Política de Segurança da Informação nas Corporações Policy of

Política de Segurança da Informação nas Corporações
Policy of Information Security in Corporations
Información Política de Seguridad en las empresas
Agenor Nogueira de Souza1
Prof. Ricardo Augusto Coelho Leite2
Resumo: O objetivo deste artigo é descrever as estratégias da política de segurança da informação
que visam minimizar os incidentes em segurança da informação nas corporações. Realizou-se uma
pesquisa do tipo exploratória, teve-se como base a pesquisa bibliográfica e a pesquisa documental.
Utilizou-se de dados quantitativos do Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil (CERT.br).
Palavras chaves: Segurança da Informação. Política de segurança da informação. Ameaças.
Fraudes.
Abstract: The objective of this article is to describe the strategies of Policy of information security for
to minimize the incidents in information security in the corporations. A research was conducted of type
exploratory, based on the Bibliographic and documentary research. We used quantitative data from
the Center of Studies, Response and Treatment of Security Incidents in Brazil (CERT.br).
Keywords: Information Security. Policy of information security. Threats. Fraud.
Resumen: El propósito de este artículo es describir las estrategias de la política de seguridad de la
información dirigida a minimizar los incidentes de seguridad de la información en la empresa. Se
realizó una encuesta de la cuenta de exploración se basó en la literatura y la investigación
documental. Hemos utilizado los datos cuantitativos del Centro de Estudios, Respuesta y Tratamiento
de Incidentes de Seguridad en Brasil (CERT.br).
Palavras clave: Seguridad de la Información. Información de la política de seguridad. Amenazas.
Fraude.
1 - INTRODUÇÃO
Constitui-se objeto deste artigo uma descrição das políticas de segurança da
informação utilizadas nas corporações.
A política de segurança de uma corporação deve ser baseada em normas,
incluindo ainda as suas práticas e conhecimento da cultura e valores da empresa. O
apoio da direção das corporações é fundamental na defesa dos recursos a serem
investidos. Para ser possível fazer uma política mais abrangente, a representatividade
deste
apoio
na
divulgação
de
campanhas
internas
torna-se necessária a
participação de todos.
1
Graduando em Sistemas de Informação pela Faculdade Infórium de Tecnologia. E-mail: [email protected]
Especialista; professor dos cursos de graduação em CST Redes de Computadores, Sistemas de Internet e
Bacharel em Sistemas de Informação na Faculdade Infórium de Tecnologia. E-mail: [email protected]
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
2
Delimitou-se o tema em estudo a uma análise dos incidentes do tipo fraude
e a relação deste incidente com a política de segurança da informação utilizada nas
corporações para inibir este e outros incidentes mais comuns.
O objetivo geral é descrever as estratégias da política de segurança que
visam minimizar os incidentes em segurança da informação no uso de computadores
nas corporações. São objetivos específicos: conceituar incidentes em segurança da
informação; reunir informações sobre os principais incidentes em segurança da
informação no uso de computadores nas corporações; conceituar política de
segurança da informação.
A pergunta que norteia o estudo é no sentido de investigar se os incidentes
em segurança da informação estariam relacionados a uma política de segurança da
informação ineficiente.
A hipótese básica orientadora do estudo propõe fazer uma relação entre os
incidentes em segurança da informação e a falta de uma política de segurança da
informação, que abranja todos os usuários de uma corporação.
Justifica-se a relevância deste tema tendo-se em vista a difusão da tecnologia
da informação em todos os meios da comunidade, nas micros, pequenas, médias e
grandes corporações, onde os incidentes são muitos frequentes, principalmente
quando não são geridos por pessoas capacitadas e com metas e estratégias bem
definidas.
Para a compreensão do tema proposto dividiu-se este artigo em cinco seções.
A seção 1, esta introdução, é indicativa do estudo; a seção 2, apresenta o
embasamento teórico sobre Segurança da Informação e Política de Segurança da
Informação; a seção 3, apresenta a caracterização do objeto de estudo, relata os
incidentes mais comuns nas corporações; a seção 4, trata da discussão sobre o
tema; a seção 5, tece as conclusões do artigo.
2 - SEGURANÇA DA INFORMAÇÃO E POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO: UMA ABORDAGEM TEÓRICA
A segurança da informação é a proteção mais apropriada sobre as
informações de uma determinada empresa ou pessoa, sendo que esta pode se
apresentar de várias formas, como: informações impressas, eletrônicas, escrita e de
forma tácita, disponível apenas no conhecimento do ser humano.
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
a) Segurança da Informação
Fazendo-se uma comparação do mundo real em que têm-se que tomar os
devidos cuidados ao sair de casa, certificando de que as janelas, portas e o portão
estejam fechados, Nakamura; Geus (2007) afirmam que os mesmos critérios de
segurança devem ser seguidos, por meio de medidas estritas de segurança.
As
empresas têm que proteger os seus ativos, ter uma política de segurança da
informação, fazer separação entre rede pública e rede interna.
No final da década de 80, surgiu uma das principais ferramentas para
proteção dos ativos nas corporações dada a necessidade de manter bloqueios de
acesso e restrições de tráfego entre as redes existentes, esta se distinguiu como
firewall, que segundo a comparação feita por Nakamura; Geus (2007) é equivalente
ao controle de acesso em uma loja real o qual é feito por intermédio de porteiros,
vigias, limites físicos e portas.
Destaca-se que a escolha da palavra firewall para definir as funções desse
programa ou dispositivo é baseada numa técnica de combate a incêndios que
consiste na utilização de portas corta-fogo (firewall) que impedem a propagação do
fogo em uma construção. O firewall pode ser utilizado na forma de software3 e
hardware4 ou combinados. A determinação de qual forma de segurança será usada
dependerá do porte da rede, da política de segurança que será aplicada e o grau de
segurança desejado.
A necessidade de utilização cada vez maior da internet pelas organizações e
a constituição de ambientes cooperativos levam a uma crescente
preocupação quanto à segurança. Como consequência, pode-se ver uma
rápida evolução nessa área, principalmente com relação ao firewall, que é um
dos principais, mais conhecidos e antigos componentes de um sistema de
segurança. Sua fama, de certa forma, acaba contribuindo para a criação de
uma falsa expectativa quanto à segurança total da organização, além de
causar uma mudança ou mesmo uma banalização quanto à sua
definição (NAKAMURA; GEUS, 2007, p. 220).
Assim como os firewalls, há no mercado da tecnologia da informação os
sistemas de detecção de intrusão, Intrusion Detections System (IDS), e sistemas de
prevenção de intrusão, Intrusion Prevention System (IPS), que funcionam como um
3
Software, em um sistema computacional, o conjunto dos componentes informacionais, que não faz parte do
equipamento físico e inclui os programas e os dados a eles associados. Qualquer programa ou conjunto de
programas de computador (FERREIRA, 2001).
4
Hardware, componente, ou conjunto de componentes físicos de um computador (FERREIRA, 2001).
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
alarme. A detecção normalmente é feita com base em algum tipo de conhecimento,
como: assinaturas de ataques e aprendizado de uma rede. Há também a detecção
com base em comportamento anômalo.
O IDS é um componente essencial em um ambiente cooperativo. Sua
capacidade de detectar diversos ataques e intrusões auxilia na proteção do
ambiente, e sua localização é um dos pontos a serem definidos com cuidado.
Novos tipos de sistemas, que procuram não apenas detectar, mas também
prevenir os ataques, estes sistemas são conhecidos como sistemas de
prevenção de intrusão, IPS, (NAKAMURA; GEUS, 2007, p. 264).
A criptografia é uma das formas mais seguras de transmitir informação, ela se
baseia em um conjunto de técnicas para ocultar a informação de um acesso
indevido. O objetivo da criptografia é transformar uma mensagem, uma informação
legível em um conjunto de caracteres impossível de ser compreendido.
A criptográfica tem a função e importância cada vez mais
fundamentais para a segurança nas organizações; é a ciência de
manter as mensagens seguras. A cifragem (encryption) é o processo
de disfarçar a mensagem original, o texto claro (plaintext) ou
(cleartext), de tal modo que sua substância é escondida em uma
mensagem como texto cifrado (ciphertext), enquanto a decifragem
(decrytpion) é o processo de transformar o texto cifrado de volta em
texto claro original (NAKAMURA; GEUS, 2007, p. 301).
Neste sentido Lyra(2008) afirma que a criptografia é uma arte ou ciência de
se escrever em códigos, com o objetivo de garantir a segurança da informação. Com
a segurança dada pela criptografia foi possível a expansão do comércio eletrônico.
A criptografia é definida como arte ou ciência de escrever em cifras
ou em códigos, com o propósito de restringir ao destinatário a
capacidade de decodificá-la e compreendê-la. Mecanismos de
criptografia são amplamente adotados em ambientes computacionais
para oferecer garantia de autenticação, privacidade e integridade dos
dados e comunicações, e sem essa tecnologia não teria sido
possível popularizar o comércio eletrônico (LYRA, 2008, p. 37).
A NBR ISO/IEC 17799 (2001)5 define que a informação é um ativo
fundamental para os negócios de uma organização, um bem como outro qualquer e
que precisa ser protegido de forma adequada. A segurança da informação tem o
papel de proteger esse tipo de ativo de diversos tipos de ameaças para garantir a
continuidade dos negócios, minimizar os danos e maximizar os retornos dos
investimentos realizados pela organização. A norma cita também que a segurança
da informação é caracterizada pela preservação da confidencialidade, integridade e
disponibilidade.
5
NBR ISO/IEC 17799 – Norma Brasileira – Tecnologia da informação – Código de prática para gestão de
segurança da informação.
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
Para a NBR ISO/IEC 17799 (2001) é essencial que uma organização
identifique os seus requisitos de segurança, ela define três principais fontes. A
primeira fonte é derivada de uma avaliação dos potencias de riscos que os ativos da
organização estão expostos, como as ameaças, as vulnerabilidades, probabilidade
de sua ocorrência e o impacto potencial estimado. A segunda fonte é a legislação
vigente, os estatutos, a regulamentação, e cláusulas contratuais que a organização,
seus parceiros, contratados e prestadores de serviço tem que atender. Por último, a
terceira fonte diz respeito ao conjunto particular de princípios, objetivos e requisitos
para o processamento a informação que a organização tem que desenvolver para
atender as suas necessidades.
Avaliação de risco é uma consideração sistemática: - do impacto nos
negócios como resultado de uma falha de segurança, levando-se em conta as
potencias consequências da perda de confidencialidade, integridade ou
disponibilidade da informação ou de outros ativos; - da probabilidade de tal
falha realmente ocorrer à luz das ameaças e vulnerabilidades mais frequentes
e nos controles atualmente implementados (NBR ISO/IEC 17799, 2001, p.2).
A Associação Brasileira de Normas Técnicas (ABNT) NBR ISO6/IEC7 27001
(2006)8 tem várias definições dos termos de segurança, quadro 1.
Quadro 1 - ABNT NBR ISO/IEC 27001 (2006) e os termos de segurança
6
Ativo
qualquer coisa que tenha valor para a organização
Disponibilidade
propriedade de estar acessível e utilizável sob
demanda por uma entidade autorizada
Confidencialidade
propriedade de que a informação não esteja
disponível ou revelada a indivíduos, entidades ou
processos não autorizados
ISO: sigla de International Organization for Standardization. A ISO tem como objetivo criar normas que facilitem
o comércio e promovam boas práticas de gestão e o avanço tecnológico, além de disseminar conhecimentos. No
Brasil, a ISO é representada pela Associação Brasileira de Normas Técnicas,( ABNT) (INMETRO, 2014)
7
IEC: sigla de International Electrotechnical Commission. O IEC é uma organização não governamental, sem
fins lucrativos, que desenvolve normas internacionais e opera sistemas de avaliação de conformidade nas áreas
de eletrotécnica (elétricas, eletrônicas e tecnologias correlatas) (IEC, 2014)
8
NBR ISO/IEC 27001 – Norma Brasileira – Tecnologia da informação - Técnicas de segurança — Sistemas de
gestão de segurança da informação — Requisitos.
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
Segurança
da informação
preservação da confidencialidade, integridade e
disponibilidade da informação; adicionalmente,
outras propriedades, tais como autenticidade,
responsabilidade, não repúdio e confiabilidade,
podem também estar envolvidas
Evento de segurança uma ocorrência identificada de um estado de
da informação
sistema, serviço ou rede, indicando uma possível
violação da política de segurança da informação ou
falha de controles, ou uma situação previamente
desconhecida, que possa ser relevante para a
segurança da informação
Incidente de segurança um simples ou uma série de eventos de segurança
da informação
da informação indesejados ou inesperados, que
tenham uma grande probabilidade de comprometer
as operações do negócio e ameaçar a segurança da
informação
Integridade
propriedade de salvaguarda
completeza de ativos
Fonte: NBR ISO/IEC 27001
da
exatidão
e
A política de segurança da informação serve como base para o
estabelecimento de normas e procedimentos, visando garantir a segurança da
informação, assim como determinar responsabilidades relativas à segurança nas
corporações. As políticas de segurança fornecem parâmetros para a implementação
de mecanismos de segurança, definem procedimentos adequados, processos de
auditoria à segurança e estabelecem uma base para procedimentos legais na
eventualidade de ataques.
b) Política de segurança da informação
A política de segurança da informação segundo Nakamura; Geus (2007)
abrange os aspectos humanos, culturais e tecnológicos de uma organização, como
também os processos, o ramo de atividade, enfim os negócios desta organização. É
a partir da política de segurança da informação que são definidos as normas e os
procedimentos a serem adotas e seguidos em toda a organização. O planejamento da
política de segurança da informação é um dos principais passos para a sua
implantação, passo esse que exige uma visão ampla de toda a sorte de riscos sejam
entendidos para que possam ser estrategicamente combatidos. O ideal é que a
abordagem da política de segurança seja pró ativa, considerando sempre o não é
‗se‘, mas sim ‗quando‘, a abordagem pró ativa bem definida, traz consigo a definição
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
de responsabilidades individuais e essa é bem clara, facilitando assim a sua atuação
em todas as áreas da organização.
O planejamento da política de segurança da informação deve ser feito
tendo como diretriz o caráter geral e abrangente de todos os pontos, incluindo
as regras que devem ser obedecidas por todos. Essas regras devem
especificar quem pode acessar quais recursos, quais são os tipos de usos
permitidos no sistema, bem como os procedimentos e controles necessários
para proteger as informações. (NAKAMURA; GEUS, 2007, p.190).
Segundo Lyra (2008) a elaboração de uma política de segurança da
informação sólida deve considerar de forma criteriosa a particularização e
detalhamento as características de cada processo, de cada local e infraestrutura,
tomando corpo através de diretrizes e normas, procedimentos e instruções que
tornaram oficiais sobre a questão em toda a organização.
Divulgar corporativamente a política de segurança da informação, afim de
torná-la o instrumento oficial, de conhecimento de todos, que irá nortear os
executivos, técnicos e usuários quanto às melhores práticas no
relacionamento com a informação. Capacitar, conscientizando os usuários
no que se refere ao comportamento diante do manuseio, armazenamento,
transporte e descarte da informação, incluindo o conhecimento dos critérios,
proibições e responsabilidades inerentes ao assunto (LYRA, 2008, p. 53).
Para Nakamura; Geus (2007) os principais elementos da política de
segurança da informação são vigilância, atitude, estratégia e tecnologia. Sendo que
vigilância diz respeito à forma que todos os membros de uma corporação devem se
comportar diante a alarmes e alertas e terem uma posição de guardiões para evitar
abusos sistêmicos e acidentais. Atitude, significa uma postura
reflexo do
treinamento, a política deve ser de fácil acesso para que seja alcançada a sua
compreensão e cumplicidade da política definida. Estratégia traduz na maneira mais
criativa possível, sendo capaz de se adaptar as mudanças no ambiente de trabalho,
evitando grandes perdas de produção em função da demanda da segurança
desejada. Tecnologia, a solução tecnológica deve ser bem dimensionada, flexível e
adaptável, o ideal que ela não seja nem subdimensionada, em que venha dar uma
falsa sensação de proteção e nem sobre dimensionada, o ideal que ao invés da
política se basear em um produto e/ou solução, se norteie mais na essência da
política de segurança da informação.
Uma característica importante de uma política é que ela deve ser curta o
suficiente para que seja lida e conhecida por todos os funcionários da
empresa. A essa política de alto nível devem ser acrescentados políticas,
normas e procedimentos específicos para setores e áreas particulares,
como por exemplo, para a área de informática. (NAKAMURA; GEUS,
2007, p.194).
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
A autenticação libera o acesso inicial a qualquer sistema, identifica,
estabelece o nível de privilégio que o usuário pode exercer: libera ou nega acesso a
determinadas áreas de um sistema. Autenticação é essencial para garantir a
segurança da informação.
Neste sentido Nakamura; Geus (2007) assinala que a autenticação tem um
papel fundamental para a segurança de um ambiente cooperativo, ao validar a
identificação dos usuários. Uma vez que o usuário é identificado, libera-se para ele
os acessos aos quais o perfil dele permite. Este acesso vai ser mais restritivo,
intermediário ou amplo de acordo com as responsabilidades e atribuições do usuário
na corporação. O controle de acesso pela validação implica em segurança, em maior
ou menor chance de ocorrerem falhas acidentais, em acesso indevido a informações
sigilosas, entre outros ganhos.
Uma política de segurança da informação tem que ter diretrizes relativas a
senha, como: tempo de validade, quantidade de dígitos mínimo e máximo, quais
tipos de caracteres são permitidos, prazo mínimo que se possa repetir a senha já
utilizada entres outros.
Para Nakamura; Geus (2007) as senhas são utilizadas pela grande maioria
dos sistemas de autenticação e são consideradas necessárias como um meio de
proteção. Contudo, elas são consideradas também perigosas, pois dependem do elo
mais fraco da corrente, que são os usuários. Os usuários podem, escolher senhas
óbvias e fáceis, compartilhá-las com seus colegas. A existência de uma política de
segurança que auxilie na escolha de senha segura, que seja boa para o usuário e
para a organização é fundamental, pois pode aumentar o nível de segurança de toda
uma organização.
Completando Lyra (2008) afirma que as melhores práticas relacionadas à
política de senha recomendam a troca periódica das senhas, a identificação de
senhas de fácil dedução e bloqueio após, por exemplo, três tentativas sem sucesso.
A segurança no contexto da governança de tecnologia da informação
conforme Lyra (2008) é definido pelo Control Objetives for Information And Related
Technology (COBIT) como um guia semelhante a um framework9, direcionado para
a gestão da tecnologia da informação. O guia traz consigo uma série de recursos
que podem servir de referência para a gestão da tecnologia da informação, nele
9
Framework – Estrutura, armação, esqueleto, composição, organização. (MARQUES; DRAPER, 1990)
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
encontra-se um sumário executivo, um framework, controle de objetivos, mapas de
auditoria, ferramentas para sua implementação e principalmente um guia importante
com técnicas de gerenciamento. COBIT cobre os quatro domínios: planejar e
organizar; adquirir e implementar; entregar e dar suporte; monitorar e avaliar.
3 - A SEGURANÇA DA INFORMAÇÃO
3.1 - A evolução da segurança da informação
Nesta seção descreve-se os antecedentes da segurança da informação,
difusão e sua predominância, bem como os tipos de incidentes em segurança da
informação, os ataques mais comuns utilizados pelos hackers10 e uma abordagem
de fraudes mais utilizadas.
a) Antecedentes históricos da segurança da informação
Um dado histórico relevante que se tem como referência na segurança da
informação é o ―Orange Book ‖, livro laranja americano de normas relativas à
segurança da informação, que começou a ser formulado em 1978 e teve sua versão
final em 1985.
Em 1977, o Departamento de Defesa, (DoD) dos Estados Unidos apresentou
um plano sistemático para tratar do Problema Clássico de Segurança, o
11
qual daria origem ao "DoD Computer Security Initiative" , que, logo depois
desenvolveria um "centro" para avaliar se as soluções disponibilizadas, eram
realmente seguras.
Com a construção do "Centro", foi gerada uma necessidade da criação de um
conjunto de regras a serem utilizadas no processo de avaliação. Este
conjunto de regras ficaria conhecido informalmente como "The Orange Book".
Oprocesso de escrita do "Orange Book", conhecido oficialmente como Trusted
12
Computer Evaluation Criteria - DoD 5200.28-STD" ,foi iniciado ainda no ano
de 1978, sendo feita a publicação da versão "draft", ou rascunho, e no dia 26
de dezembro de 1985 foi publicada a versão final e atual deste documento.
Mesmo que o "Orange Book" seja considerado, atualmente, um documento
ultrapassado, pode-se considerá-lo como o marco inicial na busca de um
conjunto de medidas que permitam a um ambiente computacional ser
qualificado como seguro. Fonte: História da computação e da segurança de
informação (s.d.)
b) Difusão da segurança da informação
10
Hackers – São especialistas que já dominam diversas técnicas de invasão e conhecem com profundidade pelo
menos um sistema operacional. São excelentes programadores e administradores de sistemas. (ULBRICH;
DELLA VALLE, 2009)
11
Iniciativas de Segurança de Informática
12
Livro Critérios de avaliação de informática confiável do Departamento de Defesa 5200.28-STD
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
Segundo o site profissionaisti.com.br a tecnologia da informação é encontrada
em todos os portes de empresas, sejam elas micros ou grandes. Um fator que pode
ser determinante para todo o andamento da empresa é a preocupação com a
segurança da informação.
A Segurança da Informação vem ganhando cada vez mais espaço e
importância nas empresas. O seu princípio considera as informações
e as pessoas como seus principais ativos. Com o avanço da
tecnologia e com a grande competitividade do mercado é cada vez
mais importante para uma organização investir em um sistema de
informação seguro e políticas claras de segurança da informação,
independente do seu porte e de suas colocações no mercado.
Atualmente a informação pode ser considerada um dos ativos mais
importantes de uma empresa. Se uma empresa possui segurança de
suas informações, certamente isso transparece uma sensação de
credibilidade para os seus clientes. Segundo a concepção de
Rezende (2009), informação nos dias de hoje tem um valor
significativo dentro de uma organização, representando muitas vezes
a base para manter recursos financeiros e seus ativos em atividade.
Fonte: Segurança da informação no ambiente corporativo (2013)
c) Predominância da segurança da informação
Em 2013 o site pwc13.com.br divulgou o resultado da décima Pesquisa Global
de Segurança da Informação, um estudo conduzido pela PwC e outras duas
parceiras, realizado em 128 países. Segundo a PwC os maiores investimentos em
segurança da informação estão concentrados na Ásia, a América do Norte mantém
em posição estável, já a Europa está estagnada na questão de investimentos e está
se enfraquecendo em relação à segurança da informação. A América do Sul
desponta como líder em algumas categorias, o Brasil está cada vez mais sólido na
questão de investimentos e alinhado às práticas dos lideres mundiais.
Dada a limitação de espaço este estudo apresenta apenas um dos gráficos da
pesquisa da PwC, onde pode-se verificar que está ocorrendo queda no uso de
ferramentas de segurança da informação, observa-se também um relaxamento das
políticas que estabelecem padrões nas organizações. Muitos dos elementos vêm
sendo excluídos nos últimos anos. Como por exemplo as políticas relativas a backup
e recuperação de dados, que aparece com apenas 51%. em vigor nas empresas.
Gráfico 1: Elementos que compõem as políticas de segurança no mundo
13
PriceWaterhouseCoopers - A marca PwC se originou da fusão das firmas Price e Waterhouse em meados do
século XIX e com a Coopers&Lybrand em 1998.
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
Fonte: http://www.pwc.com.br/pt/estudos-pesquisas/giss-2013.jhtml
d) Os tipos de incidentes em segurança da informação, os ataques mais comuns
Um dos principais ataques que as corporações enfrentam no dia-a-dia é a
engenharia social, vista de maneira similar por praticamente todos os teóricos do
assunto.
A engenharia social é a técnica que explora as fraquezas humanas e sociais,
em vez de explorar a tecnologia. Ela tem o objetivo de enganar e ludibriar
pessoas assumindo-se uma falsa identidade, afim de que elas revelem
senhas ou outras informações que possam comprometer a segurança
da organização. Esta técnica explora o fato de os usuários estarem
sempre dispostos a ajudar e colaborar com os serviços da
organização. Ela é capaz de convencer a pessoa que está do outro
lado da porta a abri-la, independentemente do tamanho do cadeado. O
engenheiro social manipula as pessoas para que elas entreguem
chaves ou abram o cadeado, explorando características humanas
como reciprocidade, consistência, busca por aprovação social,
simpatia, autoridade e medo (NAKAMURA; GEUS, 2007, p. 85).
Neste sentido Lyra (2008) afirma que as pessoas menos avisadas fornecem
informações sigilosas apenas pelo fato de serem prestativas e pelo fato de acharem
que todos são de boa índole.
14
Segundo o SANS Institute , ―Engenharia Social é a arte de utilizar o
comportamento humano para quebrar a segurança sem que a vítima sequer
perceba que foi manipulada‖. E segundo o CERT.br define engenharia social
como um método de ataque onde alguém faz uso da persuasão, muitas
vezes abusando da ingenuidade ou confiança do usuário, para obter
informações que podem ser utilizadas para ter acesso não autorizado aos
ativos da informação (LYRA, 2008, p. 21).
SANS Institute - Computer Security Education and Information Security Training , Instituto de Segurança
Computacional, Educação e Treinamento em Segurança da Informação.
14
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
Segundo Ulbrich; Della Valle (2009) a engenharia social visa colher
informações vitais sobre o alvo escolhido, além das óbvias, como dados financeiros,
pessoais e hierárquicos, como também informações de instalações físicas e lógicas,
topologia de rede, política de senhas e chaves criptográficas.
A engenharia social basicamente, significa a ―garimpagem‖ de informações
vitais sobre uma determinada pessoa, empresa, produto ou organização.
Essas informações são provenientes quase sempre de pessoas próximas
ao indivíduo a ser atacado ou do próprio quadro de funcionários e
clientes – no caso de empresas (ULBRICH; DELLA VALLE, 2009, p. 124).
Entre as diversas vulnerabilidades há também a captura da conta, senha e
demais dados do usuário via sites, até mesmo aqueles ditos como confiáveis, que
dão a garantia a privacidade das informações dos seus clientes. Esta vulnerabilidade
ocorre via SQL Injection15.
SQL Injection, que consiste em inserir comandos da linguagem SQL nos
16
campos de login e senha para, de acordo com a mensagem de erro
retornada pelo servidor, mapear todo o banco de dados dos usuários. Esse
17
método funciona para scripts ASP
que utilizam de chamadas SQL, mas
pode ser adaptado para qualquer linguagem.. A sintaxe pode ser diferente,
mas o mecanismo é similar (ULBRICH; DELLA VALLE, 2009, p. 205).
Apresenta-se a seguir as ameaças mais comuns que as corporações estão
expostas, entre elas, cavalo de Tróia, spans, DoS, WEB, engenharia social e outras.
Quadro 2 – Ameaças mais comuns nas corporações
Cavalo de Tróia
Ulbrich; Della Valle (2009) afirmam que os cavalos de troia são
apenas expedientes utilizados para fazer a vítima acreditar que
o arquivo em questão trata-se de algo inofensivo ou mesmo
um presente – embora guarde algo danoso em suas
entranhas. Cavalos de Tróia guardam e transportam qualquer
coisa – pode ser um backdoor18 (o mais usual), mas também
pode ser um vírus19, um programa inocente ou mesmo outro
cavalo de Tróia mais poderoso.
DoS
15
(DoS -- Denial of Service): notificações de ataques de negação
de serviço, onde o atacante utiliza um computador ou um
conjunto de computadores para tirar de operação um serviço,
computador ou rede. (CERT.br)
SQL Injection é um dos muitos mecanismos de ataque utilizados por hackers para roubar dados de organizações
em páginas na internet.
16
Campo para a entrada da conta/chave do usuário
17
Série de instruções para serem seguidas no padrão ASP, Microsoft Active Server Pages.
18
Backdoor (também conhecido por porta dos fundos) são programas que instalam um ambiente de serviço em um
computador, tornando-o acessível à distância, permitindo o controle remoto da máquina sem que o usuário saiba.
(Vírus e cia., s.d)
19
Vírus é código escrito com o objetivo de contaminar sistemas computacionais que se propaga rapidamente. É
considerado um agente hospedeiro que age fazendo cópia de seu próprio código e sua ação está ligada diretamente à
execução do programa ou do arquivo infectado (GLBO,2006).
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
Invasão
Um ataque bem sucedido que resulte no acesso não
autorizado a um computador ou rede. (CERT.br)
Web
Um caso particular de ataque visando especificamente o
comprometimento de servidores Web ou desfigurações de
páginas na Internet. (CERT.br)
Scan
Notificações de varreduras em redes de computadores, com o
intuito de identificar quais computadores estão ativos e quais
serviços estão sendo disponibilizados por eles. É amplamente
utilizado por atacantes para identificar potenciais alvos, pois
permite associar possíveis vulnerabilidades aos serviços
habilitados em um computador. (CERT.br)
Fraude
Segundo Houaiss20, é "qualquer ato ardiloso, enganoso, de
má-fé, com intuito de lesar ou ludibriar outrem, ou de não
cumprir determinado dever; logro". (CERT.br)
Fonte: Diversas fontes conforme citado em cada item
3.2 - A base legal da política de segurança da informação
As leis voltadas para a segurança da informação estão distribuídas em
diversos dispositivos, como pode-se verificar no quadro 3. O Marco Civil aprovado
recentemente regulamenta o uso da internet no Brasil, não sendo propriamente
um instrumento voltado para a política de segurança da informação no âmbito
corporativo.
Quadro 3 – Relação de leis, artigos e decretos que regulamentam os aspectos
relativos à segurança da informação.
Dispositivo
Constituição
Federal,
art.
5º, inciso X.
Consolidação
Leis Trabalho CLT, art. 482,
alínea g.
Código
de
Defesa
do
Consumidor,
arts. 43 e 44.
Mandamento Legal
Direito à privacidade.
Aspecto Segurança Informação
Sigilo
das
informações
relacionadas à intimidade ou à
vida privada de alguém.
Proteção
das
informações
Rescisão de contrato de trabalho de
sigilosas
acessadas
no
exercício
empregado que viola segredo da empresa.
de emprego público
Garantia
da
integridade
e
disponibilidade das informações
dos consumidores arquivadas em
bancos de dados.
Proteção
à
violação
de
equipamentos e sistemas - sejam
Código Penal, Pena - detenção, de 3 meses a eles conectados ou não à internet
1 ano, e multa.
art. 154-A.
- com intenção de destruir dados,
ou instalar vulnerabilidades.
Pena de 3 meses a 2 anos e multa por crime Proteção
da
integridade
e
Código Penal,
de modificação ou alteração não autorizada disponibilidade das informações
art. 313-B.
de sistemas de informações.
constantes nos órgãos públicos.
20
Direito de acesso do consumidor às suas
informações pessoais arquivadas em bancos
de dados e direito de retificação das
informações incorretas.
Dicionário Houaiss da Língua Portuguesa, elaborado pelo lexicógrafo brasileiro Antônio Houaiss.
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
Exigência de mecanismos e instrumentos
Lei
nº legais e técnicos para a proteção do sigilo dos
7.232/84, art. dados
informatizados
armazenados,
2o, inciso VIII. processados e veiculados, do interesse da
privacidade e de segurança das pessoas
Pena de dois a quatro anos, e multa por crime
interceptação
de
comunicações
Lei
nº de
9.296/96, art. telefônicas, de informática ou telemática, ou
quebra de
segredo da Justiça, sem
10.
autorização judicial
Lei
nº
10.683/03, art. Prevê a competência do GSIPR de coordenar
a atividade de segurança da informação.
6º, inciso IV.
Decreto nº
Institui a Política de Segurança da Informação
3.505/00, art.
nos órgãos e entidades da Administração
1º.
Pública Federal.
Sigilo dos dados relacionados à
intimidade, vida privada e honra,
especialmente
dos
dados
armazenados através de recursos
informáticos.
Sigilo
dos
dados
e
comunicações privadas.
das
Todos os aspectos da segurança
da informação.
Pressupostos
básicos
segurança da informação.
Fonte: site http://dsic.planalto.gov.br/documentos/quadro_legislacao.htm
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
da
3.3 - Dados quantitativos sobre incidentes em segurança da informação
Os incidentes em segurança da informação têm crescido ano a ano conforme
pode-se verificar no gráfico 2 do CERT21, o ano de 2013 teve um decréscimo
considerável, assim como houve também em 2010, mas mesmo assim essa não é a
tendência. No detalhamento por tipo de ataques, fraude é segundo colocado na
classificação geral. Este estudo propõe dar foco ao tipo de incidente/ataque fraude,
em que pode-se ter um detalhamento maior nos gráficos e nas análise feitas pelo
CERT-br.
Como pode-se observar, o total de notificações recebidas pelo CERT em
2013 foi de 352.925, este número foi 24% menor que o total de 2012.
Gráfico 2: Total de Incidentes Reportados ao CERT.br – de 1999 à 2013
Fonte: CERT.br
Este estudo apresenta os gráficos relativos ao fechamento anual de 2013.
Alguns destaques que pode-se observar da análise do CERT. Embora o total de
notificações reportadas ao CERT tenha retraído em 2013, as notificações de
tentativas de fraude, em 2013, totalizaram 85.675, correspondendo a um aumento de
23% em relação a 2012. Como também, as notificações de casos de páginas
21
falsas
O CERT.br mantém estatísticas sobre notificações de incidentes a ele reportados. Estas notificações são
voluntárias e refletem os incidentes ocorridos em redes que espontaneamente os notificaram ao CERT.br.
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
de
bancos
e
sites
de
comércio
eletrônico
(phishing
clássico)
em
2013
cresceram 44% em relação a 2012.
Gráfico 3 : Incidentes Reportados - Tipos de Ataque Acumulado
Janeiro a Dezembro de 2013
Fonte: CERT.br
Gráfico 4 : Incidentes Reportados - Tipos de Ataques em Percentual
Janeiro a Dezembro de 2013
Fonte: CERT.br
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
As notificações sobre Cavalos de Troia, utilizados para furtar informações e
credenciais, tiveram um crescimento de 4% em relação ao ano de 2012. Seguindo a
tendência geral, em 2013 o número de notificações de casos de páginas falsas que
não envolvem bancos e sites de comércio eletrônico teve uma queda de 49% em
relação a 2012. O CERT, recebeu 5.068 notificações relacionadas a eventuais
quebras de direitos autorais, este número foi 11% maior que o do ano de 2012,
conforme pode-se verificar no gráfico 5.
Gráfico 5 : Incidentes Reportados - Tentativas de fraudes reportadas
Janeiro a Dezembro de 2013
Fonte: CERT.br
4 - DISCUSSÃO SOBRE OS DIVERSOS ASPECTOS DA SEGURANÇA DA
INFORMAÇÃO
a) Em Segurança da informação
O estudo apresenta, inicialmente, a analogia de Nakamura; Geus (2007)
sobre a preocupação com portas, acessos que devem ser mantidos fechados para
garantir o mínimo de segurança, sendo que o mesmo comportamento tem que se
verificar no ambiente da informática para a proteção dos ativos. Seguindo este
raciocínio são apresentados as proteções, as vantagens de se utilizar Firewalls, IDS
e IPS para proteção de acesso à internet e outros sistemas de como um todo.
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
Cita-se o papel da criptografia que tem a crucial importância para as
organizações nas transferências de mensagens de forma segura.
Entrando mais para o lado da teoria e normas a (NBR ISO/IEC 17799, 2001)
faz referência dos requisitos de segurança, as principais fontes: avaliação dos
potenciais riscos, legislação vigente, princípios e objetivos da corporação.
b) Em Política de segurança da informação
As políticas de segurança fornecem parâmetros para a implementação de
mecanismos de segurança; A política de segurança da informação segundo
Nakamura; Geus (2007) abrange os aspectos humanos, culturais e tecnológicos. O
planejamento da política de segurança da informação deve ser feito tendo como
diretriz o caráter geral.
Segundo Lyra (2008), deve-se divulgar corporativamente a política de
segurança da informação, afim de torná-la o instrumento oficial.
A autenticação libera acesso inicial a qualquer sistema, identifica, estabelece
o nível de privilégio que o usuário pode exercer.
Assim, uma boa política de segurança da informação tem que ter diretrizes
relativas à senha, como: tempo de validade, quantidade de dígitos, conforme indica
Nakamura; Geus (2007) a autenticação tem um papel fundamental para a
segurança.
A governança de tecnologia da informação para Lyra (2008) o COBIT é um
modelo a ser seguido.
c) Em Aspectos da Segurança da Informação
A referência histórica em segurança da informação, o ―Orange Book‖, teve o
seu início de elaboração 1978, com a versão final em 1985.
A difusão da Segurança da Informação vem ganhando cada vez mais espaço
e importância nas empresas, esta tem sido considerada um dos ativos mais
importantes de uma empresa.
Segundo a pesquisa da PWC, a Ásia destaca-se como líder mundial em
segurança da informação. O Brasil se mostra cada vez mais sólido e alinhado com
os investimentos, práticas e o desempenho dos líderes mundiais.
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
d) Ataques/ameaças:
A engenharia social é a técnica que explora as fraquezas humanas e sociais,
em vez de explorar a tecnologia. Pode ser minimizada com a política de segurança
da informação bem formulada;
SQL Injection, que consiste em inserir comandos da linguagem SQL nos
campos de login e senha para, de acordo com a mensagem de erro retornada pelo
servidor, mapear todo o banco de dados dos usuários. Pode ser combatida com
Firewalls e IDS/IPS.
Cavalo de Tróia são expedientes utilizados para fazer a vítima acreditar que o
arquivo em questão trata-se de algo inofensivo. Pode ser minimizada com a política
de segurança da informação bem formulada;
Invasão é um ataque bem sucedido que resulte no acesso não autorizado.
Pode-se utilizar Firewalls, IDS/IPS para tentar evitar tais ataques.
Scan são notificações de varreduras em redes de computadores, com o
intuito de identificar quais computadores estão ativos e quais serviços estão sendo
disponibilizados por eles. Pode-se utilizar Firewalls, IDS/IPS para tentar evitar tais
ataques.
Fraudes é qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou
ludibriar outrem, ou de não cumprir determinado dever; logro. Pode ser minimizada
com a política de segurança da informação bem formulada.
5 - CONCLUSÃO
Os
incidentes
em
segurança
da
informação
têm
aumentado
proporcionalmente com o aumento da utilização dos computadores tanto nas
corporações quanto no uso doméstico, conforme pode-se verificar nos dados
disponibilizados pelo CERT. Porém, há de se considerar que os dados do CERT são
uma referência, pois provavelmente muitos incidentes que ocorrem não são
reportados por diversas razões e estratégicas empresarias.
Através deste estudo, pode-se dizer que as corporações que utilizam das
ferramentas adequadas, das tecnologias apropriadas e das melhores práticas do
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
mercado, associadas a uma política de segurança da informação eficaz, tendem a
minimizar os incidentes em segurança da informação, seja qual for a natureza que
estes incidentes venham ter.
Diante do exposto, conclui-se que mediante a uma política de segurança da
informação abrangente, eficaz, utilizando-se de todos os recursos possíveis
disponíveis; como tecnologias, treinamento, conscientização e envolvimento de
todos, é possível sim minimizar falhas em segurança da informação e evitar
incidentes em fraudes, engenharia social e tantos outros em que as tecnologias
disponíveis barram de forma automática.
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
REFERÊNCIAS
ABNT (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS). NBR ISO/IEC
17799: Tecnologia da Informação – Código de prática para gestão a segurança
da informação. Rio de Janeiro, 2001.
ABNT (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS). NBR ISO/IEC
27001: Tecnologia da informação - Técnicas de segurança — Sistemas de gestão
de segurança da informação — Requisitos. Rio de Janeiro, 2006.
CERT, 2014 – Centro de Estudos, Resposta e Tratamento de Incidentes e
Segurança no Brasil, ―Incidentes Reportados ao CERT.br ‖.
Disponível em:
http://www.cert.br/stats/incidentes Acessado 05/20/2014.
FERREIRA, Aurélio B. H.. Mini Aurélio Seculo XXI. Rio de Janeiro: Nova Fronteira,
2001.
GLBO, Gislaine Lirian Bueno de Oliveira ,,Trabalho de conclusão de curso, do
Centro Universitário SENAC – Unidade Sorocaba, 2006.
História da computação e da segurança de informação, s.d. Disponível em <
http://www.oarquivo.com.br/a-historia-da-computacao-e-da-seguranca-deinformacao-parte-1 >. Acesso em: 23 de maio de 2014
IEC.
What
we
do,
2014.
Disponível
em:
<http://www.iec.ch/about/activities/?ref=menu>. Acesso em: 23 de maiode 2014.
INMETRO.
O
que
é
ISO
?,
2014.
Disponível
<http://www.inmetro.gov.br/qualidade/responsabilidade_social/o-que-iso.asp>.
Acesso em: 23 de maio de 2014.
em:
LYRA, Maurício Rocha. Segurança e auditoria em sistemas de informação. 1ª ed.
Rio de Janeiro: Ciência Moderna, 2008.
Marques, Amadeu; Draper, David. Dicionário Português - Inglês / Inglês –
Português, 1990
Vírus e cia., s.d. Disponível em < http://www.cultura.ufpa.br/dicas/vir/inv-back.htm >
Acesso em: 21 de maio de 2014
NAKAMURA, Emilio Tissato; GEUS, Paulo Lício. Segurança de redes em
ambientes cooperativos. 1ª ed. São Paulo: Novatec, 2007.
PWC < http://www.pwc.com.br/pt/estudos-pesquisas/giss-2013.jhtml > Acesso em:
20 de maio de 2014.
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014
Quadro da legislação relacionada à segurança da informação e comunicações,
2013.
Disponível
em
<
http://dsic.planalto.gov.br
/documentos/quadro_legislacao.htm> Acesso em: 23 de maio de 2014
Segurança da informação no ambiente corporativo, 2013. Disponível em <
http://www.profissionaisti.com.br/2013/09/seguranca-da-informacao-no-ambientecorporativo> Acesso em: 21 de maio de 2014
ULBRICH, Henrique Cesar; DELLA VALLE, James. Universidade Hacker. 6ª ed.
São Paulo: Digerati Books, 2009.
Revista Pensar Tecnologia, v. 3, n. 2, jul. 2014