Segurança da Informação

Introdução

A certificação digital é uma das formas (sim, existem outras e muito eficazes em certas situações) de ser resolver um problema muito antigo conhecido como gerenciamento de chaves.
Mas para entender esta solução particular precisamos primeiramente equacionar o problema. O que será feito a seguir sem muitos detalhes.

De aproximadamente 4000 AC até o final dos anos 70 existia apenas uma forma de criptografia conhecida atualmente como criptografia simétrica. Em geral o funcionamento dela é, descrito com ajuda de dois personagens: Alice e Bob, da seguinte forma:

• Alice quer enviar uma mensagem confidencial, m, para Bob, por um canal de comunicação inseguro de forma que apenas Bob possa compreender seu conteúdo.
• Para tal, Alice encripta a mensagem m usando um algoritmo E com uma chave e. O resultado desta operação é um criptograma c que é então enviado para Bob.
• Este por sua vez executa um processo inverso. Ele aplica o algoritmo D com a chave d no criptograma c e obtém a mensagem m.

O processo funciona perfeitamente nas seguintes condições:
• 1ª. A chave e é igual a d.
• 2ª. O algoritmo E é o inverso do D.
• 3ª. O espião tem acesso ao canal e conseqüentemente ao criptograma, mas não às chaves.

O fato desta forma de criptografia ser chamada de simétrica está relacionado com a 1ª condição.

É sempre necessário satisfazer o sistema de equações abaixo.
(1) Ee(m) = c
(2) Dd(c) = m

Isso faz com que os algoritmos E e D sejam inversos, pois as chaves são iguais!

Os algoritmos hoje existentes, como o DES e o AES especializam esta estrutura visando em geral maior velocidade e segurança.

O problema principal deste sistema é fazer com que a mesma chave esteja com Alice e Bob sem estar com o Espião. O canal usado para enviar o criptograma não pode ser usado para enviar a chave, por razões óbvias. É necessário um segundo canal.

Em 1976 Diffie e Hellman propuseram uma nova forma de criptografia, conhecida pelo nome de Assimétrica.

A idéia é perder a dependência do emprego da mesma chave nos lados do processo.

Somente em 1978 a primeira versão desta proposta foi realizada por Rivest, Shamir e Adleman, gerando o mais conhecido de todos os algoritmos desta classe, o RSA.

Esta pequena, mas fundamental mudança levou a criação de novos algoritmos que agora operam em par com suas chaves, ou seja, como a chave e é diferente da d para o sistema de equações (1) e (2) continuar valendo o conjunto E+e precisa ser o inverso do D+d.

Note que agora não existe mais a dependência de um segundo canal e deste ser seguro. Isto se deve ao emprego de duas chaves.

A chave e é conhecida como chave pública, pois ela é usada para colocar a mensagem em uma forma que apenas quem possua a chave d, chamada privada possa recuperar e isso é desejável e não compromete em nada a segurança.

Mas o problema não termina aqui, no mesmo ano, uma aluna do prof. Adleman chamada Loren Konfelder, defendeu sua dissertação de mestrado atacando um dos problemas decorrentes deste novo sistema, a propriedade da chave e.

Este problema também existe no caso simétrico, e é ainda pior, pois dada uma chave não se pode saber qual dos dois lados da comunicação a usou.

O que mudou foi a forma de tratar a comunicação. Enquanto com a criptografia simétrica havia a necessidade do canal seguro, e geralmente caro e justificável, para transportar a chave, com a assimétrica um canal muito barato, a própria Internet, poderia ser usado só que agora se tornou necessário gerenciar não mais um punhado de chaves simétricas, mas milhares de assimétricas.

Com isso, o controle ficou tão complexo ao ponto que qualquer um pode gerar um par de chaves e se fazer passar por um usuário numa comunicação.

É aqui que entra a questão da certificação digital, mencionada pela primeira vez no texto da Loren.

A idéia é ter um terceiro participante no qual os dois outros confiem e a tarefa deste é divulgar um documento atestando que uma dada chave pública pertence a uma certa pessoa. Este documento chama-se certificado digital e esta terceira entidade a Autoridade Certificadora (AC).

O certificado digital evoluiu bastante durante este tempo. Hoje, suas funções e aplicações vão muito além das levantadas pela Loren e com ele toda uma estrutura, ou melhor, infra-estrutura tornou-se necessária para sua operação, conhecida como Infra-estrutura de Chaves Públicas ou ICP, que é a responsável por toda a gerência dos certificados.

Com essa garantia de que uma dada chave pública pertence a uma certa pessoa (ou equipamento) muitas aplicações antigas ganharam novo fôlego e algumas novas estão surgindo.

Como exemplo de uma velha conhecida que ganhou novo impulso podemos citar o email. Com essa infra-estrutura é possível ter a certeza de quem enviou uma mensagem e de que ela não foi lida por mais ninguém durante o seu percurso.

Isso é possível graças à assinatura digital feita com a chave privada, par da pública que é livremente conhecida.).

O diagrama apresenta dois novos componentes: a função de hash e o hash value. Para não alongar a explicação e fugir do objetivo que é certificação digital, basta pensar nessa função como um compactador de mensagens cuja saída, o hash value, tem sempre um tamanho fixo e único para cada entrada.

Não seria nenhuma novidade ver empresas vendendo soluções de ICP para dar suporte a certificados digitais e estes serem usados em novas aplicações na Internet se não fosse a participação de Governos Nacionais, como o brasileiro, atuando nesta função. As razões para isso são muitas, vistas a seguir.

A Infra-estrutura de Chaves Públicas Brasileira (ICP-Brasil) foi instituída pela Medida Provisória 2200 de julho de 2001. No mesmo mês foi criado o Comitê Gestor da ICP-Brasil, através do decreto número 3.872.

O comitê tem por função adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil, além de estabelecer a política, os critérios e as normas para licenciamento de Autoridades Certificadoras e demais prestadores de serviços de suporte em todos os níveis da cadeia de certificação.

A ICP-Brasil é composta por um conjunto de entidades governamentais e da iniciativa privada que serão responsáveis por assegurar que aquele par de chaves, a privada e a pública, pertence a quem de direito.

As utilidades para esta ferramenta são praticamente infindáveis. Que ver outro exemplo? A maioria de nós entrega declaração de Imposto de Renda pela internet, não é? Você já pensou que nada pode garantir que uma outra pessoa, mal intencionada, faça novamente a sua declaração, alterando violentamente os valores com o intuito de te prejudicar, e envie à Secretaria da Receita Federal dizendo ser uma declaração sua retificadora? De uma hora para outra, você que espera ter uma restituição depois de alguns meses, na verdade estará com uma dívida na SRF, a qual você nem foi notificado.

Os bancos e as administradoras de cartão de crédito então interessantíssimas nisso. Hoje, se você faz uma compra via internet, e depois alega que não comprou, a Administradora se vê obrigada a ficar com o prejuízo sem reclamar.

A novidade é que isso (a certificação digital) já é realidade há alguns meses, e você não terá como fugir desse avanço. Assim como registrar uma firma num cartório de notas, o registro de suas chaves a unidade certificadora também será um serviço pago. Os preços hoje estão por volta dos R$ 90,00 anuais, ainda caros para o uso popular, mas a concorrência fará esse preço cair para perto de R$ 30,00. Também temos que ter em mente que nem todos precisaremos ter um certificado digital, assim como nem todos temos registro no cartório de notas.

A estrutura da ICP-Brasil possui uma, e só uma, Autoridade Certificadora Raiz (AC-Raiz), que é representada pelo Instituto Nacional de Tecnologia da Informação (ITI). As demais Autoridades Certificadoras possuem os seus certificados garantidos pela AC-Raiz, que é, por lei, impedida de vender certificados para pessoas e instituições. Os seus certificados são apenas para Autoridades Certificadoras intermediárias. Faz parte das atribuições do comitê gestor certificar que a Entidade que deseja ser intermediária é preparada para tal, e por auditar o processo.

Se você é empresário e já está pensando em dar uma alavancada nos seus negócios sendo uma AC intermediária, é bom saber que isso não é fácil nem barato.

Para se ter uma idéia, o custo para se candidatar a um credenciamento é de R$ 500 mil, e os requisitos técnicos são semelhantes a um filme de ficção científica: salas cofre à prova de intrusos, choque, fogo e desastres, onde ficam os servidores, links de redes com bandas astronômicas, funcionários extremamente especializados e que permitam que suas vidas pessoais sejam investigadas, e por aí vai.

Mas vale também dizer, para concluir, que dependendo da necessidade do empreendimento, pode-se ter uma ICP própria desvinculada da ICP-Brasil, a um custo muito menor.

A diferença maior desta opção é a perda da validade legal dos certificados. Isto pode não ser crítico em muitos negócios e em muitos outros ambientes nem mesmo é desejável ter.

Saiba mais………….

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Por: Airon Fonteles da Silva

Introdução

Gerência de redes. O termo já teve seus altos e baixos, mas se mantém vivo para os profissionais da área. É bem verdade que a maioria esmagadora das empresas utiliza uma técnica bem conhecida para fazer a gerência: a gerência da porta aberta. Basicamente esta técnica se resume ao nosso “gerente de rede” sentado em sua cadeira, com a porta de sua sala aberta, esperando alguém gritar e reclamar por um serviço que deixou de funcionar corretamente.

Mais difícil ainda é a gerência de segurança. Sim, esta é mais uma área de gerência de redes que é pouco conhecida e pouco implementada pelos profissionais da área. Mesmo supondo que a empresa em questão tenha implementado uma política de gerência de redes e existam regras de segurança, a gerência dessas regras ou políticas é feita quase que de forma empírica.

Políticas de segurança

Bem, a gerência de segurança está baseada em regras de segurança, ou seja, temos que ter, antes de tudo, uma política de segurança. Em redes de qualquer dimensão este aspecto deve estar presente desde a concepção da mesma. É um aspecto importante, pois tem impacto direto em escabilidade, desempenho entre outros.

Podemos observar claramente que uma política de segurança consiste em especificar formalmente as regras que deverão ser seguidas pelas pessoas para acessarem os recursos da empresa.

Independente da política de segurança ter sido concebida na parte de projeto da rede em questão, prática altamente recomendada, mas usualmente não seguida, temos os seguintes passos a seguir:

a) Identificar o que você está interessado em proteger;
b) De quem você está preocupado em proteger;
c) Determinar quais as principais ameaças;
d) Implementar as medidas que protegerão os recursos com uma boa relação custo-benefício;
e) Rever este processo continuamente aperfeiçoando e eliminando possíveis falhas.

Impactos econômicos

Entre as atividades necessárias para a implementação de uma política de segurança, encontramos alguns entraves que podem causar problemas relativamente sérios para uma implementação que traga os resultados desejados. Isso acontece porque a implementação de uma política como esta tem vários pontos de contrapartida. Vejamos alguns deles.

Todos os problemas que encontramos aqui podem ser sérios e comprometer a implementação de uma política de segurança. Do ponto de vista econômico, por exemplo, existe um custo para se implementar tal política. A questão que deve ser apresentada é: é economicamente viável sua implementação? Profissionais da área de TI sempre irão dizer que sim, pois segurança é essencial em qualquer empresa. Mas essa não é a maneira de pensar de quem tem o dinheiro pra investir na empresa.

Vejamos, a maneira mais fácil de convencer quem detem os recursos para investimento fazê-lo, é apresentar uma análise de retorno de investimento (Return of Investiment, ROI). A grosso modo, o que deve ser feito é uma análise de em quanto tempo o investimento feito terá o seu retorno e compará-lo com o tempo necessário para que este mesmo investimento tivesse retorno caso fosse feita uma aplicação tradicional. Isto é o que justificaria o investimento na política de segurança. É desta maneira que calculamos se ela será ou não viável. Mas temos um grave problema neste ponto. Como mensurar os ganhos, perdas e custos da política de segurança? Este é realmente um problema complexo onde atualmente temos muitas incertezas e temos que lidar com estimativas. Além disso, temos que lidar com o valor da informação, que costuma ser uma coisa intangível.

Dentro deste mesmo panorama, podemos citar como exemplo, o custo de treinamento de pessoal, o custo de se implantar um firewall ou um sistema de detecção de intrusão. Esses últimos requerem uma análise não apenas de custo de software ou hardware. Temos que analisar também os impactos na utilização dos recursos que a habilitação deste tipo de ferramenta incorre.

Impactos de desempenho

Um estudo interessante é apresentado em [Paulo03]. Nele são apresentados os impactos da utilização de mecanismos de segurança em redes 802.11. O que temos na verdade é um estudo dos impactos de desempenho, que claramente tem forte ligação com a questão econômica, que a implementação deste tipo de ferramenta acarreta. Por exemplo, a utilização de criptografia de chave pública requer um tempo de processamento adicional nos hosts envolvidos.

O sonho dos profissionais de segurança é que toda comunicação seja de feita de forma criptografada, que tenhamos firewalls e sistemas de detecção de intrusão rodando permanentemente, enfim, que sejam implementados todas as ferramentas possíveis para proteger a informação e a infra-estrutura de rede da empresa. Mas tudo isso tem um custo que não pode ser desprezado. Por isso que esta análise, mesmo que subjetiva em alguns aspectos deve ser levada em consideração na elaboração de uma política de segurança.

Nesta questão de desempenho, faltam ainda muitos estudos para que uma melhor gerência de segurança possa ser colocada em prática, mas o caminho já foi iniciado e muito em breve teremos condições de analisar melhor os impactos que cada medida tomada tem nos recursos disponíveis e termos a possibilidade de tomarmos as melhores decisões para a utilização dos mesmos.

Impactos políticos

Adicionar regras de acesso a recursos nem sempre é tarefa das mais fáceis. Este é apenas um exemplo do que podemos esperar com a implementação de uma política de segurança.

Delegar direitos, restrições, obrigações e responsabilidades são políticas fundamentais na elaboração de uma boa política, pois o principal risco de segurança está nas pessoas. Sejam elas administradores que não fizeram uma atualização necessária em um software essencial, ou mesmo um funcionários insatisfeitos que têm acesso a mais informações do que deveria.

Este é um ponto em que a gerência pode ser feita de uma maneira satisfatória pois desta vez estamos lidando com coisas que se pode verificar um pouco mais facilmente. Neste caso, é de suma importância realizar auditorias periódicas para verificar se estas políticas estão sendo de fato obedecidas.

Como gerir tudo isso?

Obviamente não há ferramenta disponível que seja capaz de lidar com tamanho nível de incerteza e abstração. Por isso que a gerência de segurança é um tema as vezes pouco abordado pelos profissionais da área. Uma possível solução para isto é a adoção de ferramentas individuais.

Pode-se, por exemplo, analisar um intervalo de confiança em que se é possível realizar determinada atividade e através de determinada ferramenta individual (um sistema de gerenciamento de chaves, por exemplo), ajustar o nível de segurança para se obter uma melhor qualidade de serviço sempre respeitando o nível mínimo de segurança exigido pela mesma.

Esta não é tarefa das mais fáceis numa rede de grandes proporções. Ainda há muita coisa a se fazer e muita coisa já está sendo feita para melhorar o patamar em que nos encontramos. Mas uma boa política de segurança aliada com a gerência da mesma continua sendo indispensável para qualquer empresa, independente de suas dimensões.

Saiba mais

Referências

[Paulo03] Paulo Ditarso M. Júnior, Bruno A. A. Nunes, Carlos A. V. Campos, Luís F. M de Moraes. Avaliando a Sobrecarga Introduzida nas Redes 802.11 pelos Mecanismos de Segurança WEP e VPN/IPSec. WSeg 2003 - XXI Simpósio Brasileiro de Redes de Computadores (SBRC2003)

[rfc2196] RFC 2196 - Site Security Handbook. The Internet Engineering Task Force, September 1997

[Orl91] Eugenio Orlandi. The cost of security. Proceedings 25th Annual 1991 IEEE International Carnahan Conference on Security Technology, 1-3 Oct. 1991 Pages: 192 - 196

[Spy00] Evdoxia Spyropoulou, Timothy E. Levin, and Cynthia E. Irvine, Calculating costs for quality of security service. Proceedings of the 16th Annual Computer Security Applications Conference, New Orleans, Louisiana, USA, December 11-15, 2000, pp. 334–343.

[Ste91] Daniel F. Sterne, On the Buzzword “Security Policy” Proceedings IEEE Computer Society Symposium on Research in Security and Privacy, 20-22 May 1991 Pages: 219 - 230

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Diagnóstico
O processo de “Diagnóstico” consiste em analisar a probabilidade de ameaças explorarem vulnerabilidades, considerando-se os mecanismos de segurança implementados.

Tem como objetivo minimizar o risco, evitar perda de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negócios.

Qual é a situação atual?

Atualmente as empresas têm reconhecido que a Segurança das Informações desempenha um papel importante para que objetivos sejam atendidos e novos negócios sejam viabilizados. Contudo, as complexas topologias de rede atuais, onde às conexões estão ultrapassando fronteiras, estão cada vez mais em um ambiente hostil: atacantes estão colocando a prova a segurança das informações com uma freqüência cada vez maior e exigindo uma resposta aos incidentes ou ataques de forma cada vez mais rápida. Podemos perceber que no cenário atual, as empresas não são capazes de reagir aos ataques ao seu ambiente computacional a tempo de impedir prejuízos financeiros diretos e indiretos aos negócios. Sendo assim, o maior desafio das empresas atualmente é conseguir gerenciar a Segurança das Informações no seu ambiente tão complexo.

Qual é a situação “ideal”?
As empresas devem gerenciar a Segurança das Informações desenvolvendo estratégias pró-ativas e re-ativas, analisando todos os riscos para o processo de negócio. A elaboração de um trabalho voltado para o “Diagnóstico” da segurança, permite que as empresas analisem com eficiência o estado atual do ambiente, determinando o grau de proteção dos ativos em informações contra possíveis ameaças. Sendo assim, os esforços e orçamentos serão direcionados para atividades mais prioritárias para o processo de negócios.

a) Análise de Risco
b) Análise de Vulnerabilidades
c) Análise de Segurança na Aplicação
d) Teste de Invasão

Análise de Risco
A análise de risco da informação possui três objetivos principais: identificar riscos, quantificar o impacto das ameaças e conseguir um equilíbrio financeiro entre o impacto do risco e o custo da contramedida.

A identificação dos riscos e seu correto entendimento irá direcionar os investimentos de forma consciente obtendo melhores resultados.

Saiba mais…

A análise de riscos é usada para verificar possíveis ataques, ferramentas, métodos e técnicas que podem ser usados para explorar uma vulnerabilidade. A análise de riscos da informação é um método de identificação de riscos e avaliação dos possíveis danos que podem ser causados, a fim de justificar os controles de segurança.

A análise de risco da informação possui três objetivos principais: identificar riscos, quantificar o impacto de possíveis ameaças e conseguir um equilíbrio financeiro entre o impacto do risco e o custo da contramedida.

Um dos desafios da área de Segurança da Informação, ou até mesmo do departamento de Tecnologia da Informação, é integrar os objetivos do programa de segurança aos objetivos e requisitos de negócios. Para que todos os requisitos de negócios sejam atendidos, a empresa deve alinhar os objetivos de segurança com os objetivos de negócios. Apenas dessa forma o programa de segurança será bem sucedido.
A análise de risco ajuda a empresa a delinear um orçamento adequado para um programa de segurança e os componentes de segurança que formam esse programa. Quando a empresa souber o valor dos ativos e entender as possíveis ameaças a que eles estão expostos, a alta direção poderá tomar decisões inteligentes sobre o quanto investir na proteção desses ativos.

A análise de risco tem como objetivos:
• Identificar ameaças em potencial à segurança de TI (Tecnologia da Informação) e sua probabilidade aproximada.
• Identificar o valor dos ativos, inclusive seu valor indireto, caso sejam danificados ou violados.
• Usar esses valores quantificados para identificar as atividades mais adequadas e econômicas para proteger o ambiente.
• Definir e gerenciar uma diretiva formal de gerenciamento de riscos de segurança.
• Integrar o gerenciamento de riscos de segurança ao ciclo de vida da infra-estrutura de TI.
• Definir processos para aprimorar a especialização em gerenciamento de riscos na empresa por meio de iterações do ciclo do gerenciamento de riscos.

Análise de Vulnerabilidades
A confiabilidade, integridade e disponibilidade da informação são fundamentais para o bom andamento dos negócios.

Realizar inspeções de segurança para analisar a chance de perda para um ativo específico, possibilita uma estatística das vulnerabilidades existentes e os impactos resultantes. É uma etapa fundamental para definição correta das medidas de proteção e das necessidades de acerto no ambiente computacional.

O resultado final é uma análise do ambiente existente, comparando a situação atual com o ambiente desejado. São fornecidas recomendações técnicas e administrativas para minimizar os ricos e proteger os negócios.

Um fato muito comum que podemos encontrar em diversas empresas, é o profissional de TI acumular diversas tarefas e quase sempre sendo pressionado a realizar suas tarefas da maneira mais rápida possível e sem causar inconveniências aos usuários. Quando um incidente de segurança acontece, muitos profissionais de TI percebem que a única coisa que têm tempo de fazer é conter a situação, descobrir as causas e reparar os sistemas afetados no menor tempo possível.

A análise de vulnerabilidades identifica a raiz do problema e quais recursos são necessários para resolver o problema e minimizar o risco. A empresa começa a desenvolver uma estratégia reativa de segurança, minimizando o risco do ambiente computacional ser explorado por um atacante ou uma ameaça qualquer, a aproveitando melhor seus recursos computacionais.

Análise de Segurança na Aplicação
As aplicações (softwares e sistemas de computador) são desenvolvidas para automatizar e viabilizar os processos e negócios da empresa. Certificar que essas aplicações operem com a segurança necessária é fundamental para a viabilidade do próprio negócio.

A análise de segurança na aplicação consiste em analisar o contexto tecnológico e não tecnológico relacionado na aplicação e identificar quais os requisitos de segurança que existem ou que deveriam existir na aplicação. Avaliar o nível de garantia de segurança desses requisitos implementados na aplicação.
Todo o processo de avaliação é realizado em conformidade com a norma ISO/IEC 15408 Common Criteria.

O resultado final é a documentação da aplicação, o relatório final da avaliação e em caso de resultado positivo é emitido um Certificado de Segurança para a aplicação.

Quando uma empresa disponibiliza uma aplicação WEB na Internet, Intranet ou Extranet, a imagem da empresa e o seu sistema estão expostos a diversas ameaças. Para minimizar perdas financeiras, a única solução é identificar as ameaças e gerenciar os riscos associados. O desenvolvimento desta atividade permite realizar uma análise e concentrar os recursos nas questões relevantes, maximizando o retorno do investimento e garantindo a continuidade dos negócios.

O desenvolvimento desta atividade, em parceria com nossos clientes, é muito mais econômica e eficiente do que a implementação casual de sistemas de segurança sem o conhecimento preciso das ameaças que cada recurso de segurança deve solucionar.

Esta fase da metodologia BSM tem como objetivo identificar e classificar ameaças existentes na aplicação dos nossos clientes, com base em um conhecimento de vulnerabilidades das aplicações. O resultado das informações obtidas nesta fase possibilita tratar as ameaças existentes com as contramedidas apropriadas definindo prioridades, ou seja, começando pelas ameaças que apresentam maior risco para a organização.

Teste de Invasão
O teste de invasão tem como objetivo analisar os ambientes e seus sistemas de segurança pela ótica do invasor, sendo considerada uma técnica essencial para o bom andamento dos negócios. O objetivo não é causar danos, mas sim testar a eficácia dos mecanismos de segurança existentes.

a) Situação atual
b) Teste de Invasão
c) Macro etapas para o Teste de Invasão
d) Programa de Teste de Invasão

Situação atual
Atualmente, as organizações estão priorizando o aumento da segurança do seu ambiente computacional. Alguns fatores que contribuem com a estruturação da área de segurança dentro das organizações são:

a) Os negócios de qualquer organização são desenvolvidos através de uma rede computadores conectados à Internet.

b) Alguns regulamentos obrigam as organizações a manter as informações seguras, tais como:
1) Sarbanes-Oxley
2) California Senate Bill 1386 (SB 1386)
3) HIPAA (Health Insurance Portability and Accountability Act)
4) Resolução 3.380 do Banco Central do Brasil

c) Aumento da proliferação vírus de computador e ataques ao ambiente computacional.

Teste de Invasão
O teste de invasão é um conjunto de técnicas e metodologias para testar a conformidade com as regulamentações (nacionais e internacionais), normas internas e diretivas de segurança da informação.

É extremamente recomendado para:
a) Detectar vulnerabilidades desconhecidas.
b) Restringir a capacidade de hackers acessarem as informações da organização.
c) Evitar multas por não estar em conformidade com regulamentos (nacionais ou internacionais).
d) Limitar os pontos de exposição das informações da organização.
e) Avaliar a eficiência das medidas de segurança implementadas.
f) Evitar roubo de propriedade intelectual.
g) Evitar indisponibilidade dos negócios da organização.

Macro etapas para o Teste de Invasão

1. Coleta de informações, para levantar todo e qualquer tipo de informação disponível sobre a organização, em especial dados sobre endereços de máquina e redes, nomes de usuários, sistemas utilizados, serviços prestados, estrutura organizacional, etc.
2. Mapeamento do ambiente, após obtidas as informações iniciais, o especialista através de técnicas mais agressivas, procura mapear ainda mais a rede da organização. Enquanto na fase de coleta há pouca atividade diretamente realizada contra a rede avaliada, nessa etapa as máquinas passam a receber tráfego especificamente voltado para o levantamento da rede, como por exemplo port scanning, tcp/ip, fingerprinting, consultas sobre versões de aplicativos, etc.
3. Mapeamento de vulnerabilidades, é uma das partes mais importantes do teste de invasão. De posse do mapeamento do ambiente, o especialista é capaz de mapear vulnerabilidades de um sistema, através de banco de vulnerabilidades ou baseado em sua experiência. Essas vulnerabilidades podem ser tanto operacionais, como usuários com senha trivial, ou vulnerabilidades de software como uma versão insegura do Sistema Operacional ou seus aplicativos.
4. Exploração/Invasão, é a etapa do teste onde o especialista faz uso de ferramentas e técnicas para explorar as falhas observadas.
O teste de invasão envolve o uso de técnicas e ferramentas semelhantes a que os hackers usam para tentar invadir os destinos de negócios confidenciais.

Programa para o Teste de Invasão
O teste de invasão deve ser um processo contínuo:
1. Novas vulnerabilidades são descobertas quase diariamente.
2. Regulamentos e normas internacionais (ISO 27001 e ISO 17799) sugerem que seja realizado o teste de invasão para verificar se os requisitos estão implementados na organização.
3. Novos softwares e sistemas são implementados nas organizações.
4. Somente um programa contínuo de teste de invasão pode detectar os riscos e identificar como reduzi-los.

O programa de teste de invasão pode ajudar sua organização a:
1. Conhecer as necessidades de segurança e implementar medidas de proteção no ambiente de rede.
2. Ter controle total do ambiente de segurança, protegendo dispositivos técnicos e informações estratégicas para os negócios.
3. Reforçar, através da excelência técnica, a área de Tecnologia da Informação como a parceira fundamental no desenvolvimento dos negócios que sustentam a missão da organização.
4. Dotar o ambiente de Tecnologia da Informação com nível de segurança que possa viabilizar novos negócios.
5. Montar uma arquitetura de segurança que especifique as necessidades de segurança do ambiente informatizado.

Diretrizes
As “Diretrizes” consistem em proteger e preservar a empresa, suas informações e seus negócios. Também objetiva a ampliação da conscientização sobre segurança da informação e privacidade.

1. Documentar a visão estratégica da segurança;
2. Buscar a conformidade com a NBR ISO / IEC 17799;
3. Estruturar security officer e áreas de apoio;
4. Assegurar o manuseio, armazenamento, transporte e descarte adequado das informações;
5. Assegurar a continuidade dos negócios;
6. Assegurar conformidade com a legislação;
7. Definir normas e procedimentos de segurança para orientar a conduta adequada na classificação, controle e proteção das informações, com o intuito de minimizar os riscos e diminuir o grau de exposição da empresa sem comprometer o bom funcionamento dos negócios;
8. Ampliar a conscientização sobre segurança e privacidade da informação;
9. Definir responsabilidades.

Determinação de Controles de Segurança

Planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem.

Quando a empresa conhece as situações de risco e as vulnerabilidades existentes no seu ambiente computacional, o gestor consegue tomar decisões para a implementação de medidas de proteção. Todo o trabalho deve ser direcionado levando em conta os aspectos estratégicos, financeiros e técnicos existentes para a empresa. As informações coletadas durante as fases de análise de risco e vulnerabilidades devem permitir a criação de um quadro que facilite à justificativa de investimentos, a alocação de verbas e a priorização das metas necessárias.

Com a determinação do controle de segurança, o gestor pode elaborar o planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem, definindo quais metas devem ser trabalhadas, com que prioridade e com qual investimento.

Determinação de Controles de Segurança
Planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem.

Quando a empresa conhece as situações de risco e as vulnerabilidades existentes no seu ambiente computacional, o gestor consegue tomar decisões para a implementação de medidas de proteção. Todo o trabalho deve ser direcionado levando em conta os aspectos estratégicos, financeiros e técnicos existentes para a empresa. As informações coletadas durante as fases de análise de risco e vulnerabilidades devem permitir a criação de um quadro que facilite à justificativa de investimentos, a alocação de verbas e a priorização das metas necessárias.

Com a determinação do controle de segurança, o gestor pode elaborar o planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem, definindo quais metas devem ser trabalhadas, com que prioridade e com qual investimento.

Plano de Continuidade de Negócios
A Continuidade de Negócios é um conceito de importância cada vez maior, na medida em que antigas fórmulas não garantem o que efetivamente é necessário: a segurança da continuidade diante de eventos adversos.

Não podemos mais falar de forma isolada em Redundância, Backup Site, Recuperação de Erros… Nossa realidade atual é a de Análise de Risco e Análise de Impacto. E o que pode nos dar segurança é a existência de um Plano de Recuperação de Desastres, de um Plano de Contingência Operacional e de um Plano de Continuidade de Negócios que se complementem de forma harmoniosa, eficiente e eficaz.

O PCN (Plano de Continuidade de Negócios) realístico é de vital importância para que os nossos clientes possam cumprir os compromissos assumidos junto aos seus clientes, independentemente de interrupções maiores no uso de softwares, hardware, infra-estrutura, etc.

Implementação

Definição, organização e preparação da estrutura de gerenciamento para iniciar e controlar a implementação da segurança da informação dentro da empresa.

Implementação de Controles de Segurança

Após analisar a probabilidade de ameaças explorarem vulnerabilidades e definir as normas de segurança para orientar a conduta adequada na classificação, transporte, manuseio, controle e proteção das informações, com o intuito de minimizar os riscos, o próximo passo é a implementação de um projeto de segurança e treinar toda a equipe envolvida com a segurança da informação.

Os sistemas operacionais contam com diversos recursos para aplicar medidas de proteção aos ativos da empresa em conformidade com as regras estabelecidas na política de segurança. Sendo assim, a implementação de um projeto de segurança nem sempre representa investimentos diretos em hardware e software.

A configuração dos sistemas operacionais, seguindo as regras estabelecidas na política de segurança, aumenta o nível de disponibilidade, auditoria, contingência, etc. Uma gestão eficiente de segurança da informação deve aproveitar essas características para assegurar a proteção e o bom funcionamento do ambiente computacional.

Porém, dependendo das necessidades de segurança, as configurações do sistema operacional não são suficientes para assegurar o nível de proteção exigido para os negócios. Dessa forma, será necessário complementar com mecanismos adicionais de segurança. As soluções devem ser integradas, baseadas nas necessidades dos negócios, em conformidade com a política de segurança e de acordo com as melhores opções existentes no mercado.
Campanha de Divulgação

É importante que a empresa disponha de uma política de segurança atualizada e alinhada às necessidades do negócio, porém, é fundamental que a política de segurança seja reconhecida pelos usuários como o manual de segurança da empresa.

A campanha de divulgação assegura que os usuários estejam cientes das ameaças e das preocupações de segurança da informação e estarão aptos a apoiar a política de segurança da organização durante a execução normal do seu trabalho.

E a política, como vai?
Um outro aspecto importante que deve ser levado em consideração quando da elaboração de uma Política de Segurança é a classificação das informações. É preciso que elas sejam claramente classificadas para que seja possível controlar o acesso aos dados, evitando, dessa forma, que pessoas não autorizadas tenham acesso às informações.

Para tanto, é preciso classificar todas as informações segundo grau de importância e teor crítico:
a) Informações Confidenciais: são aquelas que devem ser disseminadas somente para empregados previamente definidos;
b) Informações Corporativas: devem ser disseminadas somente dentro da empresa;
c) Informações Públicas: podem ser divulgadas dentro e fora da empresa.

É importante também que o responsável pela Política de Segurança execute ações para manter o controle de eventos logados nos sistemas corporativos. São elas:
a) Trilhas de auditoria;
b) Definição de políticas de backup, de uso de software, de acesso físico às instalações da empresa e de acesso lógico;
c) Controle anti-pirataria;
d) Definição da linha mestra do software utilizado no ambiente computacional da empresa;
e) Controle de acesso físico e lógico (dia e hora do acesso, endereço eletrônico do usuário, ações executadas, log de acessos);
f) Definição de ambientes físicos de alto grau crítico;
g) Monitoramento de ambientes;
h) Definição de perfis de acesso aos ambientes e aplicativos, definição e controle de senhas e user identification;
i) Criptografia e certificação digital;
j) Configuração de firewall

Normas de acesso externo
Outra questão relevante para a estruturação de uma Política de Segurança é a definição de normas de acessos externos à empresa. Não basta instituir uma série de regras a serem cumpridas internamente. Para garantir a segurança de uma empresa é necessário estabelecer procedimentos para o acesso de parceiros externos à corporação. Confira alguns deles:

a) Definição de convênios para acesso às bases corporativas e da política de uso da intranet e Internet;
b) Definição de modelo de identificação de pirataria; de gerenciamento de rede; de distribuição de versões de software e de padrões de home page;
c) Detecção de inatividade de modems ligados à rede;
d) Definição do padrão de atualização de anti-vírus e do acesso de empregados ao provedor corporativo;
e) Padronização da home page institucional e da home page comercial;
f) Implantação, roteamento, criptografia e certificação digital
g) Configuração de firewall

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Abaixo segue um Exemplo de Política de Segurança da Informação

ITEM 1: AUTONOMIA DO DEPARTAMENTO DE TI
- O departamento de TI possui total autonomia para atuar sobre os equipamentos da empresa, sem prévio aviso, no que se refere aos seguintes tópicos:
- Realização de auditoria local ou remota;
- Definição de perfis de usuários cujos privilégios não permitam a realização de atividades tidas como prejudiciais ao hardware e software ou à rede como um todo;
- A instalação e configuração de softwares de monitoramento;
- A desinstalação de quaisquer softwares considerados prejudiciais à rede;
- O credenciamento e descredenciamento de usuários;

ITEM 2: DIRETRIZES QUANTO À UTILIZAÇÃO DA INTERNET
- A internet deve ser utilizada para fins corporativos, o enriquecimento intelectual de seus colaboradores ou como ferramenta para busca de informações que venham contribuir para o desenvolvimento de seus trabalhos.
- O uso para fins pessoais, mediante o consentimento do responsável pelo setor, fica restrito à consulta de movimento bancário e ao acesso ao e-mail pessoal, estando vedadas práticas abusivas tais como a circulação de correntes, material ponográfico entre outros.

ITEM 3: E-MAIL CORPORATIVO
- Desconfiar de todos os e-mails com assuntos estranhos ao ambiente de trabalho. Não reenviar e-mails do tipo corrente, aviso de vírus, avisos da Microsoft/AOL/Symantec, criança desaparecida, entre outros.
- Evitar enviar anexos acima de 10 Mbytes.

ITEM 4: A REALIZAÇÃO DE DOWNLOAD
- A realização de downloads exige banda de navegação do servidor e , se realizado em demasia, congestiona o tráfego e torna a navegação para os demais usuários mais demorada.
- A realização de downloads deve ser vista com muito cuidado e feita somente em casos de extrema necessidade.Além disso, estará limitada a arquivos de no máximo 1 MB (Mega Byte), pois downloads de arquivos de tamanho superior podem congestionar o fluxo de tráfego e comprometer os sistemas que funcionam on-line.

ITEM 5: EXECUÇÃO DE JOGOS E RÁDIOS ON-LINE
- É terminantemente proibida a execução de jogos, músicas ou rádios on-line, visto que esta prática congestiona a banda de internet, dificultando a execução de serviços que necessitam deste recurso.

ITEM 6: SENHAS DE ACESSO
- Cada setor deverá, através de comunicado oficial, indicar novos colaboradores e o perfil que devem possuir na rede e nos sistemas da empresa.
- A senha de acesso é pessoal, intransferível, cabendo ao seu titular total responsabilidade quanto seu sigilo.
- O compartilhamento de senhas de acesso é absolutamente proibido e o titular que divulgar sua senha a outrem responderá pelas infrações por esse cometidas, estando passível de advertência. Caso o usuário desconfie que sua senha não seja mais segura, poderá solicitar ao departamento de TI a alteração desta.
- As senhas têm validade de 30 dias.

ITEM 7: SOFTWARES DE CONVERSAÇÃO INSTANTÂNEA
- É permanentemente proibido aos setores o uso de softwares de conversação instantânea, ou de qualquer mecanismo que venha promover serviço semelhante, existentes ou que venham a existir.
- Pode haver permissão especial a qualquer setor para utilização de Instant Messengers, desde que seja para fins corporativos e comprovadamente utilizados em assuntos comerciais e/ou para suporte.

ITEM 8: A INSTALAÇÃO DE SOFTWARES
- Qualquer software que, por necessidade do serviço, necessitar ser instalado, deverá ser comunicado ao departamento de TI, que procederá a instalação caso constate a necessidade do mesmo. Fica proibida a instalação de qualquer software sem licença de uso.
- O departamento de TI poderá utilizar de sua autonomia citada no Item 2 deste instrumento para desinstalar, sem aviso prévio, todo e qualquer software sem licença de uso, em atendimento à lei do software (Lei 9.609/98).

ITEM 9: PENALIDADES
- O usuário que infringir qualquer uma das diretrizes de segurança expostas neste instrumento estará passível das seguintes penalidades (sem prévio aviso):
- Perda da senha de acesso aos sistemas e Internet;
- Cancelamento da caixa de e-mail;
- Advertência formal por intermédio do departamento de RH podendo levar inclusive a demissão do colaborador.

ITEM 10: EQUIPE DE SEGURANÇA DA INFORMAÇÃO
- Os servidores relacionados a seguir são diretamente responsáveis pela implantação presente política:
- Gestor de TI;
- Analista de Sistemas;
- Analista de Suporte.

ITEM 11: DIVULGAÇÃO E TREINAMENTO
- A política deve ser divulgada por intermédio de treinamento aos colaboradores, clientes e fornecedores, podendo ainda ser divulgada por e-mail, mural ou jornal interno.

ITEM 12: VIGÊNCIA E VALIDADE
- A presente política passa a vigorar a partir da data de sua homologação e publicação, sendo válida por tempo indeterminado podendo ser alterada conforme necessidades previamente detectadas.

Observação
Como disse este é um exemplo, cada empresa deve desenvolver e aplicar sua política de acordo com suas necessidades.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Como escolher uma tecnologia? Esta é uma questão importante e em muitos casos escolhemos as ferramentas de tecnologia de modo incorreto, muitas são adotadas sem critérios bem estabelecidos. Nossa sugestão nesta etapa é adotar um método bem conhecido chamado benchmarking. O método consiste em estabelecer critérios para avaliar as opções existentes de acordo com as necessidades de cada empresa.

Como critérios para adoção de softwares de segurança da informação, adotamos os parâmetros relacionados na lista a seguir:

Antivírus
- Preço
- Atualizações
- Ameaças Detectadas
- Sistemas Operacionais Suportados
- Uso Corporativo
- Proteção de E-mail
- Proteção de mensagens instantâneas
- Agendamento de verificação

Backup
- Preço
- Sistemas Operacionais Suportados
- Compactação de Arquivos
- Uso Corporativo
- Agendamento de Backup
- Envio Informações E-mail
- Backup Password Protection
- Verificação de Backup

IDS
- Preço
- Número de Equipamentos
- Sistemas Operacionais Suportados
- Uso Corporativo
- Portas Detectadas
- Envio Informações E-mail

Algumas considerações sobre as listas com critérios:
Parâmetros como: i) Preço, ii) Uso Corporativo; iii) Sistemas Operacionais Suportados são básicos devido a todos os softwares, para tanto cabe justificar cada um dos critérios.

Preço: Este parâmetro é importante em qualquer compra, pois corresponde ao valor financeiro dispensado para compra.

Uso Corporativo: devido à quantidade de equipamentos existentes na empresa, softwares de uso corporativo também possuem a característica de serem aplicações que executam nos servidores de rede, instalando-se nas estações apenas as aplicações clientes.

Sistemas Operacionais Suportados: este parâmetro é importante para todos os softwares à serem implantados devido a diversificação possível em uma rede, onde é possível utilizar diferentes arquiteturas formando uma rede heterogêna.

Dos critérios específicos apresentamos a seguir uma lista com as justificativas:

Antivírus
- Atualizações: quanto mais rápido o conhecimento de novas ameaças e a disponibilização de novas atualizações, mais confiável é o software;
- Ameaças Detectadas: a quantidade de ameaças identificadas também permite avaliar a eficiência do software;
- Proteção de E-mail: proteção do e-mail se faz necessário ante a quantidade de emails recebidos e que transportam arquivos muitas vezes com conteúdo danoso;
- Proteção para mensagens instantâneas: necessário assim com a proteção para e-mails devido à possibilidade de envio de mensagens com conteúdo danoso;
- Agendamento de verificação: item que possibilita verificação de ameaças sem interferência do usuário;

Backup
- Compactação de Arquivos: item necessário para racionalizar o tamanho dos arquivos de backups que podem ocupar tamanho excessivo;
- Agendamento de Backup: possibilitar melhor controle dos horários de backup e minimizando o trabalho manul;
- Envio Informações E-mail: para que o administrador responsável pelo backup tenha possibilidade de receber informes das operações em a necessidade de interagir com o software;
- Verificação de Backup: após realizar o backup é importante verificar se o(s) arquivo(s) gerado(s) estão consistentes.

IDS
- Portas Detectadas: deve dar suporte a todos os protocolos utilizados em uma rede IP;
- Envio Informações E-mail: para que o administrador responsável pelo backup tenha possibilidade de receber informes dos logs gerados pelo IDS.

Na lista de softwares apresentados pode-se incluir novos parâmetros, no entanto depende dos critérios que cada empresa adota ou quais funções são implementadas ao software.

Depois de realizar a implantação no ambiente de testes com o entendimento do funcionamento das tecnologias em questão, estamos prontos utilizá-las com mais segurança no ambiente de produção.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/