Nível de segurança
Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança a estabelecer para uma rede ou sistema os recursos físicos e lógicos a necessitar de proteção. No nível de segurança devem ser quantificados os custos associados aos ataques e os associados à implementação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um ataque.
Segurança física
Considera as ameaças físicas como incêndios, desabamentos, relâmpagos, alagamento, algo que possa danificar a parte física da segurança, acesso indevido de estranhos, forma inadequada de tratamento e manuseio do veículo.
Segurança lógica
Atenta contra ameaças ocasionadas por vírus, acessos remotos à rede, backup desatualizados, violação de senhas, furtos de identidades, etc.
Segurança lógica é a forma como um sistema é protegido no nível de sistema operacional e de aplicação. Normalmente é considerada como proteção contra ataques, mas também significa proteção de sistemas contra erros não intencionais, como remoção acidental de importantes arquivos de sistema ou aplicação.
Políticas de segurança
De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.
As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.
O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido.
Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.
Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).
Os elementos da política de segurança devem ser considerados:
A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar, possa usar. Dados críticos devem estar disponíveis ininterruptamente.
A Legalidade.
A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.
A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.
Políticas de Senhas
Dentre as políticas utilizadas pelas grandes corporações a composição da senha ou password é a mais controversa. Por um lado profissionais com dificuldade de memorizar varias senhas de acesso, por outro funcionários displicentes que anotam a senha sob o teclado no fundo das gavetas, em casos mais graves o colaborador anota a senha no monitor.
Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra fundamental é a conscientização dos colaboradores quanto ao uso e manutenção das senhas.
Senha com data para expiração
Adota-se um padrão definido onde a senha possui prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usuário a renovar sua senha.
Inibir a repetição
Adota-se através de regras predefinidas que uma senha uma vez utilizada não poderá ter mais que 60% dos caracteres repetidos, p. ex: senha anterior “123senha” nova senha deve ter 60% dos caracteres diferentes como “456seuse”, neste caso foram repetidos somente os caracteres “s” “e” os demais diferentes.
Obrigar a composição com número mínimo de caracteres numéricos e alfabéticos
Define-se obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos, por exemplo:
1s4e3u2s posicional os 4 primeiros caracteres devem ser numéricos e os 4 subsequentes alfabéticos por exemplo: 1432seus.
Criar um conjunto com possíveis senhas que não podem ser utilizadas
Monta-se uma base de dados com formatos conhecidos de senhas e proibir o seu uso, como por exemplo o usuário chama-se Jose da Silva, logo sua senha não deve conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4
Recomenda-se ainda utilizar senhas com Case Sensitive e utilização de caracteres especiais como: @ # $ % & *
Proibição de senhas que combinam com o formato de datas do calendário, placas , números de telefone, ou outros números comuns
Proibição do uso do nome da empresa ou uma abreviatura
Uma senha de Meio Ambiente, da seguinte forma: consoante, vogal, consoante, consoante, vogal, consoante, número, número (por exemplo pinray45). A desvantagem desta senha de 8 caracteres é conhecida a potenciais atacantes, o número de possibilidades que precisam ser testados é menos do que uma senha de seis caracteres de nenhuma forma.
Outros sistemas de criar a senha para os usuários ou deixar que o usuário escolha um de um número limitado de opções exibidas.
A Gestão de Riscos unida à Segurança da Informação
A Gestão de Riscos, por sua vez, fundamental para garantir o perfeito funcionamento de toda a estrutura tecnológica da empresa, engloba a Segurança da Informação, já que hoje a quantidade de vulnerabilidades e riscos que podem comprometer as informações da empresa é cada vez maior.
Ao englobar a Gestão da Segurança da Informação, a Gestão de Riscos tem como principais desafios proteger um dos principais ativos da organização - a informação - assim como a reputação e a marca da empresa, implementar e gerir controles que tenham como foco principal os objetivos do negócio, promover ações corretivas e preventivas de forma eficiente, garantir o cumprimento de regulamentações e definir os processos de gestão da Segurança da Informação. Entre as vantagens de investir na Gestão de Riscos voltada para a Segurança da Informação estão a priorização das ações de acordo com a necessidade e os objetivos da empresa e a utilização de métricas e indicadores de resultados.
Referências
'Meu amigo foi atacado por um hacker'; sistema da Microsoft tenta evitar roubo de senhas no Hotmail, acessado em 5 de maio de 2012
Terpstra, John. Segurança para Linux. RJ: Elsevier, 2005. ISBN 85-352-1599-9
Melhorar a usabilidade de Gerenciamento de senha com políticas de senha padronizados
Claudia Dias, Segurança e Auditoria da Tecnologia da Informação, 2000, Editora: Axcel Books 142, ISBN 85-7323-231-9.
ISO/IEC 17799
Origem: Wikipédia, a enciclopédia livre.
A ISO/IEC 17799 1 foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico BS 7799-1:1999.
No mundo atual, globalizado e interativo, temos a capacidade de disponibilizar e absorver uma quantidade considerável de informação, principalmente através dos meios de comunicação e da internet. Informação significa, de acordo com os dicionários vigentes, o ‘ato ou o efeito de informar, a transmissão de notícia e/ou conhecimentos, uma instrução’ (Dicionário WEB). Quando levamos em consideração as organizações, a informação toma uma dimensão extremamente importante, pois decisões importantes são tomadas com base na mesma. Assim, neste ambiente de empresas interligadas e extremamente competitivas, a informação se torna um fator essencial para a abertura e manutenção de negócios e como tal, precisa ser protegida. A segurança da informação é a forma encontrada pelas organizações para proteger os seus dados, através de regras e controles rígidos, estabelecidos, implementados e monitorados constantemente. É sabido que muitos sistemas de informação não foram projetados para protegerem as informações que geram ou recebem, e essa é uma realidade tanto do setor Público como Privado. A interligação de redes públicas e privadas e o compartilhamento de recursos de informação dificultam o controle e a segurança do acesso, isso porque a computação distribuída acaba se tornando um empecilho à implementação eficaz de um controle de acesso centralizado. O sucesso da implementação de regras e controles rígidos de segurança da informação dependem de diversos fatores tais como: comprometimento de todos os níveis gerenciais; requisitos de segurança claros e objetivos; política de segurança que reflita o negócio da organização; processo eficaz de gestão dos incidentes da segurança da informação que possam acontecer, dentre outros. De acordo com a norma ABNT NBR ISO/IEC 17799:2005, o objetivo da política de segurança da informação é "Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização".
Se a orientação e o apoio aos objetivos da segurança da informação devem partir da direção da organização, fica claro que o profissional de TI é peça chave nesse contexto, já que uma das principais responsabilidades do mesmo é a gerência, manutenção e segurança das informações, dos servidores e dos equipamentos da rede. Este profissional deverá estar comprometido, apoiando ativamente todos os processos e diretrizes implementadas. Caso seja necessário, a direção da organização poderá direcionar e identificar as necessidades para a consultoria de um especialista interno ou externo em segurança da informação, analisando e coordenando os resultados desta consultoria por toda a organização.
O padrão é um conjunto de recomendações para práticas na gestão de Segurança da Informação. Ideal para aqueles que querem criar, implementar e manter um sistema.
A Norma ABNT NBR ISO/IEC-17799 foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21) pela Comissão de Estudo de Segurança Física em Instalações de Informática (CE-21:2-4.01) integra uma família de normas de sistema de gestão de segurança da informação SGSI que inclui normas sobre requisitos de sistema de gestão da segurança da informação, gestão de riscos, métricas e medidas, e diretrizes para implementação. Esta família de normas adota um esquema de numeração usando a série de números 27000 em sequência.
A Norma ABNT NBR ISO/IEC-17799 estabelece as diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Também pode ser utilizada como um guia prático para desenvolver os procedimentos de segurança da informação da organização.
Índice
1 Seções
1.1 Seção 0: Introdução
1.2 Seção 6: Organizando a segurança da informação
1.3 Seção 7: Gestão de Ativos
1.4 Seção 10: Gerenciamento das operações e comunicações
1.5 Seção 12: Aquisição, desenvolvimento e manutenção de sistema de informação
1.6 Seção 13: Gestão de incidentes de segurança da informação
1.7 Seção 14: Gestão da Continuidade do Negócio
1.8 Seção 15: Conformidade
2 Equivalência com Padrões Nacionais
3 Referências
Seções[editar | editar código-fonte]
A Norma ABNT NBR ISO/IEC-17799 foi elaborada em 11 seções, sendo elas apresentadas a seguir:
A Norma ABNT NBR ISO/IEC-17799 foi elaborada em 11 seções, sendo elas apresentadas a seguir:
Política de Segurança da Informação;
Organizando a Segurança da Informação;
Gestão de Ativos;
Segurança em Recursos Humanos;
Segurança Física e do Ambiente;
Gestão das Operações e Comunicações;
Controle de Acesso;
Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;
Gestão de Incidentes de Segurança da Informação;
Gestão da Continuidade do Negócio;
Conformidade.
Cada seção apresenta o seu objetivo. A seção se subdivide em categorias, e estas apresentam Controle, Diretrizes para implementação e Informações adicionais
Seção 0: Introdução[editar | editar código-fonte]
A introdução visa esclarecer os conceitos básicos sobre o que é segurança da informação, porque a segurança da informação é necessária, como estabelecer os requisitos de segurança da informação, como analisar e avaliar os riscos, as seleções de controle, o ponto de partida para segurança da informação, os fatores críticos de sucesso e desenvolvendo suas próprias diretrizes.
Seção 6: Organizando a segurança da informação[editar | editar código-fonte]
6.1 Infra estrutura da segurança da informação. É necessário uma estrutura de gerenciamento para controlar a segurança dentro da organização. E que a direção coordene e analise criticamente toda implementação da segurança da informação.
6.1.1 Comprometimento da direção com a segurança da informação. A direção precisa demonstrar total apoio a segurança da informação dentro da organização, definindo atribuições de forma clara e reconhecendo as responsabilidades da segurança da informação.
6.1.2 Coordenação da segurança da informação. As atividades de segurança da informação devem ser coordenadas por representantes de diferentes partes da organização. A participação e cooperação de gerentes, usuários, administradores, desenvolvedores, auditores, pessoal de segurança é essencial.
6.1.3 Atribuição de responsabilidades para a segurança da informação. Todas as responsabilidades envolvendo esse papel devem ser explícitas. A atribuição da segurança da informação deve está em conformidade com a política de segurança da informação (Ver seção 5). Convém que estas responsabilidades sejam mais detalhadas para diferentes locais e recursos de processamentos. Pessoas com responsabilidades definidas podem delegar as tarefas de segurança da informação para outros usuários assim como verificar se as tarefas delegadas estão sendo executadas corretamente.
6.1.4 Processo de autorização para os recursos de processamento da informação. A gestão de autorização para novos recursos de processamento da informação deve ser implementada. Diretrizes consideradas no processo de autorização: a) Os novos recursos devem ter a autorização pela parte administrativa e que essa autorização seja feita juntamente ao gestor responsável pela segurança da informação. b) Hardware e software sejam verificados afim de garantir compatibilidade com o sistema. c) O uso de novos recursos de informação, pessoais ou privados, exemplos: notebooks, palmtop e etc. podem inserir vulnerabilidades, sendo necessário a identificação e controle dos mesmos.
6.1.5 Acordos de confidencialidade. Convém que acordos de não divulgação que assegurem a proteção da organização sejam identificados e analisados criticamente. Tais acordos de confidencialidade e de não divulgação devem está em conformidade com as leis e regulamentações para a qual se aplicam (Ver 15.1.1) Requisitos para esses acordos de confidencialidade e de não divulgação devem ser analisados criticamente e periodicamente. Existem possibilidades de uma organização usar diferentes formas de acordos de confidencialidade irá depender das circunstâncias.
6.1.6 Contato com autoridades. Controle - Contactar com as autoridades Diretrizes para implementação - Saber quando e quais autoridades devem sercontatadas e se a lei foi violada, devem ser violada em tempo hábil. Avisar as organizações que estão sofrendo ataque (provedor de internet, operador de telecomunicações). Informações adicionais - Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado à gestão de incidentes de segurança da informação. Convém que responsabilidades e procedimentos estejam definidos para o manuseio efetivo de eventos de segurança da informação e fragilidades, uma vez que estes tenham sido notificados. Convém que um processo de melhoria contínua seja aplicado às respostas,monitoramento, avaliação e gestão total deincidentes de segurança da informação. Convém que onde evidências sejam exigidas, estas sejam coletadas para assegurar a conformidade com as exigências legais.
6.1.7 Contato com grupos especiais. Controle - Convém que sejam mantidos contatos apropriados com grupos de interesses especiais ou outros fórunsespecializados de segurança da informação e associações profissionais. Informações adicionais - Acordos de compartilhamento de informações podem ser estabelecidos para melhorar a cooperação e coordenação de assuntos de segurança da informação. Convém que tais acordos identifiquem requisitos para a proteção de informações sensíveis.
6.1.8 Análise crítica independente de segurança da informação. Controle - Convém que o enfoque da organização para gerenciar a segurança da informação e a sua implementaçãoseja analisado criticamente, de forma independente, a intervalos planejados,ou quando ocorreremmudanças significativas relativas à implementação da segurança da informação. Diretrizes para implementação - Convém que a análise crítica independente seja iniciada pela direção. E que a análise crítica seja executada por pessoas independentes da área avaliada. Os resultados tem que ser registrados e relatados para a direção que iniciou a análise e que esses registros fiquem mantidos. Tomar ações corretivas, se a análise crítica entender que sim. Informações adicionais - Convém que as áreas onde os gerentes regularmente fazem a análise críticapossam também ser analisadas criticamente de forma independente.
6.2 Partes externas. Objetivos: Manter a segurança dos recursos de processamento da informação e da informação da organização, que são acessados,processados, comunicados ou gerenciados por partes externa.
6.2.1 Identificação dos riscos relacionados com partes externas. Controle - Convém que os riscos para os recursos de processamento da informação e da informação da organização oriundos de processos do negócio que envolva as partes externas sejam identificados e controles apropriadosimplementados antes de se conceder o acesso. Diretrizes para implementação -Análise e avaliação de riscos sejam feitas para identificar quaisquer requisitos de controles específicos.
6.2.2 Identificando a segurança da informação, quando tratando com os clientes. Controle - Convém que todos os requisitos de segurança da informação identificados sejam considerados antes de conceder aos clientes o acesso aos ativos ou às informações da organização.
6.2.3 Identificando segurança da informação nos acordos com terceiros. Controle - Cobertura de todos os requisitos de segurança da informação relevantes. Diretrizes para implementação - Convém que o acordo assegure que não existe mal-entendido entre a organização e o terceiro. Convém que as organizaçõesconsiderem a possibilidade de indenização de terceiros. Entretanto, é importante que a organização planeje e gerencie a transição para um terceirizado e tenha processos adequados implantados para gerenciar as mudanças e renegociar ou encerrar os acordos. Acordos com terceiros podem também envolver outras partes.De um modo geral os acordos são geralmente elaborados pela organização. A organização precisa assegurar que a sua própria segurança da informação não é afetada desnecessariamente pelos requisitos do terceiro, estipulados no acordo imposto.