Alunos

Dejacir Marini Neto

Joyce dos Santos

Patricia Goes de Araujo

Wellington Rodrigues da Silva

Prof: Walter Roque Gonçalves

www.profwalter.net.br

Introdução

Os princípios básicos da segurança são a confidencialidade, integridade e disponibilidade das informações. Os benefícios evidentes são reduzir os riscos com vazamentos, fraudes, erros, uso indevido, sabotagens, roubo de informações e diversos outros problemas que possam comprometer estes princípios básicos. A segurança visa também aumentar a produtividade dos usuários através de um ambiente mais organizado, maior controle sobre os recursos de informática e finalmente, viabilizar aplicações críticas das empresas.

Sistema da Informação


Pode ser definido tecnicamente como um conjunto de componentes inter-relacionados que coleta (ou recupera), processa, armazena e distribui informações destinadas a apoiar a tomada de decisões, a coordenação e o controle de uma organização. Além de dar suporte à tomada de decisões, à coordenação e ao controle, esses sistemas também auxiliam os gerentes e trabalhadores a analisar problemas, visualizar assuntos complexos e criar novos produtos.

Os sistemas de informação contêm informações sobre pessoas, locais e coisas significativas para a organização ou para o ambiente que a cerca. Três atividades em um sistema de informação produzem as informações de que as organizações necessitam para tomar decisões, controlar operações, analisar problemas e criar novos produtos ou serviços. Essas atividades são a entrada, o processamento e a saída
A entrada captura ou coleta dados brutos de dentro da organização ou de seu ambiente externo. O processamento converte esses dados brutos em uma forma mais significativa. A saída transfere as informações processadas às pessoas que as utilizarão ou às atividades em que serão empregadas. Os sistemas de informação também requerem um feedback, que é a entrada que volta a determinados membros da organização para ajudá-los a avaliar ou corrigir o estágio de entrada.

Classificação das Informações


Nem toda informação é crucial ou essencial a ponto de merecer cuidados especiais. Por outro lado, determinada informação pode ser tão vital que o custo de sua integridade, qualquer que seja, ainda será menor que o custo de não dispor dela adequadamente. Em (Wadlow, 2000; Abreu, 2001; Boran, 1996) é exposto, a necessidade de classificação da informação em níveis de prioridade, respeitando a necessidade de cada empresa assim como a importância da classe de informação para a manutenção das atividades da empresa:
Pública – informação que pode vir a público sem maiores conseqüências danosas ao funcionamento normal da empresa, e cuja integridade não é vital;
Interna – o acesso a esse tipo de informação deve ser evitado, embora as conseqüências do uso não autorizado não sejam por demais sérias. Sua integridade é importante, mesmo que não seja vital;
Confidencial – informação restrita aos limites da empresa, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, perdas financeiras,  u de confiabilidade perante o cliente externo, além de permitir vantagem expressiva ao concorrente;
Secreta – informação crítica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas. A manipulação desse tipo de informação é vital para a companhia.
Entretanto, independentemente da relevância ou tipo da informação, a gestão dos dados organizacionais é estratégica, pois possibilita o apoio para a tomada de decisões em qualquer âmbito institucional. Algumas informações são centrais para organização e a divulgação parcial ou total destas pode alavancar um número de repercussões cuja complexidade pode ser pouco ou nada administrável pela organização com conseqüências possivelmente nefastas.

Pilares da Segurança da Informação


A segurança da informação é a proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação não-autorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento (NBR 17999, 2003; Dias, 2000; Wadlow, 2000; Krause e Tipton, 1999).

Principais pilares:
Confidencialidade – A informação somente pode ser acessada por pessoas explicitamente autorizadas; É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso ao mesmo. O aspecto mais importante deste item é garantir a identificação e autenticação das partes envolvidas.
Disponibilidade – A informação ou sistema de computador deve estar disponível no momento em que a mesma for necessária;
Integridade – A informação deve ser retornada em sua forma original no momento em que foi armazenada; É a proteção dos dados ou informações contra modificações intencionais ou acidentais não-autorizadas.

Outros autores:
Autenticidade – Garante que a informação ou o usuário da mesma é autêntico; Atesta com exatidão, a origem do dado ou informação;
Não repúdio – Não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação; Não é possível negar o envio ou recepção de uma informação ou dado;
Legalidade – Garante a legalidade (jurídica) da informação; Aderência de um sistema à legislação; Característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes.
Privacidade – Foge do aspecto de confidencialidade, pois uma informação pode ser considerada confidencial, mas não privada. Uma informação privada deve ser vista / lida / alterada somente pelo seu dono. Garante ainda, que a informação não será disponibilizada para outras pessoas (neste é caso é atribuído o caráter de confidencialidade a informação); É a capacidade de um usuário realizar ações em um sistema sem que seja identificado.
Auditoria – Rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação foi submetida, identificando os participantes, os locais e horários de cada etapa. Auditoria em software significa uma parte da aplicação, ou conjunto de funções do sistema, que viabiliza uma auditoria; Consiste no exame do histórico dos eventos dentro de um sistema para determinar quando e onde ocorreu uma violação de segurança.

Gerenciamento de Risco

O risco não é um novo problema ou uma nova terminologia; os seres humanos sempre tiveram de enfrentar (ou encarar) os riscos no seu meio ambiente, embora seu significado tenha mudado, como tem mudado a sociedade e o próprio meio onde vive.
Uma das ferramentas mais poderosas no gerenciamento de riscos é o conhecimento. Na era do conhecimento, onde a informação é considerada um dos principais patrimônios de grande parte das organizações, esta deve ser tratada como tal, sendo protegidas nos seus aspectos de disponibilidade, integridade, confidencialidade e autenticidade, seguindo a linha adotada pelo Governo Federal. Neste contexto, o gerenciamento de risco indica os caminhos e as informações que devem ser protegidas.

Mas como proteger uma informação ?
Inicialmente, faz-se necessário uma definição do que seja Gerenciamento de Riscos propriamente dito. Este é um processo que objetiva identificar os riscos ao negócio de uma empresa e, a partir de critérios de priorização, tomar ações que minimizem seus efeitos. É caracterizado, sobretudo, por ter uma abordagem mais estruturada e científica.É dividido em 4 (quatro) etapas básicas:
1. Identificação dos Riscos: Como o próprio nome já diz, nessa etapa são identificados os riscos a que o negócio (o foco sempre deve ser este) está sujeito.
O primeiro passo é a realização de uma Análise de Riscos, que pode ser tanto quantitativa – baseada em estatísticas, numa análise histórica dos registros de incidentes de segurança – quanto qualitativa – baseada em knowhow, geralmente realizada por especialistas, que têm profundos conhecimentos sobre o assunto.
Devido a sua agilidade, geralmente as empresas tendem a adotar os modelos qualitativos, que não requer cálculos complexos. Independentemente do método adotado, uma Análise de Riscos deve contemplar algumas atividades, como o levantamento de ativos a serem analisadas, definições de uma lista de ameaças e identificação de vulnerabilidades nos ativos.
2. Quantificação dos Riscos: Nessa etapa é mensurado o impacto que um determinado risco pode causar ao negócio. Como é praticamente impossível oferecer proteção total contra todas as ameaças existentes, é preciso identificar os ativos e as vulnerabilidades mais críticas, possibilitando a priorização dos esforços e os gastos com segurança.
Uma das ferramentas existentes no mercado é o BIA, do inglês Business Impact Analysys. Esta técnica consiste, basicamente, da estimativa de prejuízos financeiros decorrentes da paralisação de um serviço. Você é capaz de responder quanto sua empresa deixaria de arrecadar caso um sistema estivesse indisponível durante 2 horas? O objetivo do BIA é responder questões desse tipo.
3. Tratamento dos Riscos: Uma vez que os riscos foram identificados e a organização definiu quais serão tratados, as medidas de segurança devem ser de fato implementadas.
Definições de quais riscos serão tratadas ? Isso mesmo. O ROI e o BIA servem justamente para auxiliar nesta tarefa. Alguns riscos podem ser eliminados, outros reduzidos ou até mesmo aceitos pela empresa, tendo sempre a situação escolhida documentada. Só não é permitido ignorá-los.
Nessa etapa ainda podem ser definidas medidas adicionais de segurança, como os Planos de Continuidade dos Negócios – que visam manter em funcionamento os serviços de missão-crítica, essenciais ao negócio da empresa, em situações emergenciais – e Response Teams – que possibilitam a detecção e avaliação dos riscos em tempo real, permitindo que as providências cabíveis sejam tomadas rapidamente.
4. Monitoração dos Riscos: O Gerenciamento de Riscos é um processo contínuo, que não termina com a implementação de uma medida de segurança. Através de uma monitoração constante, é possível identificar quais áreas foram bem sucedidas e quais precisam de revisões e ajustes.
Mas como realizar uma monitoração de segurança? O ideal é que este trabalho seja norteado por um modelo de Gestão de Segurança, que defina atribuições, responsabilidades e fluxos de comunicação interdepartamentais.
Só que a realidade costuma ser bem diferente... Não são todas as empresas que possuem uma estrutura própria para tratar a segurança de suas informações.
Então a monitoração de riscos pode ocorrer numa forma mais light, digamos. Não é necessário todo o formalismo de uma estrutura específica, mas devem ser realizadas algumas atividades importantes, tais como:
• Elaboração de uma política de segurança, composta por diretrizes, normas, procedimentos e instruções, indicando como deve ser realizado o trabalho, e
• Auditoria de segurança, a fim de assegurar o cumprimento dos padrões definidos e, conseqüentemente, medir a eficácia da estratégia de segurança adotada.
Um efetivo gerenciamento de riscos necessita de alguns requisitos básicos que devem ser de conhecimento de todos os envolvidos nesse assunto. Esse conhecimento, inclusive, é uma outra dificuldade a ser vencida.
Normalmente apenas algumas pessoas ficam sabendo do processo de gerenciamento de riscos. O desejável é que todos os envolvidos tenham acesso às informações desse gerenciamento, considerando, evidentemente, a questão da confidencialidade da informação: acesso parcial, acesso somente de leitura, acesso para atualização, etc... Neste caso o uso de uma ferramenta adequada e com inteligência para tratar todas as informações geradas é fundamental.
Como requisitos básicos para o gerenciamento de riscos, consideramos que devam existir:

Objetivos de negócio – Antes de qualquer análise de riscos, devem existir os objetivos de negócio relativos à organização ou à área organizacional em estudo. Somente podemos falar em riscos, se existem os objetivos de negócio. Cada objetivo deve ser o mais explícito possível. "Crescer o faturamento em 15% em relação ao ano passado" é muito melhor do que um genérico "aumentar o faturamento". "Garantir um tempo de resposta no ambiente computacional de no máximo três segundos" é muito melhor do que "ter um tempo de resposta que deixe o usuário satisfeito".

Riscos e Ações

Riscos – Para cada objetivo de negócio definido, devem ser identificados os riscos que podem impedir que esse objetivo seja alcançado.
Em uma primeira análise pode se fazer uma listagem completa de todos os riscos possíveis e imagináveis. Depois podem ser selecionados os riscos mais significativos para que o trabalho de gerenciamento de risco tenha um custo / benefício adequado.

Ações – Para cada risco selecionado e definido como significante para o processo de gerenciamento de riscos, devemos identificar ações que possam minimizar a ocorrência desse risco. Essas ações podem já existir ou não. Na medida em que esses elementos forem sendo identificados em um número crescente, temos a necessidade de avaliar a prioridade e importância de todo esse material. Mas, que parâmetros devemos tomar por base ? Quais as avaliações que devemos fazer ? Para cada um dos elementos sugerimos que sejam analisados:
• Importância para o negócio – Cada objetivo deve ser avaliado sobre a sua importância para o negócio da organização.
• Probabilidade de ocorrência – Os riscos devem ser analisados sob a probabilidade de sua ocorrência. Impacto no negócio – Cada ocorrência de risco traz impactos diferentes para o negócio da organização. Identificar o grau desse impacto será um dado importante para a priorização desse processo.
• Grau de minimização do risco – As ações definidas para minimizar um risco possuem um grau de eficácia. Quanto mais eficazes forem, maior o poder de minimização do risco.
• Esforço a ser gasto – O esforço associado para que a ação possua uma boa eficácia é um parâmetro a ser considerado. Muito esforço em ações que minimizem riscos de pequeno impacto no negócio significa um ponto de atenção.
Para se chegar aos valores desses parâmetros a serem julgadas, as organizações necessita de um processo que expresse verdadeiramente a avaliação das pessoas envolvidas. Este processo pode ser desde um simples questionário até sessões de trabalho conduzidas por facilitadores e com apoio de softwares de decisão de grupo.
Muitos erros podem ser cometidos nesse processo de gerenciamento de riscos. Uma forma de minimizar esses erros é considerar como fatores críticos de sucesso:
• A definição do escopo da área a ser trabalhada;
• A definição explícita dos objetivos de negócio;
• A existência de uma abordagem metodológica;
• O acesso à informação por todos os envolvidos.

Análise


A análise de risco consiste em um processo de identificação e avaliação dos fatores de risco presentes e de forma antecipada no Ambiente Organizacional, possibilitando uma visão do impacto negativo causado aos negócios.
Através da aplicação deste processo, é possível determinar as prioridades de ação em função do risco identificado, para que seja atingido o nível de segurança desejado pela organização. Proporciona também informações para que se possa identificar o tamanho e o tipo de investimento necessário de forma antecipada aos impactos na Organização causados pela perda ou indisponibilidade dos recursos fundamentais para o negócio. Sem um processo como este não são possíveis identificar a origem das vulnerabilidades, nem visualizar os riscos.
Utiliza-se como métrica as melhores práticas de segurança dainformação do  ercado, apontadas na norma ISO/IEC 17799. A partir destas informações faz-se possível à elaboração do perfil de risco, que segue a fórmula: (Ameaça) x (Vulnerabilidade) x (Valor do Ativo) = RISCO. Atenção: a ISO/IEC 17799 não ensina a analisar o risco, serve apenas como referência normativa.

Ameaças


Potencial violação de segurança. Existe quando houver uma circunstância, potencialidade, ação ou evento que poderia romper a segurança e causar o dano;
Ameaça Inteligente: Circunstância onde um adversário tem a potencialidade técnica e operacional para detectar e explorar uma vulnerabilidade de um sistema;
Ameaça de Análise: Uma análise da probabilidade das ocorrências e das conseqüências de ações prejudiciais a um sistema;
Conseqüências de uma ameaça: Uma violação de segurança resultado da ação de uma ameaça. Inclui: divulgação, usurpação, decepção e rompimento;
A ameaça pode ser definida como qualquer ação, acontecimento ou entidade que possa agir sobre um ativo, processo ou pessoa, através de uma vulnerabilidade e conseqüentemente gerando um determinado impacto. As ameaças apenas existem se houverem vulnerabilidades, sozinhas pouco fazem.
Conforme descrito em (Sêmola, 2003), as ameaças podem ser classificadas quanto a sua intencionalidade e ser divididas em grupos:
Naturais – Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades, poluição, etc.
Involuntárias – Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia, etc.
Voluntárias – Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.
Elas podem se originar de fatores técnicos, organizacionais e ambientais, agravados por más decisões administrativas (Laudon e Laudon, 2004).
Assinar: Postagens (Atom)