INTRODUÇÃO
Iremos abordar neste trabalho os conceitos de Segurança da Informação que está relacionada com proteção de um conjunto de dados, no sentindo de preservar o valor que possuem para um indivíduo ou organização.
Informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilidade ao ser humano. Trata-se de tudo aquilo que permite a aquisição de conhecimento. Nesse sentido, a informação digital é um dos principais, senão o mais importante, produto da era atual. Ela pode ser manipulada e visualizada de diversas maneiras. Assim, à medida que a informação digital circula pelos mais variados ambientes, percorrendo diversos fluxos de trabalho, ela pode ser armazenada para os mais variados fins, possibilitando ela ser lida, modificada ou até mesmo apagada.
Desde a inserção do computador, na década de 40, como dispositivo auxiliar nas mais variadas atividades, até os dias atuais, temos observado uma evolução nos modelos computacionais e tecnologias usadas para manipular, armazenar e apresentar informações. Temos testemunhado uma migração de grandes centros de processamento de dados para ambientes de computação distribuída.
Figura 1: Evolução de tecnologias.
Considerando o cenário apresentado acima, há uma necessidade de oferecer suporte à colaboração de múltiplas organizações e comunidades que muitas vezes têm interesses sobrepostos. Em tal situação, o controle de acesso às informações é um requisito fundamental nos sistemas atuais. Vale ressaltar que, atualmente, a grande maioria das informações disponíveis nas organizações encontra-se armazenadas e são trocadas entre os mais variados sistemas automatizados.
Dessa forma, inúmeras vezes decisões e ações tomadas decorrem das informações manipuladas por esses sistemas. Dentro deste contexto, toda e qualquer informação deve ser correta, precisa e estar disponível, a fim de ser armazenada, recuperada, manipulada ou processada, além de poder ser trocada de forma segura e confiável.
A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplicam-se tanto as informações corporativas quanto as pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para o uso restrito ou exposta ao público para consulta ou aquisição.
A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.
O nível de segurança desejado, pode se identificar em uma “política de segurança” que é seguida pela organização ou pessoa, para garantir que uma vez estabelecidos, aquele nível desejado seja perseguido e
mantido.
Para a montagem desta política, deve-se levar em conta:
Riscos associados à falta de segurança;
Benefícios;
Custos de implementação dos mecanismos.
DESENVOLVIMENTO
A tríade CIA (Confidentiality, Integrity and Availability) – Confidencialidade,
Integridade e Disponibilidade, representam as características básicas da segurança da informação os principais atributos que, atualmente, orienta e analisa, o planejamento e a implementação da
segurança para um determinado grupo de informações que se deseja proteger.
Outros atributos importantes são a não repudiação e a autenticidade. Com o evoluir do comércio eletrônico e da sociedade da informação, a privacidade é também uma grande preocupação, porém esta segurança não esta restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento.
Definições dos atributos básicos da Segurança da Informação são:
Confidencialidade – propriedade
que limita o acesso à informação tão somente às entidades legítimas, ou seja, aquelas autorizadas pelo proprietário da informação.
Integridade – propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).
Disponibilidade – propriedade que garante que a informação esteja sempre disponível para o uso
legítimo, ou seja por aqueles usuários autorizados pelo proprietário da informação.
Autenticidade – Assegura que a informação é realmente da fonte que se declara ser.
Não repúdio – Assegura que nem o emissor nem o receptor de uma informação possam negar o fato. (eu juro pela minha vovozinha querida que não fui eu …)
• MECANISMOS DE SEGURANÇA.
Quando falamos em mecanismos referimo-nos aos recursos disponíveis e que podem ser utilizados para oferecer os serviços
descritos anteriormente.
O suporte para as recomendações de segurança pode ser encontrado em:
Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infra-estrutura (que garante a existência da informação)que a suporta.
Existem mecanismos de segurança que apóiam os controles físicos:
Portas / trancas / paredes / blindagem / guardas / etc ..
Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em
ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado.
Existem mecanismos de segurança que apóiam os controles lógicos, são eles:
Mecanismos de criptografia. Permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência
de dados criptografados. A operação inversa é a decifração.
Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual são função, garantindo a integridade do documento associado, mas não a sua confidencialidade.
Mecanismos de garantia da integridade da informação. Usando funções de “Hashing” ou de checagem, consistindo na adição.
Mecanismos de controle de acesso. sistemas biométricos, firewalls, cartões inteligentes.
Mecanismos de
certificação. Atesta a validade de um documento.
Integridade. Medida em que um serviço/informação é genuino, isto é, esta protegido contra a personificação por intrusos.
Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a ação de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema.
Existe hoje em dia um elevado numero de
ferramentas e sistemas que pretendem fornecer segurança. Alguns exemplos são os detectores de intrusões, os anti-virus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de código, etc.
• AMEAÇAS À SEGURANÇA
As ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas 3 características principais, quais sejam:
Perda de Confidencialidade: seria quando há uma quebra de sigilo de uma determinada informação (ex: a senha de um usuário
ou administrador de sistema) permitindo com que sejam expostas informações restritas as quais seriam acessíveis apenas por um determinado grupo de usuários.
Perda de Integridade: aconteceria quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.
Perda de Disponibilidade: acontece quando a informação deixa de estar
acessível por quem necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor de uma aplicação crítica de negócio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento.
No caso de ameaças à rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, muitas vezes conhecidos como crackers, (hackers não são agentes maliciosos, pois tentam ajudar a encontrar
possiveis falhas). Estas pessoas são motivadas para fazer esta ilegalidade por vários motivos. Os principais são: notoriedade, auto-estima, vingança e o dinheiro.
• SUPERVISÃO.
Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança a estabelecer para uma rede ou sistema os recursos físicos e lógicos a necessitar de proteção. No nível de segurança devem ser quantificados os custos associados aos ataques e os associados à implementação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um ataque .
Avaliação constante do estado do sistema com a utilização de ferramentas de monitoração (scanners, sistemas de gerência de redes, verificações periódicas das condições ambientais, análise de relatórios dos sistemas (logs), tudo que foge à normalidade deve ser investigado).
(busque sempre por anormalidades!)
“O custo relativamente baixo, a facilidade de instalação das redes de compartilhamento de
Internet via tecnologia sem fio (Wi-Fi) e a falta de conhecimento dos usuários sobre segurança de rede criou, em algumas regiões de São Paulo, áreas onde é possível encontrar pontos de acesso liberados à web. Especialistas em direito, no entanto, alertam que o uso de redes privadas sem autorização pode, eventualmente, ser considerado crime. O G1 foi às ruas de São Paulo com a missão de descobrir se as conexões sem fio da cidade estão protegidas contra invasões. Durante o percurso de 31 km pelas
zonas Oeste, Sul e Centro da cidade, iniciado às 11h30 da última sexta (13), foram identificados cerca de 6.400 pontos de acesso Wi-Fi. Destes, mais de mil eram abertas, completamente vulneráveis a usuários externos e hackers. Em locais como as avenidas Rebouças, Paulista, 23 de Maio, Luis Carlos Berrini e Bandeirantes, por exemplo, é possível achar pontos de acesso em qualquer área.” ( BUENO, Renato)
• CONTROLE DE ACESSO E SENHAS
Dentre as políticas utilizadas pelas grandes
corporações a composição da senha ou password é a mais controversa. Por um lado profissionais com dificuldade de memorizar varias senhas de acesso, por outro funcionários displicentes que anotam a senha sob o teclado no fundo das gavetas, em casos mais graves o colaborador anota a senha no monitor.
Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra fundamental é a conscientização dos colaboradores quanto ao uso e manutenção das senhas.
Senha com data
para expiração – (Adota-se um padrão definido onde a senha tem prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usuário a renovar sua senha. )
Inibir a repetição – (Adota-se através de regras predefinidas que uma senha uma vez utilizada não poderá ter mais que 60% dos caracteres repetidos, p. ex: senha anterior “123senha” nova senha deve ter 60% dos caracteres diferentes como “456seuze”, neste caso foram repetidos somente os caracteres “s” “e” os demais diferentes.)
Obrigar a composição com numero mínimo de caracteres numéricos e alfabéticos. (Define-se obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos, por exemplo: 1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numéricos e os 4 subseqüentes alfabéticos por exemplo: 1432seuz.)
Criar um conjunto possíveis senhas que não podem ser utilizadas. (Monta-se uma base de dados com formatos conhecidos de senhas e proíbir o seu uso, como por exemplo o usuário chama-se Jose da
Silva, logo sua senha não deve conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4 etc. )
Os usuários devem ser conscientizados para que não usem senhas relacionadas com o mesmo, por exemplo gostos pessoais, nomes de parentes e animais de estimação, etc.
Já o controle de acesso requer que o acesso à informação seja controlado por ou para um sistema em questão (eu sei o que posso acessar / eu sei o que você pode acessar). Deve existir um
sistema de identificação de usuários que é feita com base em um ou mais dos seguintes aspectos:
O que somos: baseado na identificação biomédica (digitais, mapa facial, exame de retina, voz, …)
O que portamos: chaves, carteiras de identificação, cartões magnéticos, circuitos microprocessados externos ou internos ao nosso corpo, …
O que sabemos: senhas, dados pessoais, parte de uma informação, …
Ex.: Caixa eletrônico de auto-atendimento: É necessário portar um cartão com tarja magnética e saber uma ou duas senhas (fracas!)
• CRIPTOGRAFIA
Palavra de origem grega (Kryptós) que significa escondido, oculta. Costumamos dizer que a criptografia é a arte ou ciência de esconder informações, mas no nosso caso poderíamos definir como sendo um conjunto de técnicas que permitem tornar incompreensível uma mensagem originariamente escrita com clareza.
Classificação:
Simétrica: a criptografia é dita simétrica quando ela é parametrizada em função de uma informação de controle (chave) que é utilizada tanto para cifrar quanto para decifrar uma fonte original de informação. Os algoritmos que implementam este tipo de criptografia são baseados em processo de transposição, substituição ou em ambos.
Assimétrica: a criptografia é dita assimétrica quando a informação utilizada para cifrar é diferente (ou com relação não linear) da informação que é utilizada para decifrar. Os algoritmos que implementam esta abordagem fazem uso na não bidirecionalidade de algumas funções aritméticas. Ex.: RSA
Esteganografia: consiste em uma técnica de esconder informações por despistamento, fazer com que um texto carregue no seu corpo informações não visíveis em primeira análise.
CONCLUSÃO.
Segurança da informação compreende um conjunto de medidas que visam proteger e preservar informações e sistemas de informações, assegurando-lhes integridade, disponibilidade, não repúdio, autenticidade e confidencialidade. Esses elementos constituem os cinco pilares da segurança da informação e, portanto, são essenciais para assegurar a integridade e confiabilidade em sistemas de informações. Nesse sentido, esses pilares, juntamente com mecanismos de proteção têm por objetivo prover suporte a restauração de sistemas informações, adicionando-lhes capacidades detecção, reação e proteção.
Os componentes criptográficos da segurança da informação tratam da confidencialidade, integridade, não repúdio e autenticidade. Vale, no entanto, ressaltar que o uso desses pilares é feito em conformidade com as necessidades específicas de cada organização. Assim, o uso desses pilares pode ser determinado pela suscetibilidade das informações ou sistemas de informações, pelo nível de ameaças ou por quaisquer outras decisões de gestão de riscos. Perceba que esses pilares são essenciais no mundo atual, onde se tem ambientes de natureza pública e privada conectados a nível global.
Dessa forma, torna-se
necessário dispor de uma estratégia, levando em conta os pilares acima mencionados, a fim de compor uma arquitetura de segurança que venha unificar os propósitos dos cinco pilares. Neste contexto, as organizações e, mais amplamente, os países incluem em suas metas:
Forte uso de criptografia;
Incentivo a educação em questões de segurança;
Disponibilidade de tecnologia da informação com suporte a segurança;
Infra-estrutura de gestão de segurança;
Disponibilidade
de mecanismos de monitoramento de ataques, capacidade de alerta e ações coordenadas.
Atualmente, numa era onde conhecimento e informação são fatores de suma importância para qualquer organização ou nação, segurança da informação é um pré-requisito para todo e qualquer sistema de informações. Nesse sentido, há uma relação de dependência entre a segurança da informação e seus pilares.
REFERÊNCIAS BIBLIOGRAFICAS.
www.administradores.com.br
www.google.com.br
www.wikipedia.org.br
www.globo.com.br/noticias.
MENDES, Romeu – Administrador de Empresas, com especialização em Gestão da Tecnologia da Informação. – Disponível em: www.administradores.com.br/artigos
DOBKOWSKI, Gustavo – Diretor de Suporte e Hardware da empresa Firewalls, sendo
conhecedor de Linux há dois anos e especialista em cabeamento estruturado, sendo integrador oficial dos produtos 3M (VIP – Volition Integrator Professional).
PAIVA, Edio Cardoso – Professor do Centro Federal de Educação Tecnológica de Goiás – Curso de Redes de Comunicação. Disponível em: www.google.com.br
BARBOSA, André Luiz Santana – Artigo Como a Tecnologia da Informação, através da Inteligência Empresarial – “Business Intelligence” ( BI ), tem provocado impacto na gestão das empresas? – Disponível em: www.administradores.com.br/artigos.
CARPANEZ, Juliana, São Paulo, Jun.2008. Disponível em://g1.globo.com/Noticias/Tecnologia Acesso em: 25/06/2008.
BUENO,
Renato, São Paulo, Jun. 2008. Disponível em: //g1.globo.com/Noticias/Tecnologia
Acesso em 25/06/2008