Necessidade de investir em segurança da informação

Relatório 1: Desenvolvendo Softwares Seguros

Necessidade de investir em segurança da informação:

A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.

A segurança da informação tem dois objetivos principais: o primeiro é preservar (Confidencialidade, Integridade e Disponibilidade) os dados e informações da organização, de seus clientes, funcionários e parceiros. O segundo é garantir a continuidade operacional do negócio em caso de incidente, minimizando os impactos financeiros, de imagem e operacionais, decorrentes deste incidente.

Segurança da Informação = Preservação + Continuidade.

Alguns negócios dependem diretamente da segurança e em outros a regulamentação da atividade ou Leis e Decretos exigem investimento em segurança e o ‘Information Security Officer’, como é chamado o responsável pela segurança da informação, não precisará despender muito esforço para conseguir investimento. Os bancos, por exemplo, estão muito à frente de muitos outros tipos de negócio, pois dependem da segurança para sobreviver. Já as indústrias ainda estão caminhando a passos lentos para a maturidade, mas já tendo algumas áreas mais avançadas, como as de pesquisa e desenvolvimento.

Alguns objetivos da segurança da informação: Agregar valor ao negócio; diferencial competitivo; continuidade operacional; gerenciamento dos riscos; proteção de investimentos; conformidade com determinações legais e setoriais.

Alguns motivadores da segurança da informação: Dependência crescente da informação; a informação é um dos ativos mais importantes das organizações; responsabilidade administrativa, legal e social – acionistas, clientes, funcionários, governo, sociedade; proteção da propriedade intelectual – patentes, marcas, direitos autorais, segredos de negócio, segredo de fábrica.

Princípios de segurança:

 IMPLEMENTAR A SEGURANÇA EM CAMADAS

A teoria da "cebola". Além de a cebola ter várias camadas, ela tem um "cheiro desagradável". Pense nisso, forme uma segurança por camadas e crie um sistema de defesa que seja desagradável, ofensivo aos atacantes.

Como todo o código tem erros, você nunca quer confiar em qualquer pedaço de código como sua única linha de defesa. Se você aplicar várias camadas de segurança, o cracker não pode entrar tão facilmente, pois uma fraqueza em uma camada não pode representar uma ruptura total do sistema.

Por exemplo, se o servidor está sendo executado como um usuário privilegiado, como "root" ou "admin" e há um bug em qualquer lugar dentro desse pedaço grande e complexo de código, um cracker pode muito bem ganhar acesso administrativo total para o seu computador. Se o servidor web é executado como um usuário não privilegiado, então mesmo se um bug é encontrado, a exposição pode ser controlada.

Um exemplo básico de software baseado na "teoria da cebola" para mim é o NMAP.

Quando executamos o NMAP sem o uso da conta root, podemos varrer os serviços com algumas opções, mas com todas as opções, apenas usando a conta root. Então qual a tendência? De sempre executarmos o NMAP usando a conta root e assim expomos também nosso sistema a uma varredura ou ataque. Há mais, é só usarmos a técnica de IP SPOOFING e MAC SPOOFING e tudo bem.

 NÃO PERMITIR QUE UMA INTRUSÃO FEITA SEJA REAPROVEITADA EM OUTRO LUGAR DA SEGURANÇA

Separação da função é essencial para a segurança. Você precisa ter aparelhos separados para funções distintas e diferentes redes de computadores com diferentes níveis de segurança. Isso é ruim para GreenIT (TI Verde, como economizar energia à favor do meio ambiente, um bom exemplo, além das vantagens é a virtualização). Por exemplo, um servidor web se comunica com o mundo exterior, enquanto um servidor de banco de dados só deve se comunicar com o servidor web. Cada máquina deve estar em uma rede separada. Assim, se você tem uma "quebra" do servidor web por um cracker pode ter acesso ao seu servidor de e-mail, mas não o seu servidor de banco de dados, que é fisicamente isolado e protegido por firewalls e outros.

 OS RISCOS DE SEGURANÇA SÃO DIRETAMENTE PROPORCIONAIS À COMPLEXIDADE DO SOFTWARE

Há aqui duas questões: a complexidade de cada programa de software e do número total de programas de software que compõem a sua solução web ou em server/client local. Quanto mais código você tiver, mais bugs serão susceptíveis de ter. Uma vez que todo o software tem erros, deve-se presumir que os erros podem ser explorados como falhas de segurança. Já as empresas só devem executar o software de que necessitam para estar operacional. As empresas devem eliminar

...