Skip to main content
Global

6.3: Ferramentas para segurança da informação

  1. Last updated
  2. Save as PDF
  • Page ID
    171027

    • \( \newcommand{\vecs}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \) \( \newcommand{\vecd}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash {#1}}} \)\(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\) \(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\)\(\newcommand{\AA}{\unicode[.8,0]{x212B}}\)

    Para garantir a confidencialidade, integridade e disponibilidade das informações, as organizações podem escolher entre várias ferramentas. Cada uma dessas ferramentas pode ser utilizada como parte de uma política geral de segurança da informação, que será discutida na próxima seção.

    AUTENTICAÇÃO

    A forma mais comum de identificar pessoas é por meio da aparência física, mas como identificamos alguém sentado atrás da tela do computador ou no caixa eletrônico? As ferramentas de autenticação são usadas para garantir que a pessoa que acessa as informações seja, de fato, quem ela se apresenta.

    A autenticação pode ser realizada identificando alguém por meio de um ou mais dos três fatores: algo que eles sabem, algo que têm ou algo que são. Por exemplo, a forma mais comum de autenticação atualmente é o ID do usuário e a senha. Nesse caso, a autenticação é feita confirmando algo que o usuário conhece (seu ID e senha). Mas essa forma de autenticação é fácil de comprometer (consulte a barra lateral), e às vezes são necessárias formas mais fortes de autenticação. Identificar alguém apenas por algo que ele tem, como uma chave ou um cartão, também pode ser problemático. Quando esse token de identificação é perdido ou roubado, a identidade pode ser facilmente roubada. O fator final, algo que você é, é muito mais difícil de comprometer. Esse fator identifica um usuário por meio de características físicas, como uma tomografia ocular ou impressão digital. Identificar alguém por meio de suas características físicas é chamado de biometria.

    Uma forma mais segura de autenticar um usuário é fazer a autenticação multifator. A combinação de dois ou mais dos fatores listados acima torna muito mais difícil para alguém se deturpar. Um exemplo disso seria o uso de um token RSA SecurID. O dispositivo RSA é algo que você tem e gerará um novo código de acesso a cada sessenta segundos. Para fazer login em um recurso de informações usando o dispositivo RSA, você combina algo que você conhece, um PIN de quatro dígitos, com o código do dispositivo. A única maneira de se autenticar adequadamente é conhecer o código e ter o dispositivo RSA.

    uma imagem de cor cinza RSA SecurID e uma janela mostrando um número de 6 dígitos
    Figura\(\PageIndex{1}\): Um token RSA SecurID SID800 com conector USB. [1]A imagem de Alexander Klink é licenciada CC BY

    Controle de acesso

    Depois que um usuário for autenticado, a próxima etapa é garantir que ele possa acessar os recursos de informação apropriados. Isso é feito por meio do uso do controle de acesso. O controle de acesso determina quais usuários estão autorizados a ler, modificar, adicionar e/ou excluir informações. Existem vários modelos diferentes de controle de acesso. Aqui discutiremos dois: a lista de controle de acesso (ACL) e o controle de acesso baseado em funções (RBAC).

    Para cada recurso de informação que uma organização deseja gerenciar, uma lista de usuários que têm a capacidade de realizar ações específicas pode ser criada. Esta é uma lista de controle de acesso ou ACL. Para cada usuário, recursos específicos são atribuídos, como leitura, gravação, exclusão ou adição. Somente usuários com esses recursos podem realizar essas funções. Se um usuário não estiver na lista, ele não poderá nem mesmo saber que o recurso de informação existe.

    Os ACLs são simples de entender e manter. No entanto, eles têm vários inconvenientes. A principal desvantagem é que cada recurso de informação é gerenciado separadamente. Se um administrador de segurança quisesse adicionar ou remover um usuário de um grande conjunto de recursos de informação, não seria fácil. E à medida que o número de usuários e recursos aumenta, as ACLs se tornam mais difíceis de manter. Isso levou a um método aprimorado de controle de acesso, chamado controle de acesso baseado em função, ou RBAC. Com o RBAC, em vez de conceder a usuários específicos direitos de acesso a um recurso de informação, os usuários são atribuídos a funções e, em seguida, essas funções recebem acesso. Isso permite que os administradores gerenciem usuários e funções separadamente, simplificando a administração e, por extensão, melhorando a segurança.

    mostre 3 tabelas de dados. Lendo da esquerda: Tabela Controle de acesso Controle de acesso baseado em funções Atribuições de funções com nomes associados a uma função e acesso.
    Figura\(\PageIndex{2}\): Comparação de ACL e RBAC. A imagem de David Bourgeois é licenciada CC BY 4.0

    Criptografia

    Muitas vezes, uma organização precisa transmitir informações pela Internet ou transferi-las em mídia externa, como um USB. Nesses casos, mesmo com a autenticação e o controle de acesso adequados, uma pessoa não autorizada pode acessar os dados. A criptografia é um processo de codificação de dados em sua transmissão ou armazenamento para que somente indivíduos autorizados possam lê-los. Essa codificação é realizada por um programa de computador, que codifica o texto simples que precisa ser transmitido; então, o destinatário recebe o texto cifrado e o decodifica (decodificação). Para que isso funcione, o remetente e o destinatário precisam concordar com o método de codificação para que ambas as partes possam se comunicar adequadamente. Ambas as partes compartilham a chave de criptografia, permitindo que codificem e decodificem as mensagens umas das outras. Isso é chamado de criptografia de chave simétrica. Esse tipo de criptografia é problemático porque a chave está disponível em dois lugares diferentes.

    um diagrama mostrando o fluxo de criptografia de Bob para Alice e, em seguida, descriptografar para chegar até Alice
    Figura\(\PageIndex{3}\): Criptografia de chave simétrica/privada. A imagem de Phayzfaustyn é licenciada CC0 1.0

    Uma alternativa à criptografia de chave simétrica é a criptografia de chave pública. Na criptografia de chave pública, duas chaves são usadas: uma chave pública e uma chave privada. Para enviar uma mensagem criptografada, você obtém a chave pública, codifica a mensagem e a envia. O destinatário então usa a chave privada para decodificá-la. A chave pública pode ser dada a qualquer pessoa que deseje enviar uma mensagem ao destinatário. Cada usuário precisa de uma chave privada e uma pública para proteger as mensagens. A chave privada é necessária para decifrar algo enviado com a chave pública.

    mostre o fluxo do remetente para o destinatário por meio de um canal de comunicação para criar texto cifrado entre dois laptops
    Figura\(\PageIndex{4}\): Criptografia de chave pública. Imagem de David Bourgeoi Ph.D. é licenciado CC BY 4.0

    Barra lateral: Segurança de senha

    A segurança de uma senha depende de seus pontos fortes para se proteger contra suposições de força bruta. Senhas fortes reduzem as violações gerais de segurança porque é mais difícil para os criminosos adivinharem.

    As políticas e tecnologias de senhas evoluíram para combater as ameaças à segurança, de senhas curtas a longas, de autenticação de fator único a autenticações multifatoriais. A maioria das empresas agora tem requisitos específicos para que os usuários criem senhas e como elas são autenticadas.

    Abaixo estão algumas das políticas mais comuns que as organizações devem implementar.

    • Exija senhas complexas que dificultem a adivinhação. Por exemplo, uma boa política de senha exige o uso de no mínimo oito caracteres e pelo menos uma letra maiúscula, um caractere especial e um número.
    • Altere as senhas regularmente. Os usuários devem alterar suas senhas regularmente. Os usuários devem alterar suas senhas a cada sessenta a noventa dias, garantindo que quaisquer senhas que possam ter sido roubadas ou adivinhadas não sejam usadas contra a empresa.
    • Treine os funcionários para não divulgarem senhas. Um dos principais métodos usados para roubar senhas é descobri-las perguntando aos usuários ou administradores. A premensagem de texto ocorre quando um invasor liga para um suporte técnico ou administrador de segurança e finge ser um determinado usuário autorizado com problemas para fazer login. Em seguida, ao fornecer algumas informações pessoais sobre o usuário autorizado, o invasor convence a pessoa de segurança a redefinir a senha e dizer o que ela é. Outra forma pela qual os funcionários podem ser induzidos a fornecer senhas é por meio de phishing por e-mail.
    • Treine os funcionários para não clicarem em um link. O phishing ocorre quando um usuário recebe um e-mail que parece ser de uma fonte confiável, como seu banco ou seu empregador. No e-mail, o usuário é solicitado a clicar em um link e fazer login em um site que imita o site original e inserir seu ID e senha, que o invasor então captura.

    Backups

    Outra ferramenta essencial para a segurança da informação é um plano de backup abrangente para toda a organização. Não só os dados nos servidores corporativos devem ser copiados, mas também os computadores individuais usados em toda a organização. Um bom plano de backup deve consistir em vários componentes.

    • Uma compreensão completa dos recursos de informação organizacional . Quais informações a organização realmente tem? Onde está armazenado? Alguns dados podem ser armazenados nos servidores da organização, outros dados nos discos rígidos dos usuários, alguns na nuvem e outros em sites de terceiros. Uma organização deve fazer um inventário completo de todas as informações que precisam ser copiadas e determinar a melhor forma de fazer backup delas.
    • Backups regulares de todos os dados. A frequência dos backups deve ser baseada na importância dos dados para a empresa, combinada com a capacidade da empresa de substituir quaisquer dados perdidos. O backup dos dados críticos deve ser feito diariamente, enquanto os menos críticos podem ser copiados semanalmente.
    • Armazenamento externo de conjuntos de dados de backup. Se todos os dados de backup estiverem sendo armazenados na mesma instalação das cópias originais dos dados, um único evento, como um terremoto, incêndio ou tornado, eliminaria tanto os dados originais quanto o backup! É essencial que parte do plano de backup seja armazenar os dados em um local externo.
    • Teste de restauração de dados. Regularmente, os backups devem ser testados com a restauração de alguns dos dados. Isso garantirá que o processo esteja funcionando e dará à organização confiança no plano de backup.

    Além dessas considerações, as organizações também devem examinar suas operações para determinar o efeito que o tempo de inatividade teria em seus negócios. Se sua tecnologia da informação ficasse indisponível por um período prolongado de tempo, como isso afetaria os negócios?

    Conceitos adicionais relacionados ao backup incluem o seguinte:

    • Fonte de alimentação universal (UPS ). Um UPS é um dispositivo que fornece backup de bateria para componentes críticos do sistema, permitindo que eles permaneçam on-line por mais tempo e/ou permitindo que a equipe de TI os desligue usando procedimentos adequados para evitar a perda de dados que pode ocorrer devido a uma falha de energia.
    • Sites alternativos ou “populares” . Algumas organizações optam por ter um local alternativo em que sua réplica de dados essenciais esteja sempre atualizada. Quando o site principal fica inativo, o site alternativo é imediatamente colocado on-line para ter pouco ou nenhum tempo de inatividade.

    À medida que as informações se tornaram um ativo estratégico, todo um setor surgiu em torno das tecnologias necessárias para implementar uma estratégia de backup adequada. Uma empresa pode contratar um provedor de serviços para fazer backup de todos os seus dados ou comprar grandes quantidades de espaço de armazenamento on-line e fazer isso sozinha. A maioria das grandes empresas agora usa tecnologias como redes de área de armazenamento e sistemas de arquivamento.

    Firewalls

    Outro método que uma organização deve usar para aumentar a segurança em sua rede é um firewall. Um firewall pode existir como hardware ou software (ou ambos). Um firewall de hardware é um dispositivo conectado à rede e filtra os pacotes com base em um conjunto de regras. Um firewall de software é executado no sistema operacional e intercepta pacotes quando eles chegam ao computador. Um firewall protege todos os servidores e computadores da empresa bloqueando pacotes de fora da rede da organização que não atendem a um conjunto estrito de critérios. Um firewall também pode ser configurado para restringir o fluxo de pacotes que saem da organização. Isso pode ser feito para eliminar a possibilidade de funcionários assistirem vídeos do YouTube ou usarem o Facebook em um computador da empresa.

    Algumas organizações podem optar por implementar vários firewalls como parte de sua configuração de segurança de rede, criando uma ou mais seções de sua rede parcialmente protegida. Esse segmento da rede é conhecido como DMZ, emprestando o termo zona desmilitarizada dos militares. É onde uma organização pode colocar recursos que precisam de acesso mais amplo, mas ainda precisam ser protegidos.

    mostre uma rede interna com firewalls e roteador para rede externa e um IDS para um DMZ
    Figura\(\PageIndex{5}\): Configuração de rede com firewalls, IDS e DMZ. A imagem de David Bourgeois é licenciada CC BY 4.0

    Sistemas de detecção de intrusão

    Outro dispositivo que pode ser colocado na rede para fins de segurança é um sistema de detecção de intrusão ou IDS. Um IDS não adiciona nenhuma segurança adicional; em vez disso, ele fornece a funcionalidade de identificar se a rede está sendo atacada. Um IDS pode ser configurado para observar tipos específicos de atividades e, em seguida, alertar a equipe de segurança se essa atividade ocorrer. Um IDS também pode registrar vários tipos de tráfego na rede para análise posterior. Um IDS é uma parte essencial de qualquer boa configuração de segurança.

    Barra lateral: Redes privadas virtuais

    Usando firewalls e outras tecnologias de segurança, as organizações podem proteger com eficácia muitos de seus recursos de informação, tornando-os invisíveis para o mundo exterior. Mas e se um funcionário que trabalha em casa precisar acessar alguns desses recursos? E se um consultor for contratado para trabalhar na rede corporativa interna a partir de um local remoto? Nesses casos, é necessária uma rede virtual privada (VPN).

    Uma VPN permite que um usuário fora de uma rede corporativa contorne o firewall e acesse a rede interna de fora. Uma combinação de software e medidas de segurança permite que uma organização permita acesso limitado às suas redes e, ao mesmo tempo, garanta a segurança geral.

    Segurança física

    Uma organização pode implementar o melhor esquema de autenticação globalmente, desenvolver o melhor controle de acesso e instalar firewalls e prevenção de intrusões. Ainda assim, sua segurança não pode ser completa sem a implementação da segurança física. A segurança física é a proteção dos componentes reais de hardware e rede que armazenam e transmitem recursos de informação. Para implementar a segurança física, uma organização deve identificar todos os recursos vulneráveis e garantir que esses recursos não possam ser fisicamente adulterados ou roubados. Essas medidas incluem o seguinte.

    • Portas trancadas: pode parecer óbvio, mas toda a segurança do mundo é inútil se um intruso puder entrar e remover fisicamente um dispositivo de computação. Ativos de informação de alto valor devem ser protegidos em um local com acesso limitado.
    • Detecção de intrusão física: ativos de informação de alto valor devem ser monitorados por meio do uso de câmeras de segurança e outros meios para detectar o acesso não autorizado aos locais físicos onde eles existem.
    • Equipamento protegido: os dispositivos devem ser bloqueados para evitar que sejam roubados. O disco rígido de um funcionário pode conter todas as informações do cliente, por isso deve ser protegido.
    • Monitoramento ambiental: os servidores de uma organização e outros equipamentos de alto valor devem sempre ser mantidos em uma sala monitorada para verificar a temperatura, a umidade e o fluxo de ar. O risco de falha do servidor aumenta quando esses fatores saem de um intervalo especificado.
    • Treinamento de funcionários: uma das formas mais comuns de ladrões roubarem informações corporativas é roubar laptops de funcionários enquanto eles estão viajando. Os funcionários devem ser treinados para proteger seus equipamentos sempre que estiverem fora do escritório.

    Políticas de segurança

    Além dos controles técnicos listados acima, as organizações também precisam implementar políticas de segurança como uma forma de controle administrativo. Na verdade, essas políticas devem realmente ser um ponto de partida para o desenvolvimento de um plano geral de segurança. Uma boa política de segurança da informação estabelece as diretrizes para o uso dos recursos de informação da empresa pelos funcionários. Ele fornece à empresa o recurso no caso de um funcionário violar uma política.

    Uma política de segurança deve ser orientada pela tríade de segurança da informação discutida acima. Ele deve estabelecer diretrizes e processos a serem seguidos pelos funcionários para acessar todos os recursos e manter a integridade das três categorias: confidencialidade, integridade e disponibilidade.

    As políticas exigem conformidade e precisam ser aplicáveis; o não cumprimento de uma política resultará em ação disciplinar. A Página de Política de Segurança da Informação do Instituto SANS (2020) lista muitos modelos para diferentes tipos de políticas de segurança. Um exemplo de política de segurança é como o acesso remoto deve ser gerenciado, o que pode ser encontrado aqui.

    Uma política de segurança também deve abordar quaisquer regulamentações governamentais ou setoriais que se apliquem à organização. Por exemplo, se a organização for uma universidade, ela deve estar ciente da Lei de Privacidade e Direitos Educacionais da Família (FERPA), que restringe quem tem acesso às informações dos alunos. As organizações de saúde são obrigadas a seguir várias regulamentações, como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA).

    Barra lateral: Segurança móvel

    À medida que dispositivos móveis, como smartphones e tablets, proliferam, as organizações devem estar prontas para lidar com as preocupações exclusivas de segurança que esses dispositivos usam. Uma das primeiras questões que uma organização deve considerar é se deve permitir dispositivos móveis no local de trabalho.

    Muitos funcionários já têm esses dispositivos, então a pergunta é: devemos permitir que os funcionários tragam seus próprios dispositivos e os usem como parte de suas atividades de trabalho? Ou devemos fornecer os dispositivos aos nossos funcionários? A criação de uma política de BYOD (“Traga seu próprio dispositivo”) permite que os funcionários se integrem mais plenamente ao trabalho e aumentem a satisfação e a produtividade dos funcionários. Em muitos casos, pode ser virtualmente impossível impedir que os funcionários tenham seus próprios smartphones ou iPads no local de trabalho. Se a organização fornecer os dispositivos a seus funcionários, ela ganha mais controle sobre o uso dos dispositivos, mas também se expõe à possibilidade de uma bagunça administrativa (e cara).

    Os dispositivos móveis podem representar muitos desafios de segurança exclusivos para uma organização. Provavelmente, uma das maiores preocupações é o roubo de propriedade intelectual. Seria um processo simples para um funcionário com intenção maliciosa conectar um dispositivo móvel a um computador via porta USB ou sem fio à rede corporativa e baixar dados confidenciais. Também seria fácil tirar uma foto de alta qualidade usando secretamente uma câmera embutida.

    Quando um funcionário tem permissão para acessar e salvar dados da empresa em seu dispositivo, surge uma ameaça à segurança diferente: esse dispositivo agora se torna alvo de ladrões. O roubo de dispositivos móveis (nesse caso, incluindo laptops) é um dos principais métodos usados pelos ladrões de dados.

    Então, o que pode ser feito para proteger dispositivos móveis? Começará com uma boa política em relação ao seu uso. As diretrizes específicas devem incluir política de senha, acesso remoto, uso da câmera, gravação de voz, entre outros.

    Além das políticas, existem várias ferramentas diferentes que uma organização pode usar para mitigar alguns desses riscos. Por exemplo, se um dispositivo for roubado ou perdido, o software de geolocalização pode ajudar a organização a encontrá-lo. Em alguns casos, pode até fazer sentido instalar um software de remoção remota de dados, que removerá os dados de um dispositivo se isso se tornar um risco à segurança.

    Usabilidade

    Ao procurar proteger os recursos de informação, as organizações devem equilibrar a necessidade de segurança com a necessidade dos usuários de acessar e usar esses recursos de forma eficaz. Se as medidas de segurança de um sistema dificultarem seu uso, os usuários encontrarão maneiras de contornar a segurança, o que pode tornar o sistema mais vulnerável do que seria sem as medidas de segurança! Veja, por exemplo, políticas de senha. Se a organização exigir uma senha extremamente longa com vários caracteres especiais, um funcionário poderá anotá-la e colocá-la em uma gaveta, pois será impossível memorizá-la.

    Referência:

    Modelos de política de segurança. Recuperado em 6 de setembro de 2020, da Segurança da Informação do Instituto SANS www.sans.org/information-security-policy/