SEGURANÇA DA INFORMAÇÃO
Transcrição
SEGURANÇA DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO INTRODUÇÃO Veremos alguns conceitos fundamentais para a compreensão da segurança da informação e das metodologias para sua implantação nas organizações. Desde o surgimento da raça humana na Terra, a informação esteve presente através de diferentes formas e técnicas. O homem buscava representar seus hábitos, costumes e intenções com diversos meios que pudessem ser utilizados por ele e por outras pessoas e que pudessem ser levados de um lugar para outro. As informações importantes eram registradas em objetos preciosos e sofisticados e pinturas magníficas, entre outros, que eram armazenados com muito cuidado em locais de difícil acesso. A eles só tinham acesso aqueles que tivessem autorização para interpretá-la. Atualmente, as informações constituem o objeto de maior valor para as empresas. O progresso da informática e das redes de comunicação nos apresenta um novo cenário, no qual os objetos do mundo real estão representados por bits e bytes, que ocupam lugar em diversos meios e possuem formas diferentes das originais, sem deixar de ter o mesmo valor que os objetos reais e, em muitos casos, chegando a ter um valor maior. Por esse e outros motivos a segurança da informação é um assunto tão importante para todos, pois afeta diretamente todos os negócios de uma empresa ou de um indivíduo. Segurança é um termo que transmite conforto e tranqüilidade a quem desfruta de seu estado. Entender e implementar este “estado” em um ambiente organizacional exigem conhecimento e práticas especializadas que somente são possíveis com o emprego e uso de um código de práticas de segurança, contidos em uma norma, como a ABNT NBR ISO/IEC 17799:2005. OBJETIVOS Compreender os conceitos básicos da segurança da informação para obter uma melhor idéia de suas implicações. Entender a importância da informação nos negócios atualmente para agir de forma mais ágil na sua proteção. Conhecer os princípios básicos da segurança da informação: confidencialidade, disponibilidade e integridade, com a finalidade de entender como as ameaças e vulnerabilidades podem atingir a cada um deles e saber quais as medidas de proteção mais adequadas para cada informação. Conhecer a evolução da segurança da informação como disciplina de estudos desde o seu nascimento até os dias de hoje. 1 IMPLEMENTAÇÃO DE UM SISTEMA DE SEGURANÇA Podemos representar a implantação de um sistema de segurança da informação na empresa como a escalada de uma grande montanha, na qual pouco a pouco iremos subindo e passando os níveis em termos de conceitos, ferramentas e conhecimento do ambiente tecnológico da empresa. Mais tarde veremos que não basta chegar ao topo da montanha; a segurança é um processo contínuo, o chamado ciclo de segurança. CONCEITOS BÁSICOS Nesta primeira etapa da escalada, você conhecerá os conceitos básicos da segurança da informação. Depois de entender cada conceito, você receberá uma nova ferramenta para ajudar a montar sua barraca e, assim, poder continuar a escalada da montanha, avançando até os próximos capítulos para compreender como se implementa a segurança da informação. Nesta etapa, você ainda não possui essas ferramentas, por isso vai começar a escalada com um acampamento básico. Esse acampamento ilustra a situação em que se encontram as empresas na etapa inicial da implementação da segurança: baixo controle do ambiente, alto índice de risco, processo de segurança pessoal e intuitivo, entre outros. Então 2 vamos conhecer os principais conceitos da segurança da informação e por que ela é necessária para o sucesso dos negócios de uma empresa. O objetivo deste estudo é obter um ambiente seguro para a informação. Mas o que é informação? Segundo o dicionário Aurélio [1], informação é o conjunto de dados acerca de alguém ou de algo. Estendendo esse conceito, podemos dizer que a informação é a interpretação desses dados. De nada vale um conjunto de dados sem que se faça a interpretação dos mesmos para se extrair um conhecimento útil. As organizações necessitam da informação para tomar decisões objetivando seus fins (o sucesso). Isto mostra o quão poderosa é a informação. Sem ela não há estratégias, não há mudanças ou até mesmo não existiria a empresa. Uma conseqüência natural da importância da informação é a extrema vulnerabilidade a que cada empresa se expõe caso haja perda de dados vitais, como plantas de projetos, planilhas de custos, documentos contábeis, financeiros, etc. Quanto maior for a organização maior será sua dependência da informação. A informação pode estar armazenada de várias formas: impressa em papel, em meios digitais (discos, fitas, CDs, DVDs, disquetes), na mente das pessoas, em imagens armazenadas em fotografias e filmes. Quando lidamos com segurança da informação, é necessário pensar em sua confidencialidade, integridade e disponibilidade em qualquer um desses meios, utilizando todos os recursos disponíveis, e não somente os tecnológicos. Devemos tratar a informação como um ativo da empresa com a mesma importância que qualquer outro bem palpável. Por isso, deve ser protegido contra roubo, problemas ambientais, vandalismo, dano acidental ou provocado. Quanto mais interconectada for uma empresa, maior será a complexidade dos sistemas por onde trafegam e são armazenadas as informações e, conseqüentemente, maior será a preocupação com o nível de segurança a ser implantado a fim de garantir a confidencialidade, confiabilidade, disponibilidade e integridade da informação que ela detém. A disciplina de segurança da informação trata do conjunto de controles e processos que visam preservar os dados que trafegam ou são armazenados em qualquer meio. As modernas tecnologias de transporte, armazenamento e manipulação dos dados, trouxeram enorme agilidade para as empresas, mas, ao mesmo tempo, trouxeram também novos riscos. Ataques de crackers (black hat hackers), de engenharia social, vírus, worms, negação de serviço, espionagem eletrônica são noticiadas pela imprensa todos os dias. Diante deste cenário, a segurança da informação torna-se imprescindível para as organizações, sejam elas do setor público ou privado. A segurança da informação tem como propósito proteger as informações registradas, sem importar onde estejam situadas: impressas em papel, nos discos rígidos dos computadores ou até mesmo na memória das pessoas que as conhecem. … uma das preocupações da segurança da informação é proteger os elementos que fazem parte da comunicação. Assim, para começar, é necessário identificar os elementos que a segurança da informação tenta proteger: As informações Os equipamentos e sistemas que oferecem suporte a elas As pessoas que as utilizam Além disso, é importante que todos os funcionários da empresa tenham consciência de como devem lidar com as informações de forma segura, já que de nada serve qualquer sistema de segurança, por mais complexo e completo que seja, se os funcionários, por exemplo, facilitam o acesso ou fornecem seu nome de usuário e senha a pessoas estranhas à empresa e, com 3 isso, deixam aberta a porta para possíveis ataques ou vazamento de informações críticas para fora da empresa. PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO Agora aprofundaremos os princípios básicos que nos ajudarão a proteger o ativo de mais valor nos negócios modernos: a informação. Proteger os ativos significa adotar medidas para evitar a concretização de ameaças que podem afetar a informação: Corrompendo-a, tendo acesso a ela de forma indevida, ou mesmo eliminando-a ou furtando-a Por isso, entendemos que a segurança da informação busca proteger os ativos de uma empresa ou indivíduo com base na preservação de três princípios básicos: Integridade Confidencialidade e Disponibilidade da informação PRINCÍPIO DA INTEGRIDADE DA INFORMAÇÃO O primeiro dos três princípios da segurança da informação que aplicamos é a integridade, a qual nos permite garantir que a informação não tenha sido alterada de forma não autorizada e, portanto, é íntegra. Uma informação íntegra é uma informação que não foi alterada de forma indevida ou não-autorizada. Para que a informação possa ser utilizada, ela deve estar íntegra. Quando ocorre uma alteração não-autorizada da informação em um documento, isso quer dizer que o documento perdeu sua integridade. A integridade da informação é fundamental para o êxito da comunicação. O receptor deverá ter a segurança de que a informação recebida, lida ou ouvida é exatamente a mesma que foi colocada à sua disposição pelo emissor para uma determinada finalidade. Estar íntegra quer dizer estar em seu estado 4 original, sem ter sofrido qualquer alteração por alguém que não tenha autorização para tal. Se uma informação sofre alterações em sua versão original, então ela perde sua integridade, o que pode levar a erros e fraudes, prejudicando a comunicação e o processo de decisões. A quebra de integridade ocorre quando a informação é corrompida, falsificada ou indevidamente alterada. Uma informação poderá ser alterada de várias formas, tanto em seu conteúdo quanto no ambiente que lhe oferece suporte. Portanto, a quebra da integridade de uma informação poderá ser considerada sob dois aspectos: 1. Alterações do conteúdo dos documentos – quando são realizadas inserções, substituições ou exclusões de parte de seu conteúdo. 2. Alterações nos elementos que oferecem suporte à informação – quando são realizadas alterações na estrutura física e lógica onde a informação está armazenada. Exemplo: Quando as configurações de um sistema são alteradas para permitir acesso de escrita a informações restritas, quando são superadas as barreiras de segurança de uma rede de computadores. Todos são exemplos de situações que podem levar a quebra da integridade, afetando a segurança. Portanto, a prática da segurança da informação tem como objetivo impedir que ocorram eventos de quebra de integridade, que causam danos às pessoas e às empresas Quão importante é para você que as informações sobre os salários dos funcionários de sua empresa não sejam alteradas por acidente ou delito? Você sabe se as informações sobre os projetos de negócios confidenciais estão seguras e não podem ser alteradas por terceiros? PROTEGER A INTEGRIDADE DA INFORMAÇÃO Buscar a integridade é tentar assegurar que apenas as pessoas ou sistemas autorizados possam fazer alterações na forma e no conteúdo de uma informação, ou que alterações causadas por acidentes ou defeitos de tecnologia não ocorram, assim como no ambiente no qual ela é armazenada e pela qual transita, ou seja, em todos os ativos. Logo, para proteger a integridade, é preciso que todos os elementos que compõem a base da gestão da informação se mantenham em suas condições originais definidas por seus responsáveis e proprietários. Em resumo: proteger a integridade é um dos principais objetivos para a segurança das informações de um indivíduo ou empresa. 5 PRINCÍPIO DA CONFIDENCIALIDADE DA INFORMAÇÃO O princípio da confidencialidade da informação tem como objetivo garantir que apenas a pessoa correta tenha acesso à informação. As informações trocadas entre indivíduos e empresas nem sempre deverão ser conhecidas por todos. Muitas informações geradas pelas pessoas se destinam a um grupo específico de indivíduos e, muitas vezes, a uma única pessoa. Isso significa que esses dados deverão ser conhecidos apenas por um grupo controlado de pessoas, definido pelo responsável da informação Por isso, dizemos que a informação possui um grau de confidencialidade que deverá ser mantido para que as pessoas não-autorizadas não tenham acesso a ela. Ter confidencialidade na comunicação é ter a segurança de que o que foi dito a alguém ou escrito em algum lugar só será escutado ou lido por quem tiver autorização para tal. Perda de confidencialidade significa perda de segredo. Se uma informação for confidencial, ela será secreta e deverá ser guardada com segurança, e não divulgada para pessoas não-autorizadas Exemplo: Pensemos no caso de um cartão de crédito. O número do cartão só poderá ser conhecido por seu proprietário e pela loja onde é usado. Se esse número for descoberto por alguém malintencionado, como nos casos noticiados sobre crimes da Internet, o prejuízo causado pela perda de confidencialidade poderá ser muito elevado, pois esse número poderá ser usado por alguém para fazer compras na Internet, trazendo prejuízos financeiros e uma grande dor de cabeça para o proprietário do cartão. O mesmo ocorre no caso de uso indevido de senhas de acesso a sistemas bancários, por exemplo. Milhares de dólares são roubados diariamente pela ação de criminosos virtuais que se dedicam a invadir sistemas para quebrar a confidencialidade das pessoas e empresas. PROTEGER A CONFIDENCIALIDADE DA INFORMAÇÃO Proteger a confidencialidade é um dos fatores determinantes para a segurança e uma das tarefas mais difíceis de implementar, pois envolve todos os elementos que fazem parte da comunicação da informação, partindo do emissor, passando pelo caminho percorrido e chegando até o receptor. Além disso, informações tem diferentes graus de confidencialidade, normalmente relacionados ao seus valores. Quanto maior for o grau de confidencialidade, maior será o nível de segurança necessário na 6 estrutura tecnológica e humana que participa desse processo: uso, acesso, trânsito e armazenamento das informações. Deve-se considerar a confidencialidade com base no valor que a informação tem para a empresa ou a pessoa e os impactos causados por sua divulgação indevida. Assim, deve ser acessada, lida e alterada somente por aqueles indivíduos que possuem permissão para tal. O acesso deve ser considerado com base no grau de sigilo das informações, pois nem todas as informações importantes da empresa são confidenciais. Como mencionado, o primeiro passo para proteger a confidencialidade das informações é através do estabelecimento do grau de sigilo. Vejamos a seguir esse conceito fundamental: Grau de sigilo: As informações geradas pelas pessoas têm uma finalidade específica e destinam-se a um indivíduo ou grupo. Portanto, elas precisam de uma classificação com relação à sua confidencialidade. É o que chamamos de grau de sigilo, que é uma graduação atribuída a cada tipo de informação com base no grupo de usuários que possuem permissões de acesso. O grau de sigilo faz parte de um importante processo de segurança de informações, a classificação da informação. Dependendo do tipo de informação e do público para o qual se deseja colocar à disposição a informação, define-se um grau de sigilo. Um exemplo de graus de sigilo pode ser: Confidencial Restrito Sigiloso Público PRINCÍPIO DA DISPONIBILIDADE DAS INFORMAÇÕES Além de trabalharmos para que a informação chegue apenas aos destinatários ou usuários adequados e de forma íntegra, devemos fazer com que esteja disponível no momento oportuno. É disso que trata o terceiro princípio da segurança da informação: a disponibilidade 7 Para que uma informação possa ser utilizada, ela deve estar disponível. A disponibilidade é o terceiro princípio básico da segurança da informação. Refere-se à disponibilidade da informação e de toda a estrutura física e tecnológica que permite o acesso, o trânsito e o armazenamento. A disponibilidade da informação permite que: Seja utilizada quando necessário Esteja ao alcance de seus usuários e destinatários Possa ser acessada no momento em que for necessário utilizá-la. Esse princípio está associado à adequada estruturação de um ambiente tecnológico e humano que permita a continuidade dos negócios da empresa ou das pessoas, sem impactos negativos para a utilização das informações. Assim, o ambiente tecnológico e os suportes da informação deverão estar funcionando corretamente para que a informação armazenada neles e que por eles transita possa ser utilizada pelos usuários. Exemplo: falham, o que impede que se tome uma decisão central em termos de negócios. destruídas e não se contava com um suporte para as mesmas. PARA se PENSAR. A informação necessária para a tomada de decisões críticas para o negócio se encontra sempre disponível? Você sabe se existem vulnerabilidades que impeçam isso? Você conta com sistemas de suporte de informação? PROTEGER A DISPONIBILIDADE DA INFORMAÇÃO Para que seja possível proteger a disponibilidade da informação, é necessário conhecer seus usuários, para que se possa organizar e definir, conforme cada caso, as formas de disponibilização, seu acesso e uso quando necessário. A disponibilidade da informação deve ser considerada com base no valor que a informação tem e no impacto resultante de sua falta de disponibilidade. Para proteger a disponibilidade, muitas medidas são levadas em consideração. Entre elas, destacamos: A configuração segura de um ambiente em que todos os elementos que fazem parte da cadeia de comunicação estejam dispostos de forma adequada para assegurar o êxito da leitura, do trânsito e do armazenamento da informação. Também é importante fazer cópias de segurança – backup. Isso permite que as mesmas estejam duplicadas em outro local para uso caso não seja possível recuperá-las a partir de sua base original Para aumentar ainda mais a disponibilidade da informação, deve-se: Definir estratégias para situações de contingência. 8 Estabelecer rotas alternativas para o trânsito da informação, para garantir seu acesso e a continuidade dos negócios, inclusive quando alguns dos recursos tecnológicos, ou humanos, não estejam em perfeitas condições de funcionamento. EVOLUÇÃO DA SEGURANÇA DA INFORMAÇÃO Desde a pré-história, cerca de 2000 anos antes de Cristo (AC), o homem já sentia necessidade de transmitir e perpetuar a informação. Usava pinturas nas pedras para expressar seu cotidiano. Em 3500 AC, registrou-se o primeiro sistema de linguagem escrita na Suméria. A partir daí várias civilizações desenvolveram seus próprios métodos de registro e transmissão da informação, dentre eles podemos destacar: agdá em 753 DC; Todo este processo milenar nos levou até as modernas tecnologias de transmissão e armazenamento digital de dados no século 20 [2]. Todos aqueles métodos de armazenamento padeciam de um problema: como preservar essas informações para que fossem acessadas após sua geração? No ano 600 da era cristã o rei Ashurbanipal em Nineveh organizou a primeira biblioteca, cujo acervo sobrevive até os dias atuais com cerca de 20000 placas. É um exemplo clássico da necessidade da transmissão da informação armazenada. Desde o início, o desafio era conter as diversas ameaças à informação, algumas das quais enfrentamos até hoje: incêndios, saques, catástrofes naturais, deterioração do meio de armazenamento. À medida que a sociedade evoluía, a preocupação com a segurança das informações aumentava, principalmente no quesito confidencialidade. Foram criados vários processos de cifragem da informação, que tinham a função de alterar o conteúdo das mensagens antes de seu envio. Ao capturar uma mensagem o inimigo obtinha apenas um texto cifrado e não a mensagem original. Isso permitiu que segredos e estratégias fossem trocados de forma segura entre aliados. Por exemplo, a cifragem de César foi usada para troca de informações entre os exércitos durante o império romano; a máquina de cifrar “Enigma” foi utilizada como uma grande arma de guerra pelos alemães durante o período da segunda grande guerra. Atualmente a criptografia e a estenografia continuam sendo largamente utilizadas em diversas aplicações de transferência e armazenamento de dados. O surgimento dos computadores e de sua interconexão através de redes mundialmente distribuídas permitiu maior capacidade de processamento e de distribuição das informações. Com essa capacidade de comunicação, surgiu também a necessidade da criação de mecanismos que evitassem o acesso e a alteração indevida das informações. Como resultado surgiram várias propostas e publicações de normas de segurança em todo o mundo. Material extraído de : Academia Latino-Americana de Segurança da Informação – Curso Básico Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet 9 CRIME em INFORMÁTICA O que é a Pirataria de Softwares? Há varias formas de pirataria de softwares, sendo que cada uma delas contribui para que a indústria de softwares perca anualmente alguns bilhões de dólares. A seguir listamos as formas mais comuns de pirataria de software que afetam as desenvolvedoras de software. Pirataria de Usuário Final Ocorre quando os usuários fazem cópias adicionais do software sem autorização. Aqui estão incluídas as cópias casuais realizadas por alguns indivíduos em empresas que não monitoram de perto a diferença entre o número de licenças instaladas e o número de licenças adquiridas. Venda Não Autorizada A pirataria de revendedor ocorre quando um revendedor sem escrúpulos distribui múltiplas cópias de um único pacote de software original a diferentes clientes. A pirataria de revendedor também ocorre quando os revendedores vendem de má fé cópias piratas com aspecto de original para clientes desavisados. O que denuncia a pirataria de revendedor é a existência de múltiplos usuários com o mesmo número de série, a ausência de documentação original, um pacote incompleto, ou quando a documentação não confere com a versão do software instalado. Pirataria pela Internet Enquanto as desenvolvedoras de softwares oferecem versões autorizadas de seus softwares para venda online, diretamente ou por meio de um de distribuidores/revendedores autorizados, há também numerosas operações não autorizadas ocorrendo pela Internet: Sites piratas que disponibilizam o download gratuito do software, ou requisitam a troca pelo upload de outros programas; Sites de leilões via Internet que oferecem cópias falsas, desviadas, ou com quebra de direitos autorais dos softwares; e, Redes peer-to-peer que permitem a transferência não autorizada de programas protegidos por direitos autorais. A pirataria pela Internet talvez seja o único problema a representar grande risco ao e-commerce Caso você encontre softwares à venda em sites populares de leilão com preços baixos demais para ser verdade, é provável que se trate de pirataria. Realizar ofertas por tais softwares deixam você exposto às responsabilidades legais referentes a pirataria de softwares. Falsificação de Softwares É a duplicação ilegal e venda de material protegido por direitos autorais com a intenção direta de imitar o produto protegido. No caso de pacote de produtos de software é comum encontrar cópias falsas de CDs ou disquetes que imitam o programa de software e sua embalagem, manuais, acordos de licença, etiquetas, cartões de registro e funções de segurança. Cracking Ocorre quando se consegue acesso ilegal a softwares protegidos. 10 Crimes de Pirataria de Software Prática ilícita caracterizada pela reprodução e uso indevidos de programas de computador legalmente protedidos. As modalidades da pirataria de software são : Falsificação Falsificação é a cópia e a comercialização ilegal de software protegido por direitos autorais, com a intenção de imitar o material original. Inclui imitação da embalagem, documentação, etiquetas e das demais informações. Esta prática é sofisticada, mas a menos comum no Brasil. CDROM Pirata É a duplicação ilegal e a comercialização das cópias com objetivo de obter lucro. Normalmente, a cópia é feita em mídia regravável e vendida através de anúncios classificados em jornais, pela internet, ou diretamente em "lojas" ou bancas de camelôs. Costumam trazer "coletãneas", ou seja, diversos programas compactados num único CD, e seu preço é geralmente irrisório. Diferente da falsificação, neste caso, o usuário sabe que está comprando uma cópia ilegal. Revendas de Hardware Alguns revendedores de computador, sobretudo aqueles que atual no mercado informal, gravam cópias não autorizadas de software nos discos rígidos dos PCs, sem fornecer ao usuário a licença original ou a documentação técnica. Trata-se de estratégia para incentivar a compra do hardware, sem o conhecimento do comprador quanto a existência de pirataria. Pirataria Individual Compartilhar programas com amigos e colegas de trabalho também é um problema significativo. Usuários individuais, que fazem cópias não autorizadas, simplesmente não acreditam que possam ser detectados, sobretudo em face do enorme número de pessoas que pratica esse tipo de pirataria. Pirataria Corporativa É a execução de cópias não autorizadas de software para computadores dentro de organizações. Ocorre quando cópias adicionais são feitas por empregados, para uso na corporação (empresas, escolas, repartições públicas, etc), sem a necessária aquisição de novas licenças. Esta é uma das formas de pirataria mais difundidas, sendo responsável por mais da metada das perdas sofridas pela indústria mundial de software. As grandes empresas, geralmente, são mais cuidadosas em relação ao uso legal de software do que companhias de pequeno e médio portes, pois são mais sensíveis ao fato de que a prirataria não só expõe publicamente a empresa, como também a submete ao risco de altas indenizações, pois mesmo poucas cópias ilegais podem significar multas vultosas, além de outras penalidades. Pirataria Cliente/Servidor Quando a empresa passa de um ambiente de usuários isolados, para um ambiente de rede, é comum confiar a instalação e o gerenciamento a consultores ou revendedores. Podem ser instaladas cópias ilegais no servidor, ou mesmo uma cópia original, mas não destinada ao uso em rede e ainda, permitir mais usuários do que a quantidade definida na licença, colocando a empresa em sério risco. Exceder o número permitido de usuários discriminado na licença também se configura como pirataria. Pirataria Online Como o acesso à internet se tornou uma prática comum nos ambientes de trabalho, este tipo de pirataria vem crecendo rapidamente. O software pode ser facilmente transferido e instalado, e mais, anonimamente. 11 O software é uma obra intelectual e não um produto. Quando compramos um programa de computador, estamos adquirindo uma licença de uso. Quem compra software pirata está sujeito a mesma punição aplicada a quem está vendendo. Nas ações, as autoridades policiais apreendem listas com nomes de compradores, que podem ser indiciados. Há quem diga que o alto preço cobrado pelo software no mercado brasileiro incentiva a pirataria. A prática, ao contrário, mostra que é uma questão cultural, que se consolidou à época da reserva de mercado. Um bom exemplo é o do programa Wordstar. Em comparação com os demais, tinha um baixo custo e nem por isso deixou de ser amplamente pirateado. Todos perdem com a pirataria. A oferta de empregos diminui, o Estado deixa de arrecadar, o país fica com sua imagem comprometida no exterior e empresas estrangeiras, bem como as nacionais, não se sentem seguras para investir em tecnologia e no desenvolvimento de novos produtos, já que os direitos autorais são desrespeitados. Empresário precavido vale por dois. Hoje, do office-boy ao diretor, todos têm acesso aos microcomputadores da empresa, e podem praticar (A) pirataria se não houver um rígido controle. Através do Telepirata, constatamos que a maioria das denúncias parte de ex-funcionários. Desde de 1989, ano em que a ABES iniciou sua campanha anti-pirataria no PAÍS, até 1999, o índice de pirataria no Brasil, recuou 35 pontos percentuais. Quais são os riscos no uso de software irregular? A pirataria de software pode resultar em processos cíveis e criminais. A organização estará exposta a altas multas, indenizações e até a prisão dos responsáveis. Embora os executivos das empresas acreditem que não existe possibilidade de sua empresa ser descoberta, pelo menos uma empresa é flagrada a cada dia. A indústria de software descobre violações ao Direito Autoral através de denúncias, o que dá início aos processos de busca e apreensão, instauração de queixa crime e abertura de processos indenizatórios. No Brasil, as indenizações podem chegar a até 3.000 vezes o valor so aoftware irregular, e as penas de prisão a até 4 anos. Responsabilidades De acordo com a lei brasileira, cabe ao empresário responder por qualquer irregularidade que ocorra na companhia, inclusive as praticadas por funcionários. A reprodução ilegal de software para uso interno, sem as respectivas licenças de uso (pirataria corporativa), é uma das mais comuns. Infelizmente, ainda são poucas as empresas que adotam uma postura preventiva. A maioria faz vistas grossas, e é justamente aí que mora o perigo. Enquanto alguns funcionários ficam absolutamente felizes com a displicência patronal (instalando, a bel prazer, programas que acabam trazendo `a rede indesejáveis vírus), outros não hesitam em denunciar seus empregadores, quer por consciência profissional ou simples vingança. A maior parte das denúncias se prova verdadeira. E nem é preciso dizer como fica essa história. No mínimo, tem como cenário uma delegacia, ou um tribunal. Quem deseja um "happy end" precisa investir em prevenção. Comece por incluir no contrato de admissão uma cláusula que proíbe terminantemente essa prática ilícita na empresa. Uma vez cientes do fato, os funcionários pensarão duas vezes antes de "partir para o crime", já que podem ser punidos com demissão por justa causa. Essa simples medida evita muitos danos financeiros e morais. Mas, vale lembrar: isso é apenas o ponto de partida para que uma nova cultura tome forma, com a consolidação de uma política anti-pirataria. Qualquer pessoa envolvida com a prática ilícita - usuário de programa "pirata", comerciante ilegal ou cúmplice na pirataria corporativa - está sujeita a punições que variam de seis meses a dois anos de detenção, além do pagamento de indenização milionária aos produtores do software. Trata-se, como se pode ver, de um mau negócio para quem estiver desrespeitando os direitos autorais. Tudo tem um preço e, nesse caso, é alto. Danos irreversíveis à imagem pessoal, profissional ou empresarial são apenas um dos exemplos do que acontece com aqueles que se julgam "espertos", acreditam em impunidade e preferem pagar para ver. 12 Vários são os fatores que contribuem para com a insegurança de Internet, como por exemplo: Falta de conhecimento – A falta de conhecimento é uma das principais causas que contribuem para com a insegurança da Internet. Nós acreditamos que aquilo que não conhecemos nunca irá acontecer conosco. Se nos compete a responsabilidade de administrar um servidor, ou mesmo um ambiente computacional, é melhor não acreditarmos nisso. O conhecimento é simplesmente o aspecto mais importante em relação à segurança. Anonimato – Outro fator que contribui em muito para a insegurança é o anonimato, pois, a rede é democrática e dispões de vários serviços para proteger a privacidade de seu usuário o que dá àqueles mal intencionados a certeza de que este fator lhes é totalmente favorável. Disseminação da Tecnologia – Hoje, qualquer usuário da rede que pesquise de forma constante, poderá ter a sua disposição às mesmas ferramentas utilizadas pelas organizações governamentais ou pelas empresa especializadas em segurança. Falta de Interesse dos usuários – Para a maioria o assunto segurança é chato e entediante. Eles acham que segurança na Internet é assunto para especialistas. Até certo ponto, isto é verdade. O provedor deve ter responsabilidade pelos serviços que prestam aos seus usuários. Porém n´s sabemos que não é isto o que ocorre na prática do dia-a-dia. As empresas têm receio de se comunicarem umas com as outras e trocarem informações sobre ataques que sofreram e nunca divulgam as brechas encontradas, como medidas cautelares para as demais empresas. Como podemos observar, qualquer pessoa pode estar exposta a um ataque. Esses ataques acontecem, muitas vezes, porque os provedores de acesso são administrados por pessoas que, não possuem uma instrução adequada a fornecerem os serviços adequados, ou simplesmente negligenciam suas atividades. A maioria dos hackers novatos somente passa a ser conhecida quando a mídia noticia a sua captura, pois, eles ainda são muito inexperientes e por isso deixam rastros por onde passam. Mas pouco se sabe dos mais experientes, pois eles são muito cuidadosos nos seus ataques, consequentemente, são difíceis de serem encontrados. Mas, o que os motiva a fazerem esses atos¿ Os motivos são muitos e podemos classificar alguns deles: Espionagem Industrial Ocorre quando o hacker é contratado por uma empresa para roubar e destruir os dados da concorrente. Proveito Próprio Ocorre quando existe a possibilidade de, ao invadir, o hacker tirar proveito próprio, tais como: transferências de dinheiro, vantagens em concursos, uso indevido e clandestino de sistemas de telefônica e comunicações. Vingança Esta chega a ser clássica. Um ex-funcionário que conhece o sistema pode causar danos aos sistemas de informação se o seu acesso não for cortado no momento adequado. Status ou Necessidade de Aceitação A comunidade hacker encontra um sistema razoavelmente seguro e difícil de ser invadido. Tal fato transforma este sistema em verdadeira gingana. A necessidade de ser reconhecido no meio hacker faz com que ele tente insistentemente até atingir o seu objetivo e ser reconhecido no sub-mundo dos hackers. 13 Busca de aventura A tentativa de invasão a sistemas importantes, onde a segurança está em um nível muito alto, ativa o gosto do desafio dos hackers. Maldade A invasão e/ou a destruição pelo simples prazer de destruir. Adware - Do Inglês Advertising Software. Software especificamente projetado para apresentar propagandas. Constitui uma forma de retorno financeiro para aqueles que desenvolvem software livre ou prestam serviços gratuitos. Pode ser considerado um tipo de spyware, caso monitore os hábitos do usuário, por exemplo, durante a navegação na Internet para direcionar as propagandas que serão apresentadas. Keylogger Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. Normalmente, a ativação do keylogger é condicionada a uma ação prévia do usuário, como por exemplo, após o acesso a um site de comércio eletrônico ou Internet Banking, para a captura de senhas bancárias ou números de cartões de crédito. Phishing Também conhecido como phishing scam ou phishing/scam. Mensagem não solicitada que se passa por comunicação de uma instituição conhecida, como um banco, empresa ou site popular, e que procura induzir usuários ao fornecimento de dados pessoais e financeiros. Inicialmente, este tipo de mensagem induzia o usuário ao acesso a páginas fraudulentas na Internet. Atualmente, o termo também se refere `a mensagem que induz o usuário `a instalação de códigos maliciosos, além da mensagem que, no próprio conteúdo, apresenta formulários para o preenchimento e envio de dados pessoais e financeiros. Scam Esquemas ou ações enganosas e/ou fraudulentas. Normalmente, têm como finalidade obter vantagens financeiras. Spam Termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, este tipo de mensagem também é referenciada como UCE (do Inglês Unsolicited Commercial E-mail). Vírus Programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção. Vulnerabilidade Falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador. Vírus Programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção. 14 Worm Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. PRIVACIDADE na INTERNET Sendo o poder da informação tão grande, as pessoas que fazem gestão de informações e aquelas que projetam sistemas de informação estão certas em preocupar-se com sua potencial má utilização. Infelizmente, os sistemas de informação, como a maioria das outras ferramentas, podem ser usados para o bem ou para o mal. A filosofia faz distinção entre os conceitos de moral e ética. A moral refere-se ao que é bom ou Eles podem envolver qualquer tipo de tecnologia da informação e qualquer tipo de sistema de informações. O uso ético de sistemas de informações tornou-se uma grande preocupação para gestores e profissionais de sistemas de informações. Controles sobre acesso à informação, particularmente na Web têm levantado preocupações éticas relacionadas à censura. A maioria das limitações tem abordado a prevenção para que crianças não leiam material pornográfico. Entretanto, os negócios rotineiramente limitam ou monitoram o uso da Web por seus empregados para proteger-se. Muitas empresas monitoram os e-mails de seus empregados ou a navegação na Web. Proteger privacidade pessoal também tornou-se um assunto-chave, pois sistemas de informações em computadores podem manter grandes quantidades de dados sobre indivíduos sem seu conhecimento. Defensores da privacidade exigem políticas e procedimentos para proteger a privacidade individual, tais como garantir a coleta legal de dados corretos e atualizados relevantes para os objetivos da organização. As pessoas muitas vezes enfrentam opções relativas ao uso de informações que elas nãompodem rotular claramente como certas ou erradas, morais ou imorais. Por exemplo, o que você faria se, depois de prometer a seus empregados que seus dados são particulares, você fica sabendo que um empregado roubou informações da empresa? E se você que um empregados tem planos para prejudicar outro? Você deveria examinar seus arquivos de dados? As pessoas podem aplicar uma variedade de princípios éticos para determinar o que é ético em casos como estes. O principio da minimização do dano. Tomar a decisão que minimiza o dano. Parara aplicar este principio você deve verificar como a decisão afeta todas as partes, não somente você e sua empresa. Voce provavelmente terá que pesar o dano causado a uma pessoa contra o dano causado a outra. O principio da consistência. Suponha que todos os que enfrentam uma situação semelhante façam a mesma escolha que você. Você aprovaria as consequências? Por exemplo, se você pensa que copiar software em lugar de comprá-lo é ético, examine as implicações se todos copiarem software. O principio do respeito. Tome a decisão que trate as pessoas com o maior respeito. Isto implica que você age em relação aos outros da mesma maneira que espera que os outros ajam em relação a você. Se estes princípios, são muito difíceis de aplicar ou não produzem uma solução clara, você pode também usar diversas abordagens para tomar decisões éticas. 15 LEIS de PRIVACIDADE DIFAMAÇÃO e CENSURA na INFORMÁTICA O lado oposto do debate da privacidade é o direito das pessoas de saberem sobre assuntos que outras podem desejar manter reservados (liberdade de informação), o direito das pessoas de expressarem suas opiniões sobre esses assuntos (liberdade de discurso) e o direito das pessoas de publicarem essas opiniões (liberdade de imprensa). Alguns dos maiores campos de batalha no debate são os bulletin boards, caixas de e-mail e arquivos on-line da Internet e redes públicas de informação como a Prodigy, CompuServe e America Online. As armas que estão sendo utilizadas nesta batalha incluem o flame mail, leis sobre difamação e censura. Spamming – é o envio indiscriminado de e-mail não solicitado para muitos usuários da Internet. O spamming é a tática favorita dos remetentes de massas de propagandas não solicitadas ou junk e-mail. Flaming – é a prática de enviar mensagens de e-mail extremamente críticas, detrativas e muitas vezes vulgares (flame mail), ou mensagens por BBSs para outros usuários na Internet ou serviços on-line. O flaming é principalmente dominante em alguns dos BBSs de grupos de discussão de interesses especiais na Internet. A Internet está muito vulnerável a abusos uma vez que perde atualmente o policiamento formal e apresenta falta de segurança. d) Crime com o uso do computador O crime com o uso do computador é a ameaça causada pelas ações criminosas ou irresponsáveis de usuários de computadores que estão tirando proveito do uso generalizado das redes de computadores em nossa sociedade. Por isso, ele constitui uma ameaça maior ao uso ético da TI. O crime informatizado apresenta sérias ameaças à integridade, segurança e qualidade da maioria dos sistemas de informação das empresas e, com isso, faz do desenvolvimento de métodos eficazes de segurança uma prioridade máxima. Legislação sobre Crimes com o uso do computador A Lei sobre Fraude e Abuso de Computadores dos Estados Unidos de 1986 define o crime informatizado como uma das atividades envolvendo acesso a computadores de “interesse federal” (utilizados pelo governo federal) ou operando no comércio interestadual ou exterior: Com o intuito de fraudar Resultando em uma perda de mais de 1.000 dólares Para obter acesso a certos sistemas de computação médica. Traficar senhas de acesso a computadores também é proibido. As penalidades para violações da Lei sobre Fraude e Abuso de Computadores dos Estados Unidos incluem: Um a cinco anos de prisão para um primeiro delito Dez anos para um segundo delito Vinte anos para três ou mais delitos As multas podem chegar a 250.000 dólares ou duas vezes o valor dos dados roubados 16 A Associação dos Profissionais de Tecnologia da Informação (Association of Information Technology Professionals, ou AITP) define o crime informatizado como: O uso, acesso, modificação e destruição não autorizados de recursos de hardware, software, dados ou rede. A divulgação não autorizada de informações. A cópia não autorizada de softwares A negação de acesso a um usuário final aos seus próprios recursos de hardware, software, dados ou rede. O uso ou conspiração para uso de recursos de computação para obter ilegalmente informações ou propriedade tangível. Exemplos de Crime com o uso do computador O crime com o uso do computador envolve atividades criminosas utilizando computadores. Isto normalmente inclui: Roubo de dinheiro, serviços, softwares e dados Destruição de dados e softwares, principalmente por vírus de computador Acesso malicioso ou hacking na Internet ou outras redes de computadores Violação da privacidade Violação da lei anti-truste ou internacional. Crime pela Internet Os hackers conseguem monitorar e-mail, acesso a servidores da Web ou transferências de arquivo para extraírem senhas ou roubarem arquivos da rede ou inserirem dados que podem fazer com que um sistema dê acesso a intrusos. Um hacker também pode utilizar serviços remotos que permitem que um computador em uma rede execute programas em outro computador para obter acesso privilegiado dentro de uma rede. A Telnet, uma ferramenta para uso interativo de computadores remotos, pode ajudar um hacker a descobrir informações para planejar outros ataques. Os hackers têm utilizado a Telnet para acessar porta de e-mail de um computador, por exemplo, para monitorar mensagens de e-mail em busca de senhas e outras informações sobre contas de usuários e recursos de rede privilegiados. Roubo de Dinheiro Muitos crimes com o uso do computador envolvem o roubo de dinheiro. Eles quase sempre envolvem a alteração fraudulenta de arquivos do computador para encobrir os rastros dos ladrões ou para usufruir do dinheiro de outros com base em registros falsificados. Roubo de Serviços O uso não autorizado de um sistema de computador é chamado de roubo de serviços. Um exemplo comum é o uso não autorizado de redes de computadores da empresa por funcionários. Isto pode ir da realização de consultas privadas ou finanças pessoais, ou jogo de vídeo games, até o uso não autorizado da Internet pelas redes da empresa. Softwares de monitoração de redes, conhecidos como sniffers (farejadores), são freqüentemente utilizados para monitorar o tráfego da rede para avaliar a capacidade da rede, além de revelar evidência de uso impróprio. Roubo de Software Programas de computador são propriedade valiosa e por isso estão sujeitos a roubo dos sistemas de computador. A reprodução não autorizada de software, ou pirataria de software, é uma forma 17 importante de roubo de software porque o software é propriedade intelectual protegida por lei de direitos autorais e contratos de licença com o usuário. Alteração ou Roubo de Dados Fazer alterações ilegais ou roubar dados é outra forma de crime informatizado. Hacking é o uso obsessivo de computadores ou o acesso e uso não autorizados de sistemas de computação em rede. Hackers ilegais (também conhecidos como crackers) podem roubar ou danificar dados e programas. Vírus de Computador – Destruição de Dados e Software Um dos mais destrutivos exemplos de crime informatizado envolve a criação de vírus de computador ou vermes de computador. Esses vírus normalmente entram em um sistema de computação por meio de cópias de software ilegais ou emprestadas ou por meio de links de rede para outros sistemas de computador. Um vírus normalmente copia a si mesmo nos programas do sistema operacional do computador e de lá para o disco rígido e em quaisquer discos flexíveis inseridos. Programas de vacina e programas de prevenção e detecção de vírus são disponíveis, mas podem não funcionar para novos tipos de vírus. Vírus – é um código de programa que não pode funcionar sem ser inserido em outro programa. Verme – é um programa distinto que pode rodar sem assistência. e) Questões de Saúde O uso da TI no local de trabalho levanta uma série de questões de saúde. O uso intenso de computadores é tido como causador de problemas de saúde como: Estresse no trabalho Lesões em músculos do braço e pescoço Tensão ocular Exposição a radiação Morte por acidentes provocados por computador Ergonomia: As soluções para alguns problemas de saúde são baseadas na ciência da ergonomia, às vezes chamada de engenharia de fatores humanos. A meta da ergonomia é projetar ambientes de trabalho saudáveis que sejam seguros, confortáveis e agradáveis para as pessoas trabalharem, aumentando assim o moral e a produtividade do funcionário. A ergonomia enfatiza a concepção saudável do local de trabalho, estações de trabalho, computadores e outras máquinas e até de pacotes de software. Outras questões de saúde podem exigir soluções ergonômicas que enfatizem mais o desenho do cargo do que o desenho do local de trabalho. e) Soluções Sociais A tecnologia da informação pode produzir muitos efeitos benéficos na sociedade. A TI pode ser utilizada para solucionar problemas humanos e sociais por meio de soluções sociais como: 18 Diagnóstico médico Instrução auxiliada por computador Planejamento de programas governamentais Controle da qualidade ambiental Aplicação das leis Privacidade Importantes questões: » Acessar trocas de correspondência e registros de computadores privativos de um individuo; » Saber sempre onde uma pessoa está; » Utilizar informações de clientes para comercializar serviços empresariais adicionais;e » Obter números de telefone, endereço, números de cartões de crédito, para criar perfis de clientes individuais (não autorizados). Privacidade na Internet: » Cookie File – Histórico; » Spam – envio de e-mail não solicitado; e » Flame mail – envio de e-mail extremamente criticas, detrativas e vulgares. O QUE É A ANÁLISE DE RISCOS A Análise de risco é um dos passos mais importantes para implementar a segurança da informação em uma empresa. Como o próprio nome indica, é realizada para identificar os riscos aos quais estão submetidos os ativos de uma organização, ou seja, para saber qual é a probabilidade de que as ameaças se concretizem e o impacto que elas causarão ao negócio. As ameaças podem se tornar realidade através de falhas de segurança, que conhecemos como vulnerabilidades e que devem ser eliminadas ao máximo para que o ambiente que desejamos proteger esteja livre de riscos de incidentes de segurança. Portanto, a relação ameaçavulnerabilidade-impacto é a principal condição que deve ser levada em conta no momento de priorizar ações de segurança para a proteção dos ativos mais importantes para empresa. DEFINIÇÃO DE ANÁLISE DE RISCO A análise de riscos é... …uma atividade voltada para a identificação de falhas de segurança que evidenciem vulnerabilidades que possam ser exploradas por ameaças, provocando impactos nos negócios da organização. …uma atividade de análise que pretende identificar os riscos aos quais os ativos se encontram expostos. …além disso, é uma atividade que tem como resultado: Encontrar o conjunto de vulnerabilidades que podem afetar o negócio, para identificar os passos que devem ser seguidos para sua correção; Identificar as ameaças que podem explorar essas vulnerabilidades e, dessa maneira, elaborar estratégias de proteção; Identificar os impactos potenciais que poderiam ter os incidentes; Determinar as recomendações para que as ameaças sejam corrigidas ou reduzidas 19 Gerenciamento da Segurança da Tecnologia da Informação Ferramentas de Gerenciamento de segurança. Defesas de seguranças interligadas por redes. Atualmente, poucos profissionais enfrentam desafios maiores que os enfrentados pelos gerentes de TI que estão desenvolvendo políticas de segurança destinadas a alterar rapidamente as infraestruturas da rede na Internet. Como eles conseguem equilibrar a necessidades de segurança na Internet com o acesso a ela? Os orçamentos para a segurança da Internet são adequados? Que influencia era o desenvolvimento de aplicações de intranet, extranet e para a rede mundial sobre as estruturas da segurança? Como eles podem propor melhores práticas para o desenvolvimento de políticas de segurança na internet? Conexões essenciais de rede e fluxos de negócios precisam ser protegidos de ataques externos por cibercriminosos, ou da subversão por atos criminosos ou irresponsáveis de membros do grupo. Isso requer um bom número de ferramentas de segurança e medidas defensivas, e um programa coordenado de administração de segurança. Criptografia A criptografia de dados tornou-se uma maneira importante de proteger dados e outros recursos de rede de computadores, principalmente na Internet, intranets e extranets. Senhas, mensagens, arquivos e outros dados podem ser transmitidos de forma embaralhada e desembaralhados pelos sistemas de computadores apenas para os usuários autorizados. A criptografia envolve o uso de algoritmos matemáticos especiais, ou chaves, para transformar dados digitais em um código embaralhado antes que esses dados sejam transmitidos e para decodificá-los quando forem recebidos. O método mais amplamente utilizado de criptografia utiliza um par de chaves públicas e privadas exclusivas de cada individuo.Um email, por exemplo, pode ser embaralhado e codificado utilizando uma chave pública e exclusiva para o destinatário e que é conhecida pelo remetente. Após o email ser transmitido, apenas a chave primária secreta do destinatário pode desembaralhar a mensagem. Os programas de criptografia são vendidos como produtos independentes ou embutidos em outro software utilizado para o processo de criptografia. E existem diversos padrões de criptografia de softwares concorrente. Mas os dois principais são o RSA (da RSA Data Security) e o PGP (Pretty Good Privacy), um programa popular de criptografia disponível na Internet. Alguns software de grandes fabricantes oferecem dispositivos de criptografia que utilizam software RSA. Como funciona: Exemplo. 1. Com o seu software de criptografia, você cria uma “chave” com duas partes –uma pública e outra privada. Voce distribui um arquivo contendo a parte pública da chave para aqueles com quem deseja se comunicar. 2. Voce escreve uma mensagem de email, depois usa a chave pública do destinatário para criptografá-la. 3. O processo de criptografia coloca uma espécie de fechadura digital na mensagem. Mesmo que alguém intercepte a mensagem no caminho, seu conteúdo será inacessível. 4. Quando a mensagem chega, o destinatário digita uma frase teste. Em seguida, o software utiliza a chave privada para verificar se a chave pública do destinatário foi utilizada para a criptografia. 5. Utilizando a chave privada, o software destrava o esquema exclusivo de criptografia, decodificando a mensagem. 20 Firewall O firewall é uma configuração que isola algumas máquinas do resto da rede. É uma cancela que limita o acesso de e para uma rede de computadores. A idéia é essa: se pudéssemos criar uma barreira que fosse impenetrável entre nossa rede local e a Internet, estaríamos protegidos de ataques à nossa rede local. Mas se houver uma barreira impenetrável de modo que ninguém possa entrar na rede local, ninguém poderia sair também. Por que pagar por um firewall se poderíamos simplesmente desligar o cabo de rede? Mas precisamos interagir com o mundo, deixamos passar dados “saudáveis”, e para isso usamos mecanismos de filtragem. Esses mecanismos de filtragem nos entregam o que “deve entrar” por procuração (proxy). Um firewall não é uma barreira impenetrável: ele tem aberturas com verificação de livre-transito. Queremos que só os dados da rede que tiverem credenciais apropriadas tenham permissão para passar. CONCEITO de FIREWALL. O firewall é um conceito. Não é uma coisa; não há uma solução exclusiva de firewall. O nome “firewall” é uma descrição coletiva para vários métodos que restringem o acesso a uma rede local. Todos eles envolvem a definição de restrições na maneira como os pacotes da rede são roteados. O firewall pode ser um computador que é programado para agir como um roteador, um roteador dedicado ou uma combinação de roteadores e sistemas de software. A idéia do firewall é manter os dados importantes atrás de uma barreira que tenha algum tipo de controle de passagem e possa examinar e restringir os pacotes da rede local, permitindo que só pacotes “inofensivos” passem. Todo o tráfego de dentro para fora ou vice-versa deve passar pelo firewall. Só tráfego autorizado tem permissão para passar. Serviços de rede potencialmente arriscados (como o correio) se tornam mais seguros com o uso de sistemas intermediários. O próprio firewall deve ser imune a ataques. 21 Um firewall não consegue ajudar quando se trata dos seguintes itens: Hosts ou redes mal configurados. Ataques baseados em dados (onde o ataque envolve o envio de alguma informação perigosa, como a palavra-código que faz com que você atente contra si próprio ou uma correspondência eletrônica que embute um cavalo de tróia). Existem duas filosofias de firewall: bloquear tudo a menos que façamos uma exceção e, deixar passar tudo a menos que façamos uma exceção especifica. A primeira delas é claramente a mais segura ou pelo menos a mais cautelosa das duas. A filosofia do firewall se baseia na idéia de que é mais fácil proteger um host do que centenas ou milhares deles em uma rede local. Só teremos que dar atenção a uma máquina e assegurar que ela seja a única efetivamente conectada direto com a rede. Assim forçaremos todo o tráfego da rede a parar no host de defesa. Portanto, se alguém tentar invadir o sistema enviando algum tipo de ataque IP, não haverá danos ao resto da rede porque a rede privada nunca verá o ataque. É claro que isso é uma simplificação. É importante perceber que a instalação de um firewall não fornece proteção absoluta e não elimina a relevância da configuração e segurança dos hosts do lado de dentro do firewall. Também devemos ressaltar que geralmente o firewall é um ponto de falha único em uma rede. Ele é vulnerável a ataques de recusa de serviços (Negação de Serviços). PROXIES de FIREWALL É claro que não queremos que todo o tráfego seja interrompido; alguns serviços como correioeletronico e talvez a comunicação HTTP têm que poder passar. Para permitir isso, teremos que usar o chamado serviço de “Proxy” ou “gateway”. Uma solução comum é dar ao host duas interfaces de rede (uma será conectada à parte desprotegida da rede e a outra a rede local segura), embora o mesmo efeito possa ser obtido com apenas uma interface. Diz-se que um serviço está protegido por um servidor Proxy quando o host encaminha os pacotes da parte insegura da rede para a parte segura. Ele só fará isso com os pacotes que atenderem os requisitos da política de segurança. Por exemplo, você pode decidir que os serviços que permitirá que atravessem o firewall serão as conexões telnet e SMTP (correio) recebidas/enviadas, os serviços DNS, HTTP, FTP e nenhum outro. A segurança com Proxy requer um software especial, geralmente no nível de kernel, onde a validade das conexões poderá ser estabelecida. Por exemplo, os pacotes com endereços poderão ser bloqueados. A chegada de dados nas portas em que não houver uma conexão registrada poderá ser descartada. As conexões poderão ser descartadas se não estiverem relacionadas a uma conta de usuário conhecida. OBSERVAÇÃO: o Firewall não dispensa a instalação de um antivírus. Ele funciona como uma alfândega ou filtro que restringe a passagem dos dados recebidos e enviados pelo seu computador. O antivírus é necessário porque mesmo as comunicações consideradas seguras pelo Firewall podem trazer ameaças à máquina, geralmente devido à operação incorreta do PC pelo usuário. 22 Tipos de Firewall Dependendo do tipo de conexão usada no computador, é possível usar dois tipos de firewall, um por hardware e/ou outro por software. Atualmente, os firewalls por hardware mais utilizados são os que já vêm incorporados aos roteadores e modems de banda larga. O Windows já vem com um firewall nativo, mas você pode desativá-lo e instalar ferramentas mais robustas, com mais opções de configuração e segurança. A maior vantagem de usar um firewall por hardware é quando sua rede possui mais de um computador. Todas as máquinas estarão ligadas ao mesmo roteador, que além de gerenciar as conexões, também poderá executar a função de firewall — logicamente, isso dependerá do modelo de roteador utilizado. Verifique esta informação antes de comprar qualquer equipamento. Prefira roteadores que já venham com firewall, para aumentar a segurança das máquinas da rede. Como o firewall trabalha? Tanto o firewall por hardware como o por software operam de maneira similar. Conforme a configuração definida pelo usuário, o firewall compara os dados recebidos com as diretivas de segurança e libera ou bloqueia os pacotes. Assim como qualquer outra solução de segurança, o firewall não é 100% eficiente, já que existem estudiosos especializados em quebrar essa segurança. Hackers mais experientes são capazes de “disfarçar” uma “barata” na pele de um “refrigerante”, conseguindo que os dados passem pela “alfândega” do firewall e, em seguida, ganhando acesso à sua máquina. Proxy Outro método utilizado para restringir os dados que trafegam na rede é o chamado Proxy. De todo modo, um Proxy nada mais é do que um computador “General”, que comanda todo o tráfego da rede. Ou seja, toda e qualquer requisição dos computadores “soldados” que estiverem sujeitos ao comando do Proxy deverão solicitar o acesso a ele e só o obterão se o general estiver programado para liberar. Qualquer outro tipo de solicitação é automaticamente negada. Esse tipo de método de bloqueio é muito utilizado em empresas, pois também permite o bloqueio a acessos que a empresa considere ruins para sua produção. A título de exemplo, em muitas empresas, sites como o Orkut, programas como o MSN e todas as portas utilizadas pelos programas de torrent são bloqueadas para evitar que os funcionários percam tempo usando esse tipo serviço. Virus Vírus – Perigo real, imediato e crescente. • Surgimento de novas pragas, cada vez mais eficientes e desastrosas e de longo alcance. • Ambiente Internet contribui para disseminação. • Atualização do antivírus não acontece na mesma freqüência. 23 Diferentes Nomenclaturas para ameaças programadas São classificadas pela forma de como se comportam, como são ativados ou como se espalham: • Vírus • Worms • Bactéria • Bomba Lógica • Cavalo de Tróia Tipos de Vírus • Vírus de Boot - move ou altera o conteúdo original do boot, ocupando aquele espaço e passando atuar como se fosse o próprio boot do sistema. • Vírus parasita – utilizam arquivos executáveis (.com, .exe) como hospedeiros, inserindo códigos de desvio para o código do vírus. • Vírus camuflados – para dificultar o seu reconhecimento pelos anti-vírus. • Vírus polimórficos – mudam seu aspecto cada vez que infectam um novo programa. • Vírus de macro – macros são pequenos programas embutidos em planilhas e arquivos de texto. Como esses arquivos são os mais comuns, tratam-se de excelente meio de propagação. Fontes de infecção por Vírus • Disquetes • Redes • Cd-Rom´s de revistas • E-mails Softwares Anti-Vírus • Prevenção • Detecção • Remoção. Ataques de negativa de serviços. DOS: Denial of Service, ou Negação de Serviço, é um ataque onde o acesso a um sistema/aplicação é interrompido ou impedido, deixando de estar disponível; ou uma aplicação, cujo tempo de execução é crítico, é atrasada ou abortada. Esse tipo de ataque é um dos mais fáceis de implementar e mais difíceis de se evitar. O objetivo é incapacitar um servidor, uma estação ou algum sistema de fornecer os seus serviços para os usuários legítimos. Normalmente o ataque DoS não permite o acesso ou modificação de dados. Usualmente o atacante somente quer inabilitar o uso de um serviço, não corrompê-lo. 24 Outras Medidas de Segurança BACKUPS Refere-se à cópia de dados de um dispositivo para o outro com o objetivo de posteriormente os recuperar (os dados), caso haja algum problema. Recomendações • Fazer cópias regularmente • Guardar as cópias em locais diferentes – Um conjunto perto para recuperação – Um conjunto longe para segurança (principal) • Testar o procedimento de recuperação periodicamente. Tipos de Backup • Completo* • Incremental* • Diferencial* • Diário • Cópia Backup Completo Faz o backup de arquivos e pastas selecionados. Agiliza o processo de restauração, pois somente um backup será restaurado. Backup Incremental Faz o backup somente de arquivos e pastas selecionados que foram alterados após o ultimo backup. Backup Diferencial Faz o backup somente de arquivos e pastas selecionados que foram alterados após o ultimo backup. Backup Diário Faz o backup de arquivos e pastas selecionados que foram alterados durante o dia. Backup Cópia Faz o backup de arquivos e pastas selecionados. Estratégia de Backup Combinação de vários tipos de backup de modo a conciliar a salvaguarda das informações com a otimização dos recursos. Armazenamento • Fita Digital • Mídia Óptica • Robôs • DAS - Direct Attached Storage • NAS - Network Attached Storage • SAN - Storage Area Network Direct Attached Storage • Discos ou outros dispositivos diretamente conectados a servidores 25 • USB 2.0, Firewire. • Pequenas Empresas (até 50 Usuários) Network Attached Storage • Servidores Dedicados • IDE e SCSI (Atualmente PATA) • Empresas Médias (50 a 500 usuários) Storage Área Network • Redes de Alta velocidade (Servidores e Dispositivos) • Gigabit e Fiber Chanel • Grandes Empresas (+500 usuários) • Maior desempenho e escalabidade. IMPORTANTE RAID não é Backup! • RAID – Medida de Redundância • Backup – Medida de Recuperação de Desastre Monitores de Segurança. • • • Registros de logs, trilhas de auditoria ou outros mecanismos de detecção de invasão são essenciais. Na ocorrência de uma invasão, erro ou atividade não autorizada, é imprescindível reunir evidências para se tomar medidas corretivas necessárias. Os logs funcionam também como trilhas de auditorias, registrando cronologicamente as atividades do sistema. • Possibilitam a reconstrução, revisão ou análise dos ambientes e atividades relativas a uma operação, procedimento ou evento. • Por conterem informações essenciais para a segurança, os arquivos de logs devem ser protegidos contra destruição ou alteração por usuários ou invasores. O uso em excesso também pode degradar o sistema, sendo necessário balancear a necessidade de registro de atividades criticas e os custos em termos de desempenhos. Controles de Acesso Lógico ao Sistema Operacional. • Controles são implementados pelo fabricante do SO. • As vezes, temos que instalar pacotes adicionais para incrementar a segurança do SO. • Outros Controles de Acesso Lógico. • Time-out automático. • Limitação de horário de utilização de recursos. • Evitar uso de sessões concorrentes. • Se usuário estiver conectado, o invasor não poderá logar com sua identificação/autenticação. • Se o invasor tiver logado, o usuário terá seu acesso negado por sua conta está sendo usada e poderá notificar à segurança. 26 Segurança Biométrica. • Sistemas Biométricos • São sistemas de verificação de identidade baseados em características físicas dos usuários. • São mais difíceis de serem burlados, mas ainda têm o fator custo proibitivo. • São a evolução dos sistemas manuais de reconhecimento, como análise grafológica e de impressões digitais. • A tecnologia de medir e avaliar determinada característica de tal forma que o indivíduo seja realmente único. • Um dos problemas é ainda a taxa de erros, pois determinada característica pode mudar em uma pessoa, com o passar dos anos ou por outra intervenção. • Impressões Digitais – São características únicas e consistentes. São armazenados de 40 a 60 pontos para verificar a identidade. • Voz – Sistemas de reconhecimento de voz são usados para controle de acesso. Não são tão confiáveis em função dos erros causados por ruídos no ambiente ou problemas na voz do usuário. • Geometria da Mão – usada em sistemas de controle acesso, porém essa característica pode ser alterada por aumento ou diminuição do peso ou artrite. • Configuração da íris ou da retina – são mais confiáveis que as de impressão digital, através de direcionamento de feixes de luz nos olhos das pessoas. • Reconhecimento Facial por meio de um termograma – Através de imagem tirada por câmera infravermelha que mostra os padrões térmicos de uma face. 19.000 pontos de identificação! Recuperação de Desastres. A importância do Plano de Recuperação de Desastres (PRD) Imaginemos uma situação onde determinada organização sofra algum tipo de desastre que possa ser caracterizado como natural, acidental ou intencional, algo que realmente faça com que o principal serviço dessa organização pare de trabalhar. Por exemplo, uma empresa de tecnologia que possui vários servidores, cada um destinado a uma tarefa diferente, mas que é vital para a lucratividade da mesma. Em determinado momento acaba a energia, ou acontece algum incidente que venha a parar completamente os serviços de cada um dos servidores, fazendo assim com que a empresa perca o andamento de seus serviços e lucratividade, consequentemente afetando sua imagem no mercado. É neste momento que o Plano de Recuperação de Desastres entra em ação e mostra sua importância, pois tem por finalidade justamente, em casos como o exemplificado , auxiliar nas ações para a normatização dos serviços de uma organização com o mínimo tempo e impacto possível. Motivos de se ter um Plano de Recuperação de Desastres Algumas empresas subestimam os riscos de ocorrência de desastres e não investem em um PRD (Plano de Recuperação de Desastres), pois muitas vezes imaginam que por ter algo que garanta que os dados mais importantes não se percam, como por exemplo, uma sala de Backup, nobreaks, dentre outros, nunca irá ocorrer algo tão catastrófico que venha a interromper sua funcionalidade. Apesar de em alguns casos as organizações terem equipamentos reservas, salas de backup, o que aparenta assegurar que os dados não se percam, há um problema, ficam em um mesmo 27 ambiente físico. Desta forma não se pode garantir a segurança total da continuidade do serviço, pois pensando em uma enchente, terremoto, sabotagem, ou seja, algo que se defina como um desastre, toda a informação será perdida. Planejamento de PRD O investimento é o primeiro passo a ser feito. Adquirir um ambiente seguro e equipamentos redundantes e alternativos são ações essenciais para a organização, pois a possibilidade de que equipamentos comecem a falhar ou que até mesmo sejam destruídos é grande. Seriam exemplos destes: equipamentos das áreas de voz e comunicação de dados, processamento de dados, de geração de energia, etc. Adquirir também um centro de emergência para ser utilizado caso as instalações originais estejam sendo restabelecidas. Após serem feitos os investimentos, o próximo passo é a criação de uma equipe de recuperação, formada por profissionais experientes e competentes, que serão estes, escolhidos pela gerência. Estes profissionais serão preparados e treinados para agir caso ocorra algum desastre, e deverão estar comprometidos às manutenções e testes do PRD de forma contínua. Listar recursos e aplicações críticas e ativas que necessitarão de suporte na ocorrência de um desastre é o próximo passo. É importante também manter uma lista conjunta dos hardwares que trabalham junto com a aplicação. Aplicar um procedimento de cópias de segurança, informar datas e horários em que devem ser feitas. Informar também os locais e cofres onde serão armazenadas estas cópias. É importante que este local seja fora da empresa. Possuir ao alcance ferramentas para respostas emergenciais que vise diminuir danos e salvar vidas, assim como kit de primeiros socorros e extintores de incêndio. O que é Plano de Contingências? Plano de Contingências consiste num conjunto de estratégias e procedimentos que devem ser adotados quando a organização ou uma área depara-se com problemas que comprometem o andamento normal dos processos e a conseqüente prestação dos serviços. Essas estratégias e procedimentos deverão minimizar o impacto sofrido diante do acontecimento de situações inesperadas, desastres, falhas de segurança, entre outras, até que se retorne à normalidade. O Plano de Contingências é um conjunto de medidas que combinam ações preventivas e de recuperação. Obviamente, os tipos de riscos a que estão sujeitas as organizações variam no tempo e no espaço. Porém, pode-se citar como exemplos de riscos mais comuns a ocorrência de desastres naturais (enchentes, terremotos, furacões), incêndios, desabamentos, falhas de equipamentos, acidentes, greves, terrorismo, sabotagem, ações intencionais. O Plano de Contingências pode ser desenvolvido por organizações que contenham ou não sistemas computadorizados. Porém, o Plano se aplica às organizações que, em menor ou maior grau, dependem da tecnologia da informação, pois faz-se referência aos riscos a que essa área está sujeita, bem como aos aspectos relevantes para superar problemas decorrentes. 28 Qual é a importância do Plano de Contingências? Atualmente, é inquestionável a dependência das organizações aos computadores, sejam eles de pequeno, médio ou grande porte. Essa característica quase generalizada, por si só, já é capaz de explicar a importância do Plano de Contingências, pois se para fins de manutenção de seus serviços, as organizações dependem de computadores e de informações armazenadas em meio eletrônico, o que fazer na ocorrência de situações inesperadas que comprometam o processamento ou disponibilidade desses computadores ou informações? Ao contrário do que ocorria antigamente, os funcionários não mais detêm o conhecimento integral, assim como a habilidade para consecução dos processos organizacionais, pois eles são, muitas vezes, executados de forma transparente. Além disso, as informações não mais se restringem ao papel, ao contrário, elas estão estrategicamente organizadas em arquivos magnéticos. Por conseguinte, pode-se considerar o Plano de Contingências componente essencial para as organizações preocupadas com a segurança de suas informações. Qual é o objetivo do Plano de Contingências? O objetivo do Plano de Contingências é manter a integridade e a disponibilidade dos dados da organização, bem como a disponibilidade dos seus serviços quando da ocorrência de situações fortuitas que comprometam o bom andamento dos negócios. Possui como objetivo, ainda, garantir que o funcionamento dos sistemas informatizados seja restabelecido no menor tempo possível a fim de reduzir os impactos causados por fatos imprevistos. É normal que, em determinadas situações de anormalidade, o Plano preveja a possibilidade de fornecimento de serviços temporários ou com restrições, que, pelo menos, supram as necessidades imediatas e mais críticas. Cabe destacar que o Plano é um entre vários requisitos de segurança necessários para que os aspectos de integridade e disponibilidade sejam preservados durante todo o tempo. Como iniciar a elaboração do Plano de Contingências? Antes da elaboração do Plano de Contingências propriamente dito, é importante analisar alguns aspectos: · riscos a que está exposta a organização, probabilidade de ocorrência e os impactos decorrentes (tanto aqueles relativos à escala do dano como ao tempo de recuperação); · conseqüências que poderão advir da interrupção de cada sistema computacional; · identificação e priorização de recursos, sistemas, processos críticos; · tempo limite para recuperação dos recursos, sistemas, processos; ·alternativas para recuperação dos recursos, sistemas, processos, mensurando os custos e benefícios de cada alternativa. Que assuntos devem ser abordados no Plano de Contingências? De maneira geral, o Plano de Contingências contém informações sobre: · condições e procedimentos para ativação do Plano (como se avaliar a situação provocada por um incidente); · procedimentos a serem seguidos imediatamente após a ocorrência de um desastre (como, por exemplo, contato eficaz com as autoridades públicas apropriadas: polícia, bombeiro, governo local); · a instalação reserva, com especificação dos bens de informática nela disponíveis, como hardware, software e equipamentos de telecomunicações; 29 · a escala de prioridade dos aplicativos, de acordo com seu grau de interferência nos resultados operacionais e financeiros da organização. Quanto mais o aplicativo influenciar na capacidade de funcionamento da organização, na sua situação econômica e na sua imagem, mais crítico ele será; · arquivos, programas, procedimentos necessários para que os aplicativos críticos entrem em operação no menor tempo possível, mesmo que parcialmente; · dependência de recursos e serviços externos ao negócio; · procedimentos necessários para restaurar os serviços computacionais na instalação de reserva; · pessoas responsáveis por executar e comandar cada uma das atividades previstas no Plano (é interessante definir suplentes, quando se julgar necessário); · referências para contato dos responsáveis, sejam eles funcionários ou terceiros; · organizações responsáveis por oferecer serviços, equipamentos, suprimentos ou quaisquer outros bens necessários para a restauração; · contratos e acordos que façam parte do plano para recuperação dos serviços, como aqueles efetuados com outros centros de processamento de dados. Qual o papel da alta gerência na elaboração do Plano de Contingências? É imprescindível o comprometimento da alta administração com o Plano de Contingências. Na verdade, este Plano é de responsabilidade direta da alta gerência, é um problema corporativo, pois trata-se de estabelecimento de procedimentos que garantirão a sobrevivência da organização como um todo e não apenas da área de informática. Ainda, muitas das definições a serem especificadas são definições relativas ao negócio da organização e não à tecnologia da informação. A alta gerência deve designar uma equipe de segurança específica para elaboração, implementação, divulgação, treinamento, testes, manutenção e coordenação do Plano de Contingências. Este deve possuir, ainda, um responsável específico que esteja a frente das demandas, negociações e tudo mais que se fizer necessário. Provavelmente, a alta gerência será demandada a firmar acordos de cooperação com outras organizações, assinar contratos orientados para a recuperação dos serviços, entre outros atos. Há que ser considerada, ainda, a questão dos custos. Faz parte das decisões da alta gerência o orçamento a ser disponibilizado para garantir a exeqüibilidade do Plano de Contingências, ou seja, para possibilitar, além da sua implementação, sua manutenção, treinamento e testes. Como garantir que o Plano funcionará como esperado? É possível citar três formas de garantir a eficácia do Plano de Contingências: treinamento e conscientização das pessoas envolvidas; testes periódicos do Plano, integrais e parciais; processo de manutenção contínua. Controles de Sistemas e Auditorias. É um tipo de auditoria operacional, que analisa a gestão de recursos, enfocando os aspectos de eficiência, eficácia, economia e efetividade. Pode abranger: • O ambiente de informática como um todo. • A organização do departamento de informática • Controles sobre BD´s • Redes • Diversos aplicativos Sub-Áreas de auditoria em ambientes informatizados : • Auditoria da segurança de informações 30 • • Auditoria da tecnologia da informação Auditoria de aplicativos AUDITORIA DE SEGURANÇA DA INFORMAÇÃO Determina a postura da organização com relação à segurança das suas informações. Faz parte da auditoria de TI. Escopo: • Avaliação da política de segurança • Controles de acesso lógico • Controles de acesso físico • Controles ambientais • Planos de contingências e continuidade dos serviços Abrange todos os aspectos relacionados com a auditoria da segurança das informações além de outros controles que podem influenciar a segurança de informações e o bom funcionamento dos sistemas da organização. Controles: • Organizacionais • De mudanças • De operação dos sistemas • Sobre bancos de dados • Sobre microcomputadores • Sobre ambientes cliente-servidor Nota: RISCO = Ameaças x Vulnerabilidades x Impactos Medidas de segurança SEGURANÇA da INFORMAÇÃO é adotar controles físicos, tecnológicos e humanos personalizados, que viabilizem a redução e administração dos riscos, levando a empresa a atingir o nível de segurança adequado ao seu negócio. 31