Política de Segurança da Informação nas Corporações Policy of
Transcrição
Política de Segurança da Informação nas Corporações Policy of
Política de Segurança da Informação nas Corporações Policy of Information Security in Corporations Información Política de Seguridad en las empresas Agenor Nogueira de Souza1 Prof. Ricardo Augusto Coelho Leite2 Resumo: O objetivo deste artigo é descrever as estratégias da política de segurança da informação que visam minimizar os incidentes em segurança da informação nas corporações. Realizou-se uma pesquisa do tipo exploratória, teve-se como base a pesquisa bibliográfica e a pesquisa documental. Utilizou-se de dados quantitativos do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br). Palavras chaves: Segurança da Informação. Política de segurança da informação. Ameaças. Fraudes. Abstract: The objective of this article is to describe the strategies of Policy of information security for to minimize the incidents in information security in the corporations. A research was conducted of type exploratory, based on the Bibliographic and documentary research. We used quantitative data from the Center of Studies, Response and Treatment of Security Incidents in Brazil (CERT.br). Keywords: Information Security. Policy of information security. Threats. Fraud. Resumen: El propósito de este artículo es describir las estrategias de la política de seguridad de la información dirigida a minimizar los incidentes de seguridad de la información en la empresa. Se realizó una encuesta de la cuenta de exploración se basó en la literatura y la investigación documental. Hemos utilizado los datos cuantitativos del Centro de Estudios, Respuesta y Tratamiento de Incidentes de Seguridad en Brasil (CERT.br). Palavras clave: Seguridad de la Información. Información de la política de seguridad. Amenazas. Fraude. 1 - INTRODUÇÃO Constitui-se objeto deste artigo uma descrição das políticas de segurança da informação utilizadas nas corporações. A política de segurança de uma corporação deve ser baseada em normas, incluindo ainda as suas práticas e conhecimento da cultura e valores da empresa. O apoio da direção das corporações é fundamental na defesa dos recursos a serem investidos. Para ser possível fazer uma política mais abrangente, a representatividade deste apoio na divulgação de campanhas internas torna-se necessária a participação de todos. 1 Graduando em Sistemas de Informação pela Faculdade Infórium de Tecnologia. E-mail: [email protected] Especialista; professor dos cursos de graduação em CST Redes de Computadores, Sistemas de Internet e Bacharel em Sistemas de Informação na Faculdade Infórium de Tecnologia. E-mail: [email protected] Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 2 Delimitou-se o tema em estudo a uma análise dos incidentes do tipo fraude e a relação deste incidente com a política de segurança da informação utilizada nas corporações para inibir este e outros incidentes mais comuns. O objetivo geral é descrever as estratégias da política de segurança que visam minimizar os incidentes em segurança da informação no uso de computadores nas corporações. São objetivos específicos: conceituar incidentes em segurança da informação; reunir informações sobre os principais incidentes em segurança da informação no uso de computadores nas corporações; conceituar política de segurança da informação. A pergunta que norteia o estudo é no sentido de investigar se os incidentes em segurança da informação estariam relacionados a uma política de segurança da informação ineficiente. A hipótese básica orientadora do estudo propõe fazer uma relação entre os incidentes em segurança da informação e a falta de uma política de segurança da informação, que abranja todos os usuários de uma corporação. Justifica-se a relevância deste tema tendo-se em vista a difusão da tecnologia da informação em todos os meios da comunidade, nas micros, pequenas, médias e grandes corporações, onde os incidentes são muitos frequentes, principalmente quando não são geridos por pessoas capacitadas e com metas e estratégias bem definidas. Para a compreensão do tema proposto dividiu-se este artigo em cinco seções. A seção 1, esta introdução, é indicativa do estudo; a seção 2, apresenta o embasamento teórico sobre Segurança da Informação e Política de Segurança da Informação; a seção 3, apresenta a caracterização do objeto de estudo, relata os incidentes mais comuns nas corporações; a seção 4, trata da discussão sobre o tema; a seção 5, tece as conclusões do artigo. 2 - SEGURANÇA DA INFORMAÇÃO E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO: UMA ABORDAGEM TEÓRICA A segurança da informação é a proteção mais apropriada sobre as informações de uma determinada empresa ou pessoa, sendo que esta pode se apresentar de várias formas, como: informações impressas, eletrônicas, escrita e de forma tácita, disponível apenas no conhecimento do ser humano. Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 a) Segurança da Informação Fazendo-se uma comparação do mundo real em que têm-se que tomar os devidos cuidados ao sair de casa, certificando de que as janelas, portas e o portão estejam fechados, Nakamura; Geus (2007) afirmam que os mesmos critérios de segurança devem ser seguidos, por meio de medidas estritas de segurança. As empresas têm que proteger os seus ativos, ter uma política de segurança da informação, fazer separação entre rede pública e rede interna. No final da década de 80, surgiu uma das principais ferramentas para proteção dos ativos nas corporações dada a necessidade de manter bloqueios de acesso e restrições de tráfego entre as redes existentes, esta se distinguiu como firewall, que segundo a comparação feita por Nakamura; Geus (2007) é equivalente ao controle de acesso em uma loja real o qual é feito por intermédio de porteiros, vigias, limites físicos e portas. Destaca-se que a escolha da palavra firewall para definir as funções desse programa ou dispositivo é baseada numa técnica de combate a incêndios que consiste na utilização de portas corta-fogo (firewall) que impedem a propagação do fogo em uma construção. O firewall pode ser utilizado na forma de software3 e hardware4 ou combinados. A determinação de qual forma de segurança será usada dependerá do porte da rede, da política de segurança que será aplicada e o grau de segurança desejado. A necessidade de utilização cada vez maior da internet pelas organizações e a constituição de ambientes cooperativos levam a uma crescente preocupação quanto à segurança. Como consequência, pode-se ver uma rápida evolução nessa área, principalmente com relação ao firewall, que é um dos principais, mais conhecidos e antigos componentes de um sistema de segurança. Sua fama, de certa forma, acaba contribuindo para a criação de uma falsa expectativa quanto à segurança total da organização, além de causar uma mudança ou mesmo uma banalização quanto à sua definição (NAKAMURA; GEUS, 2007, p. 220). Assim como os firewalls, há no mercado da tecnologia da informação os sistemas de detecção de intrusão, Intrusion Detections System (IDS), e sistemas de prevenção de intrusão, Intrusion Prevention System (IPS), que funcionam como um 3 Software, em um sistema computacional, o conjunto dos componentes informacionais, que não faz parte do equipamento físico e inclui os programas e os dados a eles associados. Qualquer programa ou conjunto de programas de computador (FERREIRA, 2001). 4 Hardware, componente, ou conjunto de componentes físicos de um computador (FERREIRA, 2001). Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 alarme. A detecção normalmente é feita com base em algum tipo de conhecimento, como: assinaturas de ataques e aprendizado de uma rede. Há também a detecção com base em comportamento anômalo. O IDS é um componente essencial em um ambiente cooperativo. Sua capacidade de detectar diversos ataques e intrusões auxilia na proteção do ambiente, e sua localização é um dos pontos a serem definidos com cuidado. Novos tipos de sistemas, que procuram não apenas detectar, mas também prevenir os ataques, estes sistemas são conhecidos como sistemas de prevenção de intrusão, IPS, (NAKAMURA; GEUS, 2007, p. 264). A criptografia é uma das formas mais seguras de transmitir informação, ela se baseia em um conjunto de técnicas para ocultar a informação de um acesso indevido. O objetivo da criptografia é transformar uma mensagem, uma informação legível em um conjunto de caracteres impossível de ser compreendido. A criptográfica tem a função e importância cada vez mais fundamentais para a segurança nas organizações; é a ciência de manter as mensagens seguras. A cifragem (encryption) é o processo de disfarçar a mensagem original, o texto claro (plaintext) ou (cleartext), de tal modo que sua substância é escondida em uma mensagem como texto cifrado (ciphertext), enquanto a decifragem (decrytpion) é o processo de transformar o texto cifrado de volta em texto claro original (NAKAMURA; GEUS, 2007, p. 301). Neste sentido Lyra(2008) afirma que a criptografia é uma arte ou ciência de se escrever em códigos, com o objetivo de garantir a segurança da informação. Com a segurança dada pela criptografia foi possível a expansão do comércio eletrônico. A criptografia é definida como arte ou ciência de escrever em cifras ou em códigos, com o propósito de restringir ao destinatário a capacidade de decodificá-la e compreendê-la. Mecanismos de criptografia são amplamente adotados em ambientes computacionais para oferecer garantia de autenticação, privacidade e integridade dos dados e comunicações, e sem essa tecnologia não teria sido possível popularizar o comércio eletrônico (LYRA, 2008, p. 37). A NBR ISO/IEC 17799 (2001)5 define que a informação é um ativo fundamental para os negócios de uma organização, um bem como outro qualquer e que precisa ser protegido de forma adequada. A segurança da informação tem o papel de proteger esse tipo de ativo de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar os retornos dos investimentos realizados pela organização. A norma cita também que a segurança da informação é caracterizada pela preservação da confidencialidade, integridade e disponibilidade. 5 NBR ISO/IEC 17799 – Norma Brasileira – Tecnologia da informação – Código de prática para gestão de segurança da informação. Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 Para a NBR ISO/IEC 17799 (2001) é essencial que uma organização identifique os seus requisitos de segurança, ela define três principais fontes. A primeira fonte é derivada de uma avaliação dos potencias de riscos que os ativos da organização estão expostos, como as ameaças, as vulnerabilidades, probabilidade de sua ocorrência e o impacto potencial estimado. A segunda fonte é a legislação vigente, os estatutos, a regulamentação, e cláusulas contratuais que a organização, seus parceiros, contratados e prestadores de serviço tem que atender. Por último, a terceira fonte diz respeito ao conjunto particular de princípios, objetivos e requisitos para o processamento a informação que a organização tem que desenvolver para atender as suas necessidades. Avaliação de risco é uma consideração sistemática: - do impacto nos negócios como resultado de uma falha de segurança, levando-se em conta as potencias consequências da perda de confidencialidade, integridade ou disponibilidade da informação ou de outros ativos; - da probabilidade de tal falha realmente ocorrer à luz das ameaças e vulnerabilidades mais frequentes e nos controles atualmente implementados (NBR ISO/IEC 17799, 2001, p.2). A Associação Brasileira de Normas Técnicas (ABNT) NBR ISO6/IEC7 27001 (2006)8 tem várias definições dos termos de segurança, quadro 1. Quadro 1 - ABNT NBR ISO/IEC 27001 (2006) e os termos de segurança 6 Ativo qualquer coisa que tenha valor para a organização Disponibilidade propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada Confidencialidade propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados ISO: sigla de International Organization for Standardization. A ISO tem como objetivo criar normas que facilitem o comércio e promovam boas práticas de gestão e o avanço tecnológico, além de disseminar conhecimentos. No Brasil, a ISO é representada pela Associação Brasileira de Normas Técnicas,( ABNT) (INMETRO, 2014) 7 IEC: sigla de International Electrotechnical Commission. O IEC é uma organização não governamental, sem fins lucrativos, que desenvolve normas internacionais e opera sistemas de avaliação de conformidade nas áreas de eletrotécnica (elétricas, eletrônicas e tecnologias correlatas) (IEC, 2014) 8 NBR ISO/IEC 27001 – Norma Brasileira – Tecnologia da informação - Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 Segurança da informação preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas Evento de segurança uma ocorrência identificada de um estado de da informação sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação Incidente de segurança um simples ou uma série de eventos de segurança da informação da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação Integridade propriedade de salvaguarda completeza de ativos Fonte: NBR ISO/IEC 27001 da exatidão e A política de segurança da informação serve como base para o estabelecimento de normas e procedimentos, visando garantir a segurança da informação, assim como determinar responsabilidades relativas à segurança nas corporações. As políticas de segurança fornecem parâmetros para a implementação de mecanismos de segurança, definem procedimentos adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na eventualidade de ataques. b) Política de segurança da informação A política de segurança da informação segundo Nakamura; Geus (2007) abrange os aspectos humanos, culturais e tecnológicos de uma organização, como também os processos, o ramo de atividade, enfim os negócios desta organização. É a partir da política de segurança da informação que são definidos as normas e os procedimentos a serem adotas e seguidos em toda a organização. O planejamento da política de segurança da informação é um dos principais passos para a sua implantação, passo esse que exige uma visão ampla de toda a sorte de riscos sejam entendidos para que possam ser estrategicamente combatidos. O ideal é que a abordagem da política de segurança seja pró ativa, considerando sempre o não é ‗se‘, mas sim ‗quando‘, a abordagem pró ativa bem definida, traz consigo a definição Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 de responsabilidades individuais e essa é bem clara, facilitando assim a sua atuação em todas as áreas da organização. O planejamento da política de segurança da informação deve ser feito tendo como diretriz o caráter geral e abrangente de todos os pontos, incluindo as regras que devem ser obedecidas por todos. Essas regras devem especificar quem pode acessar quais recursos, quais são os tipos de usos permitidos no sistema, bem como os procedimentos e controles necessários para proteger as informações. (NAKAMURA; GEUS, 2007, p.190). Segundo Lyra (2008) a elaboração de uma política de segurança da informação sólida deve considerar de forma criteriosa a particularização e detalhamento as características de cada processo, de cada local e infraestrutura, tomando corpo através de diretrizes e normas, procedimentos e instruções que tornaram oficiais sobre a questão em toda a organização. Divulgar corporativamente a política de segurança da informação, afim de torná-la o instrumento oficial, de conhecimento de todos, que irá nortear os executivos, técnicos e usuários quanto às melhores práticas no relacionamento com a informação. Capacitar, conscientizando os usuários no que se refere ao comportamento diante do manuseio, armazenamento, transporte e descarte da informação, incluindo o conhecimento dos critérios, proibições e responsabilidades inerentes ao assunto (LYRA, 2008, p. 53). Para Nakamura; Geus (2007) os principais elementos da política de segurança da informação são vigilância, atitude, estratégia e tecnologia. Sendo que vigilância diz respeito à forma que todos os membros de uma corporação devem se comportar diante a alarmes e alertas e terem uma posição de guardiões para evitar abusos sistêmicos e acidentais. Atitude, significa uma postura reflexo do treinamento, a política deve ser de fácil acesso para que seja alcançada a sua compreensão e cumplicidade da política definida. Estratégia traduz na maneira mais criativa possível, sendo capaz de se adaptar as mudanças no ambiente de trabalho, evitando grandes perdas de produção em função da demanda da segurança desejada. Tecnologia, a solução tecnológica deve ser bem dimensionada, flexível e adaptável, o ideal que ela não seja nem subdimensionada, em que venha dar uma falsa sensação de proteção e nem sobre dimensionada, o ideal que ao invés da política se basear em um produto e/ou solução, se norteie mais na essência da política de segurança da informação. Uma característica importante de uma política é que ela deve ser curta o suficiente para que seja lida e conhecida por todos os funcionários da empresa. A essa política de alto nível devem ser acrescentados políticas, normas e procedimentos específicos para setores e áreas particulares, como por exemplo, para a área de informática. (NAKAMURA; GEUS, 2007, p.194). Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 A autenticação libera o acesso inicial a qualquer sistema, identifica, estabelece o nível de privilégio que o usuário pode exercer: libera ou nega acesso a determinadas áreas de um sistema. Autenticação é essencial para garantir a segurança da informação. Neste sentido Nakamura; Geus (2007) assinala que a autenticação tem um papel fundamental para a segurança de um ambiente cooperativo, ao validar a identificação dos usuários. Uma vez que o usuário é identificado, libera-se para ele os acessos aos quais o perfil dele permite. Este acesso vai ser mais restritivo, intermediário ou amplo de acordo com as responsabilidades e atribuições do usuário na corporação. O controle de acesso pela validação implica em segurança, em maior ou menor chance de ocorrerem falhas acidentais, em acesso indevido a informações sigilosas, entre outros ganhos. Uma política de segurança da informação tem que ter diretrizes relativas a senha, como: tempo de validade, quantidade de dígitos mínimo e máximo, quais tipos de caracteres são permitidos, prazo mínimo que se possa repetir a senha já utilizada entres outros. Para Nakamura; Geus (2007) as senhas são utilizadas pela grande maioria dos sistemas de autenticação e são consideradas necessárias como um meio de proteção. Contudo, elas são consideradas também perigosas, pois dependem do elo mais fraco da corrente, que são os usuários. Os usuários podem, escolher senhas óbvias e fáceis, compartilhá-las com seus colegas. A existência de uma política de segurança que auxilie na escolha de senha segura, que seja boa para o usuário e para a organização é fundamental, pois pode aumentar o nível de segurança de toda uma organização. Completando Lyra (2008) afirma que as melhores práticas relacionadas à política de senha recomendam a troca periódica das senhas, a identificação de senhas de fácil dedução e bloqueio após, por exemplo, três tentativas sem sucesso. A segurança no contexto da governança de tecnologia da informação conforme Lyra (2008) é definido pelo Control Objetives for Information And Related Technology (COBIT) como um guia semelhante a um framework9, direcionado para a gestão da tecnologia da informação. O guia traz consigo uma série de recursos que podem servir de referência para a gestão da tecnologia da informação, nele 9 Framework – Estrutura, armação, esqueleto, composição, organização. (MARQUES; DRAPER, 1990) Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 encontra-se um sumário executivo, um framework, controle de objetivos, mapas de auditoria, ferramentas para sua implementação e principalmente um guia importante com técnicas de gerenciamento. COBIT cobre os quatro domínios: planejar e organizar; adquirir e implementar; entregar e dar suporte; monitorar e avaliar. 3 - A SEGURANÇA DA INFORMAÇÃO 3.1 - A evolução da segurança da informação Nesta seção descreve-se os antecedentes da segurança da informação, difusão e sua predominância, bem como os tipos de incidentes em segurança da informação, os ataques mais comuns utilizados pelos hackers10 e uma abordagem de fraudes mais utilizadas. a) Antecedentes históricos da segurança da informação Um dado histórico relevante que se tem como referência na segurança da informação é o ―Orange Book ‖, livro laranja americano de normas relativas à segurança da informação, que começou a ser formulado em 1978 e teve sua versão final em 1985. Em 1977, o Departamento de Defesa, (DoD) dos Estados Unidos apresentou um plano sistemático para tratar do Problema Clássico de Segurança, o 11 qual daria origem ao "DoD Computer Security Initiative" , que, logo depois desenvolveria um "centro" para avaliar se as soluções disponibilizadas, eram realmente seguras. Com a construção do "Centro", foi gerada uma necessidade da criação de um conjunto de regras a serem utilizadas no processo de avaliação. Este conjunto de regras ficaria conhecido informalmente como "The Orange Book". Oprocesso de escrita do "Orange Book", conhecido oficialmente como Trusted 12 Computer Evaluation Criteria - DoD 5200.28-STD" ,foi iniciado ainda no ano de 1978, sendo feita a publicação da versão "draft", ou rascunho, e no dia 26 de dezembro de 1985 foi publicada a versão final e atual deste documento. Mesmo que o "Orange Book" seja considerado, atualmente, um documento ultrapassado, pode-se considerá-lo como o marco inicial na busca de um conjunto de medidas que permitam a um ambiente computacional ser qualificado como seguro. Fonte: História da computação e da segurança de informação (s.d.) b) Difusão da segurança da informação 10 Hackers – São especialistas que já dominam diversas técnicas de invasão e conhecem com profundidade pelo menos um sistema operacional. São excelentes programadores e administradores de sistemas. (ULBRICH; DELLA VALLE, 2009) 11 Iniciativas de Segurança de Informática 12 Livro Critérios de avaliação de informática confiável do Departamento de Defesa 5200.28-STD Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 Segundo o site profissionaisti.com.br a tecnologia da informação é encontrada em todos os portes de empresas, sejam elas micros ou grandes. Um fator que pode ser determinante para todo o andamento da empresa é a preocupação com a segurança da informação. A Segurança da Informação vem ganhando cada vez mais espaço e importância nas empresas. O seu princípio considera as informações e as pessoas como seus principais ativos. Com o avanço da tecnologia e com a grande competitividade do mercado é cada vez mais importante para uma organização investir em um sistema de informação seguro e políticas claras de segurança da informação, independente do seu porte e de suas colocações no mercado. Atualmente a informação pode ser considerada um dos ativos mais importantes de uma empresa. Se uma empresa possui segurança de suas informações, certamente isso transparece uma sensação de credibilidade para os seus clientes. Segundo a concepção de Rezende (2009), informação nos dias de hoje tem um valor significativo dentro de uma organização, representando muitas vezes a base para manter recursos financeiros e seus ativos em atividade. Fonte: Segurança da informação no ambiente corporativo (2013) c) Predominância da segurança da informação Em 2013 o site pwc13.com.br divulgou o resultado da décima Pesquisa Global de Segurança da Informação, um estudo conduzido pela PwC e outras duas parceiras, realizado em 128 países. Segundo a PwC os maiores investimentos em segurança da informação estão concentrados na Ásia, a América do Norte mantém em posição estável, já a Europa está estagnada na questão de investimentos e está se enfraquecendo em relação à segurança da informação. A América do Sul desponta como líder em algumas categorias, o Brasil está cada vez mais sólido na questão de investimentos e alinhado às práticas dos lideres mundiais. Dada a limitação de espaço este estudo apresenta apenas um dos gráficos da pesquisa da PwC, onde pode-se verificar que está ocorrendo queda no uso de ferramentas de segurança da informação, observa-se também um relaxamento das políticas que estabelecem padrões nas organizações. Muitos dos elementos vêm sendo excluídos nos últimos anos. Como por exemplo as políticas relativas a backup e recuperação de dados, que aparece com apenas 51%. em vigor nas empresas. Gráfico 1: Elementos que compõem as políticas de segurança no mundo 13 PriceWaterhouseCoopers - A marca PwC se originou da fusão das firmas Price e Waterhouse em meados do século XIX e com a Coopers&Lybrand em 1998. Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 Fonte: http://www.pwc.com.br/pt/estudos-pesquisas/giss-2013.jhtml d) Os tipos de incidentes em segurança da informação, os ataques mais comuns Um dos principais ataques que as corporações enfrentam no dia-a-dia é a engenharia social, vista de maneira similar por praticamente todos os teóricos do assunto. A engenharia social é a técnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia. Ela tem o objetivo de enganar e ludibriar pessoas assumindo-se uma falsa identidade, afim de que elas revelem senhas ou outras informações que possam comprometer a segurança da organização. Esta técnica explora o fato de os usuários estarem sempre dispostos a ajudar e colaborar com os serviços da organização. Ela é capaz de convencer a pessoa que está do outro lado da porta a abri-la, independentemente do tamanho do cadeado. O engenheiro social manipula as pessoas para que elas entreguem chaves ou abram o cadeado, explorando características humanas como reciprocidade, consistência, busca por aprovação social, simpatia, autoridade e medo (NAKAMURA; GEUS, 2007, p. 85). Neste sentido Lyra (2008) afirma que as pessoas menos avisadas fornecem informações sigilosas apenas pelo fato de serem prestativas e pelo fato de acharem que todos são de boa índole. 14 Segundo o SANS Institute , ―Engenharia Social é a arte de utilizar o comportamento humano para quebrar a segurança sem que a vítima sequer perceba que foi manipulada‖. E segundo o CERT.br define engenharia social como um método de ataque onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado aos ativos da informação (LYRA, 2008, p. 21). SANS Institute - Computer Security Education and Information Security Training , Instituto de Segurança Computacional, Educação e Treinamento em Segurança da Informação. 14 Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 Segundo Ulbrich; Della Valle (2009) a engenharia social visa colher informações vitais sobre o alvo escolhido, além das óbvias, como dados financeiros, pessoais e hierárquicos, como também informações de instalações físicas e lógicas, topologia de rede, política de senhas e chaves criptográficas. A engenharia social basicamente, significa a ―garimpagem‖ de informações vitais sobre uma determinada pessoa, empresa, produto ou organização. Essas informações são provenientes quase sempre de pessoas próximas ao indivíduo a ser atacado ou do próprio quadro de funcionários e clientes – no caso de empresas (ULBRICH; DELLA VALLE, 2009, p. 124). Entre as diversas vulnerabilidades há também a captura da conta, senha e demais dados do usuário via sites, até mesmo aqueles ditos como confiáveis, que dão a garantia a privacidade das informações dos seus clientes. Esta vulnerabilidade ocorre via SQL Injection15. SQL Injection, que consiste em inserir comandos da linguagem SQL nos 16 campos de login e senha para, de acordo com a mensagem de erro retornada pelo servidor, mapear todo o banco de dados dos usuários. Esse 17 método funciona para scripts ASP que utilizam de chamadas SQL, mas pode ser adaptado para qualquer linguagem.. A sintaxe pode ser diferente, mas o mecanismo é similar (ULBRICH; DELLA VALLE, 2009, p. 205). Apresenta-se a seguir as ameaças mais comuns que as corporações estão expostas, entre elas, cavalo de Tróia, spans, DoS, WEB, engenharia social e outras. Quadro 2 – Ameaças mais comuns nas corporações Cavalo de Tróia Ulbrich; Della Valle (2009) afirmam que os cavalos de troia são apenas expedientes utilizados para fazer a vítima acreditar que o arquivo em questão trata-se de algo inofensivo ou mesmo um presente – embora guarde algo danoso em suas entranhas. Cavalos de Tróia guardam e transportam qualquer coisa – pode ser um backdoor18 (o mais usual), mas também pode ser um vírus19, um programa inocente ou mesmo outro cavalo de Tróia mais poderoso. DoS 15 (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede. (CERT.br) SQL Injection é um dos muitos mecanismos de ataque utilizados por hackers para roubar dados de organizações em páginas na internet. 16 Campo para a entrada da conta/chave do usuário 17 Série de instruções para serem seguidas no padrão ASP, Microsoft Active Server Pages. 18 Backdoor (também conhecido por porta dos fundos) são programas que instalam um ambiente de serviço em um computador, tornando-o acessível à distância, permitindo o controle remoto da máquina sem que o usuário saiba. (Vírus e cia., s.d) 19 Vírus é código escrito com o objetivo de contaminar sistemas computacionais que se propaga rapidamente. É considerado um agente hospedeiro que age fazendo cópia de seu próprio código e sua ação está ligada diretamente à execução do programa ou do arquivo infectado (GLBO,2006). Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 Invasão Um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede. (CERT.br) Web Um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet. (CERT.br) Scan Notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador. (CERT.br) Fraude Segundo Houaiss20, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". (CERT.br) Fonte: Diversas fontes conforme citado em cada item 3.2 - A base legal da política de segurança da informação As leis voltadas para a segurança da informação estão distribuídas em diversos dispositivos, como pode-se verificar no quadro 3. O Marco Civil aprovado recentemente regulamenta o uso da internet no Brasil, não sendo propriamente um instrumento voltado para a política de segurança da informação no âmbito corporativo. Quadro 3 – Relação de leis, artigos e decretos que regulamentam os aspectos relativos à segurança da informação. Dispositivo Constituição Federal, art. 5º, inciso X. Consolidação Leis Trabalho CLT, art. 482, alínea g. Código de Defesa do Consumidor, arts. 43 e 44. Mandamento Legal Direito à privacidade. Aspecto Segurança Informação Sigilo das informações relacionadas à intimidade ou à vida privada de alguém. Proteção das informações Rescisão de contrato de trabalho de sigilosas acessadas no exercício empregado que viola segredo da empresa. de emprego público Garantia da integridade e disponibilidade das informações dos consumidores arquivadas em bancos de dados. Proteção à violação de equipamentos e sistemas - sejam Código Penal, Pena - detenção, de 3 meses a eles conectados ou não à internet 1 ano, e multa. art. 154-A. - com intenção de destruir dados, ou instalar vulnerabilidades. Pena de 3 meses a 2 anos e multa por crime Proteção da integridade e Código Penal, de modificação ou alteração não autorizada disponibilidade das informações art. 313-B. de sistemas de informações. constantes nos órgãos públicos. 20 Direito de acesso do consumidor às suas informações pessoais arquivadas em bancos de dados e direito de retificação das informações incorretas. Dicionário Houaiss da Língua Portuguesa, elaborado pelo lexicógrafo brasileiro Antônio Houaiss. Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 Exigência de mecanismos e instrumentos Lei nº legais e técnicos para a proteção do sigilo dos 7.232/84, art. dados informatizados armazenados, 2o, inciso VIII. processados e veiculados, do interesse da privacidade e de segurança das pessoas Pena de dois a quatro anos, e multa por crime interceptação de comunicações Lei nº de 9.296/96, art. telefônicas, de informática ou telemática, ou quebra de segredo da Justiça, sem 10. autorização judicial Lei nº 10.683/03, art. Prevê a competência do GSIPR de coordenar a atividade de segurança da informação. 6º, inciso IV. Decreto nº Institui a Política de Segurança da Informação 3.505/00, art. nos órgãos e entidades da Administração 1º. Pública Federal. Sigilo dos dados relacionados à intimidade, vida privada e honra, especialmente dos dados armazenados através de recursos informáticos. Sigilo dos dados e comunicações privadas. das Todos os aspectos da segurança da informação. Pressupostos básicos segurança da informação. Fonte: site http://dsic.planalto.gov.br/documentos/quadro_legislacao.htm Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 da 3.3 - Dados quantitativos sobre incidentes em segurança da informação Os incidentes em segurança da informação têm crescido ano a ano conforme pode-se verificar no gráfico 2 do CERT21, o ano de 2013 teve um decréscimo considerável, assim como houve também em 2010, mas mesmo assim essa não é a tendência. No detalhamento por tipo de ataques, fraude é segundo colocado na classificação geral. Este estudo propõe dar foco ao tipo de incidente/ataque fraude, em que pode-se ter um detalhamento maior nos gráficos e nas análise feitas pelo CERT-br. Como pode-se observar, o total de notificações recebidas pelo CERT em 2013 foi de 352.925, este número foi 24% menor que o total de 2012. Gráfico 2: Total de Incidentes Reportados ao CERT.br – de 1999 à 2013 Fonte: CERT.br Este estudo apresenta os gráficos relativos ao fechamento anual de 2013. Alguns destaques que pode-se observar da análise do CERT. Embora o total de notificações reportadas ao CERT tenha retraído em 2013, as notificações de tentativas de fraude, em 2013, totalizaram 85.675, correspondendo a um aumento de 23% em relação a 2012. Como também, as notificações de casos de páginas 21 falsas O CERT.br mantém estatísticas sobre notificações de incidentes a ele reportados. Estas notificações são voluntárias e refletem os incidentes ocorridos em redes que espontaneamente os notificaram ao CERT.br. Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 de bancos e sites de comércio eletrônico (phishing clássico) em 2013 cresceram 44% em relação a 2012. Gráfico 3 : Incidentes Reportados - Tipos de Ataque Acumulado Janeiro a Dezembro de 2013 Fonte: CERT.br Gráfico 4 : Incidentes Reportados - Tipos de Ataques em Percentual Janeiro a Dezembro de 2013 Fonte: CERT.br Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 As notificações sobre Cavalos de Troia, utilizados para furtar informações e credenciais, tiveram um crescimento de 4% em relação ao ano de 2012. Seguindo a tendência geral, em 2013 o número de notificações de casos de páginas falsas que não envolvem bancos e sites de comércio eletrônico teve uma queda de 49% em relação a 2012. O CERT, recebeu 5.068 notificações relacionadas a eventuais quebras de direitos autorais, este número foi 11% maior que o do ano de 2012, conforme pode-se verificar no gráfico 5. Gráfico 5 : Incidentes Reportados - Tentativas de fraudes reportadas Janeiro a Dezembro de 2013 Fonte: CERT.br 4 - DISCUSSÃO SOBRE OS DIVERSOS ASPECTOS DA SEGURANÇA DA INFORMAÇÃO a) Em Segurança da informação O estudo apresenta, inicialmente, a analogia de Nakamura; Geus (2007) sobre a preocupação com portas, acessos que devem ser mantidos fechados para garantir o mínimo de segurança, sendo que o mesmo comportamento tem que se verificar no ambiente da informática para a proteção dos ativos. Seguindo este raciocínio são apresentados as proteções, as vantagens de se utilizar Firewalls, IDS e IPS para proteção de acesso à internet e outros sistemas de como um todo. Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 Cita-se o papel da criptografia que tem a crucial importância para as organizações nas transferências de mensagens de forma segura. Entrando mais para o lado da teoria e normas a (NBR ISO/IEC 17799, 2001) faz referência dos requisitos de segurança, as principais fontes: avaliação dos potenciais riscos, legislação vigente, princípios e objetivos da corporação. b) Em Política de segurança da informação As políticas de segurança fornecem parâmetros para a implementação de mecanismos de segurança; A política de segurança da informação segundo Nakamura; Geus (2007) abrange os aspectos humanos, culturais e tecnológicos. O planejamento da política de segurança da informação deve ser feito tendo como diretriz o caráter geral. Segundo Lyra (2008), deve-se divulgar corporativamente a política de segurança da informação, afim de torná-la o instrumento oficial. A autenticação libera acesso inicial a qualquer sistema, identifica, estabelece o nível de privilégio que o usuário pode exercer. Assim, uma boa política de segurança da informação tem que ter diretrizes relativas à senha, como: tempo de validade, quantidade de dígitos, conforme indica Nakamura; Geus (2007) a autenticação tem um papel fundamental para a segurança. A governança de tecnologia da informação para Lyra (2008) o COBIT é um modelo a ser seguido. c) Em Aspectos da Segurança da Informação A referência histórica em segurança da informação, o ―Orange Book‖, teve o seu início de elaboração 1978, com a versão final em 1985. A difusão da Segurança da Informação vem ganhando cada vez mais espaço e importância nas empresas, esta tem sido considerada um dos ativos mais importantes de uma empresa. Segundo a pesquisa da PWC, a Ásia destaca-se como líder mundial em segurança da informação. O Brasil se mostra cada vez mais sólido e alinhado com os investimentos, práticas e o desempenho dos líderes mundiais. Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 d) Ataques/ameaças: A engenharia social é a técnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia. Pode ser minimizada com a política de segurança da informação bem formulada; SQL Injection, que consiste em inserir comandos da linguagem SQL nos campos de login e senha para, de acordo com a mensagem de erro retornada pelo servidor, mapear todo o banco de dados dos usuários. Pode ser combatida com Firewalls e IDS/IPS. Cavalo de Tróia são expedientes utilizados para fazer a vítima acreditar que o arquivo em questão trata-se de algo inofensivo. Pode ser minimizada com a política de segurança da informação bem formulada; Invasão é um ataque bem sucedido que resulte no acesso não autorizado. Pode-se utilizar Firewalls, IDS/IPS para tentar evitar tais ataques. Scan são notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. Pode-se utilizar Firewalls, IDS/IPS para tentar evitar tais ataques. Fraudes é qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro. Pode ser minimizada com a política de segurança da informação bem formulada. 5 - CONCLUSÃO Os incidentes em segurança da informação têm aumentado proporcionalmente com o aumento da utilização dos computadores tanto nas corporações quanto no uso doméstico, conforme pode-se verificar nos dados disponibilizados pelo CERT. Porém, há de se considerar que os dados do CERT são uma referência, pois provavelmente muitos incidentes que ocorrem não são reportados por diversas razões e estratégicas empresarias. Através deste estudo, pode-se dizer que as corporações que utilizam das ferramentas adequadas, das tecnologias apropriadas e das melhores práticas do Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 mercado, associadas a uma política de segurança da informação eficaz, tendem a minimizar os incidentes em segurança da informação, seja qual for a natureza que estes incidentes venham ter. Diante do exposto, conclui-se que mediante a uma política de segurança da informação abrangente, eficaz, utilizando-se de todos os recursos possíveis disponíveis; como tecnologias, treinamento, conscientização e envolvimento de todos, é possível sim minimizar falhas em segurança da informação e evitar incidentes em fraudes, engenharia social e tantos outros em que as tecnologias disponíveis barram de forma automática. Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 REFERÊNCIAS ABNT (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS). NBR ISO/IEC 17799: Tecnologia da Informação – Código de prática para gestão a segurança da informação. Rio de Janeiro, 2001. ABNT (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS). NBR ISO/IEC 27001: Tecnologia da informação - Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. Rio de Janeiro, 2006. CERT, 2014 – Centro de Estudos, Resposta e Tratamento de Incidentes e Segurança no Brasil, ―Incidentes Reportados ao CERT.br ‖. Disponível em: http://www.cert.br/stats/incidentes Acessado 05/20/2014. FERREIRA, Aurélio B. H.. Mini Aurélio Seculo XXI. Rio de Janeiro: Nova Fronteira, 2001. GLBO, Gislaine Lirian Bueno de Oliveira ,,Trabalho de conclusão de curso, do Centro Universitário SENAC – Unidade Sorocaba, 2006. História da computação e da segurança de informação, s.d. Disponível em < http://www.oarquivo.com.br/a-historia-da-computacao-e-da-seguranca-deinformacao-parte-1 >. Acesso em: 23 de maio de 2014 IEC. What we do, 2014. Disponível em: <http://www.iec.ch/about/activities/?ref=menu>. Acesso em: 23 de maiode 2014. INMETRO. O que é ISO ?, 2014. Disponível <http://www.inmetro.gov.br/qualidade/responsabilidade_social/o-que-iso.asp>. Acesso em: 23 de maio de 2014. em: LYRA, Maurício Rocha. Segurança e auditoria em sistemas de informação. 1ª ed. Rio de Janeiro: Ciência Moderna, 2008. Marques, Amadeu; Draper, David. Dicionário Português - Inglês / Inglês – Português, 1990 Vírus e cia., s.d. Disponível em < http://www.cultura.ufpa.br/dicas/vir/inv-back.htm > Acesso em: 21 de maio de 2014 NAKAMURA, Emilio Tissato; GEUS, Paulo Lício. Segurança de redes em ambientes cooperativos. 1ª ed. São Paulo: Novatec, 2007. PWC < http://www.pwc.com.br/pt/estudos-pesquisas/giss-2013.jhtml > Acesso em: 20 de maio de 2014. Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014 Quadro da legislação relacionada à segurança da informação e comunicações, 2013. Disponível em < http://dsic.planalto.gov.br /documentos/quadro_legislacao.htm> Acesso em: 23 de maio de 2014 Segurança da informação no ambiente corporativo, 2013. Disponível em < http://www.profissionaisti.com.br/2013/09/seguranca-da-informacao-no-ambientecorporativo> Acesso em: 21 de maio de 2014 ULBRICH, Henrique Cesar; DELLA VALLE, James. Universidade Hacker. 6ª ed. São Paulo: Digerati Books, 2009. Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014