Conceitos de Segurança de Computadores

Uma definição de segurança de computadores O Computer Security Handbook (“Livro de Bolso de Segurança de Computadores”) do NIST [NIST95] define a expressão segurança de computadores da seguinte maneira:

Essa definição apresenta três objetivos fundamentais que constituem o coração da segurança de computadores:

Confidencialidade: Esse termo abrange dois conceitos relacionados:
Confidencialidade de dados: Garante que informações privadas ou confidenciais não fiquem disponíveis nem sejam reveladas a indivíduos não autorizados.
Privacidade: Garante que os indivíduos controlem ou influenciem quais informações sobre eles podem ser coletadas e armazenadas, e por quem e para quem tais informações podem ser reveladas.

Integridade: Esse termo abrange dois conceitos relacionados:
Integridade de dados: Garante que informações e programas sejam alterados somente de maneira especificada e autorizada.
Integridade de sistemas: Garante que um sistema desempenhe sua função pretendida de maneira incólume, livre de manipulação não autorizada do sistema, seja deliberada, seja inadvertida.

Disponibilidade: Garante que os sistemas funcionem prontamente e que não haja negação de serviço a usuários autorizados.
Esses três conceitos formam o que é frequentemente denominado tríade CID

Os três conceitos incorporam os objetivos de segurança fundamentais para dados e informações, bem como para serviços de computação. Por exemplo, o padrão NIST denominado FIPS 199 (Standards for Security Categorization of Federal Information and Information Systems) apresenta confidencialidade, integridade e disponibilidade como os três objetivos de segurança para informações e para sistemas de informação. O FIPS PUB 199 fornece uma caracterização útil desses três objetivos em termos de requisitos e a definição de perda de segurança relativa a cada categoria:

Confidencialidade: Preservar restrições autorizadas ao acesso e revelação de informações, incluindo meios para proteger a privacidade pessoal e as informações proprietárias. Uma perda de confidencialidade consiste na revelação não autorizada de informações.

Integridade: Defender contra a modificação ou destruição imprópria de informações, garantindo a irretratabilidade (ou não repúdio) e a autenticidade das informações. Uma perda de integridade consiste na modificação ou destruição não autorizada de informações.

Disponibilidade: Assegurar que o acesso e o uso das informações seja confiável e realizado no tempo adequado. Uma perda de disponibilidade consiste na disrupção do acesso ou da utilização de informações ou de um sistema de informação.

Embora a utilização da tríade CID para definir objetivos de segurança seja bem estabelecida, algumas pessoas na área da segurança acreditam serem necessários conceitos adicionais para apresentar um quadro completo. Dois dos mais comumente mencionados são os seguintes:

Autenticidade: A propriedade de ser genuína e poder ser verificada e confiável; confiança na validade de uma transmissão, de uma mensagem ou do originador de uma mensagem. Isso significa verificar que os usuários são quem dizem ser e que cada dado que chega ao sistema veio de uma fonte confiável.

Determinação de responsabilidade: O objetivo de segurança que leva à exigência de que as ações de uma entidade sejam rastreadas e atribuídas unicamente àquela entidade. Isso dá suporte à irretratabilidade, à dissuasão, ao isolamento de falhas, à detecção e prevenção de intrusões, e à recuperação e à ação judicial após uma ação. Como sistemas verdadeiramente seguros ainda não são uma meta atingível, devemos ser capazes de rastrear uma violação de segurança até a entidade responsável. Os sistemas devem manter registros de suas atividades para permitir análise forense posterior, de modo a rastrear violações de segurança ou auxiliar em disputas sobre uma transação. Observe que o FIPS PUB 199 inclui autenticidade como parte da integridade.

Agora fornecemos alguns exemplos de aplicações que ilustram os requisitos enumerados.
Para esses exemplos, usamos três níveis de impacto sobre organizações ou indivíduos caso haja uma quebra de segurança (isto é, uma perda de confidencialidade, integridade ou disponibilidade). Esses níveis são definidos no FIPS PUB 199:

Exemplos

Baixo: Pode-se esperar que a perda cause efeito adverso limitado sobre operações organizacionais, ativos organizacionais ou indivíduos. Um efeito adverso limitado significa, por exemplo, que a perda de confidencialidade, integridade ou disponibilidade poderia (i) causar degradação na capacidade de completar uma tarefa até um ponto e por uma duração tal que a organização consegue executar suas funções primárias, mas a efetividade das funções sofre redução perceptível; (ii) resultar em dano desprezível a ativos organizacionais; (iii) resultar em perdas financeiras insignificantes; ou (iv) resultar em dano reduzido a indivíduos.

Moderado: Pode-se esperar que a perda cause efeito adverso sério sobre operações organizacionais, ativos organizacionais ou indivíduos. Um efeito adverso sério significa, por exemplo, que a perda poderia (i) causar degradação significativa na capacidade de completar uma tarefa até um ponto e por uma duração tal que a organização consegue executar suas funções primárias, mas a efetividade das funções sofre significativa redução; (ii) resultar em dano significativo a ativos organizacionais; (iii) resultar em perda financeira significativa; ou (iv) resultar em dano significativo a indivíduos, não envolvendo perda de vida ou ferimentos sérios que ameacem a vida.

Alto: Pode-se esperar que a perda cause efeito adverso grave ou catastrófico sobre operações organizacionais, ativos organizacionais ou indivíduos. Um efeito adverso grave ou catastrófico significa, por exemplo, que a perda poderia (i) causar grave degradação ou perda de capacidade de completar uma tarefa até um ponto e por uma duração tal que a organização não consegue executar uma ou mais de suas funções primárias; (ii) resultar em grande dano a ativos organizacionais; (iii) resultar em grande perda financeira; ou (iv) resultar em dano grave ou catastrófico a indivíduos, envolvendo perda de vida ou ferimentos sérios que ameacem a vida.

Os três pilares da Segurança da Informação

Confidencialidade, integridade e disponibilidade (CID) são os três pilares da segurança da informação, fundamentais para proteger dados e sistemas. A confidencialidade garante que informações sejam acessíveis apenas por usuários autorizados; a integridade assegura que os dados sejam precisos, completos e não alterados indevidamente; e a disponibilidade garante que sistemas e dados estejam acessíveis e funcionais quando necessários.

Confidencialidade

O que é: Garante o sigilo e a privacidade dos dados.
Como funciona: Através do controle de acesso para evitar o compartilhamento não autorizado de informações.
Exemplo: Informações sobre notas obtidas por estudantes em exames são um ativo cuja confidencialidade é considerada de altíssima importância pelos próprios estudantes. Nos Estados Unidos, a liberação de tais informações é regulamentada pelo Family Educational Rights and Privacy Act (FERPA). Informações sobre tais notas só podem ser disponibilizadas para estudantes, seus pais e funcionários que necessitem das informações para realizar seu serviço. Informações sobre matrículas de estudantes podem ter grau moderado de confiabilidade. Embora ainda protegidas pelo FERPA, essas informações são vistas por mais pessoas diariamente, a probabilidade de serem visadas é menor do que a de informações sobre notas de exames escolares, e sua revelação resulta em menor dano. Informações catalogadas, como listas de estudantes ou de faculdades e departamentos, podem receber uma classificação de confidencialidade baixa ou até mesmo nula. Essas informações normalmente estão disponíveis livremente ao público e são publicadas no site da escola.

Integridade

O que é: Assegura que as informações sejam corretas, autênticas e confiáveis, protegidas contra alterações não autorizadas.
Como funciona: Protege os dados enquanto estão em uso, trânsito ou armazenamento, garantindo que permaneçam inalterados.

Exemplo: Vários aspectos de integridade são ilustrados pelo exemplo das informações de um hospital sobre as alergias de seus pacientes, armazenadas em um banco de dados. O médico tem de confiar que as informações são corretas e atualizadas.

Entretanto, suponha que um funcionário (por exemplo, um enfermeiro) que está autorizado a ver e atualizar essas informações falsifique deliberadamente os dados para causar danos ao hospital.

O banco de dados precisará ser restaurado rapidamente para um estado confiável e possibilitar o rastreamento e a identificação da pessoa responsável pelo erro. Informações sobre as alergias dos pacientes são um exemplo de ativo que requer alto grau de integridade.

Informações inexatas poderiam resultar em sérios danos e até na morte de um paciente e expor o hospital a uma ação judicial de responsabilidade. Um exemplo de ativo ao qual pode ser imputado um requisito de integridade de nível moderado é um site da Web que oferece um fórum para usuários registrados discutirem algum tópico específico. Um usuário registrado ou um hacker poderia falsificar algumas entradas ou desfigurar o site.

Se o fórum existir para ser utilizado somente pelos usuários, se gerar pouca ou nenhuma receita de anúncios publicitários e não for usado para algo importante como pesquisas, o dano potencial não é grave.

O webmaster pode sofrer alguma perda de dados, de tempo ou financeira.
Um exemplo de requisito de integridade baixa é uma votação anônima online. Muitos sites da Web, como empresas jornalísticas, fornecem os resultados dessas votações a seus usuários com um número muito pequeno de ressalvas. Todavia, a inexatidão e a natureza não científica dessas votações é bem entendida.

Disponibilidade

O que é: Garante que os sistemas e dados estejam acessíveis e operacionais quando os usuários autorizados precisam deles.
Como funciona: Mantém os sistemas ativos e funcionando para evitar a interrupção de processos críticos, mesmo que a disponibilidade não seja 24/7, mas sim de acordo com um acordo prévio.
Exemplo: Quanto mais crítico um componente ou serviço, mais alto é o nível de disponibilidade exigido. Considere um sistema que provê serviços de autenticação para sistemas, aplicações e dispositivos críticos.

Uma interrupção do serviço resultaria na incapacidade de os clientes acessarem ativos computacionais e de funcionários acessarem os ativos de que necessitam para executar tarefas críticas.

A perda do serviço traduz-se em grande perda financeira e em termos de perda de produtividade dos empregados e potencial perda de clientes.

Um exemplo do que normalmente seria classificado como ativo que requer disponibilidade moderada é um site público de uma universidade; o site provê informações sobre estudantes e doadores atuais e potenciais. Tal site não é um componente crítico do sistema de informação da universidade, mas sua indisponibilidade causará algum constrangimento.

Uma aplicação de consulta a listas telefônicas on-line seria classificada como requisito de disponibilidade baixa. Embora a perda temporária de acesso à aplicação possa ser um aborrecimento, há outros modos de acessar a informação, como uma lista em papel ou um telefonista.

Todos os indivíduos de uma organização que desejem ter um entendimento básico sobre segurança da informação. O conhecimento sobre segurança da informação é importante para todos os funcionários. Não faz diferença se você trabalha em uma organização com ou sem fins lucrativos, pois todas as organizações enfrentam riscos semelhantes.

Os funcionários precisam saber por que devem cumprir diariamente as regras de segurança. Os gerentes imediatos precisam ter esse entendimento, uma vez que são responsáveis pela segurança da informação no seu departamento. Esse conhecimento básico também é importante para todos os profissionais, incluindo os trabalhadores autônomos, que não possuem funcionários, visto que são responsáveis por proteger suas próprias informações. Certo grau de conhecimento também é necessário em casa. E, é claro, esse conhecimento constitui uma boa base para aqueles que têm em vista uma carreira como especialista de segurança da informação, seja como um profissional de Tecnologia da Informação (TI) ou um gerente de processos

Todo mundo está envolvido com a segurança da informação, muitas vezes por meio de contramedidas de segurança. Essas contramedidas são, por vezes, impostas por normas regulatórias e às vezes implementadas por meio de normas internas. Considere, por exemplo, o uso de senha em um computador. Nós normalmente vemos tais medidas como um incômodo, uma vez que elas tomam o nosso tempo e nem sempre compreendemos do que elas nos protegem. A segurança da informação é o caminho para encontrar o equilíbrio certo entre diversos aspectos:

Os requisitos de qualidade que uma organização pode ter para a sua informação.
Os riscos associados a esses requisitos de qualidade.
As contramedidas que são necessárias para mitigar esses riscos.
A garantia da continuidade do negócio em caso de um desastre.
Se e quando relatar incidentes fora da organização.

O que é qualidade?

Primeiro você deve decidir o que pensa ser qualidade. Em seu nível mais simples, a qualidade responde a duas perguntas: “o que se quer?” e “como é que fazemos?”. De forma adequada, o reduto da qualidade sempre foi a área de processos. Desde a ISO 9000 até os pontos mais altos da Gestão de Qualidade Total (GQT) ou Total Quality Management (TQM), os profissionais de qualidade especificam, medem, aprimoram e reinventam processos para garantir que as pessoas consigam o que querem. Então, onde estamos agora?
Existem tantas definições de qualidade quanto existem consultores de qualidade, mas as variações comumente aceitas incluem:

‘Conformidade com os requisitos’
‘Adequação ao uso’
‘A totalidade das características de uma entidade que lhe confere a capacidade de satisfazer as necessidades explícitas e implícitas’ – ISO 9001-2008.
Modelos de qualidade para negócios, incluindo o Prêmio Deming, o modelo de excelência EFQM e o prêmio Baldrige.

O que é WAN?

WAN é a sigla para Wide Area Network, ou Rede de Longa Distância. Trata-se de uma rede de computadores que abrange uma área geográfica grande, como cidades, países ou até mesmo o mundo todo, conectando diferentes redes menores (como as LANs). O principal exemplo de uma WAN é a própria Internet

Definições e Conceitos de Segurança

Na nova ISO 27001:2013 declara que todos os termos e definições foram transferidos para a ISO 27000:2014. Consequentemente, todas as definições deixaram de ser incluídas na ISO 27001:2013.

A ISO/IEC 27000:2014 é o primeiro volume de toda a família de normas ISO 27000. Ela contém uma visão geral dessa família de normas e explica as definições dos termos usados nas referidas normas, as quais são todas focadas na tecnologia da informação, nas técnicas de segurança e nos sistemas de gestão de tecnologia da informação. Veja o Apêndice B para uma visão geral de todas as normas da série ISO 27000.

As definições a seguir são explicadas na ISO 27000 ou são mencionadas na ISO 27000:2014; elas derivam, no entanto, de outras normas ISO. O objetivo dessa abordagem é criar um entendimento comum sobre termos e definições. O objetivo da ISO é evitar confusões quanto a tais termos e definições. Por exemplo, um ativo é qualquer item que tenha valor para a organização. Isso significa que em toda norma, seja qual for o seu assunto, é usada a mesma definição de ativo. Neste capítulo provemos as definições dos principais conceitos usados neste livro. No final deste livro há também um vasto glossário.

Antes de entrarmos nas definições e nos conceitos de segurança, há uma breve introdução sobre as mais recentes normas de gestão da ISO, juntamente com algumas informações sobre as principais mudanças que ocorreram nas últimas normas de gestão da ISO.

Em 2012 foi publicado o Anexo SL, “Propostas para normas de sistemas de gestão” (Proposals for management system standards), que dá orientações sobre como devem ser definidas as normas de gestão ISO. De fato, o Anexo SL fornece requisitos implícitos sobre os capítulos a serem incluídos em uma norma de gestão. O resultado é uma grande mudança entre a ISO 27001:2005 e a ISO 27001:2013. Os benefícios dessas mudanças são o alinhamento entre diferentes normas de gestão, as quais terão sempre o mesmo formato, e o uso das mesmas definições e dos mesmos conceitos. Por exemplo, a definição de responsabilidade é idêntica nas normas para segurança da informação, gestão da informação e gestão de continuidade de negócios.

Definições

Ação preventiva

Ação para eliminar a causa de uma potencial não conformidade ou outra potencial situação indesejável.

Aceitação do risco

A decisão de aceitar um risco.

Ameaça

Causa potencial de um incidente indesejado, a qual pode resultar no dano a um sistema ou organização.

Análise da informação

A análise da informação proporciona uma clara imagem de como uma organização manuseia a informação – como a informação “flui” pela organização.

Análise de riscos

Um processo para compreender a natureza do risco a fim de determinar o seu nível. Uma análise de riscos proporciona a base para a estimativa do risco e para as decisões sobre o tratamento do risco. A análise de riscos inclui a estimativa do risco.

Ataque

Uma tentativa de destruir, expor, alterar, inutilizar, roubar ou obter acesso não autorizado a, ou fazer uso não autorizado de, um ativo.

Ativo

Qualquer coisa que tenha valor para a organização. Esta é uma definição ampla, você pode pensar em instalações, informação, software, hardware, serviços impressos (papéis), mas também em pessoas, habilidades, experiência e coisas intangíveis, como reputação e também imagem.

Autenticidade

Propriedade de uma entidade ser o que afirma que é. Avaliação do risco A avaliação do risco é o processo geral de identificação do risco, análise do risco e estimativa do risco.

Confiabilidade

Propriedade de consistência dos comportamentos e resultados desejados.

Confidencialidade

Propriedade em que a informação não é disponibilizada ou divulgada para pessoas, entidades ou processos não autorizados. O conceito de confidencialidade busca prevenir a divulgação intencional ou não intencional do conteúdo de uma mensagem. A perda de confidencialidade pode ocorrer de diversas maneiras, tais como pela divulgação intencional de uma informação privada de uma empresa ou pelo mau uso das credenciais de acesso à rede.

Controle

Meios de gerenciar o risco, incluindo políticas, procedimentos, diretrizes e práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, gerencial ou legal, que modifiquem o risco à segurança da informação.

Diretriz

Descrição que esclarece o que deve ser feito, e como, para alcançar os objetivos definidos nas políticas.

Disponibilidade

Propriedade de ser acessível e utilizável sob demanda por uma entidade autorizada. O texto formal anterior assegura o acesso confiável e em tempo oportuno a dados ou recursos de computação pelo pessoal apropriado. Em outras palavras, a disponibilidade garante que os sistemas estão ativos e funcionando quando necessário. Adicionalmente, este conceito garante que os serviços de segurança, que o profissional de segurança requer, estão em perfeito funcionamento.

Estimativa do risco

É o processo de comparar os resultados de análise do risco com um critério de risco a fim de determinar quando o risco e/ou sua magnitude é aceitável ou tolerável. Evento de segurança da informação Ocorrência identificada de um estado de um sistema, serviço ou rede que indique uma possível violação da política de segurança da informação ou falha de proteção, ou uma situação previamente desconhecida que possa ser relevante em termos de segurança.

Exposição

Exposição é a circunstância de estar exposto aos prejuízos oriundos de um agente ameaçador. Gerenciamento de riscos Atividades coordenadas para direcionar e controlar uma organização no que diz respeito ao risco.

Gestão da informação

A gestão da informação descreve os meios pelos quais uma organização eficientemente planeja, coleta, organiza, usa, controla, dissemina e descarta sua informação, e através da qual garante que o valor dessa informação é identificado e explorado em toda a sua extensão. Gestão de incidentes de segurança da informação Processos para detectar, reportar, avaliar, responder, lidar e aprender com os incidentes de segurança da informação.

Gestão de segurança da informação

Atividades coordenadas para dirigir e controlar uma organização no que se refere ao risco. O gerenciamento do risco tipicamente inclui a avaliação do risco, o tratamento do risco, a aceitação do risco e a comunicação do risco.

Identificação do risco

É o processo de encontrar, reconhecer e descrever riscos. A identificação do risco envolve a identificação das suas fontes, eventos, causas e suas potenciais consequências. A identificação do risco também pode envolver dados históricos, análise teórica, opiniões, pareceres fundamentados e de especialistas, e necessidades das partes interessadas.

Incidente de segurança da informação

Um incidente de segurança da informação é indicado por um único ou uma série de eventos de segurança da informação, indesejáveis ou inesperados, que tenham uma probabilidade significativa de comprometer a operação dos negócios e ameacem a segurança da informação.

Informação

Informação é o dado que tem significado em algum contexto para quem o recebe. Quando informação é inserida e armazenada em um computador, ela é geralmente referida como dado. Após processamento (tal como formatação e impressão), o dado de saída pode ser novamente percebido como informação.

Instalações de processamento de informações

Qualquer sistema de processamento de informações, serviço ou infraestrutura, ou os locais físicos que as abriguem.

Integridade

Propriedade de proteger a exatidão e a integridade dos ativos. O conceito de integridade assegura que sejam prevenidas modificações não autorizadas ao software e ao hardware, que não sejam feitas modificações não autorizadas aos dados, por pessoal autorizado ou não autorizado e/ou processo, e que o dado seja internamente e externamente consistente.

Não repúdio

Habilidade de provar a ocorrência de um suposto evento ou ação e suas entidades de origem.

Política

A intenção e orientação geral formalmente expressa pela administração.

Procedimento

Forma específica de conduzir uma atividade ou processo.

Processo

Conjunto de atividades inter-relacionadas ou interativas que transformam entradas em saídas.

Processo de gerenciamento de riscos

Políticas de Segurança da Informação (PSI)

As Políticas de Segurança da Informação (PSI) são o alicerce de qualquer programa eficaz de segurança cibernética. Elas estabelecem as regras, diretrizes e procedimentos formais que todos os usuários devem seguir para proteger os ativos de informação de uma organização.

1. O que são Políticas de Segurança da Informação?

Uma PSI é um conjunto de regras de alto nível que define como a informação deve ser protegida dentro de uma organização. Ela comunica a postura de segurança da administração e fornece a base legal e operacional para a segurança de computadores.

Objetivos Principais da PSI:

Proteger a Confidencialidade: Garantir que a informação seja acessível apenas a indivíduos autorizados.

Assegurar a Integridade: Manter a precisão e a completude da informação e dos métodos de processamento. Garantir a Disponibilidade: Assegurar que os usuários autorizados tenham acesso à informação e aos ativos relacionados quando necessário.

2. Componentes Essenciais da PSI

Embora as políticas variem, um documento de PSI robusto geralmente aborda os seguintes tópicos:

2.1. Política de Uso Aceitável (PUA)
Define como os usuários podem e não podem usar os recursos de TI da organização, incluindo hardware, software, redes e internet.

Exemplo: Proibir o download e a instalação de software não autorizado.

2.2. Política de Controle de Acesso
Regras que governam como os usuários obtêm acesso aos sistemas e dados. Abrange a criação, modificação e desativação de contas de usuário.

Exemplo: Exigir senhas fortes e exclusivas, e implementar a autenticação de múltiplos fatores (MFA).

2.3. Política de Segurança de Senhas
Especifica os requisitos para a criação, gerenciamento e proteção de senhas.

Exemplo: Comprimento Mínimo (por exemplo, 12 caracteres), Complexidade (mistura de maiúsculas, minúsculas, números e símbolos) e Requisito de Troca.

2.4. Política de Backup e Recuperação de Desastres
Define a frequência, o método e o local de armazenamento dos backups, e o plano para restaurar as operações de TI após um incidente de segurança ou desastre.

Exemplo: Utilizar a regra 3-2-1 (3 cópias, 2 mídias diferentes, 1 cópia off-site).

2.5. Política de Resposta a Incidentes
Estabelece os procedimentos claros e as responsabilidades para detectar, responder e se recuperar de um incidente de segurança.

Exemplo: Passos como Preparação, Detecção e Análise, Contenção, Erradicação e Recuperação, e Atividades Pós-Incidente.

3. Segurança de Computadores: Implementando as Políticas

A Segurança de Computadores refere-se aos mecanismos técnicos e procedimentos usados para proteger sistemas de hardware e software contra o uso, a divulgação, a modificação, a interrupção ou a destruição não autorizados.

3.1. Controles Técnicos
São ferramentas e tecnologias implementadas para aplicar as políticas.

Firewalls: Filtram o tráfego de rede para bloquear acessos não autorizados.

Antivírus/Antimalware: Software para detectar, prevenir e remover software malicioso.

Sistemas de Detecção/Prevenção de Intrusão (IDS/IPS): Monitoram o tráfego de rede em busca de atividades suspeitas ou violações de política.

Criptografia: Codifica dados para protegê-los em trânsito e em repouso.

Controles de Acesso: Software que gerencia a identidade e as permissões dos usuários (ex.: Princípio do Menor Privilégio).

3.2. Medidas de Segurança de Estação de Trabalho (Endpoint)
O computador do usuário é frequentemente o ponto mais vulnerável. As políticas devem forçar:

Patches e Atualizações: Manter o sistema operacional (SO) e o software de aplicação atualizados para corrigir vulnerabilidades de segurança.

Configuração Segura (Hardening): Desabilitar serviços e portas desnecessárias e aplicar configurações restritivas.

Controle de Dispositivos Removíveis: Restrições ao uso de pen drives e discos externos para prevenir a perda de dados e a introdução de malware.

3.3. Conscientização e Treinamento do Usuário
A segurança humana é crítica. Nenhuma política técnica é suficiente se os usuários não estiverem informados.

Treinamento Regular: Educar os funcionários sobre as políticas, as táticas de phishing e a importância de relatar incidentes.

Cultura de Segurança: Promover um ambiente onde a segurança é vista como responsabilidade de todos.

4. Auditoria e Revisão da PSI

As políticas não são estáticas; elas devem evoluir com a tecnologia e as ameaças.

4.1. Auditoria de Conformidade
Revisão periódica (anual ou após grandes mudanças) para garantir que as práticas de segurança atuais (os controles técnicos e operacionais) estejam em conformidade com o que foi definido na PSI.

4.2. Revisão da Política
O documento da PSI deve ser revisado regularmente para incorporar novas tecnologias, regulamentações (como a LGPD no Brasil) e lições aprendidas em incidentes de segurança.

Quem: A revisão deve envolver a administração, o departamento jurídico, e a equipe de segurança da informação.

5. Conclusão

As Políticas de Segurança da Informação fornecem o mapa para a Segurança de Computadores, transformando a intenção da administração em ações concretas e auditáveis. Elas são a ponte entre a estratégia de negócios e as operações técnicas diárias, garantindo que os pilares da Confidencialidade, Integridade e Disponibilidade (CID) sejam mantidos.

Segurança em TI

Segurança Física (Proteção do Ambiente)

A segurança física protege o hardware e os locais onde seus ativos de TI estão armazenados, prevenindo acesso, roubo, danos ou desastres ambientais.

A. Controles de Acesso

Controle de Acesso por Cartão/Biometria: Restringe a entrada a áreas sensíveis (como salas de servidores e escritórios) apenas a funcionários autorizados.

Portas e Janelas Reforçadas: Uso de materiais resistentes e fechaduras de alta segurança para impedir entrada forçada.

Registro de Visitantes Manter um registro de entrada e saída de todos os não-funcionários, com acompanhamento obrigatório em áreas restritas.



B. Vigilância e Monitoramento

CFTV (Circuito Fechado de TV) Câmeras de vigilância monitorando entradas, saídas e áreas internas críticas, com gravação de alta qualidade.

Alarmes de Intrusão Sensores de movimento e abertura conectados a um sistema de monitoramento para alertar sobre acessos não autorizados.

Iluminação Externa/Interna Adequada Luzes ativadas por movimento ou iluminação constante para desencorajar atividades criminosas.



C. Proteção Ambiental e de Infraestrutura

Controle de Climatização/HVAC Essencial para manter a temperatura e umidade ideais em salas de servidores e Data Centers, prevenindo falhas de hardware.

Sistemas de Combate a Incêndios Uso de extintores e sistemas de supressão (ex: gás inerte, como FM-200) que não danifiquem equipamentos eletrônicos.

Proteção de Fonte de Energia Nobreaks (UPS) e geradores de energia para garantir a disponibilidade dos sistemas em caso de queda de energia.

Segurança Virtual/Lógica (Proteção de Dados e Sistemas)

A segurança virtual protege os dados, sistemas operacionais e a infraestrutura de rede contra ameaças digitais, como malware, hackers e erros humanos.

A. Segurança de Rede (Perímetro e Tráfego)

Firewall Filtra o tráfego de entrada e saída da rede, bloqueando conexões não autorizadas com base em regras predefinidas. Mapear portas e IPs, usar Next-Generation Firewalls (NGFW).

VPN (Rede Privada Virtual) Garante a confidencialidade do acesso remoto, criptografando a comunicação entre o usuário e a rede da empresa. Uso de protocolos seguros (IPsec, SSL/TLS).





IDS/IPS Sistemas de Detecção/Prevenção de Intrusão que monitoram o tráfego em busca de padrões de ataque conhecidos e os bloqueiam. Resposta automatizada a ameaças em tempo real.

Micro-Segmentação Dividir a rede interna em pequenas zonas isoladas (VLANs), limitando a propagação de um ataque. Aplicar o Princípio do Mínimo Privilégio na rede interna.

B. Segurança de Dados e Aplicações

Criptografia Codifica dados para proteger sua confidencialidade, tanto em repouso (armazenados) quanto em trânsito (redes). Criptografar discos rígidos, e-mails e conexões web (HTTPS).

Antivírus e Anti-Malware Software que detecta, previne e remove códigos maliciosos como vírus, ransomware e spyware. Manter assinaturas atualizadas e realizar varreduras periódicas.

Backup e Recuperação Criação de cópias de segurança regulares dos dados, testando o processo de recuperação (DRP - Disaster Recovery Plan). Seguir a regra 3-2-1: 3 cópias, 2 mídias diferentes, 1 cópia off-site.

C. Segurança de Acesso e Identidade

Gestão de Identidade e Acesso (IAM) Gerenciar o ciclo de vida das contas de usuário e o acesso aos recursos. Usar diretórios centrais (ex: Active Directory) e revisar permissões regularmente.

Autenticação Multifator (MFA/2FA) Requerer duas ou mais formas de verificação de identidade (ex: senha + token de celular) para acesso a sistemas críticos. Implementar MFA em todos os serviços baseados em nuvem e VPNs.

Princípio do Mínimo Privilégio Conceder aos usuários apenas as permissões necessárias para realizar suas tarefas, limitando potenciais danos. Usuários comuns não devem ter acesso de administrador.

Conscientização e Políticas (O Fator Humano)

Independentemente dos controles técnicos, o fator humano é o elo mais fraco. Treinamento de Conscientização: Treinar regularmente os funcionários sobre como identificar phishing, proteger senhas e seguir as políticas de segurança. Política de Uso Aceitável: Documentar as regras sobre o uso de recursos da empresa (internet, e-mail, dispositivos pessoais). Gestão de Patches: Manter todos os sistemas operacionais, software e firmwares atualizados para corrigir vulnerabilidades conhecidas.

Questões de Múltipla Escolha

1. Qual princípio da Segurança da Informação (SI) garante que a informação só será acessível por usuários autorizados?
(A) Integridade
(B) Disponibilidade
(C) Confidencialidade
(D) Não-Repúdio

2. Qual mecanismo de segurança é primariamente utilizado para garantir a Integridade dos dados em trânsito em uma rede de computadores?
(A) Firewall
(B) Funções Hash e Assinaturas Digitais
(C) Autenticação Multifator (MFA)
(D) Nobreaks (UPS)

3. Qual ameaça de rede afeta diretamente o princípio da Disponibilidade, impedindo que usuários legítimos acessem um serviço?
(A) Sniffing de Pacotes
(B) Session Hijacking
(C) Spoofing de Endereço IP
(D) Ataque de Negação de Serviço Distribuída (DDoS)

4. No contexto da Segurança em TI, o que o princípio do Mínimo Privilégio busca limitar?
(A) O número de portas abertas em um firewall.
(B) O número total de usuários na rede.
(C) O dano potencial que pode ocorrer se um usuário ou sistema for comprometido.
(D) A quantidade de banda larga utilizada por um dispositivo.

5. Qual elemento de segurança de perímetro de rede tem a função de inspecionar o tráfego de entrada e saída, filtrando-o com base em regras e estados de conexão?
(A) IDS (Sistema de Detecção de Intrusão)
(B) Firewall
(C) VPN (Rede Privada Virtual)
(D) SIEM (Gerenciamento de Eventos de Segurança)

6. A implementação de Nobreaks (UPS) e geradores de energia em uma sala de servidores é um controle de Segurança Física que visa diretamente qual pilar da SI?
(A) Confidencialidade
(B) Integridade
(C) Autenticidade
(D) Disponibilidade

7. Qual é a principal função de uma VPN (Rede Privada Virtual) ao conectar um usuário remoto à rede corporativa?
(A) Reduzir o ping e aumentar a velocidade da conexão.
(B) Criar um túnel criptografado para garantir a Confidencialidade e Integridade dos dados.
(C) Atuar como um firewall de inspeção profunda de pacotes.
(D) Registrar todos os logs de acesso para fins de Não-Repúdio.

8. O que é o Man-in-the-Middle (MITM)?
(A) Um ataque que sobrecarrega o servidor com inúmeras requisições.
(B) Uma técnica de criptografia avançada.
(C) Um tipo de malware que se espalha por e-mail.
(D) Um atacante que intercepta a comunicação entre duas partes sem o conhecimento delas.

9. A estratégia de Defesa em Profundidade na Segurança de Redes é caracterizada por:
(A) Focar exclusivamente no firewall como única barreira de proteção.
(B) Apenas aplicar patches de segurança mensalmente.
(C) Usar múltiplas camadas de controles (físicos, técnicos e administrativos) para proteger ativos.
(D) Concentrar todos os ativos de informação em um único local físico seguro.

10. Qual controle de Segurança Virtual exige duas ou mais formas de verificação (ex: senha e código no celular) para acesso a um sistema, protegendo contra o uso indevido de senhas roubadas?
(A) Princípio do Mínimo Privilégio
(B) Autenticação Multifator (MFA)
(C) Controle de Acesso à Rede (NAC)
(D) Assinatura Digital

Gabarito

O que é o Man-in-the-Middle (MITM)

O ataque Man-in-the-Middle (MITM), ou "Homem no Meio", é uma ameaça cibernética onde o atacante se insere secretamente entre duas partes que estão se comunicando, como um usuário e um servidor. O objetivo principal é interceptar, espionar, registrar e, em muitos casos, alterar os dados que estão sendo trocados, sem que as vítimas percebam a presença do invasor.

Como Funciona o Ataque MITM

O ataque MITM transforma o invasor em um intermediário não autorizado. A comunicação, que deveria ser direta (A se comunica com B), passa a ser dividida em duas conexões separadas: (A se comunica com o invasor) e (o invasor se comunica com B).

O processo geralmente envolve duas fases principais:

1. Interceptação 📡 O atacante precisa se posicionar de forma a capturar o tráfego de dados entre as vítimas. Isso pode ser feito explorando vulnerabilidades de rede ou enganando os usuários. Técnicas comuns de interceptação incluem:

Espionagem de Wi-Fi (Evil Twin): O atacante configura um ponto de acesso Wi-Fi falso (chamado de Evil Twin) com um nome idêntico ou muito semelhante a uma rede legítima (por exemplo, em um café ou aeroporto). Usuários desavisados se conectam à rede falsa, e todo o seu tráfego passa pelo dispositivo do atacante.

Envenenamento de Cache ARP (ARP Spoofing): O atacante envia mensagens falsas em uma rede local para associar o seu próprio endereço MAC ao endereço IP do gateway (roteador) ou de outro dispositivo. Isso faz com que o tráfego destinado ao roteador seja redirecionado para o dispositivo do atacante.

Falsificação de DNS (DNS Spoofing): O atacante corrompe o cache DNS de um servidor ou dispositivo, fazendo com que o navegador da vítima, ao tentar acessar um site legítimo (ex.: banco), seja redirecionado para um site falso sob controle do atacante.

2. Descriptografia e Modificação ✍️ Uma vez que o tráfego é interceptado, a principal barreira é a criptografia (como SSL/TLS, indicada por URLs que começam com https://).

Ataque SSL Strip/TLS Hijacking: O atacante atua como um proxy (intermediário) e remove a camada de segurança SSL/TLS. Quando a vítima tenta se conectar a um site seguro, o atacante estabelece uma conexão segura (HTTPS) com o servidor, mas mantém uma conexão não segura (HTTP) com a vítima. O atacante vê e manipula os dados em texto simples (sem criptografia) antes de retransmiti-los.

Roubo/Manipulação de Dados: Se o tráfego não for criptografado, o atacante pode simplesmente ler informações confidenciais, como credenciais de login e detalhes de cartão de crédito. Ele também pode modificar a comunicação, como alterar o valor de uma transação financeira antes que ela chegue ao banco.

Tipos Comuns de MITM

Envenenamento de Cache ARP: Protocolo ARP (Redes Locais) Redirecionar o tráfego dentro de uma rede local (LAN).

Falsificação de DNS Protocolo DNS: Redirecionar o tráfego para um site malicioso, mesmo que o usuário digite o URL correto.

Sequestro de Sessão Cookies de Sessão HTTP: Roubar o cookie de sessão após o usuário fazer login, permitindo que o atacante se passe pelo usuário sem precisar de senha.

SSL/TLS Strip: Protocolo HTTPS Forçar uma conexão criptografada (HTTPS) a retornar para não criptografada (HTTP) para interceptar dados em texto simples.

Como Se Proteger

A principal defesa contra ataques MITM é garantir a autenticidade e a criptografia da comunicação:

Sempre Use HTTPS: Certifique-se de que a URL do site comece com https:// e tenha um ícone de cadeado. Isso garante que a comunicação entre você e o servidor esteja criptografada.

Evite Wi-Fi Público Não Confiável: Não realize transações confidenciais (banco, compras) em redes Wi-Fi públicas abertas. Se precisar usar, utilize uma VPN (Rede Privada Virtual).

Utilize VPN: Uma VPN estabelece um "túnel" criptografado entre seu dispositivo e o servidor VPN, tornando a interceptação por terceiros inútil, mesmo em redes inseguras.

Verifique Certificados de Segurança: Fique atento a alertas do navegador sobre certificados de segurança inválidos ou não confiáveis, pois isso pode ser um sinal de ataque MITM.

Gerenciamento de Riscos e Análise de Ameaças em Segurança de Computadores

Sumário

Introdução à Segurança da Informação e Gerenciamento de Riscos

Definição e Relação dos Conceitos Fundamentais 2.1. Ativos (Assets) e o Triângulo CIA 2.2. Ameaças (Threats) e Vetores de Ataque 2.3. Vulnerabilidades (Vulnerabilities) 2.4. Risco (Risk)

O Ciclo de Vida do Gerenciamento de Riscos (Risk Management Lifecycle)

Fase I: Análise e Identificação de Ameaças e Ativos 4.1. Classificação e Valorização de Ativos 4.2. Identificação de Ameaças: Fontes e Tipos 4.3. Mapeamento de Vulnerabilidades e Gaps

Fase II: Avaliação de Riscos (Risk Assessment) 5.1. Medição do Risco: Abordagem Qualitativa 5.2. Medição do Risco: Abordagem Quantitativa 5.3. A Fórmula do Risco (Stallings) e a Matriz de Risco

Fase III: Tratamento de Riscos e Implementação de Controles 6.1. Estratégias de Tratamento (Evitar, Reduzir, Aceitar, Transferir) 6.2. Categorias de Controles de Segurança 6.3. Análise de Custo-Benefício (Controle vs. Impacto)

Fase IV: Monitoramento e Revisão Contínua (Risco Residual)

Conclusão: A Necessidade de um Processo Proativo

1. Introdução à Segurança da Informação e Gerenciamento de Riscos

A segurança da informação, não é apenas um conjunto de ferramentas ou tecnologias, mas um estado de ser da informação e dos sistemas que a processam, protegendo-a contra acessos não autorizados e garantindo sua disponibilidade e integridade. O Gerenciamento de Riscos (GR) é o pilar fundamental para atingir este estado. Sem um processo formal de GR, a segurança se torna reativa e ineficiente, focando em problemas pontuais em vez de proteger o valor do negócio.

O GR é a metodologia que permite a uma organização tomar decisões informadas sobre quais riscos são aceitáveis e quais exigem investimentos em controles de segurança. A abordagem enfatiza que a segurança deve ser vista como um processo de negócios, e não apenas um problema técnico, onde os recursos de segurança devem ser alocados de forma a maximizar o retorno sobre o investimento (ROI).

2. Definição e Relação dos Conceitos Fundamentais

Para gerenciar o risco, é preciso entender os quatro elementos que interagem para criá-lo: Ativo, Ameaça, Vulnerabilidade e Risco.

2.1. Ativos (Assets) e o Triângulo CIA

Os ativos são os recursos da organização que precisam de proteção, pois possuem valor para o negócio. Stallings agrupa os ativos em categorias como dados, software, hardware, serviços e pessoal.

A valorização do ativo é feita com base em seu impacto no Triângulo CIA (Confidencialidade, Integridade e Disponibilidade):

Confidencialidade: Garantir que a informação seja acessível apenas por entidades autorizadas.

Integridade: Garantir que a informação seja completa e precisa, e que as modificações sejam autorizadas.

Disponibilidade: Garantir que os sistemas e a informação estejam acessíveis quando e onde necessário.

2.2. Ameaças (Threats) e Vetores de Ataque

Uma ameaça é o potencial de uma causa que pode resultar em dano a um ativo de acordo com sua origem e intenção:

Ameaças Ambientais/Naturais: Falhas de energia, desastres naturais.

Ameaças Acidentais (Não Intencionais): Erro humano, falha de software ou hardware.

Ameaças Intencionais: Ações maliciosas com o objetivo de violar a segurança (cibercriminosos, hackers patrocinados por estados, insiders maliciosos).

A Análise de Ameaças foca na identificação dos Vetores de Ataque, que são os caminhos ou métodos que um agente de ameaça usa para explorar uma vulnerabilidade (ex.: phishing, malware em anexo de e-mail, injeção de SQL).

2.3. Vulnerabilidades (Vulnerabilities) Uma vulnerabilidade é uma falha ou fraqueza em um sistema, procedimento ou controle de segurança que pode ser explorada por uma ameaça. A identificação de vulnerabilidades pode ser técnica (falhas de codificação, bugs de software) ou não técnica (políticas fracas, falta de treinamento de pessoal).

2.4. Risco (Risk)

O Risco é a probabilidade de uma ameaça explorar uma vulnerabilidade para causar um impacto negativo nos ativos. Stallings enfatiza que o Risco não existe se um dos elementos (Ativo, Ameaça ou Vulnerabilidade) estiver ausente, sendo o resultado da interseção desses fatores.

3. O Ciclo de Vida do Gerenciamento de Riscos

GR é como um ciclo contínuo, não como uma tarefa de única vez. O ciclo garante que as medidas de segurança se adaptem às mudanças nas ameaças e no ambiente tecnológico.

Avaliação de Riscos (Risk Assessment): Identificar riscos e estimar sua magnitude.

Tratamento de Riscos (Risk Treatment): Selecionar e implementar controles para mitigar os riscos.

Comunicação de Riscos (Risk Communication): Compartilhar as descobertas e decisões de risco com os stakeholders.

Monitoramento e Revisão: Medir a eficácia dos controles e reavaliar o risco.

4. Fase I: Análise e Identificação de Ameaças e Ativos

4.1. Classificação e Valorização de Ativos

Antes de proteger, é preciso valorizar. A valorização de ativos é tipicamente feita considerando o custo de substituição e, mais crucialmente, o custo potencial da perda do atributo CIA (Confidencialidade, Integridade, Disponibilidade).

Dados: Dados de clientes (PII), propriedade intelectual.
Penalidades regulatórias, perda de reputação, perda de vantagem competitiva.

Software: Sistemas operacionais, aplicativos essenciais.
Custo de licenças e desenvolvimento, indisponibilidade do serviço.

Hardware: Servidores, equipamentos de rede.
Custo de substituição, interrupção das operações.

Serviços: Conectividade de rede, e-mail.
Perda de produtividade e comunicação.

4.2. Identificação de Ameaças: Fontes e Tipos

A identificação detalhada das ameaças deve considerar o perfil do atacante (threat actor). Devemos ver a importância de entender a Motivação (financeira, política, hacktivismo) e a Capacidade (recursos, know-how) do agente de ameaça.

Exemplo de Tipos de Ameaças (Intencionais):

Interrupção: Ataque à Disponibilidade (ex.: DoS/DDoS).

Interceptação: Ataque à Confidencialidade (ex.: Sniffing, eavesdropping).

Modificação: Ataque à Integridade (ex.: Alteração de dados em trânsito).

Fabricação: Ataque à Autenticidade (ex.: Falsificação de identidades, spoofing).

4.3. Mapeamento de Vulnerabilidades e Gaps

A identificação de vulnerabilidades é tipicamente a mais técnica e envolve:

Varredura de Vulnerabilidades (Scanning): Uso de ferramentas automatizadas para identificar bugs conhecidos ou configurações incorretas.

Testes de Penetração (Penetration Testing): Simulação de ataques reais para encontrar gaps não óbvios (p. ex., vulnerabilidades de dia zero, falhas de lógica de negócios).

Auditoria de Políticas: Análise de fraquezas em políticas e procedimentos administrativos.

5. Fase II: Avaliação de Riscos (Risk Assessment)A avaliação é o processo de estimar a magnitude do risco, combinando a probabilidade de uma ameaça ocorrer com o impacto resultante. Risco Probabilidade(Ameaça Vulnerabilidade) Impacto(Ativo)

5.1. Medição do Risco: Abordagem QualitativaEsta abordagem é preferida para a maioria das organizações devido à sua simplicidade. Envolve a atribuição de classificações descritivas:Probabilidade: Baixa, Média, Alta.Impacto: Baixo (perda menor), Médio (perda significativa, mas recuperável), Alto (perda catastrófica ou de negócios).O resultado é a Matriz de Risco, onde a intersecção de probabilidade e impacto define o nível de risco (ex.: Alto x Alto = Crítico; Baixo x Baixo = Trivial).5.2. Medição do Risco: Abordagem Quantitativa A abordagem quantitativa tenta expressar o risco em termos monetários, tornando o custo da segurança diretamente comparável ao custo da perda. SLE (Single Loss Expectancy): Perda monetária esperada para uma única ocorrência de uma ameaça ( Valor do Ativo Exposição).ARO (Annualized Rate of Occurrence): Frequência esperada com que a ameaça ocorrerá em um ano.ALE (Annualized Loss Expectancy): Perda monetária anualizada esperada . .

6. Fase III: Tratamento de Riscos e Implementação de Controles

6. Fase III: Tratamento de Riscos e Implementação de Controles Após a avaliação, a organização deve decidir como tratar cada risco. O objetivo é reduzir o risco a um nível aceitável, o Risco Residual.

6.1. Estratégias de Tratamento (Evitar, Reduzir, Aceitar, Transferir)

6.2. Categorias de Controles de SegurançaA mitigação de riscos envolve a implementação de controles. Stallings os categoriza de acordo com sua natureza:Controles Técnicos: Implementados em hardware ou software (ex.: Criptografia, Autenticação Multifator, IDS/IPS).Controles Administrativos/Gerenciais: Políticas e procedimentos de segurança (ex.: Política de Senhas Fortes, Plano de Continuidade de Negócios).Controles Físicos: Proteção de ativos físicos (ex.: Câmeras, Trancas, Controle de Acesso Biomérico a data centers).6.3. Análise de Custo-Benefício (Controle vs. Impacto)A decisão de implementar um controle é guiada pela $ALE$. Um controle é considerado custo-efetivo se o custo anual do controle (AC) for menor que a redução na $ALE$ que ele proporciona.

7. Fase IV: Monitoramento e Revisão Contínua (Risco Residual)

A segurança não é estática. Novas ameaças (ransomware, phishing avançado), novas vulnerabilidades (descobertas de zero-day) e mudanças no ambiente de negócios exigem que o Gerenciamento de Riscos seja um processo contínuo.

O Risco Residual é o risco que permanece após a implementação dos controles. A organização deve documentar e aceitar formalmente esse risco residual.

As atividades de monitoramento incluem:

Revisão de Políticas: Garantir que as regras e políticas de segurança sejam aplicadas e permaneçam relevantes.

Monitoramento de Logs e Alertas: Usar ferramentas de SIEM (Security Information and Event Management) para detectar atividades anômalas que possam indicar a exploração de uma vulnerabilidade.

Auditorias Periódicas: Revisitar a avaliação de risco anualmente ou sempre que houver uma mudança significativa.

Analise as afirmações abaixo e marque C (Certo) ou E (Errado).

1)Segundo a abordagem de Stallings, a ameaça é o potencial de um perigo, enquanto o ataque é a ação que concretiza esse potencial.

2) O conceito de Risco (R) é estritamente a função da Probabilidade (P) de um evento ocorrer, não envolvendo o Impacto (I) nos ativos da organização.

3) A Análise Quantitativa de Riscos utiliza métricas descritivas como Baixa, Média e Alta para classificar probabilidade e impacto, sendo a abordagem preferida para se obter a ALE (Annualized Loss Expectancy).

4) O Risco Residual é o risco que permanece após a implementação de todos os controles de segurança e deve ser formalmente documentado e aceito pela organização.

5) O Gerenciamento de Riscos é um processo estático e de única vez, pois as ameaças e vulnerabilidades não se alteram significativamente após a implantação inicial dos controles de segurança.

6) O princípio da Disponibilidade, um dos pilares do Triângulo CIA, garante que a informação seja acessível apenas por entidades autorizadas.

7) A estratégia de Transferência de Riscos envolve a implementação de controles para diminuir a probabilidade ou o impacto do risco, como a instalação de firewalls.

8) Um controle de segurança é considerado custo-efetivo se o seu Custo Anual (AC) for menor do que a redução esperada na Perda Anual Esperada (ALE).

9) A fase de Análise de Ameaças foca na identificação dos ativos que precisam de proteção e na sua valorização com base no custo de substituição e no impacto no negócio.

10) A Vulnerabilidade é uma falha ou fraqueza que pode ser explorada por uma ameaça, mas ela não causa risco se o ativo que ela afeta não for valioso para a organização.