1. Módulo 1 - Introdução à Segurança da Informação
Mercado britânico contabiliza perdas com ação de vírus *
Muitas empresas sofrem ameaças constantes em seus ativos, o que
poderia representar milhares ou milhões de dólares de prejuízo. As
vulnerabilidades em nossos sistemas de informação podem representar
problemas graves, por isso é muito importante compreender os conceitos
necessários para combatê-los e para nos defendermos de possíveis
ataques as nossas informações.
Por exemplo, recentemente foi publicada uma notícia* sobre um vírus
desenvolvido para lançar ataques em massa e a forma de se prevenir
contra ele a fim de evitar conseqüências indesejadas. Trata-se de um vírus
do tipo worm que se propaga com os nomes LoveSan, Blaster ou
MSBlaster e se aproveita de uma falha na segurança do Windows® 2000 e
do Windows® XP, mais especificamente no software que permite
compartilhar arquivos com outras máquinas. Sua finalidade é reunir
computadores para realizar um ataque hacker contra um site da Microsoft.
O vírus Blaster não tem muito em comum com as pragas informáticas
tradicionais: não se propaga pelos meios habituais, apenas circula pela
Internet em busca de máquinas nas quais possa realizar seu ataque.
Esse é um exemplo claro de como uma vulnerabilidade do Windows pode
ser aproveitada pelo Blaster. Essa vulnerabilidade, denominada RPC
DCOM, consiste em um desdobramento do buffer na interface RPC e foi
qualificada como quot;críticaquot; pela própria Microsoft. Ela afeta as versões NT
4.0, 2000, XP e Windows Server 2003.
Em linhas gerais, trata-se de um problema de segurança que permitiria
controlar todos os computadores de forma remota. Por isso e, com o
objetivo de evitar possíveis ataques, aconselha-se, tanto aos
administradores e aos responsáveis da área de informática quanto aos
usuários particulares, a instalação imediata dos patches fornecidos pela
Microsoft para corrigir essa vulnerabilidade. Eles podem ser baixados em
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp onde
também podem ser encontradas informações detalhadas sobre o
2. problema.
Fonte:
http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2215&pagecounter=0&idiom=0
Esse é um exemplo claro de como uma vulnerabilidade do Windows pode ser aproveitada pelo Blaster. Essa
vulnerabilidade, denominada RPC DCOM, consiste em um desdobramento do buffer na interface RPC e foi qualificada
como quot;críticaquot; pela própria Microsoft. Ela afeta as versões NT 4.0, 2000, XP e Windows Server 2003.
Podemos representar a implantação de um sistema de segurança da informação na empresa como a escalada de
uma grande montanha, na qual, pouco a pouco, iremos subindo e alcançando novos níveis de maturidade em termos
de conceitos, análise, implementação e administração da segurança dentro das empresas.
Conteúdo da unidade:
• Conceitos básicos;
• Ativos;
• Ameaças e pontos fracos;
• Riscos, medidas e ciclo de segurança;
Objetivos
3. Com o objetivo de proteger os ativos da empresa o aluno deve:
Conhecer as diferentes categorias de ativos;
Dominar os conceitos de integridade, confidencialidade e disponibilidade
da informação;
Interpretar a classificação proposta das possíveis ameaças encontradas nos
diferentes processos da empresa;
Compreender o conceito de vulnerabilidades, permitindo sua identificação e
eliminação dentro do contexto empresarial;
Conhecer o conceito de risco e sua implicação no ciclo de segurança das
informações da empresa;
Compreender os conceitos básicos de análise de riscos e política de
segurança, dois pontos muito importantes para definir as ações em matéria de
segurança aplicáveis no contexto empresarial.
Capítulo 1 - Conceitos básicos
1.1 Introdução
Nesta primeira etapa da escalada, você conhecerá os conceitos básicos da segurança da informação.
Depois de entender cada conceito, você receberá uma nova ferramenta para ajudar a montar sua barraca e, assim,
poder continuar a escalada da montanha, avançando até os próximos capítulos para compreender de forma
aprofundada como se implementa a segurança da informação. Nesta etapa, você ainda não possui essas ferramentas,
por isso vai começar a escalada com um acampamento básico. Esse acampamento ilustra a situação em que se
encontram as empresas na etapa inicial da implementação da segurança: baixo controle do ambiente, alto índice de
risco, processo de segurança pessoal e intuitiva, entre outros. Então vamos conhecer os principais conceitos da
segurança da informação e entender por que ela é necessária para o sucesso dos negócios nos dias de hoje.
4. 1.2 Objetivos
Compreender os conceitos básicos de segurança da informação para ter uma
melhor idéia de suas implicações;
Entender a importância que a informação possuí nos negócios atualmente
para que possamos protegê-la de forma mais eficiente;
Conhecer quais elementos precisam ser protegidos para se oferecer segurança
para as informações da empresa.
1.3 Conceitos básicos da segurança da informação
Depois de se familiarizar com as ameaças e pontos frágeis do ambiente, adquiridos na análise de riscos ou depois da
definição formal das intenções e atitudes da organização que estão definidas na política de segurança da informação,
devemos tomar algumas medidas para a implementação das ações de segurança recomendadas ou
estabelecidas.
5. Desde o surgimento da raça humana na Terra, a informação esteve presente sendo
representada através de diferentes formas e técnicas. O homem buscava o
registro de seus hábitos, costumes e intenções através de diversos meios que
pudessem ser utilizados e compreendidos por ele e por outras pessoas. Além disso,
havia também a necessidade de se armazenar e transportar estas informações de
um lugar para outro. As informações importantes eram registradas em objetos
valiosos e sofisticados usando pinturas magníficas, entre outros métodos, que eram
armazenados com muito cuidado em locais de difícil acesso, e sua forma e
conteúdo ficavam restritos aqueles que tivessem conhecimento para interpretá-
los.
Atualmente, as informações constituem um dos objetos de maior valor para as
empresas. O progresso da informática e das redes de comunicação nos apresenta
um novo cenário, no qual os objetos e dados do mundo real podem ser
representados por bits e bytes, que ocupam lugar em outra dimensão e possuem
formas diferentes das originais, sem deixar de ter o mesmo valor que os objetos
reais e, em muitos casos, tendo um valor maior. Em um cenário mais recente, a
economia mundial evoluiu de um modelo industrial para um modelo baseado em
conhecimento. Por isso, as informações, isto é, o conhecimento das empresas,
passam a ser um de seus maiores diferenciais competitivos em relação as
outras empresas.
Por esses e outros motivos é que a segurança da informação é um assunto tão
importante para todos, pois afeta diretamente todos os negócios de uma
organização ou de um indivíduo. Apesar de muitas vezes possuir um foco
empresarial, a segurança da informação também é muito importante para a esfera
governamental e o chamado terceiro setor, que inclui as organizações não-
governamentais.
A segurança da informação tem como propósito proteger os chamados ativos de
informação, não importando onde eles estejam armazenados ou representados:
impressos em papel, armazenados em discos rígidos de computadores ou até
mesmo na memória das pessoas que os conhecem. Entendemos por ativos de
informação todas as peças de informação que uma empresa possuí, como arquivos
e sistemas, que possuam valor, demandando necessidades em termos de
proteção.
Os objetos reais ou tangíveis (como coisas de valor físico - jóias, pinturas, dinheiro,
etc.) estão protegidos por técnicas que os isolam atrás de grades ou dentro de
caixas fortes, sob a mira de câmeras e seguranças. Mas e as informações
encontradas dentro de servidores de arquivos, que transitam pelas redes de
comunicação ou que são lidas na tela de um computador? O que fazer para protegê-
las, já que não é possível usar as mesmas técnicas de proteção de objetos reais?
Para responder essas perguntas, convidamos você a continuar estudando e
acompanhando este curso, onde conheceremos com detalhes os princípios que nos
permitem proteger as informações. Por enquanto, neste capítulo, encerraremos
dizendo que…
6. … uma das preocupações da segurança da informação é proteger os elementos que
fazem parte da comunicação. Assim, para começar, é necessário identificar os
elementos que a segurança da informação tenta proteger:
As informações;
Os equipamentos que as suportam;
As pessoas que fazem uso delas.
Para reforçar o último elemento é importante ressaltar que todos os funcionários da empresa devem
ter consciência de como lidar com as informações de forma segura, já que de nada serve o melhor
sistema de segurança, por mais sofisticado e completo que seja, se os funcionários, por exemplo,
facilitam o acesso ou fornecem seu nome de usuário e senha a pessoas estranhas à empresa. Desta
forma, deixam aberta a porta para possíveis ataques ou vazamento de informações importantes.
1.4 Lições aprendidas
Aprendemos ao longo deste capítulo os conceitos gerais que configuram a
segurança da informação;
Compreendemos a importância atual que tem para a empresa proteger as
informações que permitem a realização de seus negócios;
Conhecemos o que deve ser protegido em um sistema de segurança de
informação: as informações, os equipamentos que as suportam e as
pessoas que as utilizam.