Texto

Сomentários

Transcrição

Texto
RESUMO
Esta comunicação ter como objectivo dissecar Os vários aspectos relacionados com a segurança da
informação tratada automaticamente.
Nela são abordados os seguintes temas:
-Acessos a ficheiros e programas
Palavra-passe
Segurança das linhas de telecomunicações
-Plano de segurança
-Auditoria da segurança
auditoria interna
Auditoria externa
1. INTRODUÇÃO
A segurança da informação pode ser definida como o conjunto de medidas e procedimentos destinados a
evitar sue a informação seja destruída alterada ou acedida, acidental ou intencionalmente, de uma forma
imprevista ou não autorizada.
As técnicas empregues na segurança incluem aspectos de hardware e software medidas de gestão e
técnicas de auditoria, informática alem dos meios físicos normais de salvaguarda das instalações contra
incêndios, cortes de energia intrusões, etc.
Actualmente, as soluções para o grave problema da segurança da informação estão a ser encaradas pela
combinação de vários factores
-Medidas adequadas de gestão (p. ex., atribuição de responsabilidades entre o pessoal técnico,
elaboração e implementação de planos de segurança; etc.)
-Medidas de segurança física (p ex. controlo de entradas através do uso de 'badges"; pessoa de
segurança especializado; etc)
-Capacidades do próprio sistema (p ex., “check-point» automático, registo cronológico de operações
sobre ficheiros e programas - Log; etc.:
2.ACESSOS A FICHEIROS E PROGRAMAS
2.1.Palavras - passe
Se considerarmos, de urna forma extremamente simplificada, um sistema informático constituído por três
partes:
-Entradas,
-Tratamentos e
-Saídas
poderemos ter uma ideia dos níveis a que a segurança intervém.
Os métodos clássicos de protecção da informação giravam em torno da caixa preta, pois até há
relativamente pouco tempo era possível definir os seus limites.
Neste momento porem com a estonteante expansão do teleprocessamento esses limites esfumaram-se.
É possivel, através de terminais, e sem se recorrera operadores especializados, introduzir dados e
programas, ter acesso a ficheiros para alterar dados, etc. Como se torna evidente os riscos são
substancialmente maiores que no tempo que tudo era efectuado numa sala, por pessoal especializado, e
em que se podia controlar de uma forma razoável os acessos ao sistema.
A montante da "caixa preta” os pontos críticos situam-se ao nível de:
-Elaboração de programas
-Introdução de dados e programas
-Linhas de telecomunicações
No interior da "caixa preta" os riscos são a nível de:
-Ficheiros
-Programas - objecto armazenados
A jusante da "caixa preta” os principais perigos vem do uso de linhas de telecomunicações para
transmissão de dados à distancia.
Como forma de reduzir, se não obviar, os riscos referidos indicam-se uma série de técnicas e
procedimentos:
-Utilizar programação estruturada. Isto obvia a confusão tradicional, possibilitando seguir a lógica dos
programas e detectar possível instruções anónimas ou fraudulentas. O recurso a equipas de programação
reduzirá substancialmente os possibilidades de fraude no nível da programação.
-Para programas muito longos e críticos, estabelecer controlos periódicos (por ex. sub-totais prédeterminados) para detecção de eventuais alterações
-Elaborar um rígido controlo dos acesso. ao Sistema através do uso de palavras -passe potentes.
-Definir um pleno de utilização dos terminais remotos, com normas de segurança rígidas.
-Caso os dados a receber e/ou transmitir via linhas de telecomunicações sejam extremamente delicados,.
utilizar chaves criptográficas na sua codificação (de preferencia chaves dinâmicas)
A identificação dos utilizadores e extremamente importante. Várias formas podem ser adaptadas na sua
efectivação:
-Através de uma palavra-passe ou de um código de segurança
-Por intermédio de "badger" que se introduzem nos terminais
-Uma combinação destas.
A utilização de "badges" magnéticos constitui um dos meios mais eficazes de identificação dos
operadores. Esse "badges" possuem uma zona magnatizável onde e inscrito um código de Identificação
invisível e dificilmente reproduzível.
Este processo de identificação é igualmente um esplêndido meio de frustar tentativas de introdução na
rede de telecomunicações de terminais estranhos (através de derivações nas linhas) na medida em que
a sequência de sinais identificadores presentes nos "badges" não pode ser simulada através de um
teclado.
No entanto, as palavras -passe constituem o meio mais correntemente utilizado para identificação e
acesso dos utilizadores aos Sistemas.
A concepção das palavras-passe deve sei realizada de acordo com as exigências de confidencialidade
dos dados em jogo.
Para ser plenamente eficaz, a palavra-passe afecta a cada utilizador deve indicar inequivocamente
-A sua identificação
-Os dados a que tem acesso
-As operações que está autorizado a efectuar sobre esses dados
No respeitante a sua estrutura, um código a quatro ou seis dígitos garantira um nível aceitável de
'segurança; esse nível pode ser aumentado por combinação desse código com caracteres ou dígitos que
refiram características pessoais de cada utilizador (nome ou nº de empregado, por ex).
A palavra-passe á uma informação intangível eu. pode ser transmitida a outra pessoa; uma forma de
obviar os riscos de fuga dessa informação consiste em afectar a palavra-passe, não somente a um único
utilizador, mas também a um so terminal . Essa forma de dupla segurança á especialmente útil nas
aplicações em "Remote Job Entry".
As palavras -passe devem ser alteradas frequentemente, dependendo essa frequência de quatro
variáveis:
-Grau de confidencialidade dos dados;
-Tipo de organização dos ficheiros tradicional ou em base de dados)
-Numero de utilizadores
-Frequência de utilização das "palavras-passe"
2.2. Segurança das linhas de telecomunicações
As linhas de telecomunicações constituem um meio incontrolável do ponto de vista de segurança, pois
são susceptíveis a um certo numero de riscos:
-Exposição de equipamento importante a avarias intencionais
-Exposição dos dados a manipulação abusivas, através de terminais estranhos ao sistema, ligados as
linhas através de derivações
-Possibilidade de acumulação de cargas não detectáveis nas linhas
-Possibilidade de interferências nas mensagens que circulam ente terminais, ou entre terminais e o
computador, através do uso de derivações nas linhas.
A utilização de técnicas de certificação dos utilizadores (palavra-passe, "badges" magnéticos, etc.) é um
meio bastante potente de evitar os riscos enunciados.
No entanto, se as mensagens que circulam nas linhas são altamente confidenciais - dados militares ou
industriais - o recurso a técnicas criptográficas de codificação da informação revela-se o meio mais eficaz,
sobretudo se a chave de codificação for dinâmica.
3.PLANO DE SEGURANÇA
O plano de segurança é uma ferramenta extremamente eficaz para a definição e prossecução de toda a
política de segurança de uma organização
Esse plano - ou regulamento, como preferes alguns especialistas - deve apoiar-se em medidas que
tenham. por efeito.
-Motivar o pessoal para as necessidades de segurança
-Caminhar no sentido de uma melhor produtividade
O seu conteúdo deve especificar de forma clara e detalhada:
-Danos susceptíveis de afectar os equipamentos informáticos e ficheiros
-Suas causas
-Suas consequências em temos de perdas monetárias e danos de bens incorpóreos
-Determinação das classes de segurança dos diversos equipamentos e ficheiros
-Medidas de segurança implementadas de acordo com as classes e segurança:
·Sistema de condicionamento e controlo de qualidade do ar
·Alimentação eléctrica
·Sistema de prevenção e combate a incêndios
·Controlo dos acessos ao Centro de Informática
-Política de back-up, compreendendo:
·Back-tp de equipamento informático
·Back-up de ficheiros e programas em suportes magnéticos
·Back-up da documentação
Essa actualização á possível através das acções de auditoria interna periódica efectuada pelo
responsável máximo pela segurança
-inscrição detalhada dos procedimentos a adoptar em caso de acidente:
·Alarme de incêndio
·Rotura da segurança dos acessos ao centro ou dos acessos a ficheiros e programas.
-Definição das entidades responsáveis pela segurança
·Responsável máximo
·Responsável pela manutenção dos back-up
·Responsável pelo controlo dos acessos ao Centro
-Normas de auditoria interna de segurança
·Periodicidade da auditoria
·Check-list para a execução da auditoria interna
-Auditoria externa e sua periodicidade.
Este plano tem como pontos fulcrais, a afectação dos equipamentos e ficheiros a classes de segurança e
a atribuição de responsabilidades em vários dominios da segurança.
Estes dois pontos são de grande importância:
-Só por si, o facto de se conhecerem as classes de segurança é uma excelente sensibilização das
pessoas as necessidades de segurança dos bens
-A definição das entidades responsáveis favorece a manutenção do clima de segurança necessário
Um outro ponto importante a ter em linha de conta é a necessidade de revisão periódica do plano de
segurança, por forma a manter a sua perfeita actualização face a condições ambientais sempre em
evolução.
Como complemento, á conveniente mandar executar periodicamente acções de auditoria externa
efectuada. por um especialista em segurança, exterior a organização.
Pode igualmente adoptar-se a solução de recolha a um especialista em segurança, como consultor
permanente do responsável máximo pela segurança do Centro.
4AUDITORIA DA SEGURANÇA
A auditoria informática pode ser definida como uma técnica de
testar, de uma forma descontinua, um sistema informático, com
o objectivo de aumentar a rentabilidade, a segurança e a eficiência desse sistema. O seu conteúdo pode
resumir-se em três palavras: observar, julgar, recomendar.
O output da auditoria informática á, portanto, um plano de acção concreto.
No domínio restrito da segurança informática, o auditor deve seguir a mesma metodologia:
1º -Estudar todas as medidas de. segurança implementadas (através do plano de segurança, caso exista)
2º -Testar essas medidas, efectuando um esforço consciente no sentido de "furá-las" nos seus pontos
fracos
3º -Elaborar um relatório contendo os resultados desses testes
4º -Propor as alterações necessárias as medidas existentes e/ou propor outras medidas.
As áreas sobre as quais o auditor especialista em segurança se deve debruçar são:
-A organização interna e funcionamento dos serviços
-Os dispositivos de segurança física das instalações
-Os métodos de exploração
-As normas e métodos de trabalho e documentação
A auditoria pode ser exercida por alguém dentro da organização especialmente designada para o efeito
(auditor interno) ou por um especialista estranho a essa mesma organização (auditor externo)
4.1 Auditoria interna
Em muitas organizações estrangeiras, ai auditoria interna neste domínio á exercida por um funcionário,
directamente subordinado à Administração, com a missão de responsável pela segurança.
Quando existe, esse responsável deve efectuar controlos periódicos sobre as várias medidas de
segurança implementadas, quer a nível físico quer a nível lógico, para testar da sua eficácia.
O resultado desses testes servirá de "feed-back” ao plano de segurança, possibilitando a tomada de
medidas necessárias a correcção do plano, o qual deve ser dinâmico, sob pena de se tornar
inoperacional.
O auditor interno, deve utilizar nos controlos periódicos, uma "check-list" cobrindo exaustivamente, os
domínios da segurança física das instalações e da segurança da informação.
Essa lista deve contemplar os seguintes pontos;
-Segurança física das instalações
*Controlo de acessos
*Protecção contra incêndios
*Sistema de climatização
*Protecção contra inundações e infiltrações
*Energia eléctrica
-As normas e métodos de trabalho e documentação
- Segurança da informação
* Protecção de ficheiros a programas
*A Protecção das linhas de telecomunicações
*Política de utilização de terminais remotos Procedimentos de gestão interna.
4.2. Auditoria externa
Se a auditoria for efectuada sistematicamente por um ou vários responsáveis do Centro de Informática, há
uma tendência natural para avalizar os controlos implementados.
É de toda a conveniência, portanto, mandar efectuar periodicamente uma auditoria por um especialista
estranho a empresa o que acarreta duas vantagens:
-Objectividade da apreciação;
-Maior profundidade dos testes, em virtude da maior especialização trazer como consequência
conhecimentos mais vastos.
A forma de abordagem dos problemas bem como as técnicas de auditoria utilizadas dependem
essencialmente do auditor ou da empresa de serviços solicitada para a efectivação desse trabalho.