Segurança da informação
Keywords: Segurança da informação, Back orifice, Chave, Cracker, Criptografia, Firewall, Hacker, Informação, Lammer, Segurança
Segurança de Informação relaciona-se com vários e diferentes aspectos referentes à confiabilidade, integridade e disponibilidade da informação que não está restrita à sistemas computacionais, nem a informações eletrônicas ou qualquer outra forma mecânica de armazenamento. Ela se aplica à todos os aspectos de proteção e armazenamento de informações e dados, em qualquer forma.
A segurança da informação abrange vários aspectos complementares que usam um conjunto variado de mecanismos de segurança, entre eles:
- autenticação de usuários;
- encriptação da informação transmitida.
O nível de segurança, para resultar numa "política de segurança" a implementar, tem que ter em conta:
- Riscos associados à falta de segurança;
- Benefícios;
- Custos de implementação dos mecanismos.
| Conteúdo |
Conceitos de segurança
O problema da segurança em redes ou sistemas pode ser decomposto em vários aspectos distintos, os mais importantes são:
- Autenticação - confirma que as entidades numa comunicação são as que confirmam serem elas mesmas. Processo que valida a identidade de um utilizador, dispositivo ou processo.
- Confidencialidade - limitam o acesso à informação às entidades autenticadas, sejam pessoas, máquinas ou processos.
- Controle de acesso - capacidade de impedir o acesso a um recurso.
- Disponibilidade - garantir que mesmo depois de um ataque à rede ou sistema, os recursos continuem disponíveis para os usuários.
- Não repudiação - funcionalidades que impedem que uma entidade negue a execução de uma ação.
Mecanismos de segurança
As funcionalidade de segurança são suportadas por mecanismos de segurança:
- Mecanismos de encriptação. Permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não encriptados, produzir uma sequência de dados encriptados. A operação inversa é a desencriptação.
- Assinatura digital. Um conjunto de dados encriptados, associados a um documento do qual são função, garantindo a integridade do documento associado, mas não a sua confidencialidade.
- Mecanismos de garantia da integridade da informação. Usando funções de "Hashing" ou de checagem, consistindo na adição.
- Mecanismos de controlo de acesso. Palavras-chave, sistemas biométricos, firewalls, cartões inteligentes.
- Mecanismos de certificação. Atesta a validade de um documento.
Ameaças à segurança
Podem ser classificadas em três tipos:
- Acesso não autorizado: descoberta da informação de um utilizador por outro que o usa para aceder aos recursos do primeiro.
- Acesso por imitação: um utilizador ou sistema comporta-se como um outro, para obtenção de informação, recursos ou prejudicar o serviço.
- Spoofing attacks: Uso de informação falsa para obter acesso indevido;
- Replay Attacks: mensagens que circulam na rede são copiadas e repetidas para simular um utilizador autorizado:
- Negação de Serviço (Denial of Service, DoS): A forma mais conhecida de ataque que consiste na perturbação de um serviço, devido a danos físicos ou lógicos causados no sistema que o suportam. Para provocar um DoS, os atacantes disseminam vírus, geram grandes volumes de tráfego de forma artificial, ou muitos pedidos aos servidores que causam subcarga e estes últimos ficam impedidos de processar os pedidos normais.
Quem ataca a rede/sistema são Hackers, Crackers e até lammers. Estas pessoas são motivadas para fazer esta ilegalidade por vários motivos, os principais são a notoriedade, auto-estima, vingança e o dinheiro. No entanto, grande parte dos ataques têm origem dentro da organização atacada, sendo estes ataques intensionais ou não.
Nível de segurança
Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança a estabelecer para um rede ou sistema os recursos físicos e lógicos a necessitar de proteção. No nível de segurança devem ser quantificados os custos associados aos ataques e os associados à implementação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um ataque.
Políticas de Segurança
De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos usuários dos recursos de uma organização.
As políticas de segurança deve ter implementação realista, e definir claramente as áreas de responsabilidade dos usuários, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.
O documento que define a política de segurança deve deixar de fora todos os aspetos técnicos de implementação dos mercanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido.
Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira).