A Segurança
da Informação, em inglês também conhecida como InfoSec, é o que garante que não
haja acessos não autorizados a computadores, dados e redes. O que ela faz
é manter a confidencialidade, autenticidade, disponibilidade e integridade de
informações sensíveis para a organização.
A Segurança
da Informação impede que os dados e informações caiam nas mãos de pessoas
não autorizadas a ter acesso a dados, informações ou sistemas da organização.
Impede que eles possam ser destruídos sem autorização, roubados ou danificados.
Também garante a continuidade do negócio, mantendo as informações disponíveis,
integras e com a certeza de sua autenticidade, detectando, documentando e
combatendo as ameaças aos sistemas, infraestrutura e dados.
A
Segurança da Informação também é um campo de estudo e uma atividade
profissional, com várias áreas.
Atributos
Existem
quatro atributos básicos da Segurança da Informação, que serão explicados
melhor a seguir. As políticas de Segurança da Informação devem ser adotadas de
forma que a informação esteja protegida segundo estas quatro propriedades.
Algumas literaturas dizem que são três as básicas, outras dizem que são mais,
incluindo, por exemplo, a Legalidade, que trata de aspectos legais que podem
comprometer a segurança da informação.
Autenticidade
A
autenticidade é a propriedade da informação que garante que ela é da fonte
anunciada e, além disso, não sofreu modificações ao longo de um processo.
A
autenticidade também garante o não-repúdio da informação, ou seja, o emissor
não poderá se esquivar da autoria da informação ou mensagem.
Confidencialidade
A
confidencialidade é o atributo da informação que garante que a informação será
de acesso tão somente por entidades que foram autorizadas pelo proprietário da
informação.
Garantir
a confidencialidade da informação é algo essencial para as empresas.
Informações são ativos e, se vazadas, podem dar uma vantagem competitiva para
os concorrentes.
Informações
e conhecimento são ativos que demandam trabalho e energia para serem criados.
Vazamentos de informação, além de um risco de segurança, significa entregar
trabalho e energia da empresa, para entidades e pessoas que usaram muito pouco
esforço para consegui-las.
Este
vazamento pode acontecer por meios eletrônicos ou computacionais, ou mesmo,
devido à falta de uma política de confidencialidade definida para os
funcionários.
Disponibilidade
A
disponibilidade é a propriedade que garante que a informação sempre esteja
disponível para uso legítimo. A informação deve sempre estar disponível para
pessoas com acesso autorizado quando o proprietário da informação assim
definir.
A
disponibilidade da informação garante que as atividades do negócio não sejam
paralisadas. A informação que não está disponível no momento de uma decisão
importante ou de um negócio, pode levar a sérios prejuízos para a empresa.
Por
exemplo, se uma empresa de comércio eletrônico fica fora do ar por muito tempo,
deixará de fazer muitas vendas e terá um prejuízo em relação a sua
credibilidade.
Integridade
A
integridade é o atributo que garante que a informação, mesmo com autorização de
manipulação, mantenha as características definidas pelo proprietário da
informação. Para isso, há controle de mudanças e do ciclo de vida da
informação.
Manter
as informações íntegras garante que não há erros de comunicação dentro de uma
empresa ou organização. Erros de comunicação, podem gerar retrabalho e,
portanto, prejuízos e energia desperdiçada.
Sendo
a informação e o conhecimento ativos essenciais no mundo atual, uma empresa
pode até mesmo quebrar, se não é garantida a integridade das informações e
comunicações.
Controles Físicos
Os
controles físicos são os que garantem que a informação não será acessada por
pessoas não autorizadas pelo acesso direto à infraestrutura que fica em áreas
restritas e protegidas.
Pode-se
considerar controles físicos uma sala fechada com acesso restrito, blindagens,
CFTV, guardas e todo o pessoal e aparato que evita que a informação seja acessada
diretamente de modo físico.
Além
de se restringir o acesso, o controle físico pode ser implementado de maneira a
registrar toda pessoa ou veículo que acessaram áreas restritas e a
infraestrutura.
Controles Lógicos
Os
controles lógicos são mecanismos geralmente de software ou dados que impedem o
acesso não autorizados à informação, sendo equipamentos ou aplicações. Alguns
deles são explicados a seguir.
Criptografia
Dados
criptografados estão em formato ilegível para quem não tem a chave para
decifrá-los. Algoritmos transformam a informação em códigos reversíveis para
quem tem uma chave secreta para revertê-los.
Existem
as chaves simétricas e as assimétricas. Chave simétrica consiste em utilizar a
mesma chave privada nas duas pontas da transmissão. Quando é assimétrica há
duas chaves, uma para o emissor e outra para o receptor.
A
criptografia garante mais segurança, mas é possível quebrá-la. Por isso,
deve-se adotar outras medidas de segurança juntamente com ela.
Hashing
Usando
algoritmos ou funções de hashing, é possível checar a integridade da
informação. Por exemplo, baixando um software, para saber se ele não perdeu
dados ou foi modificado no caminho, é possível utilizar um código de hashing
para verificar a integridade dele.
Firewalls
Firewalls
vão garantir que somente conexões autorizadas poderão acessar uma rede ou
computador. É possível também bloquear ou limitar conexões de um determinado
endereço ou grupo de endereços. Entretanto, é importante saber que o firewall
só vai detectar o tráfego que passa por ele.
Protocolos
Protocolos
são padrões de comunicação em uma ou entre redes para prover serviços, por
exemplo, o HTTP, que serve para a comunicação web, por meio de uma máquina
cliente e um servidor. A comunicação entre dois computadores devem utilizar o
mesmo protocolo. Existem padrões da indústria, que são abertos e padrões que
existem só para um ambiente. Deve-se usar protocolos seguros e sem
vulnerabilidades para manter a rede segura.
Honeypot
Honeypot
é uma ferramenta para enganar os invasores, simulando uma falha de segurança
inexistente para coletar dados de invasores. Na verdade, é uma armadilha para
invasores. Ele não oferece nenhuma proteção direta contra invasões.
Honeypots
podem ser serviços falsos, ambientes falsos ou um sistema operacional
comprometido, por exemplo.
Registros de eventos
(Logs)
Os
sistemas operacionais e softwares em geral costumam registrar os eventos por
meio do que é conhecido por logs. Verificar um log pessoalmente ou por meio de
um software é uma medida de segurança importante. Dessa forma, eventos anormais
que podem indicar uma falha ou uma ameaça podem ser identificados.
Controle
Administrativos
Controles
Administrativos seriam as políticas, os padrões, as recomendações e
procedimentos que uma empresa adota em relação a Segurança da Informação.
Governos e empresas também podem ter políticas e padrões que devem ser seguidos
pelas empresas que têm relações com eles.
Como
controle administrativo, deve-se dar treinamento aos funcionários e
conscientizá-los da importância de um ambiente seguro. Além disso, eles devem
ser bem planejados e implantados pelo pessoal de TI junto à administração da
empresa.
Os
controles físicos e lógicos são definidos pelos controles administrativos, já
que são resultados de planejamento e normas da empresa.
Senhas
As
senhas podem ser um problema de segurança. Senhas fracas ou expostas podem ser
facilmente descobertas por um invasor ou sabotador. Por isso, uma empresa ou
organização deve ter uma política de senhas.
Uma
política de senha é por vezes controversa. Senhas difíceis são complicadas de
memorizar. Por outro lado pode haver descuido dos funcionários em relação a
confidencialidade das senhas.
Uma
das regras para criar senhas para funcionários costuma ser que elas devem ter
no mínimo 8 caracteres, com letras, números e símbolos (como @, $, #). Outra é
que a senha deve ter uma data de expiração, com troca periódicas de senhas.
Entretanto, há a opção também que as senhas sejam geradas automaticamente para
os funcionários.
Além
disso tudo, deve haver conscientização dos funcionários de não se descuidar das
senhas e para se manter a confidencialidade delas.
Atualização de
Softwares
Os
softwares devem sempre ser atualizados, pois com a atualização há correção de
falhas, melhorias de funcionalidades do software e correção de
vulnerabilidades. Um software desatualizado pode ser porta de entrada para
invasores conhecedores de vulnerabilidades contidas nele.
É
sabido que a maioria dos usuários não atualizam softwares e sistemas
operacionais. Deve haver uma política da segurança da empresa para que os
funcionários sejam conscientizados da importância da atualização dos softwares
em suas máquinas pessoais. Além disso, deve ser um procedimento do pessoal de
TI manter tudo atualizado com as últimas atualizações nas máquinas que são de
vital importância para a empresa ou organização.
Malwares
Os
malwares são ameaças criadas para danificar um sistema, permitir uma invasão
nele, espionar as atividades nele, tornar o computador um zumbi para invadir
outros ou até mesmo travá-lo com um pedido de resgate (ransomware).
Os
tão famosos vírus, são software maliciosos que se propagam automaticamente por
todo o computador, infectando outros programas e softwares. Ele precisa de um
hospedeiro para funcionar e se propagar.
Os
spywares são softwares espiões. Eles monitoram as atividades no computador.
Eles podem ser usados para fins legítimos, mas, normalmente, são códigos
maliciosos para uso ilegítimo.
Backdoors
são programas que criam meios de entradas para que um invasor possa retornar a
um computador sempre que desejar.
Existem
muitos outros tipos de malwares, cada um com uma característica e função
diferente.
Contra
eles é necessário adotar medidas de segurança como não abrir certos anexos de
e-mails, não visitar sites suspeitos, não utilizar softwares piratas e instalar
bons antivírus.
Entre
os antivírus pagos no mercado estão o Kaspersky, o McAfee, o Norton e o
BitDefender. Existem opções gratuitas, mas com todas as funcionalidades apenas
com uma licença paga.
Invasões
Seja
por uma vulnerabilidade do próprio software ou sistema operacional, da
infraestrutura, devido a um malware instalado, ou por ação de um hacker mal
intencionado, invasões são uma séria ameaça a segurança dos dados e
informações.
Para
uma proteção básica a invasões, pelo menos deve haver um firewall instalado.
Ele pode ser físico ou um software. Além disso, deve haver uma política e um
planejamento para prevenir e combater as invasões.
Alguns
dos firewalls no mercado são o Cisco ASA, o Fortinet FortGate, o pfSense, o
WatchGuard, o SonicWall. Além desses há muitos outros.
Tipos de Ataque
A
seguir são abordados alguns tipos de ataques comuns em redes e computadores,
que podem paralisar as atividades de uma empresa, trazer prejuízos ou mesmo
afetar pessoalmente alguém ou a credibilidade de uma empresa.
Varreduras em redes
Varreduras
em redes (scan) são buscas detalhadas em redes com o objetivo de encontrar
computadores ativos e informações sobre eles, por exemplo, serviços
disponibilizados por eles. São utilizadas por atacantes para identificar alvos
potenciais, pois é possível associar o tipo de serviço disponibilizado com
certas vulnerabilidades.
Engenharia Social
A
Engenharia Social é um tipo de ataque em que se usa o convencimento e
enganação, e se induz a vítima a fazer uma determinada ação que prejudica um
sistema ou uma pessoa.
Por
exemplo, alguém pode ligar para a casa de alguém e fingir ser de uma
instituição em que a pessoa tem uma conta para acesso a um site. Então, o
criminoso pode induzir a pessoa a passar dados de acesso a este site. Dessa
forma, pode obter dados ou vantagens financeiras.
Força Bruta
O
que é chamado de força bruta é o método que o atacante utiliza de usar
tentativa e erro para descobrir nomes de usuários e senhas.
Esse
é um dos motivos para se ter senhas fortes e uma política de senhas em uma
empresa ou organização. Senhas muito óbvias como datas de aniversário são
facilmente descobertas.
Negação de Serviço
Distribuída
O
objetivo da Negação de Serviço Distribuída (DDoS) é tirar de operação uma rede
ou serviço. O atacante utiliza de forma coordenada um conjunto de dispositivos.
Ele os utiliza muitas vezes sem o conhecimento do proprietário do dispositivo,
para tirar de operação o alvo.
Defacement
O
defacement é a modificação de páginas web por meio da invasão de um servidor
web. O atacante faz isso por motivos políticos, religiosos ou outro motivo
social e também para ganhar fama nos meios hackers.
Ele
também é conhecido por pichação. É chamado assim, pois, normalmente, uma
mensagem é deixada na página com alguma assinatura de apelido de hacker ou de
grupo de hackers.
Conclusão
Definir
uma política de segurança e implantá-la requer planejamento e muito
conhecimento técnico. É necessário que haja profissionais
especializados na área de Segurança de Informação. Contratar funcionários
pode ser internamente ou por meio de uma empresa de terceirização de TI.
Fonte: Infonova
Gostou da matéria e quer continuar
aumentando os seus conhecimentos com os nossos conteúdos?
Assine, gratuitamente, a nossa Newsletter
Semanal M&M Flash, clicando no link a seguir:
https://www.mmcontabilidade.com.br/FormBoletim.aspx, e assim você
acompanha as nossas atualizações em primeira mão!