Segurança
A CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibilidade -- representa os principais atributos que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger. Os atributos básicos (segundo os padrões internacionais) são os seguintes:
- Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
- Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
- Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
O nível de segurança desejado, pode se consubstanciar em uma "política de segurança" que é seguida pela organização ou pessoa, para garantir que uma vez estabelecidos os princípios, aquele nível desejado seja perseguido e mantido.Para a montagem desta política, deve-se levar em conta:
- Riscos associados à falta de segurança;
- Benefícios;
- Custos de implementação dos mecanismos.
Mecanismos de segurança
O suporte para as recomendações de segurança pode ser encontrado em:
- Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infra-estrutura (que garante a existência da informação) que a suporta. Existem mecanismos de segurança que apóiam os controles físicos: Portas / trancas / paredes / blindagem / guardas / etc ..
- Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado.
Existem mecanismos de segurança que apóiam os controles lógicos:
- Mecanismos de criptografia. Permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a decifração.
- Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual são função, garantindo a integridade e autenticidade do documento associado, mas não a sua confidencialidade.
- Mecanismos de garantia da integridade da informação. Usando funções de "Hashing" ou de checagem, consistindo na adição.
- Mecanismos de controle de acesso. Palavras-chave, sistemas biométricos, firewalls, cartões inteligentes.
- Mecanismos de certificação. Atesta a validade de um documento.
- Integridade. Medida em que um serviço/informação é genuíno, isto é, está protegido contra a personificação por intrusos.
- Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a ação de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema.
- Protocolos seguros: uso de protocolos que garantem um grau de segurança e usam alguns dos mecanismos citados aqui
Existe hoje em dia um elevado número de ferramentas e sistemas que pretendem fornecer segurança. Alguns exemplos são os detectores de intrusões, os anti-vírus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de código, etc.
Política de Segurança
Uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.
As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização.
Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).
Os elementos da política de segurança devem ser considerados:
- A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar possa usar. Dados críticos devem estar disponíveis ininterruptamente.
- A Utilização: o sistema deve ser utilizado apenas para os determinados objetivos.
- A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
- A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.
- A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.
Estudo de Caso
A empresa fictícia de seguros de saúde VIDA LONGA atende a toda a região sudeste. Ela possui no Rio de Janeiro a sua sede, disposta em um prédio de 5 andares e mais um escritório, em outro prédio, posicionado a 1.500 mts da sede. Além da sede no RJ, a empresa possui mais duas filiais posicionadas em São Paulo e Belo Horizonte e 4 escritórios de representação nas cidades de Vitória, Nova Iguaçu, Campinas e Sete Lagoas. Hoje a empresa não possui nenhuma política de segurança na sede, suas filiais e escritórios. Suponha que você trabalhe numa empresa chamada “Ajudas Projetos ltda.” que foi contratada para prover uma melhor segurança à rede de comunicação de dados da Empresa VIDA LONGA.
Levando em consideração os aspectos de alta integridade, alta confidencialidade, alta autenticidade e alta disponibilidade, responda os seguintes itens:
1. Faça um levantamento das necessidades de segurança da empresa.
2. Identifique os riscos da empresa explicando o porquê de cada uma das ameaças identificadas.
3. Identifique as vulnerabilidades e explique cada uma delas.
4. Montar um plano de Segurança.
Nenhum comentário:
Postar um comentário