Fortaleza, Sexta-feira, 19 Abril 2019

Tecnologia da Informação

Tecnologia da Informação

Pesquisa Google

Pesquisa Personalizada

QR Code

Segurança - QR Code Friendly

Visitantes

Contador de Visitas

005845326
Hoje
Ontem
Esta semana
Semana passada
Este mês
Mês passado
Todos os dias
553
1521
6920
935422
21502
52569
5845326

O seu IP: 3.91.157.213
2019-04-19 21:34

Login de Acesso

Pensamento do Dia

Os velhos acreditam em tudo; os adultos suspeitam de tudo; os jovens sabem tudo. (Oscar Wilde)

Segunda, 29 Agosto 2016 21:46

Segurança Destaque

Avalie este item
(2 votos)
Segurança da Informação Segurança da Informação

Segurança da informação

 

 A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de confidencialidade, integridade, disponibilidade e autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.

Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A série de normas ISO/IEC 27000 foi reservada para tratar de padrões de Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos.

Conceitos de segurança

A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.

Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente. A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.

A tríade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibilidade -- representa os principais atributos que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger. Outros atributos importantes são a irretratabilidade e a autenticidade. Com a evolução do comércio eletrônico e da sociedade da informação, a privacidade é também uma grande preocupação.

Portanto os atributos básicos, segundo os padrões internacionais (ISO/IEC 17799:2005) são os seguintes:

    Confidencialidade - propriedade que limita o acesso à informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
    Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).
    Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
    Irretratabilidade - propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita Para a montagem desta política, deve-se levar em conta:

Riscos associados à falta de segurança;

Benefícios;

Custos de implementação dos mecanismos.


Mecanismos de segurança

O suporte para as recomendações de segurança pode ser encontrado em:

    Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infraestrutura (que garante a existência da informação) que a suporta. Existem mecanismos de segurança que apóiam os controles físicos: Portas / trancas / paredes / blindagem / guardas / etc ..
    Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado.

Existem mecanismos de segurança que apóiam os controles lógicos:

    Mecanismos de criptografia. Permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a decifração.
    Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual são função, garantindo a integridade e autenticidade do documento associado, mas não a sua confidencialidade.
    Mecanismos de garantia da integridade da informação. Usando funções de "Hashing" ou de checagem, consistindo na adição.
    Mecanismos de controle de acesso. Palavras-chave, sistemas biométricos, firewalls, cartões inteligentes.
    Mecanismos de certificação. Atesta a validade de um documento.
    Integridade. Medida em que um serviço/informação é genuíno, isto é, está protegido contra a personificação por intrusos.
    Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a ação de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema.
    Protocolos seguros: uso de protocolos que garantem um grau de segurança e usam alguns dos mecanismos citados aqui

Existe hoje em dia um elevado número de ferramentas e sistemas que pretendem fornecer segurança. Alguns exemplos são os detectores de intrusões, os anti-vírus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de código, etc.

Ameaças à segurança

As ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas 3 características principais, quais sejam:

    Perda de Confidencialidade: seria quando há uma quebra de sigilo de uma determinada informação (ex: a senha de um usuário ou administrador de sistema) permitindo que sejam expostas informações restritas as quais seriam acessíveis apenas por um determinado grupo de usuários.
    Perda de Integridade: aconteceria quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.
    Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por quem necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicação crítica de negócio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ação não autorizada de pessoas com ou sem má intenção.

No caso de ameaças à rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, muitas vezes conhecidos como crackers, (hackers não são agentes maliciosos, pois tentam ajudar a encontrar possiveis falhas). Estas pessoas são motivadas para fazer esta ilegalidade por vários motivos. Os principais são: notoriedade, auto-estima, vingança e o dinheiro. De acordo com pesquisa elaborada pelo Computer Security Institute ([1]), mais de 70% dos ataques partem de usuários legítimos de sistemas de informação (Insiders) -- o que motiva corporações a investir largamente em controles de segurança para seus ambientes corporativos (intranet).

Invasões na Internet

Todo sistema de computação necessita de um sistema para proteção de arquivos. Este sistema é um conjunto de regras que garantem que a informação não seja lida, ou modificada por quem não tem permissão. A segurança é usada especificamente para referência do problema genérico do assunto, já os mecanismos de proteção são usados para salvar as informações a serem protegidas. A segurança é analisada de várias formas, sendo os principais problemas causados com a falta dela a perda de dados e as invasões de intrusos. A perda de dados na maioria das vezes é causada por algumas razões: fatores naturais: incêndios, enchentes, terremotos, e vários outros problemas de causas naturais; Erros de hardware ou de software: falhas no processamento, erros de comunicação, ou bugs em programas; Erros humanos: entrada de dados incorreta, montagem errada de disco ou perda de um disco. Para evitar a perda destes dados é necessário manter um backup confiável, guardado longe destes dados originais.

Nível de segurança

Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança a estabelecer para uma rede ou sistema os recursos físicos e lógicos a necessitar de proteção. No nível de segurança devem ser quantificados os custos associados aos ataques e os associados à implementação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um ataque.
Segurança física

Considera as ameaças físicas como incêndios, desabamentos, relâmpagos, alagamento, acesso indevido de pessoas, forma inadequada de tratamento e manuseio do material.

Segurança lógica

Atenta contra ameaças ocasionadas por vírus, acessos remotos à rede, backup desatualizados, violação de senhas, etc.

Segurança lógica é a forma como um sistema é protegido no nível de sistema operacional e de aplicação. Normalmente é considerada como proteção contra ataques, mas também significa proteção de sistemas contra erros não intencionais, como remoção acidental de importantes arquivos de sistema ou aplicação.

Políticas de segurança

De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.

As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.

O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido.

Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e, por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.

Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).

Os elementos da política de segurança devem ser considerados:

    A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar possa usar. Dados críticos devem estar disponíveis ininterruptamente.
    A Legalidade
    A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
    A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.
    A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.

Políticas de Senhas


Dentre as políticas utilizadas pelas grandes corporações a composição da senha ou password é a mais controversa. Por um lado profissionais com dificuldade de memorizar varias senhas de acesso, por outros funcionários displicentes que anotam a senha sob o teclado no fundo das gavetas, em casos mais graves o colaborador anota a senha no monitor.

Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra fundamental é a conscientização dos colaboradores quanto ao uso e manutenção das senhas.

    Senha com data para expiração: Adota-se um padrão definido onde a senha possui prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usuário a renovar sua senha.
    Inibir a repetição: Adota-se através de regras predefinidas que uma senha uma vez utilizada não poderá ter mais que 60% dos caracteres repetidos, p. ex: senha anterior “123senha” nova senha deve ter 60% dos caracteres diferentes como “456seuse”, neste caso foram repetidos somente os caracteres “s” “e” os demais diferentes.
    Obrigar a composição com número mínimo de caracteres numéricos e alfabéticos: Define-se obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos, por exemplo: 1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numéricos e os 4 subsequentes alfabéticos por exemplo: 1432seus.
    Criar um conjunto com possíveis senhas que não podem ser utilizadas: Monta-se uma base de dados com formatos conhecidos de senhas e proibir o seu uso, como por exemplo, o usuário chama-se Jose da Silva, logo sua senha não deve conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4
    Recomenda-se ainda utilizar senhas com Case Sensitive e utilização de caracteres especiais como: @ # $ % & *

Procedimentos para criação/exclusão de contas e modificação de senhas.
Procedimentos para processamentos de pedidos de senhas tentam balancear exigências de segurança e conveniência do usuário. Estes procedimentos serão seguidos pela equipe de suporte  para todos os pedidos de senha (incluindo senhas novas, ou esquecidas) para acesso à rede, aos serviços, aos sistemas e dados.

Não aceitar sob nenhuma circunstância, solicitação de contas ou senhas novas por telefone. A única exceção fica por conta de senhas temporárias, que serão utilizadas para o primeiro acesso, mas desde que antecedidas por requisição escrita.

Quando um usuário requisitar uma nova conta/senha para rede ou email deverá preencher o Formulário de Controle de Contas de Usuários, que deve vir rubricado por sua chefia imediata. O formulário encontra-se anexo no Manual de Utilização de Senhas.

Quando um usuário requisitar uma nova conta/senha para sistemas, deverá preencher o Formulário de Controle de Contas de Sistemas, que deve vir rubricado por sua chefia imediata. O formulário encontra-se anexo no Manual de Utilização de Senhas.

Após o recebimento destes formulários, o administrador da rede/gestor de sistema deve criar um usuário e gerar uma senha temporária para tal usuário. Esta senha temporária pode ser revelada por telefone ou através de e-mail, caso o usuário já possua uma conta de e-mail.

Ao receber esta senha, o usuário deve substituí-la no primeiro acesso à rede e/ou sistema/serviço.

Caso o usuário esqueça sua senha, ele deve utilizar os formulários citados anteriormente para solicitar nova senha ao administrador de rede/gestor do serviço, que deve proceder da mesma forma quanto ao uso de senha inicial temporária.

Políticas de Internet

Esta política define o uso pessoal aceitável da infraestrutura de acesso à Internet.

Política de Email

O propósito desta política é estabelecer um padrão para a comunicação eletrônica da empresa e uso adequado de sistemas de correio eletrônico.

Política de Controles Contra Software Malicioso

O objetivo desta política é estabelecer controles básicos que auxiliem na detecção, prevenção e controle de software e códigos maliciosos. Procedimentos básicos relativos aos usuários também são contemplados. A proteção contra software / código malicioso é baseada em medidas de segurança, conscientização de usuários, acesso apropriado a sistemas e equipamentos servidores, e mudanças nos métodos de controle.

Esta política aplica-se aos equipamentos servidores e estações de trabalho autorizados, mantidos, operados e conectados diretamente à rede interna da empresa. Esta política também aplica-se aos usuários finais, especificamente nos cuidados quanto a procedimentos de obtenção de software através de fontes não confiáveis, manipulação de e-mail e outras.

 

 

Lido 1538 vezes Última modificação em Terça, 06 Setembro 2016 13:10
Mais nesta categoria: Vídeos Educativos - 1/4 »

Deixe um comentário



Insira aqui o seu Nome e E-Mail para receber gratuitamente as atualizações do Blog do Anísio Alcântara

Nós também detestamos SPAM. Prometemos nunca enviar nenhum E-Mail indesejado para sua caixa postal.


| Principal | Contato | Webmail | Notícias | Android App | NASA Ao Vivo | Águias Ao Vivo | Radio FM | TV Assembléia | Livros Grátis |

Copyright © 2012 Anísio Silva de Alcântara. All Rights Reserved.

O Blog do Anísio Alcântara foi publicado no dia 25 de Março de 2012