Olá, Concurseiros
Este artigo trata de um dos pontos do programa de Escrivão de Polícia Federal que tem preocupado muitos candidatos. Neste caso, vamos tratar de Segurança de Redes e boas práticas em Segurança da Informação.
Vamos lá!
BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO
Segurança em Redes de Computadores
A segurança da rede local, está relacionada à necessidade de proteção contra acessos não autorizados, manipulação dos dados armazenados na rede, assim como a sua integridade, e utilização não autorizada de computadores ou de seus respectivos dispositivos periféricos. Essa necessidade de proteção deve ser definida a partir das possíveis ameaças e riscos que a rede sofre, além dos objetivos traçados pela instituição, sendo tudo isso formalizado nos termos de uma política de segurança. Dessa forma, procura-se evitar que pessoas não-autorizadas tenham acesso a informações particulares de qualquer usuário da rede.
O que é política de segurança de informações - PSI?
Política de segurança de informações é um conjunto de princípios que norteiam a gestão de segurança de informações e que deve ser observado pelo corpo técnico e gerencial e pelos usuários internos e externos.
As diretrizes estabelecidas nesta política determinam as linhas mestras que devem ser seguidas pela organização para que sejam assegurados seus recursos computacionais e suas informações.
Um sistema de comunicação de dados pode ser considerado seguro quando garante o cumprimento dessa política, que deve incluir regras detalhadas definindo como as informações e recursos oferecidos pela rede devem ser manipulados.
Quem são os responsáveis por elaborar a PSI?
É recomendável que na estrutura da organização exista uma área responsável pela segurança de informações, a qual deve iniciar o processo de elaboração da política de segurança de informações, bem como coordenar sua implantação, aprová-la e revisá-la, além de designar
funções de segurança. Vale salientar, entretanto, que pessoas de áreas críticas da organização devem participar do processo de elaboração da PSI, como a alta administração e os diversos gerentes e proprietários dos sistemas informatizados. Além disso, é recomendável que a PSI seja aprovada pelo mais alto dirigente da organização.
Que assuntos devem ser abordados na PSI?
A política de segurança de informações deve extrapolar o escopo abrangido pelas áreas de sistemas de informação e recursos computacionais Ela não deve ficar restrita à área de informática. Ao contrário, ela deve estar integrada à visão, à missão, ao negócio e às metas institucionais, bem como ao plano estratégico de informática e às políticas da organização concernentes à segurança em geral.O conteúdo da PSI varia, de organização para organização, em função de seu estágio de maturidade,grau de informatização, área de atuação, cultura organizacional, necessidades requeridas,requisitos de segurança, entre outros aspectos. No entanto, é comum a presença de alguns tópicos na PSI, tais como:
• definição de segurança de informações e de sua importância como mecanismo que possibilita o compartilhamento de informações;
• declaração do comprometimento da alta administração com a PSI, apoiando suas metas e princípios;
• objetivos de segurança da organização;
• definição de responsabilidades gerais na gestão de segurança de informações;
• orientações sobre análise e gerência de riscos;
• princípios de conformidade dos sistemascomputacionais com a PSI;
• padrões mínimos de qualidade que esses sistemas devem possuir;
• políticas de controle de acesso a recursos e sistemas computacionais;
• classificação das informações (de uso irrestrito,interno, confidencial e secretas);
• procedimentos de prevenção e detecção de vírus;
• princípios legais que devem ser observados quanto à tecnologia da informação (direitos de propriedade de produção intelectual, direitos sobre software, normas legais correlatas aos sistemas desenvolvidos, cláusulas contratuais);
• princípios de supervisão constante dastentativas de violação da segurança de informações;
• conseqüências de violações de normas estabelecidas na política de segurança;
• princípios de gestão da continuidade do negócio;
• plano de treinamento em segurança de informações.
A quem deve ser divulgada a PSI?
A divulgação ampla a todos os usuários internos e externos à organização é um passo indispensável para que o processo de implantação da PSI tenha sucesso. A
PSI deve ser de conhecimento de todos que interagem com a organização e que, direta ou indiretamente, serão afetados por ela. É necessário que fique bastante claro, para todos, as conseqüências advindas do uso inadequado dos sistemas computacionais e de
informações, as medidas preventivas e corretivas que estão a seu cargo para o bom, regular e efetivo controle dos ativos computacionais. A PSI fornece orientação básica aos agentes envolvidos de como agir corretamente para atender às regras nela estabelecidas. É importante, ainda, que a PSI esteja permanentemente acessível a todos.
Uma vez definida, a PSI pode ser alterada?
A PSI não só pode ser alterada, como deve passar por processo de revisão definido e periódico que garanta sua reavaliação a qualquer mudança que venha afetar a análise de risco original, tais como: incidente de segurança significativo, novas vulnerabilidades, mudanças organizacionais ou na infra-estrutura tecnológica. Além disso, deve haver análise periódica da efetividade da política, demonstrada pelo tipo, volume e impacto dos
incidentes de segurança registrados. É desejável, também, que sejam avaliados o custo e o impacto dos controles na eficiência do negócio, a fim de que esta não seja comprometida pelo excesso ou escassez de controles. É importante frisar, ainda, que a PSI deve ter um gestor responsável por sua manutenção e análise crítica.
O que é Plano de Contingências?
Plano de Contingências consiste num conjunto de estratégias e procedimentos que devem ser adotados quando a instituição ou uma área depara-se com problemas que comprometem o andamento normal dos processos e a conseqüente prestação dos serviços. Essas estratégias e procedimentos deverão minimizar o impacto sofrido
diante do acontecimento de situações inesperadas, desastres, falhas de segurança, entre outras, até que se retorne à normalidade. O Plano de Contingências é um conjunto de medidas que combinam ações preventivas e de recuperação. Obviamente, os tipos de riscos a que estão sujeitas as organizações variam no tempo e no espaço. Porém, pode-se citar como exemplos de riscos mais comuns a ocorrência de desastres naturais (enchentes, terremotos, furacões), incêndios, desabamentos, falhas de equipamentos, acidentes, greves, terrorismo, sabotagem, ações intencionais. O Plano de Contingências pode ser desenvolvido por organizações que contenham ou não sistemas computadorizados.
Qual é a importância do Plano de Contingências?
Atualmente, é inquestionável a dependência das organizações aos computadores, sejam eles de pequeno, médio ou grande porte. Essa característica quase generalizada, por si só, já é capaz de explicar a importância do Plano de Contingências, pois se para fins de manutenção de seus serviços, as organizações dependem de computadores e de informações armazenadas em meio eletrônico, o que fazer na ocorrência de situações inesperadas que comprometam o processamento ou disponibilidade desses computadores ou informações? Ao contrário do que ocorria antigamente, os funcionários
não mais detêm o conhecimento integral, assim como a habilidade para consecução dos processos organizacionais, pois eles são, muitas vezes, executados de forma transparente. Além disso, as informações não mais se restringem ao papel, ao contrário,
elas estão estrategicamente organizadas em arquivos magnéticos.
Por conseguinte, pode-se considerar o Plano de Contingências quesito essencial para as organizações preocupadas com a segurança de suas informações.
Qual é o objetivo do Plano de Contingências?
O objetivo do Plano de Contingências é manter a integridade e a disponibilidade dos dados da organização, bem como a disponibilidade dos seus serviços quando da ocorrência de situações fortuitas que comprometam o bom andamento dos negócios. Possui como objetivo, ainda, garantir que o funcionamento dos sistemas informatizados seja restabelecido no menor tempo possível a fim de reduzir os impactos causados
por fatos imprevistos. É normal que, em determinadas situações de anormalidade, o Plano preveja a possibilidade de fornecimento de serviços temporários ou com restrições, que, pelo menos, supram as necessidades imediatas e mais críticas.
Cabe destacar que o Plano é um entre vários requisitos de segurança necessários para que os aspectos de integridade e disponibilidade sejam preservados durante todo o tempo.
Por que o Plano de Contingências deve ser testado?
Os planos de continuidade do negócio podem apresentar falhas quando testados, geralmente devido a pressupostos incorretos, omissões ou mudanças de equipamentos, de pessoal, de prioridades. Por isto eles devem ser testados regularmente, de forma a garantir sua permanente atualização e efetividade. Tais testes também devem assegurar que todos os envolvidos na recuperação e os alocados em outras funções críticas
possuam conhecimento do Plano.
Deve existir uma programação que especifique quando e como o Plano de Contingências deverá ser testado. Ele pode ser testado na sua totalidade, caracterizando uma situação bem próxima da realidade; pode ser testado parcialmente, quando restringem-se os testes a apenas um conjunto de procedimentos, atividades ou aplicativos componentes do Plano; ou, ainda, pode ser testado por meio de simulações, quando ocorre representações de situação emergencial. A partir da avaliação dos resultados
dos testes, é possível reavaliar o Plano, alterá-lo e adequá-lo, se for o caso.
Mecanismos de Segurança
Uma política de segurança pode ser implementada com a utilização de vários
mecanismos. Abaixo, temos alguns dos mais importantes mecanismos de segurança utilizados em redes de computadores.
Criptografia
Em meios de comunicação onde não é possível impedir que o fluxo de pacote de dados
seja interceptado, podendo as informações serem lidas, é necessária a criptografia. Nesse mecanismo, utiliza-se um método que modifique o texto original da mensagem
transmitida, gerando um texto criptografado na origem, através de um processo de codificação definido por um método de criptografia. O pacote é então transmitido e, ao chegar no destino, ocorre o processo inverso, isto é, o método de criptografia é aplicado agora para decodificar a mensagem, transformando-a na mensagem original.
Algoritmos Criptográficos
Existem duas classes de algoritmos criptográficos: simétricos (chave-secreta ou chave de sessão) e assimétricos (ou de chave-pública). Os algoritmos simétricos utilizam uma mesma chave tanto para cifrar como para decifrar, ou seja, a mesma chave utilizada para “fechar o cadeado” é utilizada para “abrir o cadeado”. Nos algoritmos assimétricos temos chaves distintas, uma para cifrar e outra para decifrar e, além disso, a chave de decifração não pode ser obtida a partir do conhecimento da chave de cifração apenas. Aqui, uma chave é utilizada para “fechar” e outra chave, diferente, mas relacionada à primeira, tem que ser utilizada para “abrir”. Por isso, nos algoritmos assimétricos, as chaves são sempre geradas aos pares: uma para cifrar e a sua correspondente para decifrar. Os principais algoritmos criptográficos são:
Simétricos – DES, 3DES, AES;
Assimétricos- RSA.
Controle de Acesso
O controle de acesso, na segurança da informação, é composto dos processos de autenticação, autorização e auditoria. Neste contexto o controle de acesso pode ser entendido como a habilidade de permitir ou negar a utilização de um objeto (uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma entidade ativa, como um indivíduo ou um processo). A autenticação identifica quem acessa o sistema, a autorização determina o que um usuário autenticado pode fazer, e a auditoria diz o que o usuário fez.
Como técnicas utilizadas, tem-se a utilização de listas ou matrizes de controles de acesso, que associam recursos a usuários autorizados; ou senhas e tokens associadas aos recursos, cuja posse determina os direitos de acesso do usuário que as possui.
O que são tokens?
A idéia de fornecer tokens aos usuários como forma de identificá-los é bastante antiga. No nosso dia- a-dia estamos freqüentemente utilizando tokens para acessar alguma coisa. As chaves que abrem a porta da sua residência ou seu cartão com tarja magnética para utilizar o caixa eletrônico do banco são exemplos de tokens. O cartão magnético é ainda uma token especial, pois guarda outras informações, como por exemplo,sua conta bancária. Token pode ser definida, então, como um objeto que o usuário possui, que o diferencia das outras pessoas e o habilita a acessar algum objeto. A desvantagem das tokens em relação às senhas é que as tokens,por serem objetos, podem ser perdidas, roubadas ou reproduzidas com maior facilidade.
O que são cartões magnéticos inteligentes?
Os cartões inteligentes são tokens que contêm microprocessadores e capacidade de memória suficiente para armazenar dados, a fim de dificultar sua utilização por outras pessoas que não seus proprietários legítimos.O cartão inteligente não só pode armazenar informações para serem lidas, mas também é capaz deprocessar informações. Sua clonagem é mais difícil e a maioria dos cartões inteligentes ainda oferece criptografia.
Normalmente o usuário de cartão inteligente precisa fornecer uma senha à leitora de cartão para que o acesso seja permitido, como uma medida de proteção a mais contra o roubo de cartões.
As instituições bancárias, financeiras e governamentais são os principais usuários dessa tecnologia,em função de seus benefícios em relação à segurança de informações e pela possibilidade de redução de custos de instalações e pessoal, como por exemplo,a substituição dos guichês de atendimento ao público nos bancos por caixas eletrônicos. Os cartões inteligentes têm sido usados em diversas aplicações:
• cartões bancários, telefônicos e de crédito, dinheiro eletrônico, segurança de acesso, carteiras de identidade.
O que são sistemas biométricos?
Os sistemas biométricos são sistemas automáticos de verificação de identidade baseados em características físicas do usuário. Esses sistemas têm como objetivo suprir deficiências de segurança das senhas, que podem ser reveladas ou descobertas, e das tokens, que podem ser perdidas ou roubadas.
Os sistemas biométricos automáticos são uma evolução natural dos sistemas manuais de reconhecimento amplamente difundidos há muito tempo,como a análise grafológica de assinaturas, a análise de impressões digitais e o reconhecimento de voz. Hoje já existem sistemas ainda mais sofisticados, como os sistemas de análise da conformação dos vasos sangüíneos na retina.
Que características humanas podem ser verificadas por sistemas biométricos?
Teoricamente, qualquer característica humana pode ser usada como base para a identificação biométrica. Na prática, entretanto, existem algumas limitações. A tecnologia deve ser capaz de medir determinada característica de tal forma que o indivíduo seja realmente único, distinguindo inclusive gêmeos, porém não deve ser invasiva ou ferir os direitos dos indivíduos.
Um dos problemas enfrentados pelos sistemas biométricos atuais é sua alta taxa de erro, em função da mudança das características de uma pessoa com o passar dos anos, ou devido a problemas de saúde ou nervosismo, por exemplo.
A tolerância a erros deve ser estabelecida com precisão, de forma a não ser grande o suficiente para admitir impostores, nem pequena demais a ponto de negar acesso a usuários legítimos. Abaixo serão apresentadas algumas características humanas verificadas por sistemas biométricos existentes:
• Impressões digitais – são características únicas e consistentes. Nos sistemas biométricos que utilizam essa opção, são armazenados de 40 a 60 pontos para verificar uma identidade. O sistema compara a impressão lida com impressões digitais de pessoas autorizadas, armazenadas em sua base de dados. Atualmente, estão sendo utilizadas impressões digitais em alguns sistemas governamentais, como por exemplo, o sistema de previdência social na Espanha e o de registro de
eleitores na Costa Rica;
• Voz – os sistemas de reconhecimento de voz são usados para controle de acesso, porém não são tão confiáveis quanto às impressões digitais, em função dos erros causados por ruídos do ambiente e problemas de garganta ou nas cordas vocais das pessoas a eles submetidas;
• Geometria da mão – também é usada em sistemas de controle de acesso, porém essa característica pode ser alterada por aumento ou diminuição de peso ou artrite;
• Configuração da íris e da retina – os sistemas que utilizam essas características se propõem a efetuar identificação mais confiável do que os sistemas que verificam impressões digitais. Entretanto, são sistemas invasivos, pois direcionam feixes de luz aos olhos das pessoas que se submetem à sua identificação;
• Reconhecimento facial através de termogramas - o termograma facial é uma imagem
captada por uma câmera infravermelha que mostra os padrões térmicos de uma face.
Essa imagem é única e, combinada com algoritmos sofisticados de comparação de diferentes níveis de temperatura distribuídos pela face, constitui-se em uma técnica não invasiva, altamente confiável, não sendo afetada por alterações de saúde, idade ou temperatura do corpo. São armazenados ao todo 19.000 pontos de identificação, podendo distinguir gêmeos idênticos, mesmo no escuro. O desenvolvimento dessa tecnologia tem como um de seus objetivos baratear seu custo para que possa ser usada em um número maior de aplicações de identificação e autenticação.
Como restringir o acesso aos recursos informacionais?
O fato de um usuário ter sido identificado e autenticado não quer dizer que ele poderá acessar qualquer informação ou aplicativo sem qualquer restrição. Deve-se implementar um controle específico restringindo o acesso dos usuários apenas às aplicações, arquivos e utilitários imprescindíveis para desempenhar suas funções na organização. Esse controle pode ser feito por menus, funções ou arquivos.
O que são logs?
Os logs são registros cronológicos de atividades do sistema que possibilitam a reconstrução, revisão e análise dos ambientes e atividades relativas a uma operação, procedimento ou evento, acompanhados do início ao fim. Os logs são utilizados como medidas de detecção e monitoramento, registrando atividades, falhas de acesso (tentativas frustradas de logon ou de acesso a recursos protegidos) ou uso do sistema operacional, utilitários e aplicati-vos, e detalhando o que foi acessado, por quem e quando.
Com os dados dos logs, pode-se identificar e corrigir falhas da estratégia de segurança. Por conterem informações essenciais para a detecção de acesso não autorizado, os arquivos de log devem ser protegidos contra alteração ou destruição por usuários ou invasores que queiram encobrir suas atividades.
O que deve ser registrado em logs?
Devido à grande quantidade de dados armazenada em logs, deve-se levar em consideração que seu uso pode degradar o desempenho dos sistemas. Sendo assim, é aconselhável balancear a necessidade de registro de atividades críticas e os custos, em termos de desempenho global dos sistemas. Normalmente,os registros de log incluem:
• identificação dos usuários;
• datas e horários de entrada (logon) e saída do sistema (logoff);
• identificação da estação de trabalho e, quando possível, sua localização;
• registros das tentativas de acesso (aceitas e rejeitadas) ao sistema;
• registros das tentativas de acesso (aceitas e rejeitadas) a outros recursos e dados.
Ao definir o que será registrado, é preciso considerar que quantidades enormes de registros podem ser inviáveis de serem monitoradas. Nada adianta ter um log se ele não é periodicamente revisado. Para auxiliar a gerência de segurança na árdua tarefa de análise de logs, podem ser previamente definidas trilhas de auditoria mais simples e utilizados softwares especializados disponíveis no mercado, específicos para cada sistema operacional.
Nenhum comentário:
Postar um comentário