[matéria]Segurança da informação

[neguinhomf]

Bom, eu como sempre lendo e lendo, achei interessante postar aqui no forum esta matéria!

Peço a vocÊs que comentem somente se ler, pq muita gente não le absolutamente nada e posta umas coisas nada a ver, isso acaba com a integridade de qualquer um! =(

Segurança de Informação estí relacionada com a proteção existente ou necessíria sobre dados que possuem valor para alguém ou uma organização. Possui aspectos bísicos como confidencialidade, integridade e disponibilidade da informação que nos ajuda a entender as necessidades de sua proteção e que não se aplica ou estí restrita a sistemas computacionais, nem a informações eletrônicas ou qualquer outra forma mecânica de armazenamento. Ela se aplica a todos os aspectos de proteção e armazenamento de informações e dados, em qualquer forma. O nàvel de segurança de um sistema operacional de computador pode ser tipificado pela configuração de seus componentes. Por exemplo, no sistema operacional LINUX a segurança pode ser melhorada pela configuração correta do daemon do Wrapper, chamado tcpd, executado pelo inetd.

Um dos padrões de segurança mais conhecidos é o BS7799, que estabelece melhores príticas para implementação e na gestão da segurança da informação. A série de normas ISO 27000, encabeçadas pela ISO 27001 estão sendo elaboradas para substituir e completar os padrões definidos pela BS7799.

Conceitos de segurança

A Segurança da Informação refere-se à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto as pessoais.

Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.

Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nàvel de segurança existente e, com isto, serem estabelecidas as bases para anílise da melhoria ou piora da situação de segurança existente.

A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.

A tràade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibilidade -- representa as principais propriedades que, atualmente, orientam a anílise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger.

Outras propriedades estão sendo apresentadas (legitimidade e autenticidade) na medida em que o uso de transações comerciais em todo o mundo, através de redes eletrônicas (públicas ou privadas) se desenvolve.

Os conceitos bísicos podem ser explicados conforme abaixo:
Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legàtimas, ou seja, àquelas autorizadas pelo proprietírio da informação.
Integridade - propriedade que garante que a informação manipulada mantenha todas as caracteràsticas originais estabelecidas pelo proprietírio da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
Disponibilidade - propriedade que garante que a informação esteja sempre disponàvel para o uso legàtimo, ou seja, por aqueles usuírios autorizados pelo proprietírio da informação.

O nàvel de segurança desejado, pode se consubstanciar em uma "polàtica de segurança" que é seguida pela organização ou pessoa, para garantir que uma vez estabelecidos os princàpios, aquele nàvel desejado seja perseguido e mantido.

Para a montagem desta polàtica, deve-se levar em conta:
Riscos associados à falta de segurança;
Benefàcios;
Custos de implementação dos mecanismos.


Mecanismos de segurança

O suporte para as recomendações de segurança pode ser encontrado em:
Controles fàsicos: são barreiras que limitam o contato ou acesso direto a informação ou a infra-estrutura (que garante a existência da informação)que a suporta.

Existem mecanismos de segurança que apóiam os controles fàsicos:

Portas / trancas / paredes / blindagem / guardas / etc ..
Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que estí em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado.

Existem mecanismos de segurança que apóiam os controles lógicos:
Mecanismos de criptografia. Permitem a transformação reversàvel da informação de forma a torní-la ininteligàvel a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a decifração.
Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual são função, garantindo a integridade do documento associado, mas não a sua confidencialidade.
Mecanismos de garantia da integridade da informação. Usando funções de "Hashing" ou de checagem, consistindo na adição.
Mecanismos de controle de acesso. Palavras-chave, sistemas biométricos, firewalls, cartões inteligentes.
Mecanismos de certificação. Atesta a validade de um documento.
Integridade. Medida em que um serviço/informação é genuino, isto é, esta protegido contra a personificação por intrusos.
Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a ação de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema.


Ameaças à segurança

As ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas 3 caracteràsticas principais, quais sejam:
Perda de Confidencialidade: seria quando hí uma quebra de sigilo de uma determinada informação (ex: a senha de um usuírio ou administrador de sistema) permitindo com que sejam expostas informações restritas as quais seriam acessàveis apenas por um determinado grupo de usuírios.
Perda de Integridade: aconteceria quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietírio (corporativo ou privado) da informação.
Perda de Disponibilidade: acontece quando a informação deixa de estar acessàvel por quem necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor de uma aplicação cràtica de negócio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento.

No caso de ameaças à rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, muitas vezes conhecidos como crackers, (hackers não são agentes maliciosos, pois tentam ajudar a encontrar possiveis falhas). Estas pessoas são motivadas para fazer esta ilegalidade por vírios motivos. Os principais são: notoriedade, auto-estima, vingança e o dinheiro. De acordo com pesquisa elaborada pelo Computer Security Institute ([[1]]), mais de 70% dos ataques partem de usuírios legàtimos de sistemas de informação (Insiders) -- o que motiva corporações a investir largamente em controles de segurança para seus ambientes corporativos (intranet).


Nàvel de segurança

Depois de identificado o potencial de ataque, as organizações têm que decidir o nàvel de segurança a estabelecer para um rede ou sistema os recursos fàsicos e lógicos a necessitar de proteção. No nàvel de segurança devem ser quantificados os custos associados aos ataques e os associados à implementação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um ataque .


Polàticas de segurança

De acordo com o RFC 2196 (The Site Security Handbook), uma polàtica de segurança consiste num conjunto formal de regras que devem ser seguidas pelos usuírios dos recursos de uma organização.

As polàticas de segurança devem ter implementação realista, e definir claramente as íreas de responsabilidade dos usuírios, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As polàticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.

O documento que define a polàtica de segurança deve deixar de fora todos os aspetos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fícil leitura e compreensão, além de resumido.

Algumas normas definem aspectos que devem ser levados em consideração ao elaborar polàticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.

Existem duas filosofias por trís de qualquer polàtica de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).

Os elementos da polàtica de segurança devem ser considerados:
A Disponibilidade: o sistema deve estar disponàvel de forma que quando o usuírio necessitar possa usar. Dados cràticos devem estar disponàveis ininterruptamente.
A Utilização: o sistema deve ser utilizado apenas para os determinados objetivos.
A Integridade: o sistema deve estar sempre àntegro e em condições de ser usado.
A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuírios, e este ter condições de analisar a identidade do sistema.
A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.


Polàticas de Senhas

Dentre as polàticas utilizadas pelas grandes corporações a composição da senha ou password é a mais controversa. Por um lado profissionais com dificuldade de memorizar varias senhas de acesso, por outro funcionírios displicentes que anotam a senha sob o teclado no fundo das gavetas, em casos mais graves o colaborador anota a senha no monitor.

Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra fundamental é a conscientização dos colaboradores quanto ao uso e manutenção das senhas.
Senha com data para expiração
Adota-se um padrão definido onde a senha tem prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usuírio a renovar sua senha.
Inibir a repetição
Adota-se através de regras predefinidas que uma senha uma vez utilizada não poderí ter mais que 60% dos caracteres repetidos, p. ex: senha anterior “123senha” nova senha deve ter 60% dos caracteres diferentes como “456seuze”, neste caso foram repetidos somente os caracteres “s” “e” os demais diferentes.
Obrigar a composição com numero mànimo de caracteres numéricos e alfabéticos
Define-se obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos, por exemplo:
1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numéricos e os 4 subseqüentes alfabéticos por exemplo: 1432seuz.
Criar um conjunto possàveis senhas que não podem ser utilizadas
Monta-se uma base de dados com formatos conhecidos de senhas e proàbir o seu uso, como por exemplo o usuírio chama-se Jose da Silva, logo suna senha não deve conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4 etc.

Fonte: Wikipedia

[Cartoondivine]

Mto bom cara...
Importante dizer que uma polàtica de segurança deveria ser considerada por todos e não somente para organizações/empresas.
Hj, usuírios "normais" são atacados constantemente por pseudo-hackers.
Nós somos somos uma camada acima dos usuírios "normais" (meu julgamento) pois sempre estamos estudando novas técnicas de ataque/defesa e por esse motivo tornamos mais vulneríveis e ao mesmo tempo mais seguros, é uma relação de perda-ganho mto próximas.
Como Segurança da Informação refere-se à proteção existente sobre as informações de uma determinada empresa ou pessoa, julgo que devemos saber nos proteger melhor, tanto nós estudantes quanto qualquer usuírio de um PC.
Empresas e organizações optam, acredito eu, na maioria das vzs por ter uma segurança terceirizada, deve estimar também algumas variíveis durante o peràodo de duração do contrato:
? Todo o capital e custos operacionais relevantes
? Custo de supervisão do provedor de serviços de gerenciamento de segurança
? Provível aumento no custo de salírios, benefàcios e contratos de serviços
? O "custo do capital" e custo de juros
? Valor residual de equipamentos e instalações
? Custo da transição, inclusive de pessoal
? Custo da alteração na direção e nàvel de recursos
? Custo das modificações no contrato
Deve-se considerar com muita cautela os pontos positivos e negativos dos provedores de serviços de gerenciamento de segurança, como:
? Manutenção do controle da empresa
? Experiência dos profissionais de segurança
? Variedade e flexibilidade dos serviços
? Custo dos benefàcios
? Filosofia e cultura do programa de segurança
? Compromisso com o contrato de serviços
? Tecnologia suportada
? Disponibilidade de instalações para as operações de segurança
Bom, não vou me alongar aqui colocando minhas opnioões (que não são poucas) sobre o assunto. Então deixo mais um trecho de uma matéria que tenho qui pra finalizar:

"Um esquema abrangente de software, hardware, funcionírios e especialistas é necessírio para o gerenciamento completo da segurança. Se serí fornecido internamente ou terceirizado, é uma decisão que a empresa deve tomar usando somente seus melhores dados. Uma decisão correta para uma empresa pode não ser adequada para outra.
Uma anílise de custos abrangente é importante, mas é somente uma parte da anílise total, para a seleção de um MSSP. É importante analisar também os nàveis dos funcionírios, experiência do fornecedor, qualificações especializadas que podem existir somente dentro da empresa, além de ser necessírio que os sistemas (hardware, software e firewalls) jí estejam instalados. A decisão de recrutar funcionírios internos ou contratar um provedor de serviços de gerenciamento
de segurança deve ser tomada após muita pesquisa, investigação e planejamento orçamentírio para um número de anos, priorizando a manutenção de uma postura de segurança forte e proporcionando atividades on-line e de e-business geradoras de lucros."

Como vcs podem ver nessa conclusão, hí vírias coisas citadas q eu não abordei, mas irei postar essa apostila aqui no fórum pra vcs fazerem download.
Abraços. :mrgreen:

[neguinhomf]

Olí !

Isso ai Tio Cartoon, Obrigado pelo complemento! :wink:

Abraço!

e ai neguinho

eu postei essa materia na area de segurança

da uma olhada

http://www.forum-invaders.com.br/viewto ... ?t=8539129

abraços

[neguinhomf]

Milorde, eu non tinha visto!

Sorry amigo! Mais vamo faze uma Fuzão das Duas! ahuuhauhahushuuasd

Uma é complemento da Outra! ^^

Abraço!