Introdução
Você já deve ter percebido e acompanhado notícias e fatos reais ou até mesmo ter lido ou ouvido que vivemos hoje a era da informação, ou seja, grande parte das empresas têm na informação o seu principal ativo. Perder ou ter informação furtada causa grandes prejuízos financeiros e, até mesmo, um impacto negativo à imagem da empresa.
Considere, por exemplo, as informações dos correntistas de um banco. A perda de tais informações certamente compromete todo o negócio da instituição, bem como afeta também sua imagem perante a sociedade. Provavelmente, ninguém mais confiará suas economias a esse banco!
Todos os dias, pessoas e empresas são vítimas de tentativas de ataques, cujo objetivo é o roubo ou a destruição de dados e informações. Em algumas situações, o roubo é feito por crackers – na maioria jovens – que têm o intuito de revelar as informações furtadas e publicá-las em sites na Internet, mostrando, assim, a fragilidade da empresa atacada.
Sobre a atuação dos crackers, leia aqui a matéria “Invasão de rede foi planejada por anos”, de Felipe Zmoginski, do Plantão INFO On-Line, publicada em 11 de maio de 2007.
Vulnerabilidade, Ameaça e Ataque
Quando se fala em segurança computacional, convém que você conheça alguns conceitos básicos.
Uma vulnerabilidade representa qualquer fragilidade dentro de um sistema, rede ou procedimento de atuação, que possa ser explorada, causando perdas ou danos à organização.
Uma ameaça é, portanto, a possibilidade de exploração de uma vulnerabilidade. Um ataque, por sua vez, representa a materialização de uma ameaça.
Para explicar melhor cada uma das três definições acima, vamos usar um simples exemplo. Suponha que você esteja acessando um site por meio de uma conexão não segura. O fato de essa conexão não ser segura representa uma vulnerabilidade. Uma possível ameaça poderia ser a captura, por alguém não autorizado, das informações que trafegam por essa conexão. Um ataque, nesse caso, poderia ser feito com o uso de um sniffer, o qual pode capturar e analisar os pacotes.
Dado o exemplo de ataque no parágrafo anterior, podemos dizer que o mesmo é do tipo passivo. Ou seja, baseia-se na escuta e no monitoramento de transmissões, não envolvendo alterações das mensagens trafegadas. Contudo, há ataques que são chamados ativos, os quais, nesse caso, envolvem modificação de mensagens, falsificação de dados ou até mesmo a interrupção de serviços.
Modalidades de Ameaça
Toda e qualquer comunicação pode estar sujeita à ocorrência de algumas modalidades de ameaça, as quais podem ser agrupadas em quatro categorias: interrupção, interceptação, modificação e fabricação, vejamos abaixo cada uma delas:
Interrupção: caracteriza-se pela possibilidade de tornar um bem ou ativo indisponível, inutilizável. Um exemplo de interrupção pode ser a destruição de um servidor ou disco de armazenamento
Interceptação: caracteriza-se pela obtenção de informações por meio do acesso não-autorizado de pessoa, sistema ou programa. A escuta de uma conversa telefônica é um exemplo desse tipo de ameaça.
Modificação: representa situações em que dados são alterados por pessoa não-autorizada. Um exemplo disso é a alteração do conteúdo de mensagens transmitidas por meio de uma rede de interconexão
Fabricação: difere um pouco da modificação, por representar situações em que dados falsos são produzidos e inseridos nos ativos de uma organização. Você pode tomar como exemplo a situação em que um cracker, após invadir um sistema de vendas pela Internet de uma empresa, cria pedidos falsos.
Alguns conceitos básicos
A confidencialidade visa proteger as informações contra acessos não-autorizados. Em outras palavras, mesmo que uma pessoa ou programa capture as mensagens transmitidas pela rede, é importante que essas mensagens estejam em uma forma ininteligível.
A integridade, por sua vez, busca proteger a comunicação de dados, evitando que as mensagens transmitidas sofram modificações por pessoas ou programas não-autorizados.
Já o serviço de autenticidade tem por objetivo garantir que os envolvidos em uma comunicação sejam autênticos; isto é, que nenhum deles esteja se passando por alguém que não é. Imagine, por exemplo, que você esteja conversando com um amigo por meio de um serviço de mensagens instantâneas. Qual a garantia que você tem de que a pessoa que você está realmente conversando é de fato seu amigo?
No controle de acesso o intuito é definir regras, limitando o acesso físico ou lógico aos ativos da empresa somente àquelas pessoas devidamente autorizadas. O controle de acesso físico engloba os mecanismos e medidas de proteção contra acesso não-autorizado, visando a proteção de equipamentos, documentos, suprimentos e pessoas, entre outros recursos.
A disponibilidade preocupa-se em manter os serviços de uma empresa disponíveis sempre que solicitados por acessos autorizados. O objetivo é proteger os recursos computacionais das ameaças de interrupção. Nesse caso, são implementadas soluções que promovam o aumento de disponibilidade como, por exemplo, a replicação de serviços, a redundância de canais de comunicação e a utilização de clusters.
Exemplos de controle da segurança da informação para empresas:
- Redação de instruções.
- Atualização de software.
- Realização de cópias de segurança.
- Software de segurança da informação (proteção antivirus e firewalls).
- Senhas para a rede e os servidores.
Fechar a conta de correio eletrônico e eliminar o identificador de usuário ao finalizar a relação trabalhista.
- Proteção física dos equipamentos.
Conclusão
Quando se fala em segurança computacional, alguns serviços precisam ser implementados como forma de garantir a proteção dos bens ativos de uma empresa, assim como prevenir que as informações enviadas por esta, para os seus clientes, parceiros ou fornecedores, sejam capturadas por pessoas não-autorizadas.
Podemos agrupar os serviços de segurança nas seguintes categorias: confidencialidade, integridade, autenticidade, controle de acesso e disponibilidade.
Nenhum comentário:
Postar um comentário