A segurana da informao est relacionada com proteo de um conjunto de dados, no sentido de preservar o valor que possuem para um indivduo

ou uma organizao. So caractersticas bsicas da segurana da informao os atributos de confidencialidade, integridade, disponibilidade e autenticidade, no estando esta segurana restrita somente a sistemas computacionais, informaes eletrnicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteo de informaes e dados. O conceito de Segurana Informtica ou Segurana de Computadores est intimamente relacionado com o de Segurana da Informao, incluindo no apenas a segurana dos dados/informao, mas tambm a dos sistemas em si. Atualmente o conceito de Segurana da Informao est padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padro ingls (British Standard) BS 7799. A srie de normas ISO/IEC 27000 foram reservadas para tratar de padres de Segurana da Informao, incluindo a complementao ao trabalho original do padro ingls. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins histricos.

ndice
[esconder]

1 Conceitos de segurana o 1.1 Mecanismos de segurana o 1.2 Ameaas segurana o 1.3 Nvel de segurana 1.3.1 Segurana fsica 1.3.2 Segurana lgica o 1.4 Polticas de segurana 1.4.1 Polticas de Senhas o 1.5 Ligaes externas o 1.6 Referncias

[editar] Conceitos de segurana

A Segurana da Informao se refere proteo existente sobre as informaes de uma determinada empresa ou pessoa, isto , aplica-se tanto as informaes corporativas quanto s pessoais. Entende-se por informao todo e qualquer contedo ou dado que tenha valor para alguma organizao ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao pblico para consulta ou aquisio. Podem ser estabelecidas mtricas (com o uso ou no de ferramentas) para a definio do nvel de segurana existente e, com isto, serem estabelecidas as bases para anlise da melhoria ou piora da situao de segurana existente. A segurana de uma determinada informao pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que tm o objetivo de furtar, destruir ou modificar tal informao.

A trade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibilidade -- representa os principais atributos que, atualmente, orientam a anlise, o planejamento e a implementao da segurana para um determinado grupo de informaes que se deseja proteger. Outros atributos importantes so a irretratabilidade e a autenticidade. Com a evoluo do comrcio eletrnico e da sociedade da informao, a privacidade tambm uma grande preocupao. Portanto os atributos bsicos, segundo os padres internacionais (ISO/IEC 17799:2005) so os seguintes:

Confidencialidade - propriedade que limita o acesso a informao to somente s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao. Integridade - propriedade que garante que a informao manipulada mantenha todas as caractersticas originais estabelecidas pelo proprietrio da informao, incluindo controle de mudanas e garantia do seu ciclo de vida (nascimento,manuteno e destruio). Disponibilidade - propriedade que garante que a informao esteja sempre disponvel para o uso legtimo, ou seja, por aqueles usurios autorizados pelo proprietrio da informao. Irretratabilidade - propriedade que garante a impossibilidade de negar a autoria em relao a uma transao anteriormente feita

Para a montagem desta poltica, deve-se levar em conta:

Riscos associados falta de segurana; Benefcios; Custos de implementao dos mecanismos.

[editar] Mecanismos de segurana

O suporte para as recomendaes de segurana pode ser encontrado em:

Controles fsicos: so barreiras que limitam o contato ou acesso direto a informao ou a infraestrutura (que garante a existncia da informao) que a suporta.

Existem mecanismos de segurana que apiam os controles fsicos: Portas / trancas / paredes / blindagem / guardas / etc ..

Controles lgicos: so barreiras que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado.

Existem mecanismos de segurana que apiam os controles lgicos:

Mecanismos de criptografia. Permitem a transformao reversvel da informao de forma a torn-la ininteligvel a terceiros. Utiliza-se para tal,

algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados no criptografados, produzir uma sequncia de dados criptografados. A operao inversa a decifrao. Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual so funo, garantindo a integridade e autenticidade do documento associado, mas no a sua confidencialidade. Mecanismos de garantia da integridade da informao. Usando funes de "Hashing" ou de checagem, consistindo na adio. Mecanismos de controle de acesso. Palavras-chave, sistemas biomtricos, firewalls, cartes inteligentes. Mecanismos de certificao. Atesta a validade de um documento. Integridade. Medida em que um servio/informao genuno, isto , est protegido contra a personificao por intrusos. Honeypot: o nome dado a um software, cuja funo detectar ou de impedir a ao de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema. Protocolos seguros: uso de protocolos que garantem um grau de segurana e usam alguns dos mecanismos citados aqui

Existe hoje em dia um elevado nmero de ferramentas e sistemas que pretendem fornecer segurana. Alguns exemplos so os detectores de intruses, os anti-vrus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de cdigo, etc.

[editar] Ameaas segurana

As ameaas segurana da informao so relacionadas diretamente perda de uma de suas 3 caractersticas principais, quais sejam:

Perda de Confidencialidade: seria quando h uma quebra de sigilo de uma determinada informao (ex: a senha de um usurio ou administrador de sistema) permitindo que sejam expostas informaes restritas as quais seriam acessveis apenas por um determinado grupo de usurios. Perda de Integridade: aconteceria quando uma determinada informao fica exposta a manuseio por uma pessoa no autorizada, que efetua alteraes que no foram aprovadas e no esto sob o controle do proprietrio (corporativo ou privado) da informao. Perda de Disponibilidade: acontece quando a informao deixa de estar acessvel por quem necessita dela. Seria o caso da perda de comunicao com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicao crtica de negcio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ao no autorizada de pessoas com ou sem m inteno.

No caso de ameaas rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, muitas vezes conhecidos como crackers, (hackers no so agentes maliciosos, pois tentam ajudar a encontrar possiveis falhas). Estas pessoas so motivadas para fazer esta ilegalidade por vrios motivos. Os principais so: notoriedade, auto-estima, vingana e o dinheiro. De acordo com pesquisa elaborada pelo Computer Security Institute ([1]), mais de 70% dos ataques partem de usurios legtimos de

sistemas de informao (Insiders) -- o que motiva corporaes a investir largamente em controles de segurana para seus ambientes corporativos (intranet). Invases na Internet Todo sistema de computao necessita de um sistema para proteo de arquivos. Este sistema um conjunto de regras que garantem que a informao no seja lida, ou modificada por quem no tem permisso. A segurana usada especificamente para referncia do problema genrico do assunto, j os mecanismos de proteo so usados para salvar as informaes a serem protegidas. A segurana analisada de vrias formas, sendo os principais problemas causados com a falta dela a perda de dados e as invases de intrusos. A perda de dados na maioria das vezes causada por algumas razes: fatores naturais: incndios, enchentes, terremotos, e vrios outros problemas de causas naturais; Erros de hardware ou de software: falhas no processamento, erros de comunicao, ou bugs em programas; Erros humanos: entrada de dados incorreta, montagem errada de disco ou perda de um disco. Para evitar a perda destes dados necessrio manter um backup confivel, guardado longe destes dados originais. Exemplos de Invases O maior acontecimento causado por uma invaso foi em 1988, quando um estudante colocou na internet um programa malicioso (worm), derrubando milhares de computadores pelo mundo. Sendo identificado e removido logo aps. Mas at hoje h controvrsias de que ele no foi completamente removido da rede. Esse programa era feito em linguagem C, e no se sabe at hoje qual era o objetivo, o que se sabe que ele tentava descobrir todas as senhas que o usurio digitava. Mas esse programa se autocopiava em todos os computadores em que o estudante invadia. Essa brincadeira no durou muito, pois o estudante foi descoberto pouco tempo depois, processado e condenado a liberdade condicional, e teve que pagar uma alta multa. Um dos casos mais recentes de invaso por meio de vrus foi o do Vrus Conficker (ou Downup, Downadup e Kido) que tinha como objetivo afetar computadores dotados do sistema operacional Microsoft Windows, e que foi primeiramente detectado em outubro de 2008. Uma verso anterior do vrus propagou-se pela internet atravs de uma vulnerabilidade de um sistema de rede do Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 Beta e do Windows Server 2008 R2 Beta, que tinha sido lanado anteriormente naquele ms. O vrus bloqueia o acesso a websites destinados venda, protegidos com sistemas de segurana e, portanto, possvel a qualquer usurio de internet verificar se um computador est infectado ou no, simplesmente por meio do acesso a websites destinados a venda de produtos dotados de sistemas de segurana. Em janeiro de 2009, o nmero estimado de computadores infectados variou entre 9 e 15 milhes. Em 13 de fevereiro de 2009, a Microsoft estava oferecendo 250.000 dlares americanos em recompensa para qualquer informao que levasse condenao e priso de pessoas por trs da criao e/ou distribuio do Conficker. Em 15 de outubro de 2008, a Microsoft liberou um patch de emergncia para corrigir a vulnerabilidade MS08-067, atravs da qual o vrus prevalecese para poder se espalhar. As aplicaes da atualizao automtica se aplicam somente para o Windows XP SP2, SP3, Windows 2000 SP4 e Windows Vista; o Windows XP SP1 e verses mais antigas no so mais suportados. Os softwares antivrus no-ligados a Microsoft, tais como a BitDefender, Enigma Software, Eset,F-Secure, Symantec,

Sophos, e o Kaspersky Lab liberaram atualizaes com programas de deteco em seus produtos e so capazes de remover o vrus. A McAfee e o AVG tambm so capazes de remover o vrus atravs de escaneamentos de discos rgidos e mdias removveis. Atravs desses dados vemos que os anti-vrus devem estar cada vez mais atualizados, esto surgindo novos vrus rapidamente, e com a mesma velocidade deve ser lanado atualizaes para os bancos de dados dos anti-vrus para que os mesmos sejam identificados e excludos. Com a criao da internet essa propagao de vrus muito rpida e muito perigosa, pois se no houver a atualizao dos anti-virus o computador e usurio esto vulnerveis, pois com a criao da internet vrias empresas comearo a utilizar internet como exemplo empresas mais precisamente bancos, mas como muito vulnervel esse sistema, pois existem vrus que tem a capacidade de ler o teclado (in/out), instrues privilegiadas como os keyloggers. Com esses vrus possvel ler a senha do usurio que acessa sua conta no banco, com isso mais indicado ir diretamente ao banco e no acessar sua conta pela internet.

[editar] Nvel de segurana

Depois de identificado o potencial de ataque, as organizaes tm que decidir o nvel de segurana a estabelecer para uma rede ou sistema os recursos fsicos e lgicos a necessitar de proteo. No nvel de segurana devem ser quantificados os custos associados aos ataques e os associados implementao de mecanismos de proteo para minimizar a probabilidade de ocorrncia de um ataque.

[editar] Segurana fsica

Considera as ameaas fsicas como incndios, desabamentos, relmpagos, alagamento, acesso indevido de pessoas, forma inadequada de tratamento e manuseio do material.

[editar] Segurana lgica

Atenta contra ameaas ocasionadas por vrus, acessos remotos rede, backup desatualizados, violao de senhas, etc. Segurana lgica a forma como um sistema protegido no nvel de sistema operacional e de aplicao. Normalmente considerada como proteo contra ataques, mas tambm significa proteo de sistemas contra erros no intencionais, como remoo acidental de importantes arquivos de sistema ou aplicao.

[editar] Polticas de segurana

De acordo com o RFC 2196 (The Site Security Handbook), uma poltica de segurana consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organizao. As polticas de segurana devem ter implementao realista, e definir claramente as reas de responsabilidade dos utilizadores, do pessoal de gesto de sistemas e redes e da direo. Deve tambm adaptar-se a alteraes na organizao. As polticas de segurana fornecem um enquadramento para a implementao de mecanismos de segurana,

definem procedimentos de segurana adequados, processos de auditoria segurana e estabelecem uma base para procedimentos legais na sequncia de ataques. O documento que define a poltica de segurana deve deixar de fora todos os aspectos tcnicos de implementao dos mecanismos de segurana, pois essa implementao pode variar ao longo do tempo. Deve ser tambm um documento de fcil leitura e compreenso, alm de resumido. Algumas normas definem aspectos que devem ser levados em considerao ao elaborar polticas de segurana. Entre essas normas esto a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a verso brasileira desta primeira). A ISO comeou a publicar a srie de normas 27000, em substituio ISO 17799 (e por conseguinte BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005. Existem duas filosofias por trs de qualquer poltica de segurana: a proibitiva (tudo que no expressamente permitido proibido) e a permissiva (tudo que no proibido permitido). Os elementos da poltica de segurana devem ser considerados:

A Disponibilidade: o sistema deve estar disponvel de forma que quando o usurio necessitar, possa usar. Dados crticos devem estar disponveis ininterruptamente. A Legalidade A Integridade: o sistema deve estar sempre ntegro e em condies de ser usado. A Autenticidade: o sistema deve ter condies de verificar a identidade dos usurios, e este ter condies de analisar a identidade do sistema. A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.

[editar] Polticas de Senhas

Dentre as polticas utilizadas pelas grandes corporaes a composio da senha ou password a mais controversa. Por um lado profissionais com dificuldade de memorizar varias senhas de acesso, por outro funcionrios displicentes que anotam a senha sob o teclado no fundo das gavetas, em casos mais graves o colaborador anota a senha no monitor. Recomenda-se a adoo das seguintes regras para minimizar o problema, mas a regra fundamental a conscientizao dos colaboradores quanto ao uso e manuteno das senhas.

Senha com data para expirao Adota-se um padro definido onde a senha possui prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usurio a renovar sua senha.

Inibir a repetio

Adota-se atravs de regras predefinidas que uma senha uma vez utilizada no poder ter mais que 60% dos caracteres repetidos, p. ex: senha anterior 123senha nova senha deve ter 60% dos caracteres diferentes como 456seuse, neste caso foram repetidos somente os caracteres s e os demais diferentes.

Obrigar a composio com nmero mnimo de caracteres numricos e alfabticos Define-se obrigatoriedade de 4 caracteres alfabticos e 4 caracteres numricos, por exemplo: 1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numricos e os 4 subseqentes alfabticos por exemplo: 1432seus.

Criar um conjunto com possveis senhas que no podem ser utilizadas Monta-se uma base de dados com formatos conhecidos de senhas e probir o seu uso, como por exemplo o usurio chama-se Jose da Silva, logo sua senha no deve conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4

Recomenda-se ainda utilizar senhas com Case Sensitive e utilizao de caracteres especiais como: @ # $ % & *

Segurana da Informao est relacionada com proteo de um conjunto de dados, no sentido de preservar o valor que possuem para um indivduo ou uma organizao. So caractersticas bsicas da segurana da informao os atributos de confidencialidade, integridade e disponibilidade, no estando esta segurana restrita somente a sistemas computacionais, informaes eletrnicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteo de informaes e dados. O conceito de Segurana Informtica ou Segurana de Computadores est intimamente relacionado com o de Segurana da Informao, incluindo no apenas a segurana dos dados/informao, mas tambm a dos sistemas em si. Atualmente o conceito de Segurana da Informao est padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padro ingls (British Standard) BS 7799. A srie de normas ISO/IEC 27000 foram reservadas para tratar de padres de Segurana da Informao, incluindo a complementao ao trabalho original do padro ingls. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins histricos.

Conceitos
A Segurana da Informao se refere proteo existente sobre as informaes de uma determinada empresa ou pessoa, isto , aplica-se tanto as informaes corporativas quanto s pessoais. Entende-se por informao todo e qualquer contedo ou dado que tenha valor para alguma organizao ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao pblico para consulta ou aquisio. Podem ser estabelecidas mtricas (com o uso ou no de ferramentas) para a definio do nvel de segurana existente e, com isto, serem estabelecidas as bases para anlise da melhoria ou piora da situao de segurana existente. A segurana de uma determinada informao pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que tm o objetivo de furtar, destruir ou modificar tal informao. A trade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibilidade -- representa os principais atributos que, atualmente, orientam a anlise, o planejamento e a implementao da segurana para um determinado grupo de informaes que se deseja proteger. Outros atributos importantes so a irretratabilidade e a autenticidade. Com o evoluir do comrcio electrnico e da sociedade da informao, a privacidade tambm uma grande preocupao. Os atributos bsicos (segundo os padres internacionais) so os seguintes:

Confidencialidade - propriedade que limita o acesso a informao to somente s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao. Integridade - propriedade que garante que a informao manipulada mantenha todas as caractersticas originais estabelecidas pelo proprietrio da informao, incluindo controle de mudanas e garantia do seu ciclo de vida (nascimento,manuteno e destruio).

Disponibilidade - propriedade que garante que a informao esteja sempre disponvel para o uso legtimo, ou seja, por aqueles usurios autorizados pelo proprietrio da informao.

O nvel de segurana desejado, pode se consubstanciar em uma "poltica de segurana" que seguida pela organizao ou pessoa, para garantir que uma vez estabelecidos os princpios, aquele nvel desejado seja perseguido e mantido. Para a montagem desta poltica, deve-se levar em conta:

Riscos associados falta de segurana; Benefcios; Custos de implementao dos mecanismos.

Mecanismos de segurana
O suporte para as recomendaes de segurana pode ser encontrado em:

Controles fsicos: so barreiras que limitam o contato ou acesso direto a informao ou a infra-estrutura (que garante a existncia da informao)que a suporta. Existem mecanismos de segurana que apiam os controles fsicos: Portas / trancas / paredes / blindagem / guardas / etc... Controles lgicos: so barreiras que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado.

Existem mecanismos de segurana que apiam os controles lgicos:

Mecanismos de criptografia. Permitem a transformao reversvel da informao de forma a torn-la ininteligvel a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados no criptografados, produzir uma sequncia de dados criptografados. A operao inversa a decifrao. Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual so funo, garantindo a integridade do documento associado, mas no a sua confidencialidade.

Mecanismos de garantia da integridade da informao. Usando funes de "Hashing" ou de checagem, consistindo na adio. Mecanismos de controle de acesso. Palavras-chave, sistemas biomtricos, firewalls, cartes inteligentes. Mecanismos de certificao. Atesta a validade de um documento. Integridade. Medida em que um servio/informao genuino, isto , esta protegido contra a personificao por intrusos. Honeypot: o nome dado a um software, cuja funo detectar ou de impedir a ao de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema.