Segurança de Dados, Análise de Riscos e Segurança Física e Lógica

A proteção dos dados digitais é cada dia mais valorizada pelas empresas, pois, independentemente de seu grau de desenvolvimento, as organizações possuem informações sigilosas que, caso sejam divulgadas, podem causar grandes transtornos.

Podemos definir segurança da informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade
(SÊMOLA, 2003, p.43).

Segundo Krutz e Vines (2003), os princípios básicos de segurança da informação formam uma tríade: integridade, confidencialidade e disponibilidade; que, quando são aplicados, propiciam
o controle e são o alicerce para a proteção de um sistema de informação:
• Confidencialidade – Diz respeito ao acesso à informação somente para aqueles que foram autorizados pelo emissor da informação;
• Integridade – Princípio relativo à proteção da informação, como foi emitida por seu proprietário. Inclui que ele é o responsável por sua criação, manutenção e seu fim. Quando há perda da integridade, a informação pode perder seu valor ou se tornar perigosa;
• Disponibilidade – A informação sempre estará disponível para a utilização por parte dos usuários autorizados.
De acordo com os padrões internacionais, somam-se mais dois atributos básicos a esses princípios:
• Autenticidade – Garantia que a informação provém de uma fonte identificada e que não sofreu alterações;
• Irretratabilidade ou não repúdio – Relacionado com a impossibilidade de negação de autoria de uma informação enviada.
As violações causadas por fatores comportamentais, ambientais ou por vulnerabilidades do sistema – que são portas para pessoas mal intencionadas, que intentam obter, alterar ou excluir dados – atingem dados essenciais e motivam a busca por melhores formas de proteção.
Em virtude dessa busca de maior segurança, as organizações criam departamentos internos próprios para o desenvolvimento de medidas de proteção que estejam de acordo com a legislação vigente.

Dentro desse panorama de busca por melhorias na segurança das informações, encontra-se o processo de análise de riscos, que é um conjunto de medidas que avalia o potencial de segurança, verifica as vulnerabilidades e os riscos, quantificando-os e qualificando-os de acordo
com a área de atuação específica da organização, e, ao final, dá recomendações para todos os problemas encontrados.
Para que possamos entender melhor esse processo, esclarecemos a seguir alguns termos da análise de risco:
• Vulnerabilidade – Pode ser entendida como uma fragilidade dentro de um sistema de informação, que o deixa suscetível a ataques e que pode ser explorada por uma ou mais ameaças, causando problemas para o sistema. Exemplo: programas desatualizados;
• Risco – É um evento que pode se realizar mediante a exploração de uma vulnerabilidade do sistema. Causa efeitos danosos aos sistemas de informação. Exemplo: programas espiões que memorizam os dados digitados.

Análise de Riscos

A análise de riscos é o levantamento de todos os recursos do sistema com a identificação quantitativa e qualitativa das vulnerabilidades e dos riscos. Pois, além de sabermos quais são as ameaças, devemos também saber o quanto nos preocupar com cada uma delas, analisando
o impacto que causariam caso ocorressem.

Processo de Análise de Riscos:

Detalharemos a seguir as etapas que compõe o processo de análise de risco:
a) Escolha da equipe – O pessoal técnico escolhido para realizar o processo de análise de riscos deverá estar de acordo com o perfil técnico necessário;
b) Planejamento da análise de risco – Estabelecimento de procedimentos necessários a identificação de riscos de um sistema de informação. Para tanto, é necessário:
• Participação dos representantes das áreas que serão objeto da análise de risco;
• Levantamento de toda a documentação relativa ao procedimento de análise de risco, tais como:
• Qualquer documentação pertinente a segurança da informação;
• Relatórios de análises de risco anteriores, quando houver, com interpretação dos valores dos riscosLiteraturas especializadas e acadêmicas;
• Legislação relativa ao assunto.
As técnicas que serão empregadas devem ser estabelecidas conforme as características de cada
organização. É recomendável a realização de reuniões com os gerentes e com os responsáveis
pelas áreas envolvidas.
c) Identificação do sistema – Demanda a necessidade de esclarecimentos sobre o sistema de
informação a ser analisado:
• Finalidade e objetivos;
• Pessoas responsáveis por sua utilização e manutenção;
• Quais são as formas utilizadas para minimizar os riscos;
• Quais são suas normas de utilização.
Um levantamento prévio dos dados do sistema deverá ser elaborado com atenção
especial aos seguintes quesitos:
• Dados e informações;
• Como é feito o processamento de dados e informações;
• Software;
• Hardware;
• Redes utilizadas e a comunicação com as demais redes;
• Suporte de cabeamento e alimentação de energia elétrica;
• Equipe de gerência, de manutenção e usuários do sistema;
• As normas e os documentos técnicos que disciplinam o uso, a gerência e manutenção
do sistema.
d) Reconhecimento das vulnerabilidades – Deve-se lançar mão de todos os aspectos do sistema.
Todas as vulnerabilidades encontradas devem ser registradas, assim como também as ações
necessárias para sua averiguação.
Técnicas usadas para a identificação das vulnerabilidades:
• Reuniões com gerentes, usuários e com as demais pessoas identificadas como ligadas ao
sistema para a discussão sobre as vulnerabilidades identificadas por eles, com o registro de
todas elas e, também, o levantamento das sugestões e soluções propostas pelo grupo;
• Revisão de documentação – Análise documental dos procedimentos e processos utilizados
e, também, das análises de riscos realizadas anteriormente. Essa análise objetiva identificar
características importantes do sistema e onde poderão ocorrer vulnerabilidades Verificação das vulnerabilidades – Após a elaboração de uma lista contendo as possíveis
vulnerabilidades, é necessário fazer uma checagem para que se verifique se as mesmas se
confirmam;
• Vulnerabilidades notificadas pelo fabricante – Identificar quais vulnerabilidades dos
produtos utilizados foram notificadas pelo fabricante;
• Utilização de ferramentas – Esse item se refere a verificação da utilização de softwares que
gerenciam as redes ou, ainda, identificam vulnerabilidades.
e) Reconhecimento dos riscos – A localização dos riscos tem o objetivo de identificar qual fato
decorreria da exploração de uma vulnerabilidade. Podemos categorizar os riscos em:
• Humanos – Exemplos: fraude, incapacidade técnica, erros não intencionais;
• Tecnológicos – Exemplos: equipamentos, sistemas, confiabilidade da informação;
• Organizacionais – Exemplos: plano de segurança mal elaborado, normas internas
deficientes;
• Ambientais – Exemplos: oscilações da rede elétrica, intempéries climáticas.
f) Probabilidade da concretização dos riscos – Identificação das chances de ocorrerem eventos
que exploram certa vulnerabilidade e, consequentemente, dão chance à realização dos
riscos. Essa análise da probabilidade da concretização dos riscos pode ser enfocada por
fatores quantitativos ou qualitativos. Um exemplo de categorização é classificar se o risco é
frequente, ocasional ou provável;
g) Análise de impactos – Identificação dos impactos que ocorreriam caso os riscos identificados
se concretizassem com a associação de um valor a esse impacto. Uma classificação simples
do impacto poderia ser:
• Alto – Associado à destruição e à perda definitiva de informações, a danos graves
aos recursos computacionais, a grandes prejuízos financeiros e, também, à reputação
organizacional atingida fortemente;
• Médio – Perda de dados com chances de recuperação, danos aos sistemas computacionais,
prejuízos financeiros, alteração da reputação organizacional;
• Leve – Perda de dados com recuperação, sem danos aos sistemas computacionais, não
atinge a reputação organizacional;
• Nulo – Perda de dados ou danos ao sistema com imediata recuperação e sem prejuízos.
h) Relatório da situação – É a documentação que dará o resultado detalhado de tudo o que foi
constatado, fazendo uma análise dos riscos e apresentando as recomendações necessárias a
serem seguidas para a minimização ou eliminação dos mesmos.
11
Segurança Física e Lógica
Quando as informações eram armazenadas somente em papel, mantê-las em segurança
era consideravelmente fácil. Os papéis eram guardados dentro de determinados locais e
permaneciam fortemente trancados, o acesso só era dado a pessoas autorizadas.
Com a evolução da tecnologia, a utilização de computadores e internet, a preocupação com
o armazenamento e com a segurança dos dados se transformou. Os controles além de físicos
passaram a ser lógicos, mas mesmo assim ainda centralizados.
Vivemos em uma era em que a importância dos dados relativos aos bens e serviços de uma
empresa supera a dos próprios bens e serviços oferecidos por ela. Portanto, os sistemas de
informações são cruciais a sobrevivência delas.
Trocando Ideias
Neste mundo globalizado, onde as informações atravessam fronteiras com velocidade espantosa,
a proteção do conhecimento é de vital importância para a sobrevivência das organizações. As
dimensões dessa necessidade passam a influenciar diretamente os negócios. Uma falha, uma
comunicação com informações falsas ou um roubo ou fraude de informações podem trazer graves
consequências para a organização, como a perda de mercado, de negócios e, consequentemente,
perdas financeiras (NAKAMURA, 2007, p. 49).
Por conta disso existe a necessidade da designação de uma equipe especializada em
desenvolvimento e aplicação de mecanismos de defesa realmente eficientes.
Explicaremos aqui as ações e procedimentos que visam evitar os acessos não
autorizados, prevenindo danos e interferências nas informações e, também, nas instalações,
para com isso tentar inibir as perdas, os furtos, danos ou qualquer interrupção das
atividades organizacionais.
A vulnerabilidade – também entendida como um erro no projeto, na configuração ou
ainda na implementação de um software – quando quebrada, causa avarias na segurança de
um computador.
Os sistemas computacionais têm uma particularidade: requisitam controles de acesso além
dos físicos (cadeados, alarmes, chaves, etc.), necessitam de controles lógicos. Esses controles
objetivam a proteção dos equipamentos, dos aplicativos e arquivos de dados contra qualquer
exposição não autorizada – seja ela intencional ou não.
12
Unidade: Segurança de Dados, Análise de Riscos e Segurança Física e Lógica
Segurança Física
A segurança física é de extrema importância para salvaguardar dados e computadores,
seus procedimentos são muito abrangentes. De nada adiantará a elaboração de sistemas de
segurança lógica se a segurança física não estiver garantida.
A área de atuação desse tipo de segurança é muito vasta, pois se deve analisar como será o acesso
ao hardware, dentro e fora da instituição, a entrada e saída do CPD (Centro de Processamento de
Dados), a proteção contra oscilações de energia elétrica, como será feito o cabeamento, ameaças
internas e externas, reutilização de equipamentos, entre outras considerações.
Você Sabia ?
A melhor forma de proteger um computador que realiza algum serviço e que deve ser mantido
em sigilo é mantê-lo em um lugar com acesso restrito, porém, isso nem sempre é possível. Dessa
maneira, devemos nos atentar a alguns detalhes:
a) Aquisição de equipamentos que possuam mecanismos de inibição ao acesso de seu gabinete;
b) Cabos de segurança que mantenham o equipamento travado em um lugar determinado;
c) Realização sistemática de backups, que devem ser mantidos em lugares diversos aos dos
servidores. Dessa maneira, caso ocorra perda de dados, teremos como recuperá-los.
Porém, no dia a dia, não é difícil encontrar empresas que continuam mantendo seus servidores
em locais inadequados, a mercê de acessos por parte de pessoas não autorizadas e, também,
correndo riscos de acidentes de qualquer natureza.
Por essa razão, os servidores e todos os seus componentes devem ser mantidos em locais
específicos, com entrada e saída autorizadas somente a um grupo determinado.
A fragilidade das redes também é um problema comum e encontrado com frequência. Por
essa razão, é necessário armazenar hubs e switches em locais fechados, com seus cabos passando
em locais diferentes dos usuais, para não haver pontos de conexão com outros dados.
Outra questão que se apresenta na prática das empresas é a má qualidade das instalações
elétricas e as falhas existentes nelas, que podem levar a indisponibilidade do sistema, provocando
perda de dados e, até mesmo, danos ao hardware.
Uma das formas de solucionar esse problema é a contratação de profissionais para a execução
da rede de alimentação elétrica com a previsão de utilização de geradores elétricos alimentados
por combustível líquido.
Os controles físicos nada mais são do que barreiras físicas que impõe limitações ao acesso
aos dados ou a sua infraestrutura, tais como: portas, chaves, paredes, cabos, cadeados, câmeras
de segurança, etc.
Devemos também nos atentar para o fato de que essa segurança física deve ser observada sem,
contudo, deixar de lado os cuidados necessários com os equipamentos. Um computador trancado
em um local inapropriado, sem a devida circulação de ar, fatalmente irá falhar. Ou, ainda, deve-se
executar backups e deixá-los em lugares que não sejam passíveis de derramamento de líquidos.
13
Segurança Lógica
Apresentaremos agora conceitos referentes aos controles de acesso lógico, que devem ser
implantados em organizações que utilizam os sistemas de informação como meios de criação,
armazenamento e divulgação de informações, e que objetivam manter em segurança o acesso
a essas informações.
Algumas das formas de invasão lógica de computadores são criadas pelos crackers, que são
pessoas que praticam a quebra de um sistema de segurança de forma ilegal e sem ética.
Podemos identificar três tipos de crackers:
• Criptográficos – São aqueles que conseguem quebrar a criptografia de um
programa. Criptografia é uma forma de codificação que embaralha os dados de
um programa ou de uma mensagem, e que pode ser descodificada por quem
tem a chave;
• De softwares – São programadores ou decodificadores que alteram os programas
para que esses funcionem de forma diferente;
• De vírus – São desenvolvedores de softwares que causam danos aos computadores:
vírus, trojans, malwares, etc.
O vírus, assim como o vírus biológico, precisa de um hospedeiro e se multiplica rapidamente.
Basta uma máquina infectada para que a propagação se inicie. Um arquivo infectado, acessado
por uma rede, pode danificar diversas máquinas e tornar muito difícil sua eliminação.
A cada dia surgem novos tipos de vírus, e vem daí a necessidade de atualização frequente
dos softwares que os identificam e eliminam os ataques aos computadores.
Existem vírus específicos para corromper programas e danificar os computadores, que excluem
arquivos ou ainda formatam o disco rígido. Muitas vezes eles são criados com a intenção de
chamar atenção para um texto, áudio ou vídeo.
De maneira geral, todos esses vírus se utilizam da memória do computador que seria usada
por um software, e provocam comportamentos inesperados e a queda do sistema.
Outro tipo de vírus é aquele que é enviado por e-mail, muitos deles infectam a lista de
contatos e se auto enviam para os endereços cadastrados, fazendo com que os destinatários
acreditem estar recebendo uma mensagem confiável e, ao abri-la, infectam suas máquinas.
Quando esse problema não é levado a sério, um vírus pode se espalhar por todas as máquinas
da rede de contatos, e inclusive por outras redes. Para a remoção, serão necessárias horas de
dedicação dos técnicos da área de suporte.
Os vírus geralmente se estabelecem na memória do computador, juntamente com os
programas infectados, e são ativados quando o usuário executa esses programas.
Os vírus denominados de worms são programas que se reproduzem de um sistema para outro
sem utilizar de um arquivo hospedeiro. Geralmente, eles se fixam dentro de outros arquivos,
como, por exemplo, documentos do Word, Excel, e similares.
14
Unidade: Segurança de Dados, Análise de Riscos e Segurança Física e Lógica
A prevenção contra vírus de computador é um assunto muito divulgado. Os aparelhos que
utilizam a internet, muitas vezes, são atacados e têm seu funcionamento prejudicado.
Algumas medidas básicas podem ser tomadas com o objetivo de evitar o risco
de infecção:
• Atualização dos programas e dos sistemas operacionais, minimizando os bugs e as falhas
de programação;
• Abrir e-mail somente após se certificar que vieram de fontes confiáveis – e, mesmo assim,
analisar a coerência de seu conteúdo antes de clicar em qualquer link apresentado;
• Instalação de programas comprados legalmente, originais, ou, quando isso não for possível,
procurar o uso freewares que tenham a mesma função;
• Instalação de um bom antivírus, que possua proteção em tempo real.
Portanto, os controles de acesso lógico são um conjunto de condutas e de medidas defensivas
e protetivas, que objetivam a proteção dos sistemas, programas e dos dados de qualquer
tentativa de acesso que possa ser feita por outros computadores, por pessoas não autorizadas
ou programas maliciosos.
A seguir, identificaremos os elementos pelos quais esses recursos devem ser protegidos:
a) Aplicativos (programas fonte e objeto) – O código fonte dos aplicados pode ser acessado
para promover alterações em suas funções e também na lógica do programa. Um exemplo
é a alteração de um aplicativo do sistema bancário que faça com que todos os centavos das
contas correntes sejam desviados para uma determinada conta;
b) Arquivos de Dados – Banco de dados, arquivos ou transações devem ser protegidos para
evitar que as informações sejam deletadas ou alteradas sem a devida autorização. Podemos
citar como exemplo informações da folha de pagamento;
c) Utilitários e sistemas operacionais – Os sistemas operacionais são, frequentemente, visados,
pois suas configurações são o ponto prioritário de todo o esquema de segurança; se forem
frágeis, comprometerão a segurança como um todo;
d) Arquivos de senha – As senhas devem ser bem protegidas, pois se caírem em mãos de
pessoas não autorizadas, o sistema de segurança instalado no computador irá interpretar que
essa pessoa está autorizada;
e) Arquivos de log – Os arquivos de log são usados para o registro das ações dos usuários que
acessaram os computadores, quais as operações que foram realizadas. Pessoas não autorizadas
podem conseguir acessar o sistema para promover alterações nesses dados ou, ainda, para alterar
o sistema operacional de modo que as invasões futuras sejam simplificadas. Alteram os arquivos
de log para que não haja rastro de sua invasão e o administrador do sistema não a reconheça.
Por fim, observa-se que, atualmente, adotam-se novas técnicas que promovem maior segurança
eliminam a necessidade de senhas; acreditamos que essas novas técnicas implantadas deveriam estar
associadas à utilização de senhas, assim trariam maior confiabilidade para a segurança do sistema.