ATPS DSS 1 E 2 - 2014

INTRODUÇÃO

Em informática nada é 100% seguro, quando se menos espera algo imaginável quer atacar seu computador, os maliciosos fazem da internet seu divertimento ou ate mesmo sustento, basta clicar em um site e pronto, o computador esta infectado podendo causar danos que podem ser irreversíveis.

Por mais que se investe em segurança não há como detectar tanta ameaça, a parte que cita no site http://www.rnp.br/newsgen/0003/ddos.html sobre ddos, e bem valida, diz o texto “Até o momento não existe uma "solução mágica" para evitar os ataques DDoS, o que sim é possível é aplicar certas estratégias para mitigar o ataque,...”.

Estratégias esta equivalem abortar todas as situações de ataque a rede e computadores e se proteger ao máximo.

Conhecer o inimigo e o seu território é um enorme passo a conhecer e imaginar o seu próximo ataque, investir como citado no evitando ataques | é sim a melhor forma.

DESENVOLVENDO SOFTWARES SEGUROS

A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.

A segurança da informação tem dois objetivos principais: o primeiro é preservar (Confidencialidade, Integridade e Disponibilidade) os dados e informações da organização, de seus clientes, funcionários e parceiros. O segundo é garantir a continuidade operacional do negócio em caso de incidente, minimizando os impactos financeiros, de imagem e operacionais, decorrentes deste incidente.

Segurança da Informação = Preservação + Continuidade.

Nenhum empresário irá investir em segurança da informação se não tiver claro, e se não estiver consciente de quais serão os benefícios e retorno deste investimento para a organização. Esta é uma das árduas tarefas do responsável pela segurança da informação: conscientizar e convencer os executivos da necessidade de investir em segurança. Alguns negócios dependem diretamente da segurança e em outros a regulamentação da atividade ou Leis e Decretos exigem investimento em segurança e o ‘Information Security Officer’, como é chamado o responsável pela segurança da informação, não precisará despender muito esforço para conseguir investimento. Os bancos, por exemplo, estão muito à frente de muitos outros tipos de negócio, pois dependem da segurança para sobreviver. Já as indústrias ainda estão caminhando a passos lentos para a maturidade, mas já tendo algumas áreas mais avançadas, como as de pesquisa e desenvolvimento.

Na maioria das organizações o ‘Information Security Officer’ precisará se esforçar para mostrar as vantagens que o investimento em ações estruturadas em segurança trará como retorno. Uma das melhores maneiras de demonstrar que o investimento trará retorno, e sua real necessidade, é a realização estudos de Análise de Riscos e Avaliação de Impactos, estudos estes que irão aclarar o quão a organização está vulnerável, quais são os riscos aos quais está exposta e qual será o impacto em caso de incidente. Uma estratégica que pode auxiliar no convencimento é demonstrar o quanto a empresa poderá perder caso não invista em segurança, uma vez que é difícil demonstrar o retorno do investimento. Podemos chamar isso de Perda por Não Investimento (PpNI). Exemplo: Seguir uma regulamentação setorial pode não trazer retorno à empresa, mas não seguir pode trazer prejuízo. 

Alguns objetivos da segurança da informação: Agregar valor ao negócio; diferencial competitivo; continuidade operacional; gerenciamento dos riscos; proteção de investimentos; conformidade com determinações legais e setoriais; etc.

Alguns motivadores da segurança da informação: Dependência crescente da informação; a informação é um dos ativos mais importantes das organizações; responsabilidade administrativa, legal e social – acionistas, clientes, funcionários, governo, sociedade; proteção da propriedade intelectual – patentes, marcas, direitos autorais, segredos de negócio, segredo de fábrica; etc.

Para que seja possível alcançar os objetivos da segurança da informação é necessário que se siga alguns passos, a saber: Realização de Análise de Risco; Realização de Avaliação de Impactos nos Negócios; Elaboração de uma Política de Segurança que reflita os objetivos do negócio;- Realização de campanhas de conscientização e treinamento dos funcionários;- Elaboração de um Plano de Continuidade do Negócio.- Revisar tudo periodicamente

Para completar, segurança da informação não é projeto, e sim um processo, e como tal deve ser contínuo, cíclico, monitorado, revisado e evoluído permanentemente, sob pena de se tornar obsoleto e deperder seu valor para o negócio.

PRINCÍPIOS DE SEGURANÇA

Princípio O que é? Exemplo

Economia de mecanismos Manutenção do desenho simples e menos complexo Código modular, objetos

compartilhados, e serviços

centralizados

Padrões de falhas

seguras Acesso negado por padrão, e garantido

explicitamente Transação negada

Intervenção

completa Checagem de permissão a cada vez que for

requisitado o acesso a objetos Controles de autenticação e

Autorização

Desenho aberto O desenho não é secreto, mas a

implemetação da salvaguarda sim Algoritmos criptográficos

Separação de

Privilégios Mais

...