Segurança da Informação, uma ferramenta para blindar os negócios da organização

Os dados são o maior valor de uma empresa e sua fonte precisa ser preservada para construção da estratégia de negócios, bem como para garantir a blindagem da concorrência e dos novos entrantes

Hoje em dia cada vez mais as empresas entendem e são movidas pela informação. As empresas já não falam mais somente em CRM (Customer Relationship Manager). Agora é xRM (Anything Relationship Manager), armazenar informações e montar estratégias de relacionamento com todo o universo de envolvidos: fornecedores, distribuidores, parceiros, colaboradores, vendedores etc. Mais do que nunca a régua de geração de inteligência corporativa vem sendo aplicada.

O importante é entender que a fonte de tudo isso ainda são os dados. E estes são o maior valor que uma empresa possui. Assim, precisamos cuidar, preservar a fonte de informação que ajuda a construir a estratégia de negócios e blindar o negócio da concorrência e dos novos entrantes. É nesse momento que entra a Segurança da Informação.

Um mecanismo de Segurança da Informação providencia meios para reduzir as vulnerabilidades existentes em um Sistema de Informação. Segurança envolve tecnologia, processos e pessoas.

Os três principais pilares que regem a segurança da informação são:

Integridade – Esta propriedade garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário ou entidade com autorização de acesso à informação, e que nenhum dado tenha sido alterado por outra entidade em qualquer momento (criação, armazenamento, transporte).

Confidencialidade – Assegura que a informação será acessível somente por entidade que tem autorização de acesso.

Disponibilidade – Garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por entidades autorizadas a acessá-la. Para alguns, essa propriedade parece até contraditória, mas é importante ressaltar que não adianta nada ter informações extremamente seguras e não conseguir acessá-las.

Há, ainda, duas outras propriedades importantes a serem mencionadas. Uma delas é a Autenticidade, que assegura que a informação é realmente da fonte que se declara ser. O certificado digital é uma das tecnologias que garantem essa propriedade, falaremos sobre essa tecnologia mais adiante. A outra propriedade é o não-repúdio, que assegura que nem o emissor nem o receptor de uma informação possam negar o fato.

Ameaça

A primeira coisa a se ressaltar em segurança da informação é a falsa impressão de segurança. No roubo, assalto ou furto identificamos que fomos lesados ao chegar em casa e não encontrar nossos pertences, carro etc. Com a informação, essa percepção é muito mais complexa na maioria das vezes. Se não tivermos mecanismos para isso, não saberemos que nossas informações foram “roubadas”. Muitos acreditam que as maiores ameaças são externas e oriundas de ataques de hackers e crakers via internet, mas é importante dizer que a maior ameaça para as empresas é interna. Pesquisas dizem que 80% dos ataques são internos, pessoas com acesso privilegiado roubam e fazem uso indevido das informações. Hoje, com um pequeno pen drive e um simples acesso a uma porta USB é possível roubar gigabytes de dados em poucos minutos, de forma que toda a estratégia da empresa pode ser comprometida.

Engenharia Social

Uma das técnicas utilizadas para ataques é conhecida como Engenharia Social. Ela designa a arte de manipular pessoas a fim de coletar informações com o intuito de descobrir falhas na segurança. As fontes de coletas das informações podem ser o telefone, correio eletrônico, correspondência tradicional e até o contato direto.

A Engenharia Social é baseada na utilização da força de persuasão e na exploração da ingenuidade das pessoas.

Geralmente, os métodos de engenharia social ocorrem da seguinte forma:

Na maioria das vezes temos a sensação de extrema complexidade e custo para garantir e manter os pilares da segurança da informação, porém existem contra-medidas bastante simples e de fácil implantação que trazem um retorno eficiente a um custo na maioria das vezes muito baixo.

Conscientização e Educação

A clareza dos problemas, causas e consequências em aspectos de segurança através da educação e conscientização permite que os colaboradores muitas vezes ajudem no processo de segurança das informações. Técnicas como a Engenharia Social fazem uso da falta da conscientização e educação. Na grande maioria das vezes os colaboradores fornecem informações de forma

ingênua, muitas vezes sem ter a mínima percepção do risco e prejuízo que podem estar causando para a corporação. Existem diversas formas de conscientização e educação como, por exemplo, treinamentos, determinar e divulgar uma política de segurança básica através de uma intranet, eventos internos de segurança, campanhas de conscientização etc.

Registrar e monitorar

Levantamento recente realizado pela Verizon revela que 87% dos casos de vazamento de informação estavam registrados nos logs do servidor. Ainda assim, 60% dessas ocorrências foram descobertas externamente. Esses dados nos mostram que a lição de casa não tem sido feita. Ferramentas de log são de grande importância na monitoria da segurança da informação, geralmente são inerentes às próprias ferramentas instaladas no parque da instituição, só não estão configuradas, e/ou muitas vezes esses logs nunca foram acessados.

Configuração do ambiente de rede

Boa parte das vulnerabilidades existentes dentro das corporações pode ser evitada através de uma simples configuração e utilização correta do ferramental e do sistema operacional instalado. Encontramos muitas vezes brechas de segurança decorrentes também da falta de atualização dos sistemas operacionais.

Outra questão é a internet. Limitar o acesso é algo importante para fortalecer a segurança.

Gerenciamento de Senhas

A primeira linha de defesa contra intrusos é o sistema de senhas. Praticamente todos os sistemas multiusuários exigem uma autenticação baseada apenas em um identificador (ID) e uma senha.

A senha é o nível de identificação enormemente utilizado em sistemas que lidam com informações particulares. Ela se torna muitas vezes o único vínculo de segurança entre o usuário e o sistema. Por isso, é indispensável pensar seriamente na escolha de suas senhas, o que muitas vezes impedirá que pessoas mal-intencionadas tragam consequências desagradáveis ao acessarem dados que só você deveria possuir acesso.

A senha é um dos processos possíveis de autenticação. A autenticação é o processo de verificação da identidade de um usuário, isto é, ela garante que um usuário é de fato quem diz ser. Autenticação é uma das funções de segurança mais importantes que um sistema tem de fornecer, é base para que todos os outros procedimentos em segurança possam ocorrer com sucesso.

A autenticação é um parâmetro para tomada de decisão em controle de acesso, também utilizada para possibilitar o rastreamento na auditoria e em outras características de segurança de informações.

A autenticação pode ser efetuada em três bases de informação distintas, que são:

  1. Baseada em algo que se sabe.
  2. Baseada em algo que se possui.
  3. Baseada em algo que se é.

Alguns autores citam ainda as bases informação, que caracterizam o “onde você está” ou “o que você faz”. Entendo, porém, que estas últimas são variações ou combinações das apresentadas anteriormente e, por isso, não serão claramente aqui tratadas.

A autenticação mais segura é aquela que utiliza os três níveis simultaneamente.

Tecnologias

BIOMETRIA

O dicionário Aurélio diz que biometria é um ramo da ciência que se ocupa da mensuração dos seres vivos. Concordo e reafirmo que é o conjunto de métodos automatizados para a verificação ou o reconhecimento de uma pessoa com base em alguma característica física ou comportamental. Os indivíduos possuem algumas características que podem ser unicamente identificáveis como, por exemplo, a digital, a retina, a face, a geometria da mão, a voz, a assinatura, entre outras.

Abordagens baseadas em características fisiológicas têm variabilidade intraclasse menor que abordagens baseadas em características comportamentais. Isso ocorre porque características fisiológicas são, geralmente, mais estáveis que características comportamentais.

A biometria, comparada a outras formas de autenticação, apresenta algumas vantagens como:

A autenticação biométrica ocorre em duas fases: primeiro o usuário é registrado no sistema (enroll), permitindo a captura de suas características biométricas que serão convertidas em um modelo que as representa matematicamente.

A segunda fase é a comparação (match), onde o usuário apresenta suas características biométricas, que são comparadas e validadas com o modelo armazenado.

A impressão digital é a mais comum e antiga, formada de um conjunto de linhas que fluem frequentemente paralelas e produzem as micro singularidades locais, as quais possuem formas diferentes em cada pessoa. A íris é a forma de medição biométrica que tem um dos mais altos índices de acertos, chegando a até aproximadamente 100%, dependendo de características do ambiente e do dispositivo utilizado.

Assinatura Digital

O processo de assinatura digital vem sendo amplamente utilizado como um forte aliado para assegurar a autenticidade e integridade das informações. É baseada na tecnologia PKI (Public Key Infrastructure), utilizando as técnicas de criptografia assimétrica (par de chaves) e algorítmos de Hash. Tem como semelhança a assinatura escrita à mão e possui as seguintes características:

Conforme a Medida Provisória 2.200-2, qualquer documento digital tem validade legal se for certificado pela ICP-Brasil. A MP também prevê a utilização de certificados emitidos por outras infraestruturas de chaves públicas, desde que as partes que assinam reconheçam previamente a validade destes.

O que a MP 2.200-2 outorga à ICP-Brasil é a fé pública, considerando que o certificado emitido pela ICP-Brasil para qualquer documento digital assinado pode de fato ser considerado assinado pela própria pessoa.

Funcionamento

A origem da informação (A) para enviar ou assinar uma informação para um destino qualquer (B), após determinar o conteúdo completo da informação, executa o algorítmo de Hash sobre toda a informação, gerando assim uma informação reduzida, porém, única, que identifica o conteúdo todo – Hash(A). O Hash(A) é criptografado com a Chave Privada de (A), na qual somente (A) tem acesso, e todo o conteúdo mais o Hash(A) criptografado são encaminhados ao destinatário (B).

Ao receber a conteúdo, o destinatário (B) passa pelo mesmo processo novamente, executa o algorítmo de Hash sobre o conteúdo todo recebido, gerando a sequência de bits – Hash(B), decriptografa com a chave pública de (A) o Hash(A) que também foi encaminhado, e compara o Hash(B) com o Hash(A). Se ambos estiverem equivalentes, temos a garantia de que a informação foi enviada pelo destinatário (A) e que a informação é integra e não foi modificada durante o transporte.

Processo de Geração da Assinatura Digital

Processo de Verificação de uma Assinatura

O conceito teórico diz que "Hash é a transformação de uma grande quantidade de informações em uma pequena quantidade de informações".

Um Hash é uma sequência de bits geradas por um algorítmo de dispersão, em geral representada em base hexadecimal. Essa sequência busca identificar um arquivo ou informação unicamente. Por exemplo, uma mensagem de correio eletrônico, uma senha, uma chave criptográfica ou mesmo um arquivo. É um método para transformar dados de tal forma que o resultado seja (quase) exclusivo. Além disso, funções usadas em criptografia garantem que não é possível a partir de um valor de Hash retornar à informação original.

O Hash é utilizado no processo de assinatura digital para reduzir a quantidade de informação que necessita ser validada, de forma que qualquer alteração na fonte original dos dados resultaria em um Hash diferente.

Novas Preocupações

Deixo aqui, para finalizar, duas novas preocupações que estão eminentes e que o time de segurança da informação precisa se atentar: