrer.
  6. Política de segurança de rede. Estabelecer as diretrizes técnicas para segurança de TI e comunicar os controles necessários para uma infraestrutura de rede segura. Pode incluir procedimentos específicos relacionados a senhas de dispositivos, logs, firewalls, hardware em rede e / ou testes de segurança.
  7. Política de Senha. As senhas são a linha de frente da proteção para contas de usuário. Uma senha mal escolhida pode resultar no comprometimento da rede corporativa inteira da organização. Esta política se aplica a qualquer pessoa que tenha uma conta conectada à rede ou sistemas corporativos, incluindo: funcionários, convidados, contratados, parceiros, fornecedores etc.
  8. Política de segurança física. Para proteger os dados da empresa, é preciso pensar na segurança dos recursos físicos de Tecnologia da Informação (TI) da empresa para garantir que eles estejam protegidos contra riscos padrão.
  9. Política de acesso a redes sem fio e convidados. Essa política delinearia as etapas que a empresa deseja adotar para proteger sua infraestrutura sem fio. Essas políticas abrangeriam qualquer pessoa que acessasse a rede por meio de uma conexão sem fio, convidado incluído.

Essa lista não é exaustiva.

Exemplo de Política de Segurança

Como seria um exemplo simples de política de segurança?

Uma política documentada que descreve procedimentos passo a passo e designa responsabilidades, é a primeira defesa da empresa na preparação e na mitigação de um ataque cibernético. É fundamental manter todos os funcionários vigilantes e alinhados.

Política de senhas. É a forma mais simples e barata e insegura de autenticação.  Uma senha mais segura deve conter mais de 6 caracteres incluindo códigos especiais. Não passar a senha  jamais para ninguém.

Política de e-mail. Não abrir anexos com as extensões duvidosas do tipo  .bat, .exe, .src, .lnk e .com, e assim por diante, se não tiver certeza absoluta de que solicitou esse e-mail. Desconfiar de todos os e-mails com assuntos estranhos. Não reencaminhar e-mails do tipo corrente, aviso de vírus, avisos da Microsoft/AOL/Symantec, e outros do gênero, criança desaparecida, criança doente, pague menos em alguma coisa, não pague alguma coisa, etc. Não utilizar e-mail da empresa para assuntos pessoais. Não mandar e-mails para mais de 10 pessoas de uma única vez (to, cc, bcc). Evitar anexos grandes.

Políticas de acesso a Internet.Não fazer uso recreativo da internet. Permitir somente navegação de sites. Só utilizar protocolos homologados pela empresa. Monitoramento de acessos fora da lista de permissão. Proibição do uso de IM (Instant messengers) não homologados/autorizados pela equipe de segurança. Auditagem constantemente.

Estações de trabalho. Cada estação de trabalho é identificada na rede e cada indivíduo pode possuir sua própria estação de trabalho. Efetuar logoff sempre que se afastar da estação. Não instalar nenhum tipo de software / hardware sem autorização. Não arquivar arquivos do tipo  MP3, filmes, fotos e softwares com direitos autorais ou qualquer tipo de pirataria. Todos os dados relativos à empresa devem ser mantidos no servidor da empresa.

Política Social. Não falar sobre a política de segurança da empresa com terceiros ou em locais públicos. Não passar sua senha para ninguém. Não digitar senhas ou usuários em máquinas de terceiros, especialmente fora da empresa. Somente aceitar ajuda técnica de um membro da equipe técnica da empresa. Nunca executar procedimentos técnicos cujas instruções tenham chegado por e-mail.

Anti-vírus atualizado. Não usar disquetes ou CDs de fora da empresa. Reportar atitudes suspeitas em seu sistema para que possíveis vírus possam ser identificados no menor espaço de tempo possível. Suspeitar de softwares que “você clica e não acontece nada”.

Canal de comunicação. Relatar pedidos externos ou internos que venham a discordar dos tópicos anteriores.

Este é um exemplo de uma política simples para uma empresa de pequeno porte.

Gestão de Segurança nas empresas

Como as políticas e mecanismos de segurança devem ser monitorados numa empresa?

Segurança é um processo definido por políticas, estratégias e práticas adotadas para a proteção de informações e equipamentos que o suportam – rede, servidores, roteadores, e qualquer ativo de valor para uma empresa. Permite que novas oportunidades de negócios sejam mais exploradas pela empresas, através da Internet e e-business, minimizando os níveis de risco inerentes a tais operações.

A Gestão da Segurança utiliza metodologias para sistematizar técnicas de proteção. Neste particular, a Política de Segurança é o primeiro passo. Nela serão estabelecidas diretrizes, normas e procedimentos.

O Sistema de Gestão da Segurança da Informação (SGSI) é o mecanismo de inserção e monitoração das políticas de segurança no ambiente empresarial. A ISO 27001 é uma norma de consenso no mercado para a implantação de um SGSI. As necessidades de segurança estão diretamente associadas com vulnerabilidades advindas do uso intensificado das informações, de ambientes com altos níveis de ameaças (Internet e Extranets), e altos riscos associados aos ativos de informação e comunicação das empresas.

O entendimento das necessidades de segurança, os benefícios de sistemas de segurança e as complexidades advindas, geram muitas oportunidades não só em Segurança , como na escolha e desenvolvimento das Tecnologia de Informação e Comunicação de uma corporação.

Segurança é uma das dimensões GEEDDS – Gerência, Escalabilidade, Economia, Disponibilidade, Desempenho e Segurança, de um sistema de comunicação e informação. Conhecer os problemas que serviços de segurança resolve (sua aplicação) e , princípios de funcionamento , é fator fundamental para evoluir soluções de serviços para empresas, nos vários segmentos e portes.

SGSI – Sistema de Gestão da Segurança de Informações

Quais são as etapas para implantar um SGSI, segundo a ISO 27001?

“Um Sistema de Gestão da Segurança da Informação (SGSI) estabelece, implementa, opera, monitora, revisa, mantém e melhora a segurança da informação, baseando-se para isso em uma Análise de Riscos centrado no Negócio da Empresa”.

Objetivos do SGSI

  • Consolidar a segurança como prioridade.
  • Aumentar a confiança de terceiros na organização.
  • Garantir que a segurança da informação se articula a partir do conhecimento e gestão dos riscos aos que está submetida a organização, desde a mais alta direção.
  • Verificar que a organização revisou e selecionou todos os controles de segurança que são aplicáveis, havendo argumentado as razões de exclusão daqueles controles não selecionados, baseado em uma adequada gestão de riscos.
  • Planejar efetivamente a segurança.

A implantação de um SGSI, conforme a norma ISO 27001, requer uma série de atividades de alto nível  agrupadas em em cinco fase.

ISO 27001 e SGSI

Quais são os 11 domínios da ISO 27001 recomendados para as empresas desenvolverem e operarem um sistema SGSI?

ISO 27001 é um padrão para sistema de gerência da segurança da informação publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision.

Este padrão internacional sugere domínios que devam ser observados e gerenciados por qualquer empresa para que se tenha uma visão completa da Segurança. A série ISO 27000 está de acordo com outros padrões de sistemas de gerência ISO, como ISO 9001 (Sistemas de Gerência da Qualidade) e ISO 14001 (Sistemas de Gerência Ambiental), ambos conforme sua natureza e estrutura geral, asseguram as melhores práticas e padrões de certificação.

A figura apresenta um panorama dos domínios do padrão ISO 27001.

O padrão 27001 é o primeiro da família de segurança da informação relacionado aos padrões ISO que se espera sejam agrupados à série 27000.Cada domínio sugere uma determinada área de atuação dentro da Segurança, desde a Segurança física, que abrange, por exemplo, tranca de portas, cadeados para notebooks e câmeras de vigilância. Passando pela gestão de pessoas, o comportamento esperado  de cada usuário e o aperfeiçoamento da política de segurança. Também inclui a gestão de incidente propriamente dita.


Família ISO 27000 –  Principais Regulamentações

  • ISO/IEC 27000 – São informações básicas sobre as normas da série.
  • ISO/IEC 27001 – Bases para a implementação de um SGSI em uma organização.
  • ISO/IEC 27002 – Certificação profissional, traz códigos de práticas para profissionais.
  • ISO/IEC 27003 – Diretrizes mais específicas para implementação do SGSI.
  • ISO/IEC 27004 – Normas sobre as métricas e relatórios do SGSI.
  • ISO/IEC 27005 – Diretrizes para o processo de gestão de riscos de segurança da informação.

 

Conformidade

O que é conformidade em segurança e qual o seu benefício para as empresas?

“Conformidade em segurança é a capacidade de uma empresa estar em concordância com normas para oferecer mecanismos de melhoria na gestão da Segurança da Informação”. Conformidade é uma das tendências em Segurança da Informação nos últimos anos. Algumas normas são regulatórias, ou mandatórias em alguns setores, em outros não.

A Conformidade é um meio de garantir que a organização certificada implementou um sistema para gerência da segurança . Esta garantia dá confiança à gerência, parceiros de negócios, clientes e auditores que uma organização é séria sobre gerência de segurança da informação no caminho certo de melhora contínua.

Alguns exemplos de normas regulatórias, alvos de conformidade são:

  • ISO 27001
  • Regulamentações do Banco Central
  • Sarbaney Oxeley (SOX)

Bom Programa!

Segurança em Camadas

Como a metodologia de “segurança em camadas” utiliza os mecanismos de proteção para todos os níveos de um sistema de comunicação empresarial?

A Segurança em Camadas é uma metodologia de abordagem para utilizar mecanismos de proteção para todos os níveis de uma rede. Oferece proteção contra os ataques externos, brechas de segurança internas, problemas causados intencionalmente ou sem intenção.

  • Segurança de Perímetro (com a Internet ou outras organizações).
  • Segurança de Redes (LAN, WAN).
  • Segurança de Estações.
  • Segurança de Servidores.
  • Segurança de Aplicações
  • Gerenciamento e Análise de Vulnerabilidades

Perímetro – atua como o primeiro e último ponto de contato para as defesas que protegem a rede. É a área onde sua rede termina e começa a Internet.

Rede – atua na proteção atrás do perímetro e limita acesso livre dentro da rede: conexão com a rede somente sistemas em conformidade com a política de segurança, capacidade de segmentação e isolamento de tráfego, segurança em dispositivos de Wireless LAN, IDS “ouvem” o tráfego de rede e relatam a atividade suspeita, IPS (Intrusion Prevention Systems) monitoram o tráfego de rede e bloqueiam atividade suspeita. Opção para autenticação forte, criptografia e VPNs para proteger contra interceptação ou monitoração por terceiros.

Estação – atua na segurança de dispositivos, como desktops, que quando configurados de maneira errada, podem criar brechas de segurança perigosas. O risco adicional deve-se à presença de um usuário. Aplica-se autenticação forte, criptografia e antivírus (arquivos são verificados no banco de assinaturas à procura de “assinaturas” de arquivos maliciosos).

Servidor – atua na proteção de servidores, dispositivos, PBX IP, e outros. Proteção contra o mau uso de agentes internos. Filtros de conteúdo são usados para monitorar o tráfego permitido por firewalls ou IDSs. Filtros de SPAM evitam que servidores de arquivos e a banda fiquem saturados com lixo.

Aplicação – aplicações de dados e de comunicações IP mal configuradas podem dar acesso a dados ou registros confidenciais. A segurança de aplicação deve ser contemplada nos vários níveis de aplicação e em múltiplas camadas. Um ataque pode explorar fraquezas em qualquer camada. Aplicações devem ser protegidas de modificações acidentais ou deliberadas (maliciosas). Aplica-se autenticação forte e filtros de conteúdo.

Dados – Deve abrigar os servidores e clusters de bancos de dados. Só pode ser acessada através da rede de aplicação e pelas portas de banco de dados, ou pela rede de gerência. É a rede que abriga as informações da empresa em formato estruturado e deve ser a mais protegida.


A rede interna de uma empresa, onde estão os desktops e notebooks dos usuários, não pode ser considerada confiável. Cerca de  70% dos ataques aos sistemas são internos – executados de dentro da rede da empresa e pelos próprios colaboradores.

Toda troca de informações  é uma ligação temporária entre duas máquinas. Na maioria dos casos, em um dos lados da conexão está um sistema corporativo, com tecnologias de proteção, controle de mudanças e que é manipulado por profissionais da área de informática. Do outro lado da conexão está o usuário, que não é proficiente em computação ou em segurança, que abre todos os anexos que recebe por e-mail independentemente de onde tenham vindo e que está habituado a clicar no botão “concordo” sem ler nada, pois sabe que é a maneira mais rápida e fácil de fazer qualquer coisa funcionar em um computador.

Logo é muito mais fácil invadir e dominar o computador de um usuário para daí se conectar no sistema corporativo usando as suas credenciais, do que atacar a estrutura de tecnologia da empresa diretamente.

Fazer Segurança de TI máquina-a-máquina na empresa inteira é muito caro e muito complicado. Cada computador com seu sistema operacional e softwares instalados tem centenas de parâmetros que se mal configurados o deixam vulnerável. Mapear, monitorar, corrigir e compatibilizar todos esses parâmetros com as funcionalidades técnicas exigidas pelos sistemas, sem expor tudo a fragilidades, exige um volume gigantesco de horas trabalhadas e conhecimento técnico de uma profundidade que infelizmente a grande maioria dos profissionais de TI não têm.

Então, para que a Segurança da TI seja efetiva e para que tenha uma relação custo/benefício mais aceitável, é essencial poder contar com segurança perimetral em algumas partes da rede. Isto significa quebrar a rede corporativa em redes menores, separadas por ferramentas que filtram as conexões e bloqueiam os ataques. São os chamados firewalls, de antiga e nova geração e os IPS (Sistemas de Prevenção a Intrusão).

 


 

Zonas de Segurança – Núcleo, Perímetro e Acesso

Como as Políticas de Segurança são segmentadas em Zonas de Segurança?

Uma vez que uma política de segurança é definida, o próximo passo é avaliar as tecnologias adequadas e  impactos sobre o projeto de rede. Uma boa prática é dividir a rede em três grandes zonas e projetos necessários para implementá-la nos pontos corretos dentro da rede. Essas zonas são descritas abaixo. Observe o posicionamento das zonas, redes, serviços e usuários.

Núcleo da Rede: Esta é a rede onde as aplicações críticas de negócio e respectivos sistemas de apoio estão localizados. Esta parte da rede requer a máxima proteção tanto do do lado de fora, quanto do lado interno, como uma camada adicional de proteção.

Perímetro de rede: Esta é a rede onde os recursos públicos estão localizados: servidores Web e FTP, mas também gateways de aplicação e sistemas que proporcionam funções de segurança especializadas, tais como inspeção de conteúdo, proteção contra vírus e detecção de intrusão. Esta parte da rede  tipicamente controla e isola o tráfego interno do tráfego externo. Podem conter usuários internos.

Acesso à rede: Esta é a rede, seja ela privada, pública ou virtual, usada pelo exterior para acessar a rede e seus serviços e aplicativos. Esta rede é tipicamente protegida da parte exterior.

Os componentes entre essas zonas, são responsáveis por aplicar e fazer cumprir a política de segurança.

O e-business requer tecnologias de segurança sofisticadas para proteger dados e sistemas valiosos que estão cada vez mais expostos ao acesso público. Isto não acontecia com as redes empresariais tradicionais do passado. Hoje é crescente complexidade para encontrar a escolha certa de tecnologias de segurança e sua implantação em rede.

Posicionamento das tecnologias de segurança

Quais tecnologias de segurança e onde devem ser aplicadas na rede?

Existem muitas tecnologias de segurança, que servem tanto para propósitos especiais, quanto para complementar outra tecnologia e fornecer um nível de proteção desejado. O problema que os administradores de rede e de segurança normalmente enfrentam é saber quais tecnologias devem ser empregadas e onde na rede, a fim de tornar a política de segurança eficaz. Além disso, essas tecnologias e zonas de segurança devem tornar a política de segurança controlável.

Validade de Acesso à Rede. Para proteger a rede de acesso, são empregadas tecnologias de autenticação de acesso remoto, como o RADIUS, para garantir que nenhuma tentativa de acesso não autorizado ou indesejado seja concedido, através de conexões públicas. Para proteger as conexões em linhas alugadas através de redes privadas, a segurança da rede via hardware (por exemplo, criptografia) ou IPSec são exemplos de proteção adequada. Para proteger as conexões através de redes públicas, o IPSec é considerado a melhor opção, porque fornece autenticação por pacotes e criptografia baseada em algoritmos de criptografia fortes.

Validade de Perímetro de Rede. Para proteger a sua rede de perímetro, a medida mais comum consiste em um ou mais firewalls e, provavelmente, uma ou mais zonas desmilitarizadas (DMZ).

Validade de Dados. Uma vez que o acesso à rede tem sido devidamente identificado e autorizado, é importante olhar os dados que entram e saem da rede. Para os dados de entrada, você quer ter certeza de que há um requisito de negócio para permitir que os dados entrem na sua rede, e que não contenha material questionável ou mesmo prejudicial, como vírus. Isso garante que os danos aos sistemas mais críticos dentro da sua rede sejam reduzidos ao mínimo. Para os dados de saída, você, também, quer ter certeza de que há um requisito de negócio para permitir que os dados  saiam da sua rede, e que não contenham material questionável ou mesmo prejudicial e, por conseguinte,  reduza o risco de danos à outras pessoas oriundos de usuários de dentro de sua rede ou de um hacker que usa sua rede como uma plataforma para atacar os outros.

Validade do usuário. No final do caminho de dados, os usuários devem estar devidamente autenticados aos aplicativos que eles estão acessando. Dessa forma, você pode pegar impostores que, de alguma forma encontram caminho para capturar os dados do outro lado da comunicação.

Validade de Sistema. Os sistemas que fornecem os aplicativos precisam ser protegidos contra falhas de segurança. Proteção de senha, listas de controle de acesso e criptografia de dados armazenados localmente protegem contra o uso indevido, ao passo que os programas antivírus podem reduzir a exposição a programas maliciosos.