Segurança – Fundamentos

DMZ

Como  implementar uma DMZ para segmentar a segurança de rede?

Em redes de computadores, uma DMZ (zona desmilitarizada) é uma sub-rede física ou lógica que separa uma rede local interna de outras redes não confiáveis, normalmente a Internet. Nenhum recurso na DMZ tem acesso à rede interna. Isso fornece uma camada adicional de segurança para a LAN e restringe a capacidade dos hackers acessarem diretamente os servidores internos e dados através da Internet.

Quaisquer serviços prestados aos usuários na Internet devem ser colocados na DMZ. O mais comum desses serviços são: Web, Mail, DNS, FTP e VoIP. Os sistemas que executam esses serviços na DMZ são acessíveis por hackers e criminosos cibernéticos em todo o mundo e precisam ser reforçados para resistir a ataques constantes. O termo DMZ vem da zona geográfica tampão que foi configurada entre a Coreia do Norte e Coreia do Sul no final da Guerra da Coréia.


Uma DMZ é frequentemente referida como uma rede de perímetro. Existem várias maneiras de projetar uma rede com uma DMZ. Os dois métodos mais comuns são com 1 ou 2 firewalls. Essa arquitetura pode ser expandida para criar arquiteturas mais complexas, dependendo dos requisitos de rede.


DMZ com 1 firewall. Um firewall único com, pelo menos, três interfaces de rede pode ser utilizado para criar uma arquitetura de rede contendo uma DMZ.

A rede externa é formada a partir do ISP (Internet Service Provider) para o firewall na primeira interface de rede, a rede interna é formada a partir da segunda interface de rede, e a DMZ é formado a partir da terceira interface de rede. Diferentes conjuntos de regras de firewall para o tráfego entre a Internet e a DMZ, a LAN e a DMZ e a LAN e a Internet controlam quais portas e tipos de tráfego são permitidos na DMZ oriundos da Internet, limitam a  conectividade à hosts específicos na rede interna e impedem conexões não solicitadas, quer para a Internet ou rede interna, oriundos da DMZ.


DMZ com 2 firewalls. A abordagem mais segura é usar dois firewalls para criar uma DMZ. O primeiro firewall também chamado de “firewall de perímetro” é configurado para permitir o “tráfego destinado somente ao DMZ”. O segundo firewall ou “firewall interno” permite apenas o “tráfego da DMZ para a rede interna”. Este método é considerado mais seguro uma vez que teria de serem comprometidos dois dispositivos, antes de um invasor acessar a rede interna.

Uma rede segmentada em DMZs, os controles de segurança podem ser ajustados especificamente para cada segmento. Por exemplo, um sistema de detecção e prevenção de intrusões de rede localizado em uma zona desmilitarizada que contém somente um servidor Web pode bloquear todo o tráfego HTTP e solicitações, exceto nas portas  HTTPS 80 e 443.


Internet e Segurança da Informação

Qual o impacto do “spam” na Internet?

As redes de computadores em geral e a Web em particular, sempre foram infestadas de vigaristas, criminosos e vândalos, que mostraram ser perfeitamente capazes de descobrir e explorar as vulnerabilidades dos softwares, bancos de dados e protocolos de comunicação.

Spam. Estima-se que mais de 90% de todos os e-mails enviados pela Internet sejam spam. Uma empresa de rastreamento de spam declarou que, em um dia qualquer, chegam a ser enviados até 85 bilhões de spams. Embora a maioria dessas mensagens seja detectada pelos filtros, um número bem maior chega a seu alvo, o suficiente para tornar o ramo dos spams mais lucrativo que nunca.

Botnet. Como os “spammers” conseguiram florescer apesar do esforço conjunto de companhias de computação e comunicações para detê-los? Sua arma mais potente passou a ser a botnet. Abreviatura de robot network (rede robótica). Uma botnet é criada por meio da distribuição de um vírus pela Internet. Quando o vírus consegue entrar num PC, por meio de um anexo de e-mail ou de um arquivo baixado, instala um pequeno fragmento de código que permite à maquina ser manipulada pelas instruções de um computador distante. Uma botnet pode incluir milhares e até milhões de “PCs-zumbis”, todos agindo coletivamente como um sistema único, sem que os donos tenham a menor idéia de que há algo errado. Na verdade, o custo marginal de enviar uma mensagem cai a zero, o que torna econômico distribuir quantidades ilimitadas de lixo. Acredita-se que entre 10% e 25% de todos os computadores da Internet estejam infectados hoje com vírus de botnets, e que redes zumbis respondam por, no mínimo, 80% de todos os spams. As botnets também podem ser usadas para semear inundações de tráfego na Internet. O  master (usuário que controla as botnets) pode instruir seu exército de computadores robotizados a inundar um site comercial ou governamental com pedidos de informações em um ataque DDoS (sigla em inglês de Distributed Denial of Service – Negação Generalizada de Serviço).

 

Dados, Informação e Conhecimento

 Qual a importância deste aprendizado?

Na era do conhecimento as ideias são a principal fonte de crescimento econômico e como resultado, novos tipos de trabalhadores, com habilidades novas e diferentes, são necessários.

O conhecimento hoje é valorizado não pelo que é, mas pelo que pode fazer.

É produzido não por especialistas individuais, mas por “inteligência coletivizada” – isto é, grupos de pessoas com experiência complementar que colaboram para fins específicos.

Você precisa ser capaz de localizar, avaliar e representar novas informações rapidamente, comunicar isso aos outros, trabalhar produtivamente em colaboração, ser adaptável, criativo, inovador, e entender as coisas em um nível de ‘sistemas’ ou ‘grande figura’; precisa pensar e aprender a aprender.

espaço

Qual a relação entre dados, informação e conhecimento?

Figura. Pirâmide do Conhecimento. Primeiro os dados, segundo as informações e em terceiro o conhecimento.

O que são Dados?

Dados são símbolos; podem existir de várias formas; não têm nenhum significado por si só.

  • Dados são usados para fins de comunicação, interpretação e processamento pelo ser humano ou através de computadores. Exemplo de dados: letras, números, fotos, etc.
  • Nos sistemas de computação, os dados são símbolos ou sinais que são inseridos, armazenados e processados ​​por um computador e geram na saída informações.

ESPAÇO

DADOS = LETRAS + NÚMEROS + IMAGENS + FOTOS + FATOS + SÍMBOLOS + SINAIS + ...

ESPAÇO

Como gerar dados com qualidade?

Figura. Qualidade dos Dados.

Para ser útil, os dados devem satisfazer várias condições:

  • Precisão: essa característica se refere à exatidão dos dados. Não pode ter elementos errados e deve transmitir a mensagem correta sem ser enganosa.
  • Validade: os requisitos que regem os dados definem os limites dessa característica;  itens como gênero, etnia e nacionalidade são tipicamente limitados a um conjunto de opções e respostas abertas não são permitidas; por exemplo, quaisquer respostas que não sejam estas não serão consideradas válidas ou legítimas.
  • Consistência: independentemente da fonte de coleta de dados, eles não podem ser contraditórios; deve haver um mecanismo estável de coleta e armazenagem de dados.
  • Relevância: deve haver um motivo válido para coletar os dados que justifique o esforço necessário, deve ser coletado no momento certo; dados coletados cedo demais ou tarde demais podem distorcer uma situação e gerar decisões imprecisas.
  • Completude: os dados incompletos são tão perigosos quanto os dados imprecisos; lacunas na coleta de dados levam a uma visão parcial da imagem geral a ser exibida; sem uma visão completa de como as operações estão sendo executadas, ações desinformadas ocorrerão.
  •  Acessibilidade: independentemente do desafio, os indivíduos precisam do nível certo de acesso aos dados para realizar seus trabalhos.
  • Granularidade: O nível de detalhe em que os dados são coletados é importante, para evitar confusão e decisões imprecisas ; coleções agregadas, resumidas e manipuladas de dados podem oferecer um significado diferente dos dados implícitos em um nível inferior.

Como pode ser observado, existem muitos elementos que determinam a qualidade dos dados e cada um pode ser priorizado de forma diferente por diferentes empresas; a priorização pode mudar dependendo do estágio de crescimento da empresa ou até mesmo do ciclo de negócios corrente; a chave é você  definir o que é mais importante e definir os critérios de qualidade; feito isso, você terá uma melhor compreensão e estará melhor posicionado para alcançar seus objetivos.

 

QUALIDADE DOS DADOS = PRECISÃO + VALIDADE + CONSISTÊNCIA + RELEVÂNCIA + COMPLETUDE + ACESSIBILIDADE + GRANULARIDADE + ...

ESPAÇO

O que é Informação?

A informação pode ser definida como dados tratados; está associada a conceitos; tem significado e suporta decisões.

  • Dados são tratados pelo computador; informações, não;
  • Informação é o conjunto de dados processados, seja por meio eletrônico, mecânico ou manual e que produz um resultado com significado.
  • A informação são dados que são (1) precisos e oportunos, (2) específicos e organizados para um propósito, (3) apresentados dentro de um contexto que lhe dá significado e relevância  e (4) podem levar a um aumento na compreensão e diminuição da incerteza.
  • A informação é valiosa porque pode afetar o comportamento, uma decisão ou um resultado. Por exemplo, se você é informado de que entrou um forte concorrente no mercado, você pode usar essa informação para mudar a sua estratégia de negócio.
  • Uma informação é considerada sem valor se, após recebê-la, as coisas permanecerem inalteradas.

ESPAÇO

INFORMAÇÃO = DADOS PROCESSADOS 

ESPAÇO

Figura. Informação são dados tratados. Por exemplo: 16011957 é uma sequência de números sem nenhuma informação aparente; mas, se considerarmos isso no contexto de “essa é uma data”, podemos reconhecer facilmente o dia 16 de janeiro de 1957; ao adicionar contexto e valor aos números, eles agora têm mais significado e transformamos essa sequência de números em informação.

Os dados tornam-se informações quando são aplicados a algum propósito. Veja exemplos:

  • Plotar gráficos e identificar tendências.
  • Encontrar valores médios ou típicos.
  • Apresentar dados complexos como um gráfico.
  • Projetar valores futuros.
  • Comparar figuras e identificar semelhanças ou diferenças.
  • Avaliar se um resultado é significativo ou ocorreu por acaso.
  • Avaliar se uma coisa está relacionada a outra.

ESPAÇO

INFORMAÇÃO = GRÁFICOS + TENDÊNCIAS + MEDIDAS + SEMELHANÇAS + DIFERENÇAS + RELAÇÕES + ...

ESPAÇO

Como gerar informações com qualidade?

Figura. Qualidade das Informações.

Existem muitas características que as informações devem ter para cumprir os seus propósitos. Veja uma lista não exaustiva:

  • Relevância. As informações devem ser necessárias para a tomada de decisões; para tal defina os objetivos de qualquer relatório de informação e produza informações centradas em “exceções”, por exemplo, problemas, valores altos ou baixos, limites que foram excedidos.
  • Atualização. A informação precisa ser oportuna para ser acionada; para melhorar a velocidade com que as informações são produzidas, as empresas precisam avaliar a atualização ou a substituição de seus sistemas de informações.
  • Precisão. Livre de erros, ou seja, os números se somam;  os usuários  devem ser informados sempre que suposições ou estimativas forem usadas.; informações precisas são dependentes da  qualidade da coleta de dados; se a informação precisa ser extremamente precisa, então é necessário alocar mais tempo para que ela seja verificada; as empresas precisam evitar a tentativa de produzir informações “perfeitas”; é mais importante que as informações sejam atualizadas do que perfeitas.
  • Necessidade. Usuários diferentes têm necessidades diferentes: um diretor quer um resumo dos principais fatos; um supervisor precisa de informações detalhadas. É uma boa ideia incentivar os usuários a ajudar a desenvolver o estilo e o formato dos relatórios de informações que eles exigem.
  • Clareza. As informações devem der fácil de usar e entender; comunicadas usando um meio apropriado (por exemplo, e-mail, relatório impresso, apresentação); uma boa prática é usar “modelos” que são usados ​​em toda a organização, para que os usuários se acostumem a ver informações em um estilo semelhante.
  • Custo. Informação custa dinheiro. Os dados são caros para coletar, analisar e relatar; a informação leva tempo para ser lida e assimilada; todos os usuários devem questionar se as informações recebidas / solicitadas valem a pena.
  • Confiabilidade. A informação deve vir de fontes autorizadas. É uma boa prática citar a fonte usada, seja ela interna ou externa. Se estimativas ou suposições tiverem sido aplicadas, estas devem ser claramente declaradas e explicadas.

ESPAÇO

QUALIDADE DA INFORMAÇÃO = RELEVÂNCIA + ATUALIZAÇÃO + PRECISÃO + NECESSIDADE + CLAREZA + CUSTO-BENEFÍCIO + CONFIABILIDADE + ...

ESPAÇO

O que é Conhecimento?

Figura. Conhecimento é a capacidade de relacionar informações para aplicar em alguma coisa que gera benefícios e mais informações.

O conhecimento é a faculdade humana resultante de informação tratada e interpretada, a partir da combinação de dados, informações, experiência e interpretação individual.

  • O conhecimento é um bem humano.
  • Se informação é dado trabalhado, então conhecimento e informação trabalhada e aplicada; ou seja, o conhecimento vai além das informações, pois além de ter um significado, tem uma aplicação.
  • Conhecimento é definido também como “capacidade de agir” (Karl Sweiby); em um contexto organizacional, o conhecimento é a soma do que é conhecido e reside na inteligência e na competência das pessoas.
  • O processo de conhecimento resulta em novas informações que, por sua vez, serão comunicadas, apreendidas e também empregadas em novos processos.
  • O conhecimento significa compreensão teórica ou prática e a capacidade de usá-la para um propósito específico.
  • Hoje em dia o desafio é ir além do conhecimento tácito para a sabedoria.

-O

CONHECIMENTO = INFORMAÇÃO TRABALHADA

DADOS > INFORMAÇÃO > CONHECIMENTO EXPLÍCITO > INTELIGÊNCIA > CONHECIMENTO TÁCITO > SABEDORIA

ESPAÇO

Quais as diferenças entre informação e conhecimento?

INFORMAÇÃO

CONHECIMENTO

Dados Organizados

Compreensão das informações

Entender significados das coisas

Capacidade de tirar conclusões

Fácil de transferir

Mais difícil de transferir, já que requer aprendizado por parte do receptor

Reproduzidas com baixo custo

A reprodução exata do conhecimento não é possível porque se baseia em valores, percepções do receptor

Não é suficiente para fazer generalizações ou previsões

Capacidade de prever ou fazer inferências

Informação não é necessariamente um conhecimento.

Todo conhecimento é uma informação

ESPAÇO

Quais são as características do conhecimento?

Figura. Principais características do conhecimento.

  • Depende da memória, experiência passada, mecanismos de transferência de conhecimento, circunstâncias e  oportunidades.
  • Pode ser reutilizado.
  • Só gera benefício se aplicado.
  • Os valores do conhecimento mudam com o tempo
  • Deve ser renovado ou mantido
  • Pode ser difícil transferir, capturar e distribuir.
  • É desenvolvido através de processos de aprendizagem e experiências.
  • Facilita a eficácia.
  • Conhecimento habilita um maior aprendizado.
  • A criação e utilização de conhecimento é aprimorada com a tecnologia.

Espaçoço 

O que é conhecimento explícito e tácito?

Figura. Metáfora do Iceberg para descrever a relação entre conhecimento explícito e conhecimento tácito

 

Conhecimento explícito: o conhecimento explícito pode ser expresso em palavras e números e pode ser facilmente comunicado e compartilhado na forma de dados concretos, fórmulas científicas, procedimentos codificados ou princípios universais”; tal conhecimento é visto como “apenas a ponta do iceberg”.

Conhecimento tácito: o conhecimento obtido através da interação direta entre indivíduos; algo não facilmente visível e expressável; é altamente pessoal e difícil de formalizar e comunicar; insights subjetivos, intuições e palpites se encaixam nessa categoria de conhecimento; é baseado em  em modelos mentais, crenças que podem ser articulados facilmente; essas habilidades são aprendidas pelos aprendizes por observação e imitação, após vários anos passados com o mestre.

  • Por exemplo … Se alguém pede para você explicar um processo ou um fluxo de trabalho isto pode ser feito rapidamente; mas se lhe perguntarem como dirigir um carro fica difícil explicar “inteiramente” como você faz isso.
  • O gerente de contas que conhece cada cliente pelo nome e pode transformar uma situação desafiadora em minutos usa o conhecimento tácito.
  • O engenheiro que trabalhou com uma determinada máquina durante anos e entende suas idiossincrasias únicas usa conhecimento tácito.

espaço

CONHECIMENTO EXPLÍCITO = DADOS + INFORMAÇÃO + DOCUMENTOS + REGISTROS + ARQUIVOS + ...
CONHECIMENTO IMPLÍCITO = EXPERIÊNCIA + PENSAMENTO + COMPETÊNCIA + COMPROMETIMENTO + REALIZAÇÕES

espaço

Quais as principais diferenças entre o conhecimento explícito e o tácito?

Veja algumas das principais diferenças: Espaço

CONHECIMENTO EXPLÍCITO 

CONHECIMENTO TÁCITO (implícito)

 Objetivo, racional, técnico

Subjetivo e experiencial

 Estruturado

Pessoal

 Externalizado

Internalizado

 Facilmente documentado

Difícil de capturar e codificar

 Fácil de compartilhar

Difícil de compartilhar

 Facil de transferir / ensinar / aprender

Difícil de transferir / ensinar / aprender

espaço

Qual a importância do conhecimento tácito?

  • O conhecimento tácito é valioso porque é construído em torno da experiência e a experiência leva tempo para ganhar.
  • O conhecimento tácito representa um excelente reservatório de recursos intangíveis a partir do qual as organizações podem ganhar uma grande vantagem competitiva já que é muito difícil para os concorrentes imitá-lo e ser transferido.
  • Pessoas criativas que estão ansiosas para aplicar seus conhecimentos são os requisitos para o sucesso de uma empresa.
  • Pesquisas apontam que 90 por cento do conhecimento em organizações é incorporado na cabeça de seus funcionários.
  • O conhecimento tácito tem alguns poderes únicos, tais como, aumentar a qualidade do trabalho das pessoas, facilitar a tomada de decisão, melhorar a precisão do desempenho, diferenciar a empresa.
  • Independentemente de como um indivíduo desenvolve o seu conhecimento, aquele que é curioso e busca conhecimento tácito é altamente propício ao sucesso.

espaço

Como desenvolver o conhecimento tácito?

 

  • Interação face a face. Segundo pesquisas, a maneira mais eficaz de propagar o conhecimento tácito é via a interação social face-a-face;  isso pode parecer desafiador por causa do surgimento do mundo virtual.
  • Conversação. Transmitir o conhecimento tácito através de conversas é uma maneira brilhante de lidar com obstáculos e dificuldades no compartilhamento de conhecimento; conceitos podem ser facilmente explicados desta maneira.
  • Reter Conhecimento. Aprender mais rápido não é mais suficiente; a principal vantagem é manter o que foi aprendido; neste sentido, retenção de conhecimento é a chave para o sucesso.
  • Compartilhar Experiência. Você não pode substituir a experiência; não há nenhum atalho mágico para transmitir esse know-how na cabeça das pessoas; mas você pode reduzir significativamente o tempo criando oportunidades para compartilhar esse conhecimento; quando as coisas dão errado, você não retorna ao manual; você pergunta a um colega mais experiente de sua equipe se já se deparou com algo assim antes; nós aprendemos através da experiência dos outros; essas histórias que contamos uns aos outros são conhecimento tácito
  • Contratar talentos. Como uma organização pode transferir conhecimento de forma eficaz? A resposta curta é: contratar pessoas inteligentes e deixá-las falar umas com as outras.
  • Trabalho em equipe. A construção de conhecimento tácito nas organizações se concentram na importância das pessoas trabalharem em equipes, tentar resolver problemas, conversar sobre o que fizeram e como fizeram, discutir,  construir confiança e se envolver intensamente no contexto; a ideia é obter algum tipo de experiência compartilhada e memória do que eles fizeram juntos, que podem então ser transferidos através de relacionamentos; a transferência acontece quando os membros da equipe interagem com os outros, geralmente realizando tarefas semelhantes em processos iterativos.

espaço

CONHECIMENTO TÁCITO = INTERAÇÃO  + CONVERSAÇÃO + RETENÇÃO DE CONHECIMENTO + COMPARTILHAR EXPERIÊNCIA + CONTRATAR TALENTOS + TRABALHO EM EQUIPE.

Quais são as demandas e impactos da Era do Conhecimento?

Vivemos em uma sociedade pós-capitalista, em que  o meio de produção não é o capital, a terra, nem a mão de obra, mas o conhecimento.

  • A educação formal substitui a experiência e a prática como fonte de aprendizado de um ofício. A produtividade do trabalhador agora depende de sua habilidade para colocar em prática conceitos e teorias.
  • Enquanto os trabalhadores manuais, da era industrial, fazem o que lhes mandam, os trabalhadores do conhecimento tem que se autoconduzir.
  • Pela primeira vez na história, o trabalhador do conhecimento médio viverá mais que a organização empregadora média.
  • O conhecimento muda a estrutura do poder. Os novos líderes são os profissionais do saber.
  • O conhecimento deve ser demonstrado pelos resultados.O conhecimento tem poder: controla o acesso às oportunidades e ao progresso. É por isso que os cientistas e os educadores devem ser ouvidos por quem faz planejamento estratégico.

Palavras chaves. dados, informação, conhecimento, conhecimento explícito, conhecimento tácito, conhecimento científico, era do conhecimento.

  • Dados são informações brutas – letras, números, imagens, fotos, fatos, símbolos, sinais e assim por diante.
  • Precisamos gerenciar os dados para que tenham qualidade e não afetem a informação.
  • A qualidade dos dados podem se aferida em termos de vários atributos, tais como precisão, validade, consistência, relevância, completude, acessibilidade e granulosidade; cuja relevância dependerá de objetivos e ambiente.
  • Os dados são processados e transformados em informações de várias formas, tais como gráficos, tendências, medidas, semelhanças, diferenças, relações e assim por diante.
  • A informação são dados processados; está associada a conceitos, tem significado, afeta comportamentos e suporta decisões; são diretamente afetadas pela qualidade dos dados.
  • Para gerar informação de boa qualidade devemos avaliar não só a qualidade dos dados, mas também as características da informação em si, tais como relevância, atualização, precisão. atendimento a necessidades, clareza, valem o custo, confiabilidade, dentre outros.
  • O conhecimento é a faculdade humana resultante da informação tratada e interpretada.
  • Podemos classificar o conhecimento em conhecimento explícito e tácito.
  • O conhecimento explícito está associado a dados, informação, documentos, registros, arquivos; pode ser facilmente comunicado e compartilhado; já o conhecimento tácito é obtido através da interação entre indivíduos;
  • O conhecimento tácito é baseado em  em modelos mentais, que podem ser articulados facilmente; são aprendidos por observação, imitação e demandam tempo; permite ganhar vantagem competitiva, é difícil de ser imitado ou transferido para concorrentes.
  • Os limites entre dados, informação e conhecimento, nem sempre são claros; o que importa nessa discussão são os conceitos e a sua capacidade de usar dados para construir informações e conhecimento significativos.
  • A informação por si só não cria uma organização baseada no conhecimento, mas é um elemento fundamental; a informação correta estimula o desenvolvimento do capital intelectual que, por sua vez, impulsiona a inovação e a melhoria do desempenho; mesmo que uma pessoa possua uma infinidade de informações isso não significa que ela possa fazer julgamento ou fazer inferências, para tal deve-se ter conhecimento.
  • O contexto que se impõe hoje é o da sociedade da informação e do conhecimento, que está apoiada em tecnologias de informação e comunicação numa estrutura em rede.
  • Esta contextualização traz consigo a nova forma de administrar, cujos principais ativos  são a informação e o conhecimento, que acessados, compartilhados e trabalhados, geram o conhecimento novo, a inovação e inteligência corporativa.

Teste seu conhecimento sobre dados, informação e conhecimento

  1. Relembre o conteúdo lido utilizando as palavras chave acima.
  2. Qual a importância do aprendizado sobre dados, informação e conhecimento para você?
  3. O que são dados?
  4. Qual a importância da coleta e tratamento dos dados na nossa vida?
  5. Quais as características dos dados de boa qualidade? Cite 5 características e depois tente se lembrar de 7 caracteristicas.
  6. Das características listadas, quais são as mais importantes?
  7. O que é Informação?
  8. Por que as informações são importantes para você?
  9. Qual a diferença entre dados e informacao?
  10. Como converter dados em informação?
  11. O que você deve fazer para gerar informações de boa qualidade?
  12. O que é conhecimento?
  13. Quais são as características do conhecimento?
  14. Quais as diferenças entre informação e conhecimento?
  15. O que é conhecimento explicito?
  16. O que é conhecimento tacito?
  17. Qual a diferença entre conhecimento explícito e tácito? Dê exemplos.
  18. Como desenvolver o conhecimento tácito nas organizacoes?
  19. O que significa conhecimento científico?
  20. Quais são as demandas e impactos da era do conhecimento?

 

Segurança – Perguntas Principais

Quais as principais perguntas e respostas sobre fundamentos da segurança da informação na empresas?

Cibercrime

O que é cibercrime e quais são as suas categorias?

O cibercrime, também chamado de crime informático, é qualquer atividade ilegal que envolve um computador ou dispositivo conectado à rede, como um telefone celular.

Pode ser segmentado em 3 categorias:

  • Crimes em que o dispositivo de computação é o alvo, por exemplo, para obter acesso à rede;
  • Crimes em que o computador é usado como arma, por exemplo, para iniciar um ataque de negação de serviço ( DoS );
  • Crimes em que o computador é usado como acessório para um crime, por exemplo, quando do uso deum computador para armazenar dados obtidos ilegalmente.

Envolve uma ampla gama de atividades maliciosas, incluindo a interceptação ilegal de dados, interferências do sistema que comprometem a integridade e a disponibilidade da rede e infrações de direitos autorais. Outras formas de cibercrime incluem o jogo ilegal, a venda de itens ilegais como armas, drogas ou produtos falsificados, bem como a solicitação, produção, posse ou distribuição de pornografia infantil.

O cibercrime tem a característica peculiar de que a vítima e o criminosos nunca estão em contato direto; em muitos casos, são separados por milhares de quilômetros. Para reduzir ainda mais as chances de detecção e acusação, os cibercriminosos geralmente optam por operar em países com leis de cibercrimes fracas ou inexistentes. Devido à velocidade, conveniência, o anonimato e a falta de fronteiras, permite ao computador realizar, mais facilmente, vários crimes financeiros, tais como roubo, lavagem dinheiro, fraude, perseguição , assédio moral, dentre outros.

Segurança da Informação

O que é Segurança?

É um conjunto de estratégias  e mecanismos para gerenciar os processos, ferramentas e políticas necessárias para prevenir, detectar, documentar e combater  vulnerabilidades e ameaças às informações digitais e não digitais.

  • É muito mais que proteção contra hackers, funcionários descontentes e vírus.
  • Deve ser tratada como um Processo. Um dos grandes equívocos é tratar Segurança somente no âmbito da tecnologia.
  • Segurança é um habilitador essencial de negócios. Não significa despesa.
  • Permite maiores lucros e margens através de uma conectividade segura com qualquer um em qualquer parte do mundo.
  • Várias soluções e dispositivos podem compor a segurança: firewalls, roteadores, proxies, DMZs (Demilitarized Zone), VPNs (Virtual Private Networks), criptografia, IDS (Intrusion Detection System), IPS (antivírus, e assim por diante.

A segurança foca em 3 principais áreas: confidencialidade , integridade e disponibilidade de sistemas e dados de negócios.

  • Confidencialidade:  divulgar informações apenas às partes autorizadas.
  • Integridade: impedir a modificação não autorizada de dados (integridade)
  • Disponibilidade: garantem que os dados possam ser acessados ​​pelas partes autorizadas quando solicitadas.

A segurança nas empresas. Muitas grandes empresas empregam um grupo de segurança dedicado para implementar e manter a segurança da organização. Normalmente, esse grupo é responsável por conduzir o gerenciamento de riscos , um processo pelo qual as vulnerabilidades e ameaças aos ativos de informação são continuamente avaliadas, e os controles de proteção apropriados são decididos e aplicados. O valor de uma organização está em suas informações – sua segurança é fundamental para as operações de negócios, além de manter a credibilidade e conquistar a confiança dos clientes.

5 princípios de segurança – CIDAL

Como os 5 princípios de segurança CIDAL possibilitam uma abordagem estruturada, completa e efetiva?

Os cinco princípios da Segurança – CIDAL – Confidencialidade, Integridade, Disponibilidade, Autenticidade, Legalidade – possibilitam uma abordagem estruturada, completa e efetiva. Cada princípio se relaciona com tecnologias e serviços que cooperam com a elaboração e gerência da “política de segurança” da organização:

  • Confidencialidade se refere ao nível ou capacidade da manutenção do sigilo de determinada informação. O sigilo da informação é obtido pelo controle dos acessos e através de diretrizes que identificam por quem e como os dados poderão ser acessados. Garantir o sigilo, ou garantir a confidencialidade das transações eletrônicas significa assegurar que os dados que trafegam na rede não sejam observados por terceiros, isto é, por intrusos com equipamentos de varredura ou de captura de dados. A informação deve ser observada ou exposta somente àqueles que têm direito a acessá-las.
  • Integridade é a capacidade de manutenção da informação tal qual ela foi gerada. Isto é, garantir que o conteúdo da informação inicial seja fielmente reproduzido na informação final, em uma transação ou serviço.A Integridade indica se há garantia de que a informação se manteve inalterada depois de armazenada, indicando se é confiável e precisa. Em suma, protege a informação contra modificações não autorizadas.
  • Disponibilidade é a capacidade que os usuários possuem de acessar informações que necessitam, quando estas são necessárias. Informações armazenadas não têm utilidade se não há acesso a elas. A disponibilidade diz respeito ao acesso dos usuários aos recursos que demandarem, assim que os solicitarem, através de serviços de rede, como servidores, sistemas ou a rede como um todo. Para tal, a arquitetura de rede deve atender aos requisitos mínimos de banda, latência, tolerância a falha, defesa contra ataques etc.
  • Autenticidade. É a certeza de que um objeto provém das fontes anunciadas e que não foi alvo de mutações ao longo de um processo. Define-se pela veracidade do emissor e receptor de informações trocadas. Existem algumas tecnologias que permitem identificar os emissores e receptores de modo confiável.
  • Legalidade: Trata-se do embasamento legal às operações que se utilizam das tecnologias de informática e telecomunicação.

Estes 5 princípios cobrem todas as necessidades dos gestores para assegurar o controle de informações da empresa.

Ameaça, Vulnerabilidade e Risco

O que é ameaça, vulnerabilidade e risco? Qual a relação entre eles?

Figura – Ativos, Ameaças, Vulnerabilidades e Risco.

Ameaça é qualquer circunstância ou evento que tenha o potencial de causar danos a um sistema ou rede. Isto significa que a existência de uma vulnerabilidade, ainda que desconhecida, implica ameaça. Ameaça é algo que pode ocorrer voluntária ou involuntariamente em prejuízo de alguém ou de alguma coisa, em virtude de uma vulnerabilidade.

Vulnerabilidade é qualquer fraqueza em qualquer sistema, seja em hardware ou software, capaz de impactar a segurança de informações e redes de serviços. Qualquer procedimento que possa ser realizado em um software para se ter acesso ou interferência no sistema é chamado de vulnerabilidade. Na maioria dos casos um hacker acessa a rede ou um computador determinado explorando suas vulnerabilidades. Por exemplo, um ataque de negação de serviço (também conhecido como DoS, um acrônimo em inglês para Denial of Service), objetiva tornar os recursos de um sistema indisponíveis aos seus utilizadores. Exemplos de Vulnerabilidades

  • Servidores, notebooks, desktops com erros de configuração ou sem os patches atualizados;
  • Política de segurança desatualizada;
  • Disponibilidade de hardware, software ou de aplicações na rede não autorizadas;
  • Password de fácil dedução, como o nome da empresa, a palavra amor, a palavra Brasil.

Risco é o resultado da combinação da probabilidade de ocorrência de um evento e de seu impacto resultante.

  • Risco  =  Probabilidade de Ocorrência do evento x Gravidade dos efeitos

Gestão de Riscos é o processo de acompanhamento dos níveis de risco e níveis de controles para eliminar vulnerabilidades, afastar ameaças e reduzir a probabilidade de uma ameaça explorar uma vulnerabilidade e provocar impactos à confidencialidade, integridade e disponibilidade da informação.


Saiba mais. RiscoGerência de RiscoRiscos em Cloud ComputingRisco para migrar para a nuvem.


 

Ativos

O que são ativos TIC (Tecnologia de Informação e Comunicação)?

Ativo é qualquer coisa que pode gerar valor para pessoas ou empresas – informações, conhecimento, dispositivos de informação e comunicação, dentre outros. Ativos precisam estar disponíveis para gerar valor.

A preservação dos Ativos no contexto de tecnologias de informação e comunicação, diante do uso massivo da Internet, tem gerado grande preocupação e oportunidades de diferenciação, o que acarreta maior prioridade aos investimentos no setor de segurança de informações e redes.

Exemplos de Ativos em TIC

  • Informação – Informação documentada, eletronicamente ou em papel, ou recursos intelectuais.
  • Sistemas– Sistemas de informação que processam e armazenam a informação. Exemplo: hosts, clientes, servidores de arquivo, servidores WEB, bancos de dados etc. A rede, como um todo, pode ser considerada um único sistema.
  • Hardware – Estações de trabalho, roteadores, appliances de firewall, cabeamento etc.
  • Financeiros – Ativos financeiros e monetários de uma empresa.
  • Pessoas (peopleware) – Funcionários da organização, incluindo suas habilidades, treinamento, conhecimento, e experiência.

 

Classificação das Informações

Qual a diferença entre informação pública, interna, confidencial e secreta?

O primeiro passo ao lidar com informações é o entendimento de cada uma delas, saber sua importância e classifica-la da melhor maneira e mais objetiva possível a fim de saber quais os cuidados a tomar.

  • Pública. Informação de uso público ou sem qualquer implicação para a corporação – tais dados não são confidenciais. A perda do serviço devido aos ataques maliciosos é um perigo aceitável. Exemplos: folhetos distribuídos externamente, textos sobre produtos que necessitam ser divulgados e promovidos.
  • Interna. O acesso externo a esse tipo de informação deve ser evitado. O acesso indevido pode não acarretar grandes riscos, mas tem um nível de relevância superior à informação pública. A integridade dos dados é importante, mas não é vital. Exemplos: agendas de telefones, documentos ou processos de trabalhos regulares, organogramas.
  • Confidencial. Informação restrita ao perímetro da corporação. Sua distribuição indevida poderá afetar a organização e ocasionar eventuais perdas, sejam elas de ordem financeira, moral ou mercadológica (vantagem competitiva para seus concorrentes). Exemplo: informações sobre pagamentos, senhas e contratos.
  • Secreta. Informação crítica para as atividades da empresa. A integridade deve ser altamente preservada, de sorte a inexistir qualquer acesso externo, além de tornar os acessos internos bastante restritos. Neste caso, a integridade é vital e pode causar perdas enormes para a corporação. Exemplos: planejamento de marketing, relatórios financeiros internos, banco de dados de clientes, contratos críticos à empresa etc.

Cada tipo de informação se adequa a uma situação e essa adequação é um dos principais fatores para que se garanta a segurança da informação, pois a partir dessas definições podemos determinar o quão importante ela é, até onde sua divulgação é segura e decidir quais permissões serão atribuídas a elas.

Trabalhando nessas “dimensões da informação” podemos atingir a construção de uma estrutura base da informação onde se tem o treinamento do usuário no manuseio e classificação da informação, a tecnologia que irá trabalhar com os dados e os processos a serem seguidos para garantir a segurança.


Problemas e Soluções de Segurança

Quais são exemplos de problemas e soluções de segurança?

Veja um resumo na tabela abaixo:

Ameaças e Soluções de Segurança

Quais são as ameaças e soluções de segurança mais frequentes?

Nos dias de hoje gestores de TI perceberam que é igualmente importante proteger suas redes de comunicações contra intrusos e sabotadores de dentro e de fora da empresa. Não temos de ser excessivamente paranoicos para encontrar boas razões para isso.


Veja as ameaças mais frequentes:

  • Auscultar o fio (meio físico) para obter acesso a dados e senhas.
  • Representação para obter acesso não autorizado aos dados ou para criar e-mails não autorizados, pedidos, etc.
  • Denial-of-service para sobrecarregar os recursos de rede e torná-los não funcionais.
  • Repetição de mensagens para obter acesso às informações e alterá-las em trânsito.
  • Adivinhar senhas e chaves para obter acesso à informações e serviços que normalmente seriam negados (ataques de dicionário)
  • Vírus, Cavalos de Tróia e bombas lógicas para destruir dados

Embora esses ataques não sejam exclusivamente específicos para redes TCP / IP, eles devem ser considerados potenciais ameaças para quem irá basear a sua rede em TCP / IP, que é o que as empresas, organizações e pequenas empresas em todo o mundo estão fazendo hoje.


Veja as soluções às ameaças mais frequentes:

  • Encriptação para proteger os dados e senhas
  • Autenticação e autorização para evitar o acesso indevido
  • Verificação de integridade e autenticação de mensagens para proteger contra a interceptação e alteração indevida de mensagens
  • Não-repúdio para certificar de que uma ação não pode ser negada pela pessoa que executou
  • Assinaturas digitais e certificados para averiguar a identidade das partes
  • Senhas e “apertos de mão de duas vias simultâneas” para autenticar mutuamente as partes de uma conversa
  • Alteração frequente da chave e uso de chave forte para proteger contra a quebra de chave
  • “Ocultar a morada”, para proteger contra a ataques de negação de serviço
  • Inspeção de conteúdo para verificar os dados no nível de aplicação para averiguar conteúdos maliciosos, antes de entregar para a rede segura

Note que qualquer uma dessas soluções resolve apenas um único ou apenas um número limitado de problemas de segurança. Portanto, uma combinação de várias dessas soluções deve ser considerada para garantir um certo nível de segurança desejado.

Política de Segurança

Quais são os principais objetivos de uma política de segurança?

Política de Segurança é a base para todas as questões relacionadas a segurança da informação. Tem como o objetivo fornecer orientação e apoio às ações de gestão da Segurança. Estabelece padrões, responsabilidades e critérios para o manuseio, armazenamento, transporte e descarte das informações, dentro do nível de segurança determinada pela empresa.

As Políticas de Segurança têm vários objetivos. Destacamos os principais:

  • Proteger as pessoas e a informação.
  • Regular regra de conduta para operadores, administradores de sistemas, gerência, e grupo de Segurança da Informação.
  • Descrever o que está sendo protegido e de que forma.
  • Definir prioridades sobre o que precisa ser protegido em primeiro lugar e os custos envolvidos.
  • Definir funções e responsabilidades sobre os ativos organizacionais com um grande número de funcionários, gerentes e diretores envolvidos.
  • Autorizar a empresa para que a comunicação de um funcionário seja monitorada, filtrada e até investigada, se necessário.
  • Definir as medidas que serão tomadas em caso de uma violação da política, invasão e qualquer crime digital.

 

Diretrizes de Segurança

Quais são exemplos de perguntas que devem ser feitas para ajudar a desenvolver diretrizes de segurança para  uma empresa?

Não é possível implementar a segurança, se  ainda não decidimos o que precisa ser protegido e de quem. Precisamos de uma política de segurança, uma lista do que consideramos admissível e o que você não consideramos admissível, sobre como  basear as decisões em termos de segurança. Devemos também determinar a resposta à  violações de segurança. As perguntas a seguir exemplificam o desenvolvimento de diretrizes gerais:

  • Exatamente de quem queremos nos proteger?
  • Usuários remotos precisam ter acesso a nossa rede e sistemas?
  • Como classificamos as nossas informações confidenciais ou sensíveis?
  • Quais as consequências se essas informações forem divulgadas para concorrentes ou outras pessoas de fora?
  • Nossas senhas ou criptografia fornecem proteção suficiente?
  • Precisamos acessar à Internet?
  • Quantos acesso serão permitidos aos nossos sistemas a partir da Internet e / ou usuários fora da rede (parceiros de negócios, fornecedores, afiliados corporativos, etc)?
  • Que medidas tomaremos se descobrirmos brechas na nossa segurança?
  • Quem na nossa organização irá impor e fiscalizar esta política?

Esta lista é curta, e uma política de segurança empresarial irá provavelmente demandar mais do que isso. Qualquer política de segurança é baseada no quanto confiamos nas pessoas, tanto dentro quanto fora da empresa. A política deve proporcionar um equilíbrio entre permitir aos seus usuários um acesso razoável à informação que necessitam para fazer o trabalho, e não permitir o acesso às outras informações. O ponto onde esta linha é delineada irá determinar a sua política de segurança empresarial.

Essas perguntas compõem um check list simples e inicial que ajuda a investigar a situação, necessidades/problemas, implicações e imagens de soluções, risco e valor da segurança para uma empresa


 

Política de Segurança e Boas Práticas

Quais as boas políticas devem compor seu plano de segurança de TI?

A maioria dos planos de segurança de TI inclui os tópicos de política a seguir:

  1. Política de Uso Aceitável. Definir o que pode ser usado. O escopo desta política inclui todo e qualquer uso de recursos corporativos de TI, incluindo, entre outros, sistemas de computadores, e-mail, a rede corporativa e a conexão corporativa com a Internet e que todos na organização reconheçam por meio de assinatura que eles leram e entenderam.
  2. Política de dados confidenciais Os dados confidenciais geralmente são os dados que mais valorizam uma empresa.  Essa política detalha como os dados confidenciais devem ser tratados e exemplos do que a organização considera confidencial.
  3. Política de E-mail. E-mail fornece um registro escrito de comunicações. A política de e-mail detalha as diretrizes de uso da organização para o sistema de e-mail. Essa política ajudará a empresa a reduzir o risco de um incidente de segurança relacionado a e-mail, promover boas comunicações de negócios interna e externamente e fornecer uma aplicação consistente e profissional dos princípios de e-mail da empresa. O escopo desta política inclui o sistema de e-mail da empresa em sua totalidade, incluindo aplicativos de e-mail baseados em desktop e / ou na Web, aplicativos do lado do servidor, retransmissões de e-mail e hardware associado. Abrange todos os e-mails enviados do sistema e as contas de e-mail externas acessadas a partir da rede da empresa.
  4. Política de dispositivos móveis. Abrange qualquer dispositivo móvel capaz de entrar em contato com os dados da empresa.
  5. Política de Resposta a Incidentes. É fundamental para a recuperação bem-sucedida de um incidente de dados. Abrange todos os incidentes que possam afetar a segurança e a integridade dos ativos de informações da empresa e descreve as etapas a serem tomadas no caso de um incidente ocorrer.
  6. Política de segurança de rede. Estabelecer as diretrizes técnicas para segurança de TI e comunicar os controles necessários para uma infraestrutura de rede segura. Pode incluir procedimentos específicos relacionados a senhas de dispositivos, logs, firewalls, hardware em rede e / ou testes de segurança.
  7. Política de Senha. As senhas são a linha de frente da proteção para contas de usuário. Uma senha mal escolhida pode resultar no comprometimento da rede corporativa inteira da organização. Esta política se aplica a qualquer pessoa que tenha uma conta conectada à rede ou sistemas corporativos, incluindo: funcionários, convidados, contratados, parceiros, fornecedores etc.
  8. Política de segurança física. Para proteger os dados da empresa, é preciso pensar na segurança dos recursos físicos de Tecnologia da Informação (TI) da empresa para garantir que eles estejam protegidos contra riscos padrão.
  9. Política de acesso a redes sem fio e convidados. Essa política delinearia as etapas que a empresa deseja adotar para proteger sua infraestrutura sem fio. Essas políticas abrangeriam qualquer pessoa que acessasse a rede por meio de uma conexão sem fio, convidado incluído.

Essa lista não é exaustiva.

Exemplo de Política de Segurança

Como seria um exemplo simples de política de segurança?

Uma política documentada que descreve procedimentos passo a passo e designa responsabilidades, é a primeira defesa da empresa na preparação e na mitigação de um ataque cibernético. É fundamental manter todos os funcionários vigilantes e alinhados.

Política de senhas. É a forma mais simples e barata e insegura de autenticação.  Uma senha mais segura deve conter mais de 6 caracteres incluindo códigos especiais. Não passar a senha  jamais para ninguém.

Política de e-mail. Não abrir anexos com as extensões duvidosas do tipo  .bat, .exe, .src, .lnk e .com, e assim por diante, se não tiver certeza absoluta de que solicitou esse e-mail. Desconfiar de todos os e-mails com assuntos estranhos. Não reencaminhar e-mails do tipo corrente, aviso de vírus, avisos da Microsoft/AOL/Symantec, e outros do gênero, criança desaparecida, criança doente, pague menos em alguma coisa, não pague alguma coisa, etc. Não utilizar e-mail da empresa para assuntos pessoais. Não mandar e-mails para mais de 10 pessoas de uma única vez (to, cc, bcc). Evitar anexos grandes.

Políticas de acesso a Internet.Não fazer uso recreativo da internet. Permitir somente navegação de sites. Só utilizar protocolos homologados pela empresa. Monitoramento de acessos fora da lista de permissão. Proibição do uso de IM (Instant messengers) não homologados/autorizados pela equipe de segurança. Auditagem constantemente.

Estações de trabalho. Cada estação de trabalho é identificada na rede e cada indivíduo pode possuir sua própria estação de trabalho. Efetuar logoff sempre que se afastar da estação. Não instalar nenhum tipo de software / hardware sem autorização. Não arquivar arquivos do tipo  MP3, filmes, fotos e softwares com direitos autorais ou qualquer tipo de pirataria. Todos os dados relativos à empresa devem ser mantidos no servidor da empresa.

Política Social. Não falar sobre a política de segurança da empresa com terceiros ou em locais públicos. Não passar sua senha para ninguém. Não digitar senhas ou usuários em máquinas de terceiros, especialmente fora da empresa. Somente aceitar ajuda técnica de um membro da equipe técnica da empresa. Nunca executar procedimentos técnicos cujas instruções tenham chegado por e-mail.

Anti-vírus atualizado. Não usar disquetes ou CDs de fora da empresa. Reportar atitudes suspeitas em seu sistema para que possíveis vírus possam ser identificados no menor espaço de tempo possível. Suspeitar de softwares que “você clica e não acontece nada”.

Canal de comunicação. Relatar pedidos externos ou internos que venham a discordar dos tópicos anteriores.

Este é um exemplo de uma política simples para uma empresa de pequeno porte.

Gestão de Segurança nas empresas

Como as políticas e mecanismos de segurança devem ser monitorados numa empresa?

Segurança é um processo definido por políticas, estratégias e práticas adotadas para a proteção de informações e equipamentos que o suportam – rede, servidores, roteadores, e qualquer ativo de valor para uma empresa. Permite que novas oportunidades de negócios sejam mais exploradas pela empresas, através da Internet e e-business, minimizando os níveis de risco inerentes a tais operações.

A Gestão da Segurança utiliza metodologias para sistematizar técnicas de proteção. Neste particular, a Política de Segurança é o primeiro passo. Nela serão estabelecidas diretrizes, normas e procedimentos.

O Sistema de Gestão da Segurança da Informação (SGSI) é o mecanismo de inserção e monitoração das políticas de segurança no ambiente empresarial. A ISO 27001 é uma norma de consenso no mercado para a implantação de um SGSI. As necessidades de segurança estão diretamente associadas com vulnerabilidades advindas do uso intensificado das informações, de ambientes com altos níveis de ameaças (Internet e Extranets), e altos riscos associados aos ativos de informação e comunicação das empresas.

O entendimento das necessidades de segurança, os benefícios de sistemas de segurança e as complexidades advindas, geram muitas oportunidades não só em Segurança , como na escolha e desenvolvimento das Tecnologia de Informação e Comunicação de uma corporação.

Segurança é uma das dimensões GEEDDS – Gerência, Escalabilidade, Economia, Disponibilidade, Desempenho e Segurança, de um sistema de comunicação e informação. Conhecer os problemas que serviços de segurança resolve (sua aplicação) e , princípios de funcionamento , é fator fundamental para evoluir soluções de serviços para empresas, nos vários segmentos e portes.

SGSI – Sistema de Gestão da Segurança de Informações

Quais são as etapas para implantar um SGSI, segundo a ISO 27001?

“Um Sistema de Gestão da Segurança da Informação (SGSI) estabelece, implementa, opera, monitora, revisa, mantém e melhora a segurança da informação, baseando-se para isso em uma Análise de Riscos centrado no Negócio da Empresa”.

Objetivos do SGSI

  • Consolidar a segurança como prioridade.
  • Aumentar a confiança de terceiros na organização.
  • Garantir que a segurança da informação se articula a partir do conhecimento e gestão dos riscos aos que está submetida a organização, desde a mais alta direção.
  • Verificar que a organização revisou e selecionou todos os controles de segurança que são aplicáveis, havendo argumentado as razões de exclusão daqueles controles não selecionados, baseado em uma adequada gestão de riscos.
  • Planejar efetivamente a segurança.

A implantação de um SGSI, conforme a norma ISO 27001, requer uma série de atividades de alto nível  agrupadas em em cinco fase.

ISO 27001 e SGSI

Quais são os 11 domínios da ISO 27001 recomendados para as empresas desenvolverem e operarem um sistema SGSI?

ISO 27001 é um padrão para sistema de gerência da segurança da informação publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision.

Este padrão internacional sugere domínios que devam ser observados e gerenciados por qualquer empresa para que se tenha uma visão completa da Segurança. A série ISO 27000 está de acordo com outros padrões de sistemas de gerência ISO, como ISO 9001 (Sistemas de Gerência da Qualidade) e ISO 14001 (Sistemas de Gerência Ambiental), ambos conforme sua natureza e estrutura geral, asseguram as melhores práticas e padrões de certificação.

A figura apresenta um panorama dos domínios do padrão ISO 27001.

O padrão 27001 é o primeiro da família de segurança da informação relacionado aos padrões ISO que se espera sejam agrupados à série 27000.Cada domínio sugere uma determinada área de atuação dentro da Segurança, desde a Segurança física, que abrange, por exemplo, tranca de portas, cadeados para notebooks e câmeras de vigilância. Passando pela gestão de pessoas, o comportamento esperado  de cada usuário e o aperfeiçoamento da política de segurança. Também inclui a gestão de incidente propriamente dita.


Família ISO 27000 –  Principais Regulamentações

  • ISO/IEC 27000 – São informações básicas sobre as normas da série.
  • ISO/IEC 27001 – Bases para a implementação de um SGSI em uma organização.
  • ISO/IEC 27002 – Certificação profissional, traz códigos de práticas para profissionais.
  • ISO/IEC 27003 – Diretrizes mais específicas para implementação do SGSI.
  • ISO/IEC 27004 – Normas sobre as métricas e relatórios do SGSI.
  • ISO/IEC 27005 – Diretrizes para o processo de gestão de riscos de segurança da informação.

 

Conformidade

O que é conformidade em segurança e qual o seu benefício para as empresas?

“Conformidade em segurança é a capacidade de uma empresa estar em concordância com normas para oferecer mecanismos de melhoria na gestão da Segurança da Informação”.

Conformidade é uma das tendências em Segurança da Informação nos últimos anos. Algumas normas são regulatórias, ou mandatórias em alguns setores, em outros não.

A Conformidade é um meio de garantir que a organização certificada implementou um sistema para gerência da segurança . Esta garantia dá confiança à gerência, parceiros de negócios, clientes e auditores que uma organização é séria sobre gerência de segurança da informação no caminho certo de melhora contínua.

Alguns exemplos de normas regulatórias, alvos de conformidade são:

  • ISO 27001
  • Regulamentações do Banco Central
  • Sarbaney Oxeley (SOX)

 

Segurança em Camadas

Como a metodologia de “segurança em camadas” utiliza os mecanismos de proteção para todos os níveos de um sistema de comunicação empresarial?

A Segurança em Camadas é uma metodologia de abordagem para utilizar mecanismos de proteção para todos os níveis de uma rede. Oferece proteção contra os ataques externos, brechas de segurança internas, problemas causados intencionalmente ou sem intenção.

  • Segurança de Perímetro (com a Internet ou outras organizações).
  • Segurança de Redes (LAN, WAN).
  • Segurança de Estações.
  • Segurança de Servidores.
  • Segurança de Aplicações
  • Gerenciamento e Análise de Vulnerabilidades

Perímetro – atua como o primeiro e último ponto de contato para as defesas que protegem a rede. É a área onde sua rede termina e começa a Internet.

Rede – atua na proteção atrás do perímetro e limita acesso livre dentro da rede: conexão com a rede somente sistemas em conformidade com a política de segurança, capacidade de segmentação e isolamento de tráfego, segurança em dispositivos de Wireless LAN, IDS “ouvem” o tráfego de rede e relatam a atividade suspeita, IPS (Intrusion Prevention Systems) monitoram o tráfego de rede e bloqueiam atividade suspeita. Opção para autenticação forte, criptografia e VPNs para proteger contra interceptação ou monitoração por terceiros.

Estação – atua na segurança de dispositivos, como desktops, que quando configurados de maneira errada, podem criar brechas de segurança perigosas. O risco adicional deve-se à presença de um usuário. Aplica-se autenticação forte, criptografia e antivírus (arquivos são verificados no banco de assinaturas à procura de “assinaturas” de arquivos maliciosos).

Servidor – atua na proteção de servidores, dispositivos, PBX IP, e outros. Proteção contra o mau uso de agentes internos. Filtros de conteúdo são usados para monitorar o tráfego permitido por firewalls ou IDSs. Filtros de SPAM evitam que servidores de arquivos e a banda fiquem saturados com lixo.

Aplicação – aplicações de dados e de comunicações IP mal configuradas podem dar acesso a dados ou registros confidenciais. A segurança de aplicação deve ser contemplada nos vários níveis de aplicação e em múltiplas camadas. Um ataque pode explorar fraquezas em qualquer camada. Aplicações devem ser protegidas de modificações acidentais ou deliberadas (maliciosas). Aplica-se autenticação forte e filtros de conteúdo.

Dados – Deve abrigar os servidores e clusters de bancos de dados. Só pode ser acessada através da rede de aplicação e pelas portas de banco de dados, ou pela rede de gerência. É a rede que abriga as informações da empresa em formato estruturado e deve ser a mais protegida.


A rede interna de uma empresa, onde estão os desktops e notebooks dos usuários, não pode ser considerada confiável. Cerca de  70% dos ataques aos sistemas são internos – executados de dentro da rede da empresa e pelos próprios colaboradores.

Toda troca de informações  é uma ligação temporária entre duas máquinas. Na maioria dos casos, em um dos lados da conexão está um sistema corporativo, com tecnologias de proteção, controle de mudanças e que é manipulado por profissionais da área de informática. Do outro lado da conexão está o usuário, que não é proficiente em computação ou em segurança, que abre todos os anexos que recebe por e-mail independentemente de onde tenham vindo e que está habituado a clicar no botão “concordo” sem ler nada, pois sabe que é a maneira mais rápida e fácil de fazer qualquer coisa funcionar em um computador.

Logo é muito mais fácil invadir e dominar o computador de um usuário para daí se conectar no sistema corporativo usando as suas credenciais, do que atacar a estrutura de tecnologia da empresa diretamente.

Fazer Segurança de TI máquina-a-máquina na empresa inteira é muito caro e muito complicado. Cada computador com seu sistema operacional e softwares instalados tem centenas de parâmetros que se mal configurados o deixam vulnerável. Mapear, monitorar, corrigir e compatibilizar todos esses parâmetros com as funcionalidades técnicas exigidas pelos sistemas, sem expor tudo a fragilidades, exige um volume gigantesco de horas trabalhadas e conhecimento técnico de uma profundidade que infelizmente a grande maioria dos profissionais de TI não têm.

Então, para que a Segurança da TI seja efetiva e para que tenha uma relação custo/benefício mais aceitável, é essencial poder contar com segurança perimetral em algumas partes da rede. Isto significa quebrar a rede corporativa em redes menores, separadas por ferramentas que filtram as conexões e bloqueiam os ataques. São os chamados firewalls, de antiga e nova geração e os IPS (Sistemas de Prevenção a Intrusão).

 


 

Zonas de Segurança – Núcleo, Perímetro e Acesso

Como as Políticas de Segurança são segmentadas em Zonas de Segurança?

Uma vez que uma política de segurança é definida, o próximo passo é avaliar as tecnologias adequadas e  impactos sobre o projeto de rede. Uma boa prática é dividir a rede em três grandes zonas e projetos necessários para implementá-la nos pontos corretos dentro da rede. Essas zonas são descritas abaixo. Observe o posicionamento das zonas, redes, serviços e usuários.

Núcleo da Rede: Esta é a rede onde as aplicações críticas de negócio e respectivos sistemas de apoio estão localizados. Esta parte da rede requer a máxima proteção tanto do do lado de fora, quanto do lado interno, como uma camada adicional de proteção.

Perímetro de rede: Esta é a rede onde os recursos públicos estão localizados: servidores Web e FTP, mas também gateways de aplicação e sistemas que proporcionam funções de segurança especializadas, tais como inspeção de conteúdo, proteção contra vírus e detecção de intrusão. Esta parte da rede  tipicamente controla e isola o tráfego interno do tráfego externo. Podem conter usuários internos.

Acesso à rede: Esta é a rede, seja ela privada, pública ou virtual, usada pelo exterior para acessar a rede e seus serviços e aplicativos. Esta rede é tipicamente protegida da parte exterior.

Os componentes entre essas zonas, são responsáveis por aplicar e fazer cumprir a política de segurança.

O e-business requer tecnologias de segurança sofisticadas para proteger dados e sistemas valiosos que estão cada vez mais expostos ao acesso público. Isto não acontecia com as redes empresariais tradicionais do passado. Hoje é crescente complexidade para encontrar a escolha certa de tecnologias de segurança e sua implantação em rede.

Posicionamento das tecnologias de segurança

Quais tecnologias de segurança e onde devem ser aplicadas na rede?

Existem muitas tecnologias de segurança, que servem tanto para propósitos especiais, quanto para complementar outra tecnologia e fornecer um nível de proteção desejado. O problema que os administradores de rede e de segurança normalmente enfrentam é saber quais tecnologias devem ser empregadas e onde na rede, a fim de tornar a política de segurança eficaz. Além disso, essas tecnologias e zonas de segurança devem tornar a política de segurança controlável.

Validade de Acesso à Rede. Para proteger a rede de acesso, são empregadas tecnologias de autenticação de acesso remoto, como o RADIUS, para garantir que nenhuma tentativa de acesso não autorizado ou indesejado seja concedido, através de conexões públicas. Para proteger as conexões em linhas alugadas através de redes privadas, a segurança da rede via hardware (por exemplo, criptografia) ou IPSec são exemplos de proteção adequada. Para proteger as conexões através de redes públicas, o IPSec é considerado a melhor opção, porque fornece autenticação por pacotes e criptografia baseada em algoritmos de criptografia fortes.

Validade de Perímetro de Rede. Para proteger a sua rede de perímetro, a medida mais comum consiste em um ou mais firewalls e, provavelmente, uma ou mais zonas desmilitarizadas (DMZ).

Validade de Dados. Uma vez que o acesso à rede tem sido devidamente identificado e autorizado, é importante olhar os dados que entram e saem da rede. Para os dados de entrada, você quer ter certeza de que há um requisito de negócio para permitir que os dados entrem na sua rede, e que não contenha material questionável ou mesmo prejudicial, como vírus. Isso garante que os danos aos sistemas mais críticos dentro da sua rede sejam reduzidos ao mínimo. Para os dados de saída, você, também, quer ter certeza de que há um requisito de negócio para permitir que os dados  saiam da sua rede, e que não contenham material questionável ou mesmo prejudicial e, por conseguinte,  reduza o risco de danos à outras pessoas oriundos de usuários de dentro de sua rede ou de um hacker que usa sua rede como uma plataforma para atacar os outros.

Validade do usuário. No final do caminho de dados, os usuários devem estar devidamente autenticados aos aplicativos que eles estão acessando. Dessa forma, você pode pegar impostores que, de alguma forma encontram caminho para capturar os dados do outro lado da comunicação.

Validade de Sistema. Os sistemas que fornecem os aplicativos precisam ser protegidos contra falhas de segurança. Proteção de senha, listas de controle de acesso e criptografia de dados armazenados localmente protegem contra o uso indevido, ao passo que os programas antivírus podem reduzir a exposição a programas maliciosos.