17
Capítulo 2 - Ativos 2.1 Introdução Mercado britânico contabiliza perdas com ação de vírus * As organizações pertencentes ao Corporate IT Forum (TIF) revelaram recentemente que perdem mais de 100 mil euros em cada grande ação de uma praga virtual em seus sistemas. Segundo especialistas, essa seria uma boa justificativa para os gerentes de TI pedirem verbas extras para investimentos em soluções de segurança. O TIF reúne 140 organizações do Reino Unido, incluindo grandes empresas britânicas. Segundo levantamento realizado pela instituição, as empresas perdem 122 mil euros em deslocamento de equipes técnicas e outros custos para cada infecção de um vírus ou worm. Para se ter uma idéia de como a ação de vírus atinge diferentes sistemas pelo mundo, no levantamento anual realizado pelo FBI/CSI, com 530 profissionais de TI de diversos segmentos do mercado americano, 82% dos entrevistados admitiram ter sofrido prejuízos com ataques de vírus em 2002. E esses prejuízos foram calculados em torno de 27 milhões de dólares. *Fonte: http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2601&pagenumber=0&idiom=0 2.2 Objetivos

Modulo 01 Capitulo 02

Embed Size (px)

DESCRIPTION

 

Citation preview

Page 1: Modulo 01 Capitulo 02

Capítulo 2 - Ativos

2.1 Introdução

Mercado britânico contabiliza perdas com ação de vírus *

As organizações pertencentes ao Corporate IT Forum (TIF) revelaram recentemente que perdem mais de 100 mil euros em cada grande ação de uma praga virtual em seus sistemas. Segundo especialistas, essa seria uma boa justificativa para os gerentes de TI pedirem verbas extras para investimentos em soluções de segurança.

O TIF reúne 140 organizações do Reino Unido, incluindo grandes empresas britânicas. Segundo levantamento realizado pela instituição, as empresas perdem 122 mil euros em deslocamento de equipes técnicas e outros custos para cada infecção de um vírus ou worm.

Para se ter uma idéia de como a ação de vírus atinge diferentes sistemas pelo mundo, no levantamento anual realizado pelo FBI/CSI, com 530 profissionais de TI de diversos segmentos do mercado americano, 82% dos entrevistados admitiram ter sofrido prejuízos com ataques de vírus em 2002. E esses prejuízos foram calculados em torno de 27 milhões de dólares.

*Fonte: http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2601&pagenumber=0&idiom=0

2.2 Objetivos

Page 2: Modulo 01 Capitulo 02

· Conhecer os diferentes tipos de ativos na empresa para identificar tudo aquilo que a segurança da informação deve proteger; · Detectar vulnerabilidades relacionadas a esses ativos para nos prepararmos para sua proteção;

· Conhecer os princípios básicos da segurança da informação: confidencialidade, disponibilidade e integridade, para que possamos compreender quais aspectos devem ser preservados em termos de proteção.

2.3 Tipos de ativos

Ativo é tudo aquilo que possuí valor para uma empresa e, por conta disso, precisa ser protegido.

Os ativos são elementos que a segurança da informação busca proteger por conta do seu valor. Este valor pode estar no próprio ativo, como um servidor, ou no uso que se faz dele, como em um banco de dados.

Page 3: Modulo 01 Capitulo 02

Podemos classificar os ativos através de vários aspectos. Neste capítulo iremos dividi-los em:

• Informações;

• Equipamentos que oferecem suporte a elas;

• Pessoas que as utilizam.

Vejamos alguns exemplos de ativos dentro de cada uma das categorias:

a. Informações

b. Os equipamentos que oferecem suporte a elas

b.1 Software b.2 Hardware b.3 Organização

c. Pessoas que as utilizam

a. Informações

Neste grupo sem encontram as próprias informações, estejam elas armazenadas e representadas de qualquer forma, em meio eletrônico ou físico.

Page 4: Modulo 01 Capitulo 02

· documentos;

· relatórios;

· livros;

· manuais;

· correspondências;

· patentes;

· informações de mercado;

· códigos de programação;

· linhas de comando;

· arquivos de configuração;

· planilhas de remuneração de funcionários;

· plano de negócios de uma empresa.

Page 5: Modulo 01 Capitulo 02

Possíveis ameaças

Roubo de documentos confidenciais ou perda de arquivos de configuração, entre outros.

b.1 Software

Este grupo de ativos contém todos os programas de computador utilizados para a automatização de processos, incluindo acesso, leitura, transmissão e armazenamento das informações.

A segurança da informação busca avaliar a forma em que as aplicações são criadas, disponibilizadas e utilizadas pelos usuários e por outros sistemas para detectar e corrigir problemas existentes em seu funcionamento ou na forma como se comunicam.

· Sistemas operacionais (Windows, Unix, etc.);

· Aplicativos;

· Soluções de CRM e ERP;

Page 6: Modulo 01 Capitulo 02

Possíveis ameaças

Acesso indevido aos sistemas, causando comprometimento das informações armazenadas ou tirando os sistemas do ar.

b.2 Hardware

Esses ativos representam todos os elementos físicos dos sistemas computacionais que oferecem suporte ao processamento, armazenamento e transmissão de informações.

· Computadores pessoais (PC's);

· Servidores;

· Laptops;

· Mainframes;

· Mídias de armazenamento;

· Equipamento de conectividade, como roteadores e switchs;

Page 7: Modulo 01 Capitulo 02

Possíveis ameaças

Exemplos seriam falhas elétricas que danifiquem os equipamentos, inundações em centros de computação ou roubo de computadores portáteis.

b.3 Organização

Neste grupo, estão incluídos os aspectos que compõem a estrutura física e organizacional das empresas.

Como exemplos de estrutura organizacional temos:

· A estrutura departamental;

· A hierarquia;

· Processos.

Em relação ao ambiente físico podemos citar:

· Datacenters;

· Salas-cofre;

· Instalações físicas (construção onde a empresa está situada.

Page 8: Modulo 01 Capitulo 02

Possíveis ameaças

Acesso indevido a ambientes controlados ou problemas causados por aspectos culturais, como uso de recursos da empresa para fins pessoais.

c. Usuários

O grupo usuários refere-se aos indivíduos que lidam com as informações no seu dia-a-dia de trabalho.

O enfoque da segurança nos usuários está voltado para a formação da consciência sobre segurança, para que estes tomem decisões e empreendam ações de acordo com as necessidades de proteção. Isso vai desde a alta direção até os usuários finais da informação, incluindo os grupos que mantêm em funcionamento a estrutura tecnológica, como técnicos, operadores e administradores.

· Funcionários;

· Profissionais terceirizados;

· Executivos.

Page 9: Modulo 01 Capitulo 02

Possíveis ameaças

Dentro desta categoria podemos enquadrar praticamente todas as ameaças de origem humana, de roubos a invasões.

2.4 Proteção dos ativos

Uma vez conhecidos os diferentes tipos de ativos encontrados nas empresas, agora nos aprofundaremos nos princípios básicos que nos ajudarão a proteger os ativos de informação.

a) Princípios básicos da segurança da informação

Proteger os ativos significa mantê-los seguros contra ameaças que possam causar danos diretos a eles ou que possam trazer situações inesperadas, com conseqüente prejuízo em ambos os casos. Alguns exemplos:

• Acesso indevido;

• Corromper informações críticas;

• Apagar informações importantes.

Por isso, entendemos que a segurança da informação busca proteger esses ativos com base na preservação de três aspectos básicos:

• Integridade;

• Confidencialidade;

• Disponibilidade.

a.1) Integridade

O primeiro dos três aspectos da segurança da informação que estudaremos é o da integridade, o qual nos permite garantir que a informação não tenha sido alterada em seu conteúdo de forma intencional ou acidental, tornando-a íntegra.

Page 10: Modulo 01 Capitulo 02

Uma informação íntegra é uma informação que não foi alterada de forma indevida ou não-autorizada.

O primeiro dos três aspectos da segurança da informação que estudaremos é o da integridade, o qual nos permite garantir que a informação não tenha sido alterada em seu conteúdo de forma intencional ou acidental, tornando-a íntegra.

A integridade da informação é fundamental para o êxito da comunicação

O receptor deverá ter a segurança de que a informação recebida, lida ou ouvida é exatamente a mesma que foi colocada à sua disposição para uma determinada finalidade. Estar íntegra quer dizer estar em seu estado original, sem ter sofrido qualquer alteração por alguém que não tenha autorização para alterá-la. Se uma informação sofre alterações em sua versão original, então ela perde sua integridade, ocasionando erros e fraudes, entre outros problemas, e prejudicando a comunicação e o processo de decisões.

Uma informação poderá ser alterada de várias formas. Basicamente, a alteração pode ser feita diretamente na informação ou no ambiente que a suporta. Portanto, a quebra da integridade de uma informação poderá ser considerada sob dois aspectos:

1. Alterações do conteúdo dos documentos - quando são realizadas inserções, substituições ou exclusões de parte de seu conteúdo.

2. Alterações nos elementos que oferecem suporte à informação - quando são realizadas alterações na estrutura física e lógica onde a informação está armazenada.

Page 11: Modulo 01 Capitulo 02

· Alteração nas configurações de um sistema para obtenção de acesso indevido;

· Inserção de tráfego inválido na comunicação entre dois dispositivos para causar erros de funcionamento;

· Alteração de informações em um sistema financeiro com o propósito de se cometer fraudes.

· Quão importante é para você que as informações sobre os salários dos funcionários de sua empresa não sejam alteradas por acidente ou delito?

· Você sabe se as informações sobre os projetos de negócios confidenciais estão seguras e não podem ser alteradas por terceiros?

Vejamos algumas observações finais sobre o propósito que queremos alcançar ao garantir a integridade da informação, o qual está estreitamente relacionado ao aspecto que veremos na seção seguinte: a confidencialidade da informação.

Garantia da integridade da informação

Buscar a integridade é assegurar que apenas as pessoas autorizadas possam fazer alterações na forma e no conteúdo de uma informação, assim como no ambiente no qual ela é armazenada e pela qual transita.

Logo, para garantir a integridade, é preciso que todos os elementos que compõem a base da gestão da informação se mantenham em suas condições originais definidas por seus responsáveis e proprietários.

Em resumo: garantir a integridade é um dos principais objetivos para a segurança das informações de uma empresa.

Page 12: Modulo 01 Capitulo 02

a.2) Confidencialidade

O aspecto da confidencialidade da informação tem como objetivo garantir que apenas as pessoas corretas tenham acesso à informação que queremos distribuir.

Por isso, dizemos que a informação possui um grau de confidencialidade que deverá ser mantido para que as pessoas não-autorizadas não tenham acesso a ela.

Ter confidencialidade na comunicação é ter a segurança de que o que foi dito a alguém ou escrito em algum lugar só será escutado ou lido por quem tiver autorização para tal.

Perda de confidencialidade significa perda de segredo. Se uma informação for confidencial, ela será secreta e deverá ser guardada com segurança, e não divulgada para pessoas não-autorizadas.

Page 13: Modulo 01 Capitulo 02

Pensemos no caso de um cartão de crédito, o número do cartão só poderá ser conhecido por seu proprietário e pelo vendedor da loja onde é usado. Se esse número for descoberto por alguém mal-intencionado, como nos casos denunciados em jornais sobre crimes na Internet, o prejuízo causado pela perda de confidencialidade poderá ser elevado, pois esse número poderá ser usado por alguém para fazer compras indevidas, trazendo prejuízos financeiros e uma grande dor de cabeça para o proprietário do cartão.

O mesmo ocorre no caso de uso indevido de senhas de acesso a sistemas bancários, por exemplo. Milhares de reais são roubados diariamente pela ação de criminosos virtuais que se dedicam a invadir computadores domésticos para quebrar a confidencialidade de senhas pessoais.

· Você sabe quem pode ter acesso a suas informações?

· Elas estão guardadas de forma suficientemente segura para que pessoas não-autorizadas não tenham acesso a elas?

· O envio e o armazenamento de informações confidenciais são feitos de forma segura, e os meios pelos quais transitam são controlados, conhecidos e seguros?

Garantia da confidencialidade das informações

Garantir a confidencialidade é um dos fatores determinantes para a segurança e uma das tarefas mais difíceis de se implementar, pois envolve todos os elementos que fazem parte da comunicação da informação, partindo do emissor, passando pelo caminho percorrido e chegando até o receptor. Quanto maior for o grau de confidencialidade, maior será o nível de segurança necessário na estrutura tecnológica, física e humana que participa desse processo: uso, acesso, transmissão e armazenamento das informações.

Deve-se considerar a confidencialidade com base no valor que a informação tem para a empresa ou a pessoa e os impactos causados por sua divulgação indevida. Desta forma, as informações devem ser acessadas, lidas e alteradas somente por aqueles indivíduos que possuem permissão para tal. O acesso deve ser considerado com base no grau de sigilo das informações, pois nem todas as

Page 14: Modulo 01 Capitulo 02

informações importantes da empresa são confidenciais.

No entanto, para garantir isso, somente a confidencialidade das informações não é suficiente, é importante que, além de serem confidenciais, elas também estejam íntegras. Logo, deve-se também manter a integridade da informação seguindo princípios básicos já citados aqui.

Mencionamos que o melhor critério que deve ser levado em consideração na hora de definir as necessidades em termos de confidencialidade de uma informação é o seu respectivos grau de sigilo. Vejamos em maiores detalhes este importante conceito:

Grau de sigilo: As informações geradas dentro de uma empresa têm uma finalidade específica e destinam-se a um indivíduo ou grupo de indivíduos. Portanto, elas precisam de uma classificação com relação à sua confidencialidade. É o que chamamos de grau de sigilo, que é uma graduação atribuída a cada tipo de informação com base no grupo de usuários que devem ter permissões de acesso a informação em questão.

Dependendo do tipo de informação e do público para o qual se deseja colocar à disposição a informação, os graus de sigilo irão variar. Alguns exemplos:

• Confidencial;

• Restrito;

• Sigiloso;

• Público.

O que cada um desses graus significa em termos de proteção e em termos de requisitos de segurança vai variar de uma empresa para outra. Esta variação ocorre porque as empresas criam os graus de sigilo com o propósito de atender suas necessidades específicas. O único local onde estes graus não variam é na esfera governamental, onde os graus são padronizados para que possam ser utilizados de forma uniforme por todos os servidores públicos.

a.3) Princípio de disponibilidade das informações

Quando tivermos assegurado que a informação correta chegue aos destinatários ou usuários adequados, devemos também garantir que ela chegue no momento oportuno. É precisamente disso que trata o terceiro aspecto da segurança da informação: a disponibilidade.

Page 15: Modulo 01 Capitulo 02

Para que uma informação possa ser utilizada, ela deverá estar disponível. A disponibilidade é o terceiro princípio básico da segurança da informação.

Refere-se à disponibilidade da informação e de toda a estrutura física e tecnológica que permite o acesso, a transmissão e o armazenamento.

A disponibilidade da informação permite que:

• Possa ser acessada no momento em que for necessário utilizá-la;

• Esteja ao alcance de seus usuários ou destinatários.

Esse princípio está associado à adequada estruturação de um ambiente tecnológico e humano que permita a continuidade dos negócios da empresa ou das pessoas, sem impactos negativos para a utilização das informações. Não basta estar disponível: a informação deverá estar acessível de forma segura para que se possa usá-la no momento solicitado e para que seja possível garantir sua integridade e confidencialidade.

Page 16: Modulo 01 Capitulo 02

· Durante uma reunião de altos executivos da empresa, os serviços de banco de dados param de funcionar por causa de um vírus, o que impede que se tome uma decisão importante para a empresa

· Devido a um incêndio em um dos escritórios, as informações de vendas da empresa foram destruídas e não se contava com um sistema de backup adequado para as mesmas.

· A informação necessária para a tomada de decisões críticas para o negócio se encontram sempre disponíveis quando se precisa delas?

· Você sabe se existem vulnerabilidades que possam impedir isso?

· Você conta com sistemas de suporte de informação?

Garantia da disponibilidade da informação

Para que seja possível garantir a disponibilidade da informação, é necessário conhecer seus usuários, com base no princípio da confidencialidade, para que se possa organizar e definir as formas de disponibilização, garantindo, conforme cada caso, seu acesso e uso quando necessário.

A disponibilidade da informação deve ser considerada com base no valor que a informação tem e no impacto resultante de sua ausência, seja ela permanente ou temporária.

Para garantir a disponibilidade, muitas medidas são levadas em consideração. Entre elas, destacamos:

· A configuração segura de um ambiente em que todos os elementos que fazem parte da cadeia de comunicação estejam dispostos de forma adequada para

Page 17: Modulo 01 Capitulo 02

assegurar o êxito da leitura, da transmissão e do armazenamento da informação.

· Também é importante fazer cópias de segurança - backup. Isso permite que as mesmas estejam duplicadas em outro local para uso caso não seja possível recuperá-las a partir de sua base original.

Para aumentar ainda mais a disponibilidade da informação, deve-se:

· Definir estratégias para situações de emergência.

· Estabelecer rotas alternativas para o trânsito da informação, para garantir seu acesso e a continuidade dos negócios, inclusive quando alguns dos recursos tecnológicos, ou humanos, não estejam em perfeitas condições de funcionamento.

2.5 Lições aprendidas

· Este capítulo permitiu conhecer vários conceitos novos de segurança da informação, o que permitirá acelerar nosso processo rumo à criação de uma política de segurança;

· Aprendemos que a informação deve ter: integridade, confidencialidade e disponibilidade para que seja útil à organização, sendo estes os princípios ou aspectos básicos de segurança;

· Categorizamos os diferentes tipos de ativos de uma empresa e identificamos possíveis vulnerabilidades. Isso ajudará a saber em quais ativos devemos dedicar mais atenção em matéria de segurança.