Seminário Segurança Da Informação

INSTITUTO DE ENSINO SUPERIOR PLANALTO

SEGURANÇA DA INFORMAÇÀO

BRASÍLIA/DF

2006

1. Segurança Informação

A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste aumento de interconectividade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades.

A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.

Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negocio, minimizar o risco do negocio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluído políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e da segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.

2. Evolução do escopo e objetivo

Num cenário mais recente, podemos ver o crescimento da importância da Segurança da Informação ocorrendo de forma proporcional ao aumento da dependência que as organizações têm nos sistemas. Outro fator com o mesmo nível de importância é o aumento da exposição de tais sistemas a ameaças em escala global.

2.1. Aspectos Básicos da Segurança da Informação

Segundo a Modulo Security Solutions S.A. (Disponível em < http://www.modulo.com.br/glossario >. Acesso em 20 maio de 2006), bem como a própria norma ABNT NBR ISO/IEC 27001:2006, os três aspectos principais da segurança da informação, são:

Confidencialidade: “propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.” (NBR ISO/IEC 27001:2005). Este aspecto orienta que a informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando a limitação de seu acesso e uso apenas às pessoas para quem elas são destinadas. Busca proteger as informações sensíveis de revelação não autorizada ou interceptação inteligível.

Integridade: “propriedade de salvaguarda da exatidão e completeza de ativos.” (NBR ISO/IEC 27001:2005). Este aspecto orienta que todo ativo deve ser mantido na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-los contra alterações indevidas, intencionais ou acidentais.

Disponibilidade: “propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada.” (NBR ISO/IEC 27001:2006). Este aspecto busca orientar que toda informação, bem como os demais ativos, gerada ou adquirida por um indivíduo ou instituição deve estar disponível aos seus usuários, autorizados, no momento em que os mesmos dela necessitem.

Segundo a ISO/IEC TR 13335-1:1996 - norma-referência para a Gestão dos Riscos em Tecnologia da Informação, o relacionamento, Figura 1, descrito na figura abaixo, deve ser considerado.

Figura 1 – Relacionamento na Segurança da Informação ISO/IEC TR 13335

Ativo: é qualquer recurso que tem valor para a organização. Em geral, possui vulnerabilidades que podem ser reduzidas ou eliminadas por Controles. Os Ativos são recursos que tratam informações necessárias para os Componentes de Negócio.

Componente de Negócio: é uma entidade que possui valor relevante para a organização e que pode sofrer conseqüências diretas em casos de comprometimento da Confidencialidade, Integridade e Disponibilidade (CID). Difere do Ativo pois são entidades complexas do ponto de vista da avaliação do Risco.

Impacto (ou conseqüência): é o resultado da ação concretizada (ou incidente) da Ameaça sobre um Ativo, considerando-se a sua relação com os Componentes de Negócio. Seu valor depende da Relevância do Ativo para a organização.

Ameaça: é uma ação (intencional ou acidental) provocada por um agente, através de um determinado mecanismo que explora a vulnerabilidade presente no Ativo e provoca impactos.

Agente (da ameaça): entidade que possui motivação, método, conhecimento e oportunidade para executar um ataque à organização (ameaças intencionais); um componente do ambiente ou da natureza que provoca condições indesejáveis, perigos ou desastres (ameaças acidentais).

Vulnerabilidade: é uma característica do sistema (uma falha, um defeito ou a falta de controle) que pode ser explorada por uma Ameaça.

Controle: é uma prática, um mecanismo ou procedimento de proteção que visa aumentar a segurança ou reduzir impactos.

3. Tipos de Ameaças

Segundo a Modulo (2006, p.27) as origens de problemas de segurança podem ser, basicamente, em três categorias: natural, acidental ou intencional, sendo as duas ultimas relacionadas ao fator humano. Exemplos:

Natural: Terremotos, inundações e outros eventos meteorológicos.

Acidental: Erros de usuários, falhas de sistemas ou falha no fornecimento de serviços básicos (energia elétrica).

Intencional: Invasões, terrorismo, chantagem ou espionagem.

...