1. O documento introduz os conceitos básicos de segurança da informação, incluindo definições de ativos, informação, ciclo de vida da informação, ameaças, vulnerabilidades e controles.
2. As estratégias de proteção discutidas incluem privilégio mínimo, defesa em profundidade, elo mais fraco, ponto de estrangulamento e segurança pela obscuridade.
3. Os riscos de engenharia social são destacados, enfatizando que o fator humano é frequentemente o elo mais fraco da segurança
1. Capítulo
1
Introdução à segurança
da informação
1.1 Introdução
Iniciaremos esse curso pela definição de alguns conceitos e pro-
priedades da segurança da informação que se fazem necessários ao
entendimento dos demais tópicos discutidos neste trabalho.
1.2 Segurança da informação
A segurança da informação é definida por (Ramos, 2006), como
a proteção aos ativos da informação, ou seja, aqueles que produzem,
processam, transmitem ou armazenam informações. Essa proteção
pode ser alcançada a partir de um conjunto de estratégias e instru-
mentos que englobam políticas, processos, procedimentos, estruturas
organizacionais, softwares e hardware, em conjunto com outros pro-
cessos da gestão da informação. Os fundamentos que norteiam esses
objetivos são estabelecidos como:
• Confidencialidade: refere-se à garantia de que apenas as
pessoas as quais devam ter conhecimento legitimamente so-
bre um assunto terão acesso ao mesmo;
• Integridade: refere-se à proteção da informação contra alte-
rações em seu estado original, sejam elas intencionais ou aci-
dentais;
Segurança de Redes
15
2. 1 Capítulo
Introdução à segurança
da informação
• Disponibilidade: refere-se a garantia de que a informação só
possa ser acessada por aqueles que dela necessitam e no
momento em que precisam.
1.3 Ativo
Essa denominação foi adotada do ambiente financeiro. No con-
texto da segurança da informação corresponde a todo elemento de va-
lor para a organização. Pode estar distribuído e classificado como ativo
físico, humano ou tecnológico. Ex: instalações prediais, funcionários,
hardware, software, a informação e seus insumos e produtos.
1.4 Informação
De acordo com a análise de (Sianes, 2005), informação é defi-
nida como uma série de dados organizados de um modo significativo,
analisados e processados, que pressupõe soluções ou novos insumos
para o processo de tomada de decisão, estando associado à utilidade
que ela apresenta em determinado contexto.
1.5 Ciclo de vida da informação
Segundo (Sêmola, 2002), o ciclo de vida da informação é com-
posto e identificado por momentos distintos durante a sua vida útil e
que de alguma forma a colocam em uma situação vulnerável. Esses
momentos envolvem ativos físicos, humanos e tecnológicos que fazem
uso, alteram ou descartam a informação.
Esse ciclo é definido em quatro momentos durante a vida útil da
informação sendo:
16
Curso de Tecnologia em Análise e
Desenvolvimento de Sistemas
3. 1
Introdução à segurança
da informação Capítulo
• Produção: momento em que a informação é criada e manipu-
lada seja sob a forma física ou eletrônica;
• Armazenamento: momento em que a informação é armaze-
nada, seja em papel, arquivo físico, banco de dados ou qual-
quer tipo de mídia;
• Transporte: momento em que a informação é transportada,
seja em papel, mídia ou por meio remoto em uma rede de
computadores;
• Descarte: momento em que a informação é descartada. Seja
a sua eliminação na forma eletrônica ou física.
Uma segurança adequada deve se preocupar com o ciclo de vida
da informação para que sejam atendidos em cada fase desse ciclo,
todos os requisitos primordiais da segurança: confidencialidade, inte-
gridade e disponibilidade.
1.6 Condições que afetam a informação
Durante o seu ciclo de vida, a informação está sujeita a várias
condições que a afetam. Conforme análise e segundo (Sêmola, 2002)
algumas condições são definidas e mostradas na Figura 1.1:
• Ameaças: são condições, eventos ou agentes que podem
causar incidentes que comprometam as informações e seus
ativos por meio da exploração de vulnerabilidades e que tra-
gam prejuízos a confidencialidade, integridade e disponibili-
dade da informação. Dentro desse contexto, um agente, pode
ser caracterizado por um hacker ou qualquer pessoa com in-
tenções afins ou que possa causar problemas que atentem
contra a segurança da informação, sistemas ou rede de com-
putadores;
• Vulnerabilidades: são fragilidades existentes ou associadas
Segurança de Redes
17
4. 1 Capítulo
Introdução à segurança
da informação
a ativos que processam informações e que se explorados po-
dem comprometer a segurança da informação;
• Incidentes de segurança: fato decorrente da ação de uma
ameaça que explora uma ou mais vulnerabilidades, levando
à perda ou comprometimento de um ou mais princípios da
segurança da informação;
• Riscos: são probabilidades de ameaças explorarem vulnera-
bilidades, provocando perdas ou danos aos ativos e as infor-
mações;
• Impacto: abrangência dos danos causados por um incidente
de segurança sobre um ou mais processos de trabalho;
• Controles: são práticas, procedimentos, mecanismos e po-
líticas que protegem um ativo contra uma ameaça, reduz a
vulnerabilidade, limita o impacto de eventos indesejáveis e
facilita o processo de recuperação do ambiente afetado.
Controles Controles Controles Controles Controles Controles Controles
Controles
Ativos
Am Vulnerabilidade ...
eaç
a Storage
Ameaça
Controles
Servidores Documentos
Controles Controles Controles
Figura 1.1 Relação entre ativos, controles, ameaças e vulnerabilidades.
18
Curso de Tecnologia em Análise e
Desenvolvimento de Sistemas
5. 1
Introdução à segurança
da informação Capítulo
1.7 Teoria do perímetro
Segundo (Sêmola, 2002) esta teoria está associado à compar-
timentalização de espaços físicos e lógicos. Isso distribui a resistência
por áreas, dificultando as tentativas de acesso indevido. Além disso,
propicia o estabelecimento de diversas barreiras de proteção até que
o agente possa alcançar o alvo, ou seja, a informação. Saber segmen-
tar os ativos físicos, tecnológicos e humanos em categorias, conforme
a similaridade de sua criticidade e valor facilitam a seleção dos me-
canismos de proteção adequados e garantem maior efetividade dos
mesmos.
1.8 Estratégias de proteção
Para otimizar a aplicação de recursos em função dos ativos a
serem protegidos, (Ramos, 2006) propõem estratégias de proteção
para o balanceamento entre a necessidade de proteção e as vulnerabi-
lidades e ameaças sobre esses ativos:
• Privilégio mínimo (Least Privilege): refere-se a uma não ex-
posição de risco desnecessária. Segundo esse enfoque, o
acesso a um usuário deve ser restrito as suas reais necessi-
dades para o desempenho de suas funções;
• Defesa em profundidade (Defense in Depth): refere-se à
aplicação de defesas distintas, de controles complementares
como redundância, para no caso de falha ou violação de um,
haja outro controle e não torne o sistema como um todo vul-
nerável e restrito a somente um único controle, pois em segu-
rança nada é infalível;
• Elo mais fraco (Weakest Link): refere-se ao princípio de que
o elo mais fraco de uma corrente define a resistência do sis-
tema, pois o invasor precisará apenas de uma falha para al-
cançar o seu objetivo;
Segurança de Redes
19
6. 1 Capítulo
Introdução à segurança
da informação
• Ponto de estrangulamento (Choke Point): refere-se a adotar
medidas de segurança estratégicas em um mesmo ponto de
controle em que passem todos os usuários;
• Segurança pela obscuridade (Security Throught Obscurity):
refere-se à estratégia de que quanto menos informações um
agente tiver a respeito do ambiente alvo, maior será a sua di-
ficuldade em invadi-lo, porém é preciso combinar outros con-
troles para que seja eficaz;
• Simplicidade (Simplicity): refere-se à estratégia de que quan-
to mais complexo um sistema, maior a dificuldade em torná-lo
seguro.
De acordo com essa abordagem pode-se verificar que antes de
implementar qualquer estratégia de segurança de informações, con-
vém que se verifique as seguintes questões:
• O que proteger?
• Contra que ou quem?
• Quais as ameaças mais prováveis?
• Qual a importância de cada recurso?
• Qual o grau de proteção desejado?
• Quanto tempo, recursos humanos e financeiros se pretende
gastar para atingir os objetivos de segurança desejados?
• Quais as expectativas dos usuários e clientes em relação à
segurança das informações?
• Quais as consequências para a organização, caso seus siste-
mas e informações sejam violados ou roubados?
Tendo a resposta a essas perguntas, é possível iniciar os primei-
ros passos para a definição de uma política de segurança da informa-
ção, tendo por base uma análise de riscos criteriosa.
20
Curso de Tecnologia em Análise e
Desenvolvimento de Sistemas
7. 1
Introdução à segurança
da informação Capítulo
1.9 Segurança de redes
Pela avaliação de (Tanenbaum, 2003), a conceituação de segu-
rança talvez seja a mais complexa da Informática, pois envolve, obri-
gatoriamente, todos os produtos e serviços associados aos computa-
dores e processos automatizados, abrangendo políticas, ferramentas,
tecnologias e diversos procedimentos.
Atualmente, para proteger a rede é necessário um conjunto de
ferramentas e técnicas de segurança. Em virtude do aumento significa-
tivo dos ataques as redes de computadores em todo o mundo é preciso
investir em segurança de forma estratégica e inteligente.
As principais ameaças estão ligadas geralmente aos hackers,
porém podem estar vinculadas à ex-funcionários, espiões, terroristas
ou qualquer outra pessoa que se possa valer de algum método furtivo
dos ativos ou informações de uma rede de computadores.
Atendo-se aos hackers, por ser o agente mais comum aos ata-
ques as redes de computadores, verifica-se que os ataques realizados
por eles são motivados por diversão, espionagem industrial, vingança
ou vaidade, para mostrar a sua capacidade aos outros hackers.
Conforme (Mitnick, 2003), um hacker competente toma várias
preocupações antes de realizar um ataque. Ele realiza um estudo do
alvo buscando o máximo de informações possíveis sobre o sistema
usado pela vítima e as falhas de segurança desse sistema.
Outro fator que é levado em consideração é a escolha do mo-
mento em que ele será efetivado. Normalmente os dias e horários pre-
feridos são durante os feriados, momento em que a equipe de segu-
rança é reduzida e uma contra-medida ao ataque é mais trabalhosa e
demorada.
Notoriamente, esses agentes estabelecem verdadeiros planos de
ações que incluem: estudo do alvo, utilizando-se da engenharia social e
de ferramentas de escuta; criação de um plano de execução, baseado
na posse de informações sobre qual serviço da rede está vulnerável;
informações sobre o sistema operacional usado e as vulnerabilidades
Segurança de Redes
21
8. 1 Capítulo
Introdução à segurança
da informação
de código remoto existentes. Inclui-se, ainda, o estabelecimento de um
ponto de entrada, atacando a vulnerabilidade mais recente; testes de
vulnerabilidades em potencial, para saber se o ataque será bem suce-
dido e se não irá gerar nenhum tipo de alerta; entre outros.
1.10 Engenharia social
É um método em que o agente se utiliza da persuasão para ob-
ter acesso a informações críticas sobre um sistema ou empresa alvo,
aproveitando-se da ingenuidade, confiança ou despreparo de usuários
ou funcionários. A analogia do nome é definida em Engenharia, por ser
baseado na construção de táticas de acesso a informações críticas;
e social por que seu alvo são pessoas com papéis definidos em uma
sociedade organizada.
Segundo (Pereira, 2005), o engenheiro social é capaz de es-
tudar seu alvo por meses, procurando detalhes mínimos e falhas que
possam levar a todas as informações necessárias até o momento da
abordagem, seja ela presencial ou por meio tecnológico. Além disso,
muitos dos engenheiros sociais dominam técnicas baseadas em PNL
(Programação Neurolinguística), o que permite fazer um estudo do
comportamento de seus alvos e definir modos de ações, de forma a
garantir um grande grau de interação, ganhando a confiança de seu
alvo para posteriormente conquistar seus objetivos. E tudo isso de uma
forma aparentemente simples: perguntando!
Para (Mitinik, 2003) uma empresa pode ter adquirido as me-
lhores tecnologias e ter treinado todo seu pessoal, porém mesmo as-
sim essa empresa ainda estará vulnerável. Esses indivíduos ainda
estarão completamente vulneráveis, porque o fator humano é o elo
mais fraco da segurança. Nessa afirmação, (Mitinik, 2003) alerta
para os erros em se canalizar os esforços na garantia da segurança
baseado somente em controles técnicos e tecnológicos, deixando-se
de levar em consideração o controle do fator humano e seus aspec-
tos. Em sua abordagem atenta para o emprego de políticas de segu-
22
Curso de Tecnologia em Análise e
Desenvolvimento de Sistemas
9. 1
Introdução à segurança
da informação Capítulo
rança, a fim de conscientizar e preparar todos os funcionários a se
defenderem desse tipo de ataque.
Deve-se considerar também a visão de (Ramos, 2006), sobre
as estratégias de proteção já mencionadas, principalmente no que
concerne as estratégias em relação ao elo mais fraco e a defesa em
profundidade.
1.11 Política de segurança
A política de segurança tem o propósito de regular como deve
ser gerenciada e protegida a informação, além dos recursos e usuários
que com ela interagem durante todo o seu ciclo de vida, fornecendo
orientação e apoio às ações de gestão de segurança. Dessa forma,
estabelece padrões, responsabilidades e critérios para o manuseio, ar-
mazenamento, transporte e descarte das informações, dentro do nível
de segurança estabelecido sob medida para a organização. Convém
que as dimensões a serem tratadas pela política de segurança abran-
jam os pontos de controle das normas de padronizações como a (NBR
27002, 2005). Dentre estes controles pode-se citar: responsabilidades
dos proprietários e custodiantes dos ativos da informação, estrutura e
organização da gestão da segurança, controles de conformidade legal,
requisitos de treinamento e capacitação de usuários, mecanismos de
controle de acesso físico e lógico, responsabilizações, auditoria do uso
de recursos, registros de incidentes, gestão da continuidade do negó-
cio, requisitos de treinamento e capacitação de usuários, mecanismos
de controle de acesso físico e lógico, auditoria do uso de recursos, en-
tre outros controles aplicáveis a cada organização.
Em virtude de sua abrangência, a política de segurança é subdi-
vidida em:
• Diretrizes: tem papel estratégico e expressa a importância
que a empresa dá a informação, divulgando aos funcioná-
rios seu valor e o grau de comprometimento exigido com a
segurança, de acordo com estratégia e atuação da empresa.
Segurança de Redes
23
10. 1 Capítulo
Introdução à segurança
da informação
Ex: estabelecimento da necessidade de salvaguarda de de-
terminada informação.
• Normas: detalham ambientes, situações e processos especí-
ficos. Fornecem orientação para uso adequado das informa-
ções. Ex: normas para admissão e demissão de funcionários,
para a criação e manutenção de senhas, para o descarte de
informação em mídia magnética, para o desenvolvimento e
manutenção de sistemas, para uso da Internet, para acesso
remoto, para o uso de notebook, para a contratação de servi-
ços terceirizados, para a classificação da informação, etc.
• Procedimentos e instruções: descreve meticulosamente
cada ação e atividade associada a cada situação distinta de
uso das informações. Ex: os procedimentos e os passos ne-
cessários para o descarte de mídia magnética.
1.12 Classificação das informações
A classificação de informações é o processo de identificar e defi-
nir níveis e critérios adequados de proteção visando garantir que cada
informação tenha o tratamento de segurança adequado ao seu valor,
aos requisitos legais, à sua sensibilidade, grau de criticidade e ao risco
de sua perda para a organização. A classificação é um dos pilares da
gestão da segurança da informação numa organização e deve estar
alinhada a sua política de segurança e aos objetivos e natureza do
negócio, observados os requisitos legais para o seu tratamento, de-
vendo contemplar todo o seu ciclo de vida: produção, armazenamento,
transporte e descarte.
Esse processo exige a formalização de dois documentos: o es-
quema de classificação, que contém as definições dos níveis de pro-
teção considerados, e um conjunto apropriado de procedimentos para
rotulação e tratamento da informação segundo esse esquema.
Quanto aos procedimentos para rotulação e tratamento da infor-
mação convém que sejam observados:
24
Curso de Tecnologia em Análise e
Desenvolvimento de Sistemas
11. 1
Introdução à segurança
da informação Capítulo
• A necessidade de segurança;
• A necessidade de acesso;
• A necessidade de conhecer;
• A natureza do seu conteúdo;
• A legislação vigente.
Quanto aos níveis de proteção e grau de sigilo, a classificação
depende do tipo e natureza da organização. No âmbito da Adminis-
tração Pública Federal, esse processo é regulado pelo Decreto 4.553
de 27 de dezembro de 2002, que define entre outras premissas, o
tempo de vida da classificação de sigilo da informação e a sua reclassi-
ficação. No âmbito privado esse processo dependerá das decisões do
nível estratégico da empresa, observados a natureza, os objetivos da
organização e os requisitos legais. De forma a ilustrar (Figura 1.2), a
classificação da informação pode seguir o seguinte rótulo:
• Secreto: informação crítica e de vital importância para os pro-
cessos de negócio da organização. O acesso deve ser restrito
a um número bastante reduzido de pessoas;
• Confidencial: dados ou informações com alto grau de sensibi-
lidade e criticidade e que pode levar a prejuízos estratégicos,
financeiros ou a perda de credibilidade com clientes, fornece-
dores ou parceiros de negócio;
• Reservado: dados ou informações com grau médio de sensi-
bilidade criticidade e que pode levar ao desequilíbrio opera-
cional da organização;
• Privativo: dados ou informações de interesse privativo ou se-
torial da organização;
• Público: dados ou informações de acesso público.
Segurança de Redes
25
12. 1 Capítulo
Introdução à segurança
da informação
Informação Público
Não Classificada
Privativo
Nível de Segurança
Baixo
Reservado
Nível de Segurança
Confidencial
Médio
Secreto
Nível de Segurança
Médio/Alto
Nível de Segurança
Alto
Figura 1.2 Níveis e rótulos de classificação da informação.
A ausência desse processo é um indicativo de que o tratamento
da segurança da informação na organização não está sendo feito de
forma consistente, pois aumenta o risco de que a proteção das infor-
mações não esteja adequada às necessidades do negócio.
1.13 Resumo
Neste Capítulo foram abordados conceitos e propriedades bá-
sicas da segurança da informação necessárias ao entendimento do
estudo em curso. Aprendemos que a confidencialidade, integridade e
disponibilidade são os pilares que sustentam a segurança da informa-
ção e que para garanti-los é preciso aplicar um conjunto de estratégias
e instrumentos, observando-se o valor dos ativos, a sua importância
para a organização, bem como as variáveis, agentes ou condições que
envolvem a sua exploração.
Dessa forma, foram apresentados conceitos acerca dos elemen-
tos, dos ativos da informação e de seu ciclo de vida, definindo as téc-
nicas e condições que a afetam e critérios gerais de proteção que
envolvem políticas e instrumentos que serão detalhados nos demais
capítulos.
26
Curso de Tecnologia em Análise e
Desenvolvimento de Sistemas
13. 1
Introdução à segurança
da informação Capítulo
Exercícios:
1) Associe:
1 - Teoria do perímetro
2 - Estratégia de proteção: ponto de estrangulamento
3 - Estratégia de proteção: defesa em profundidade
4 - Estratégia de proteção: segurança pela obscuridade
5 - Barreiras de proteção
( ) Quanto menos informações um agente tiver a respeito do am-
biente alvo, maior será a sua dificuldade em invadi-lo;
( ) Aplicação de defesas distintas, de controles complementares
como redundância, para no caso de falha ou violação de um,
haja outro controle e não torne o sistema como um todo vulne-
rável e restrito a somente um único controle;
( ) Tem por objetivo tornar o custo da invasão maior do que o valor
da informação;
( ) Resistência distribuída por espaços físicos e lógicos;
( ) Estratégicas em um mesmo ponto de controle em que passem
todos os usuários.
2) Descreva sucintamente os três pilares da Segurança da Informação
e cite exemplos de sua aplicação.
3) Qual a importância em se conhecer o ciclo de vida da informação?
4) Qual a importância da teoria do perímetro para a estratégia da segu-
rança da informação?
Segurança de Redes
27
14. 1 Capítulo
Introdução à segurança
da informação
5) Descreva sucintamente a correlação entre ameaça, vulnerabilidade
e risco.
6) Descreva incidente de segurança.
7) Cite uma situação que reflete uma ação da técnica de engenharia
social.
8) Qual a contra-medida recomendada para proteger os ativos da orga-
nização contra a ação da engenharia social.
9) Cite uma norma que faz parte da política de segurança da sua em-
presa.
10) Qual a importância da política de segurança para a organização?
11) Cite quatro benefícios da política de segurança para uma organi-
zação.
12) Por que a organização deve classificar suas informações?
13) Cite alguns rótulos empregados na classificação da informação de
sua organização.
14) Quais os prejuízos que uma organização pode sofrer por não clas-
sificar a informação?
28
Curso de Tecnologia em Análise e
Desenvolvimento de Sistemas