Direito e Segurana da Informao; Setores da Segurana da Informao; Engenharia Social; Riscos a Segurana da Informao; Princpios e mecanismos por trs da segurana; Polticas de Segurana da Informao.
Conceito A Segurana da Informao se refere proteo existente sobre as informaes de uma determinada empresa ou pessoa, isto , aplica-se tanto as informaes corporativas quanto s pessoais. Entende-se por informao todo e qualquer contedo ou dado que tenha valor para alguma organizao ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao pblico para consulta ou aquisio.
Direito e Segurana da Informao Constituio Federal, art. 5, inciso XIV: Sigilo das informaes relacionadas intimidade ou vida privada de algum. Constituio Federal, art. 5, inciso XXXIV: Disponibilidade das informaes constantes nos rgos pblicos. Cdigo Penal, art. 151: Proteo do sigilo, integridade e disponibilidade das informaes de carter pessoal veiculadas atravs dos meios de comunicao.
Setores da Segurana da Informao A segurana da informao pode ser dividida em oito partes. As primeiras trs partes constituem a base da segurana da informao e devem estar corretamente dispostas ao implementar o resto das partes. No referente ao resto das partes, a segurana da informao implementa com a ajuda dos meios tcnicos. Os mdios utilizam-se para implementar a segurana da informao em funo de sua necessidade e dependendo dos recursos disponveis e o valor do que ter que proteger. Engenharia Social Engenharia social termo utilizado para descrever um mtodo de ataque, onde algum faz uso da persuaso, muitas vezes abusando da ingenuidade ou confiana do usurio, para obter informaes que podem ser utilizadas para ter acesso no autorizado a computadores ou informaes. A engenharia social praticada em diversas profisses, de forma benfica ou no, visando proteger um sistema da segurana da informao ou atacar um sistema da segurana da informao.
Exemplos Exemplo 1: o usurio recebe uma mensagem e-mail, onde o remetente o gerente ou algum em nome do departamento de suporte do banco. Na mensagem ele diz que o servio de internet Banking est apresentando algum problema e que tal problema pode ser corrigido se o usurio executar o aplicativo que est anexado mensagem. A execuo deste aplicativo apresenta uma tela anloga quela utilizada para ter acesso a conta bancria, aguardando que o usurio digite sua senha. Na verdade, este aplicativo est preparado para furtar senhas de acesso a conta bancria e envi-la para o atacante Exemplos Exemplo 2: algum desconhecido liga para a sua casa e diz ser do suporte tcnico do seu provedor. Nesta ligao ele diz que sua conexo com a internet est apresentando algum problema e, ento, pede sua senha para corrigi-lo. Caso voc entregue sua senha, este suposto tcnico poder realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a internet e, portanto, relacionando tais atividades ao seu nome.
Riscos a Segurana da Informao Nos dias de hoje, as empresas dependem cada vez mais dos sistemas de informao e da Internet para fazer negcios, no podendo se dar ao luxo de sofrer interrupes em suas operaes. Um incidente de segurana pode impactar direta e negativamente as receitas de uma corporao, a confiana de seus clientes e o relacionamento com sua rede de parceiros e fornecedores. Os incidentes de segurana da informao vm aumentando consideravelmente ao longo dos ltimos anos e assumem as formas mais variadas, como, por exemplo: infeco por vrus, acesso no autorizado, ataques denial of service contra redes e sistemas, furto de informao proprietria, invaso de sistemas, fraudes internas e externas, uso no autorizado de redes sem fio, entre outras.
Riscos a Segurana da Informao Um dos principais motivadores desse aumento a difuso da Internet, que cresceu de alguns milhares de usurios no incio da dcada de 1980 para centenas de milhes de usurios ao redor do globo nos dias de hoje. Ao mesmo tempo que colaborou com a democratizao da informao e se tornou um canal on-line para fazer negcios, tambm viabilizou a atuao dos ladres do mundo digital e a propagao de cdigos maliciosos (vrus, worms, trojans etc.), spam, e outros inmeros inconvenientes que colocam em risco a segurana de uma corporao. No so apenas as ameaas externas que representam riscos a uma corporao. Os prprios funcionrios representam alto risco quando mal-intencionados ou mesmo quando no conscientes dos riscos envolvidos na manipulao da informao. Dados de pesquisas apontam que mais de dois teros dos incidentes de segurana tm origem interna.
Riscos a Segurana da Informao Juntamente com a difuso da Internet, outros fatores contriburam para impulsionar o crescimento dos incidentes de segurana. Um desses fatores o aumento do nmero de vulnerabilidades nos sistemas existentes, como, por exemplo, as brechas de segurana nos sistemas operacionais utilizados em servidores e estaes de trabalho. A tendncia que as ameaas segurana continuem a crescer no apenas em ocorrncia, mas tambm em velocidade, complexidade e alcance, tornando o processo de preveno e de mitigao de incidentes cada vez mais difcil e sofisticado.
Exemplos: Telefones celulares com cmera podem ser verdadeiras ameaas segurana, dependendo da caracterstica do negcio da empresa e, em geral, no esto conectados a nenhuma plataforma que a corporao possa controlar de maneira efetiva. Qualquer pessoa no ambiente de trabalho, mal-intencionada, pode utilizar, sem autorizao, um telefone com cmera para tirar fotos de algo confidencial por exemplo, um documento sigiloso, o prottipo de um produto ainda em desenvolvimento e divulg-las com a finalidade de lesar a corporao.
Dispositivos de armazenamento de dados portveis constituem uma ameaa latente segurana. s conectar um dispositivo de memria do tamanho de um chaveiro na porta USB de uma estao de trabalho e qualquer informao que possa ser acessada pode ser copiada. Um funcionrio mal-intencionado pode gravar quantidades significativas de informao confidencial da rede corporativa e sair tranqilamente pela porta da frente sem que ningum se d conta.
Princpios e mecanismos por trs da segurana Em segurana da informao, a autenticao um processo que busca verificar a identidade digital do usurio de um sistema, normalmente, no momento em que ele requisita um log in (acesso) em um programa ou computador. A autenticao normalmente depende de um ou mais "fatores de autenticao". O termo "autorizao" muitas vezes confundido com o termo autenticao, mas apesar de serem relacionados, o significado de ambos muito diferente. A autenticao o processo que verifica a identidade de uma pessoa, por sua vez, a autorizao verifica se esta pessoa possui permisso para executar determinadas operaes. Por este motivo, a autenticao sempre precede a autorizao.
Princpios e mecanismos por trs da segurana Controle de acesso O controle de acesso um exemplo comum de adoo de mecanismos de autenticao. Um sistema computacional, cujo acesso permitido apenas a usurios autorizados, deve detectar e excluir os usurios no autorizados. O acesso controlado por um procedimento que estabelece a identidade do usurio com algum grau de confiana (autenticao), e s ento concede determinados privilgios (autorizao) de acordo com esta identidade. Alguns exemplos de controle de acesso so encontrados em sistemas que permitem: saque de dinheiro de um caixa eletrnico; comunicao com um computador atravs da Internet; navegao em um sistema de Internet banking. Princpios e mecanismos por trs da segurana Fatores de autenticao Os fatores de autenticao para humanos so normalmente classificados em trs casos: aquilo que o usurio (impresso digital, padro retinal, sequncia de DNA padro de voz, reconhecimento de assinatura, sinais eltricos unicamente identificveis produzidos por um corpo vivo, ou qualquer outro meio biomtrico). aquilo que o usurio tem (carto de identificao, security token software token ou telefone celular) aquilo que o usurio conhece (senha, frase de segurana, PIN) Freqentemente utilizada uma combinao de dois ou mais mtodos. A Secretaria da Receita Federal, por exemplo, pode requisitar um certificado digital (o que se possui) alm da senha (o que se sabe) para permitir o acesso a uma declarao de imposto de renda, neste caso o termo "autenticao de dois fatores" utilizado.