Introdução à Segurança Informação:

Ponto de Vista e referencia da Introdução a Segurança Informação:

"Náo Podemos Grantir 100% Seguro, Mas é melhor tentar salvaguardar as nossas Informação"

Com o desenvolvimento da utilização de Internet hoje em dia, o mundo cada vez mais avancados com novas tecnologias e acesso informação sem fronteiras, Os Governantes, Sociedades, Sector Privados, institucões da Defesa e Segurança abrem o seu sistema de informação aos seus parceiros ou aos seus fornecedores, é por conseguinte essencial conhecer os recursos da empresa a proteger e dominar o controlo de acesso e os direitos dos utilizadores do sistema de informação. O mesmo aquando da abertura do acesso à empresa na Internet. Além disso, com o nomadismo, consistindo em permitir ao pessoal ligar-se ao sistema de informação a partir de qualquer lugar, o pessoal é levado a “transportar” uma parte do sistema de informação para fora da infra-estrutura protegida da empresa.

Introdução à segurança

O risco em termos de segurança carateriza-se geralmente pela equação seguinte : 

A ameaça (em inglês “threat”) representa o tipo de acção susceptível de prejudicar em absoluto, enquanto a vulnerabilidade (em inglês “vulnerability”, chamada às vezes falha ou brecha) representa o nível de exposição à ameaça num contexto específico. Por último, a medida defensiva é o conjunto das acções implementadas para a prevenção da ameaça. 

As medidas defensivas a aplicar não são unicamente soluções técnicas, mas igualmente medidas de formação e sensibilização para os utilizadores, bem como um conjunto de regras claramente definidas. 

A fim de poder proteger um sistema, é necessário identificar as ameaças potenciais, e por conseguinte conhecer e prever a maneira de proceder do inimigo. O objectivo deste dossier é assim apresentar um resumo das motivações eventuais dos piratas, calassificar estes últimos, e por último dar uma ideia da sua maneira de proceder para compreender melhor como é possível limitar os riscos de intrusões.

Objectivos da segurança informática

O sistema de informação define-se geralmente como o conjunto dos dados e dos recursos materiais e software da empresa que permite armazená-los ou fazê-los circular. O sistema de informação representa um património essencial da empresa, que convém proteger. 

A segurança informática, geralmente, consiste em garantir que os recursos materiais ou software de uma organização são utilizados unicamente no âmbito previsto. 

A segurança informática visa geralmente cinco objectivos principais:

• A integridade, ou seja, garantir que os dados são efectivamente os que crê ser;
• A confidencialidade, consistindo em assegurar que só as pessoas autorizadas têm acesso aos recursos trocados;
• A disponibilidade, permitindo manter o bom funcionamento do sistema de informação;
• Não repudiação, permitindo garantir que uma transacção não pode ser negada;
• A autenticação, consistindo em assegurar que só as pessoas autorizadas têm acesso aos recursos.

A confidencialidade

A confidencialidade consiste em tornar a informação initeligível para outras pessoas além dos actores da transação.

A integridade

Verificar a integridade dos dados consiste em determinar se os dados não foram alterados durante a comunicação (de maneira fortuita ou intencional).

A disponibilidade

O objectivo da disponibilidade é garantir o acesso a um serviço ou recursos.

A não-repudiação

A não répudiation da informação é a garantia de que nenhum dos correspondentes poderá negar a transacção.

A autenticação

A autenticação consiste em garantir a identidade de um utilizador, ou seja, garantir a cada um dos correspondentes que o seu parceiro é efectivamente aquele que crê ser. Um controlo de acesso pode permitir (por exemplo, por meio de uma senha que deverá ser codificada) o acesso a recursos unicamente às pessoas autorizadas.

Necessidade de uma abordagem global

A segurança de um sistema informático é frequentemente objecto de metáforas. Com efeito, compara-se regularmente a uma cadeia explicando que o nível de segurança de um sistema é caracterizado pelo nível de segurança do elo mais fraco. Assim, uma porta blindada é inútil numa construção se as janelas estiverem abertas para a rua. 

Isto significa que a segurança deve ser abordada num contexto global e nomeadamente ter em conta os aspectos seguintes :

• A sensibilização dos utilizadores para os problemas de segurança
• A segurança lógica, ou seja, a segurança a nível dos dados, nomeadamente os dados da empresa, as aplicações ou ainda os sistemas de exploração.
• A segurança das telecomunicações: tecnologias rede, servidores da empresa, redes de acesso, etc.
• A segurança física, ou seja a segurança a nível das infra-estruturas materiais: salas protegidas, lugares abertos ao público, espaços comuns da empresa, postos de trabalho do pessoal, etc.

Implementação de uma política de segurança

A segurança dos sistemas informáticos limita-se geralmente a garantir os direitos de acesso aos dados e recursos de um sistema implementando mecanismos de autenticação e de controlo que permitem garantir que os utilizadores dos ditos recursos possuem unicamente os direitos que lhes foram concedidos. 

Os mecanismos de segurança implementados podem no entanto provocar um embaraço a nível dos utilizadores e as instruções e regras tornam-se cada vez mais complicadas à medida que a rede se estender. Assim, a segurança informática deve ser estudada de maneira a não impedir os utilizadores de desenvolver os usos que lhes são necessários, e de fazer de modo a que possam utilizar o sistema de informação em total confiança. 

É a razão pela qual é necessário definir inicialmente uma política de segurança, cuja implementação se faz de acordo com as quatro etapas seguintes :

• Identificar as necessidades em termos de segurança, os riscos informáticos que pesam sobre a empresa e as suas eventuais consequências;
• Elaborar regras e procedimentos a implementar nos diferentes serviços da organização para os riscos identificados;
• Supervisionar e detectar as vulnerabilidades do sistema de informação e manter-se informado das falhas sobre as aplicações e materiais utilizados;
• Definir as acções a empreender e as pessoas a contactar em caso de detecção de uma ameaça;

A política de segurança é por conseguinte o conjunto das orientações seguidas por uma organização (em sentido lato) em termos de segurança. A esse respeito ela deve ser elaborada a nível da direcção da organização interessada, porque se refere a todos os utilizadores do sistema. 

A esse respeito, não cabe só aos administradores informáticos definir os direitos de acesso dos utilizadores mas aos responsáveis hierárquicos destes últimos. O papel do administrador informático é por conseguinte garantir que os recursos informáticos e os direitos de acesso a estes estão em coerência com a política de segurança definida pela organização. 

Além disso, já que é o único a conhecer perfeitamente o sistema, cabe-lhe fazer aumentar as informações relativas à segurança à sua direcção, eventualmente aconselhar as instâncias de decisão sobre as estratégias a aplicar, bem como ser o ponto de entrada relativo à comunicação destinada aos utilizadores sobre os problemas e recomendações em termos de segurança. 

A segurança informática da empresa assenta num bom conhecimento das regras pelos empregados, graças a acções de formação e de sensibilização junto dos utilizadores, mas deve ir além disso e nomeadamente cobrir os seguintes campos :

• Um dispositivo de segurança físico e lógico, adaptado às necessidades da empresa e aos usos dos utilizadores;
• Um procedimento de gestão das actualizações;
• Uma estratégia de salvaguarda correctamente planificada;
• Um plano de retoma após incidente;
• Um sistema documentado actualizado;

As causas da insegurança

Distinguem-se geralmente dois tipos de insegurança:

• o estado acivo de insegurança, ou seja,o não conhecimento pelo utilizador das funcionalidades do sistema, algumas das quais lhe podem ser prejudiciais (por exemplo, o facto de não desactivar serviços de redes não necessárias ao utilizador)
• o estado passivo de insegurança, ou seja a ignorância dos meios de segurança implementados, por exemplo quando o administrador (ou o utilizador) de um sistema não conhece os dispositivos de segurança de que dispõe.