Entidades que fazem parte da Infraestrutura de Chaves Públicas no Brasil

A Autoridade Certificadora Raiz da ICP-Brasil é a primeira autoridade da cadeia de certificação. É executora das Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil. Portanto, compete à AC-Raiz emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nível imediatamente subseqüente ao seu.

No Instituto Nacional de Tecnologia da Informação (ITI), encontra-se uma lista organizada das entidades conforme segue abaixo:

• AC - SERPRO: Primeira autoridade certificadora credenciada pela ICP-Brasil. A empresa busca desde a criação de seu Centro de Certificação Digital - CCD, em 1999, divulgar o uso dessa tecnologia para os vários segmentos com que trabalha.

• AC - CAIXA: Única instituição financeira credenciada como Autoridade Certificadora ICP-Brasil - utiliza, desde 1999, a tecnologia de certificação digital para prover a comunicação segura na transferência de informações referentes ao FGTS e à Previdência Social, dentro do projeto Conectividade Social.

• AC - Serasa: Fornece a segurança dos certificados digitais para quase todos os grupos financeiros participantes do Sistema de Pagamentos Brasileiro (SPB).

• AC - RFB (Receita Federal): Disponibiliza uma grande quantidade de serviços na web, com o objetivo de simplificar ao máximo a vida dos contribuintes e facilitar o cumprimento espontâneo das obrigações tributárias.

• AC - Certisign: empresa fundada em 1996 com foco exclusivamente no desenvolvimento de soluções de certificação digital para o mercado brasileiro, importantes instituições vêm adotando a tecnologia nas mais diversas formas.

• AC - Imprensa Oficial do Estado de SP: Credenciada e preparada para oferecer produtos e serviços de certificação digital para os poderes executivo, legislativo e judiciário, incluindo todas as esferas da administração pública, direta e indireta, nos âmbitos federal, estadual e municipal.

• AC - JUS (Justiça): erenciada por um Comitê Gestor que a partir de outubro de 2005 é composto por representantes do STF, STJ, TST, TSE, STM, CNJ, CJF e o CSJT. Trata-se da primeira autoridade certificadora do Poder Judiciário no mundo.

• AC - PR (Presidência da República): foi criada em abril de 2002, por uma iniciativa da Casa Civil, no âmbito do governo eletrônico (e-Gov) e tem como objetivo emitir e gerir certificados digitais das autoridades da Presidência da República, ministros de estado, secretários-executivos e assessores juridicos que se relacionem com a PR.

• AC - CMB (Casa da Moeda): é a mais nova Autoridade Certificadora credenciada à ICP-Brasil. Com mais de 300 anos de existência, a Casa da Moeda do Brasil é uma das mais antigas instituições públicas brasileira. Possui uma tradicional atuação na produção de formulários seguros e ao entrar na era da segurança eletrônica de documentos, consolida o objetivo de modernização de sua estrutura produtiva e administrativas, bem como se habilita para atender ao mercado de segurança na era virtual.

Referência:

EstruturaIcp < Certificacao < TWiki. Disponível em . Acesso em: 24 mar. 2011.

Assinatura e Certificados digitais

Empresas, pessoas e governos realizam diversos procedimentos e transações pela Internet todos os dias. Negócios são fechados através de transações eletrônicas pela utilização de documentos onde o acesso as informações são sigilosos.

Da mesma forma que a computação oferece meios facilitadores de forma a economizar dinheiro evitando processos burocráticos há também fraudadores tentando burlar os meios de segurança desses processos e quando realizadas por vias eletrônicas, precisam ser confiáveis e seguras. Assinaturas e certificados digitais são capazes de atender a essa necessidade.

Assinaturas digitais são documentos eletrônicos que comprovam a identidade do usuário nas comunicações online. As assinaturas digitais podem ter inúmeras aplicações, desde assinar documentos digitalmente até comprovar a autenticidade e a idoneidade de um site no momento de fazer compras virtuais. Pode-se também determinar que sejam abertos arquivos criptografados, apenas por uma lista de pessoas pré-determinadas e que possuem permissão para abri-los.

Já a certificação digital é um tipo de tecnologia de identificação que permite que transações eletrônicas dos mais diversos tipos sejam feitas, considerando sua integridade, sua autenticidade e sua confidencialidade, de forma a evitar que adulterações, interceptações ou outros tipos de fraude ocorram.

Lembre-se de que assinaturas e certificados digitais já fazem parte do nosso cotidiano. Assista à sequência dos três vídeos sobre Segurança da Informação  para começar a entender a utilidade e o funcionamento dessas primorosas ferramentas.

Assinatura Digital

Pode ser entendida como uma espécie um pouco mais complexa de senha eletrônica. Ela passou a ser amplamente utilizada, nas mais diversas áreas da informática, para a realização de inúmeros procedimentos. Atualmente, grande parte das assinaturas digitais se destina à proteção de atividades financeiras e outras transferências que podem envolver ativos importantes para as empresas, para o governo ou mesmo para usuários comuns da internet.

Uma das funções da assinatura digital é promover a segurança relacionada à identidade digital de quem celebra um documento eletrônico.  É função da assinatura digital é assegurar que as partes contratantes estão perfeitamente identificadas e autorizadas a realizar o contrato, ao qual se dispuseram firmar, através de um documento eletrônico.

Mas, não basta apenas garantir a autenticidade das partes. A assinatura digital também tem a função de atestar que não houve qualquer tipo de alteração no conteúdo do documento eletrônico. Portanto, um documento assinado digitalmente requer os seguintes requisitos:

•    Autenticidade - o receptor deve ter a possibilidade de confirmar que a assinatura foi feita pelo emissor;
•    Integridade - qualquer alteração da mensagem deve fazer com que a assinatura não corresponda mais ao documento;
•    Não repúdio ou irretratabilidade - o emissor não pode negar a autenticidade da mensagem.

O que as empresas estão utilizando para implementar os pilares de segurança da informação?

As empresas têm implementado suas políticas de segurança da informação, onde existem vários fatores a serem contemplados. Alguns são problemas extensivamente discutidos na industria de Tecnologia da Informação (TI) há vários anos. Outros têm estado cada vez mais em evidência por envolverem grandes montantes de dinheiro, como a questão da propriedade intelectual. As mudanças sócioeconômicas causadas pela Internet estão levando vários setores ligados à produção intelectual e artística a investirem em pesquisa e proteção. Alguns desses setores, como a indústria fonográfica, estão até mesmo revendo o seu próprio modelo de negócios.

A estratégia mais comum adotada nas organizações para fazer com que os usuários sigam os preceitos estabelecidos na política e definir o que é permitido ou não e estabelecer punição para os que praticam.

Todo programa de gerência de Segurança necessita métrica para avaliação de sua eficácia. A maior parte dessas métricas é obtida por intermédio do monitoramento de incidentes de segurança e outros relevantes.

A proteção dos controles acaba quando começam as responsabilidades das pessoas associadas a eles. Para que a segurança seja efetiva, os colaboradores devem ser treinados e conscientizados sobre seu uso e importância.

Referência:
Security Officer -1: guia oficial para formação de gestores em segurança da informação / Anderson Ramos (org.); - 2. ed. - Porto Alegre, RS: Zouk, 2008.

Introdução a Gestão de Riscos

Introdução

O ano passa e os desafios da Segurança da Informação aumentam de tamanho a cada dia. A maioria dos problemas que os profissionais de TI possuem estão relacionados com a dificuldade de se manterem atualizados com a enorme quantidade de novas vulnerabilidades e a necessidade contínua da atualização de sistemas de informação.

Há sem dúvida a necessidade de aplicarmos sólidos princípios de Gestão de Riscos para que possamos focar os recursos nas áreas problemáticas mais críticas. Os riscos mais importantes priorizados e as proteções apropriadas selecionadas, podemos estar certos que os maiores incidentes de segurança serão evitados ou reduzidos.

Todo processo de negócio é um conjunto de informações de diferentes níveis de sigilo. Certas informações podem ser confidenciais e precisam ser protegidas contra acesso não autorizado, enquanto outras informações críticas para o funcionamento contínuo da organização.

Um dos componentes mais importantes da Gestão de Segurança da Informação (GSI) como todo, a Gestão de Riscos é o nosso tema do artigo e é por meio deste processo que os riscos são identificados e tratados de forma sistemática e contínua.

A forma como o risco é percebido 

A forma como um risco é visto por uma parte envolvida pode variar em virtude dos critérios, valores, interesses e prioridades usados por ela. Por isso, quando o risco é encontrado com esses pontos específicos, nós chamamos de risco percebido.

Segundo a ISO/IEC Guide 73:2002 o Risco possui três vertentes: Probabilidade, Evento e Conseqüência.

Uma pessoa que tenha sido assaltada várias vezes em uma cidade pacífica pode achar que ela é muito mais perigosa que uma metrópole violenta na qual tenha morado sem nunca sofrer um assalto. Nem sempre o risco percebido é o risco verdadeiro.

Objetivos e benefícios da GR

Em síntese, podemos citar os seguintes:

• Priorização dos riscos e ações.
• Maior conhecimento sobre os riscos.
• Mecanismo para obtenção de consenso.
• Embasamento para as proteções atuais.
• Métrica e indicadores de resultados.

Gestão de Riscos

A GR Contempla uma série de atividades relacionadas à forma como uma organização lida com o risco. Ela cobre todo o ciclo de vida de tratamento do risco, desde a sua identificação até a sua comunicação às partes envolvidas, passando pelo seu tratamento de forma a atingir objetivos pré-estabelecidos em termos de tolerância. A Gestão de Riscos é composta de quatro atividades principais:

• Análise e Avaliação
• Tratamento
• Aceitação
• Comunicação

Primeiro passo: Análise e Avaliação de Riscos

Esse passo originou do termo inglês Risk Assessment onde é o processo dividido em duas partes.

A primeira, denominada Análise de Riscos (Risk Analysis), cobre o processo de Identificação de ameaças (Threat Identification) e Estimativa do Risco (Risk Estimation). A identificação de ameaças é feita através de busca em bases de informação que possam servir como fonte sobre os diversos tipos de ameaças existentes para os ativos que estamos avaliando.

A segunda parte, a Avaliação de Riscos (Risk Evaluation) compreende o processo de comparar os riscos que foram previamente identificados e estimados com os critérios de risco definidos pela organização. Com esta comparação decidimos se tratamos ou aceitamos o risco em questão.


Segunda parte: Tratamento do Risco

Onde selecionamos e implementamos medidas de forma a reduzir os riscos que foram previamente identificados. As medidas mais comuns são:

• Evitar - Não se expor a uma situação de risco.
• Transferir - Fazer um seguro para cobrir eventuais prejuízos.
• Reter - Fazer um auto-seguro.
• Reduzir - Implementar uma proteção que reduza o risco.
• Mitigar - Tomar medidas que diminuam apenas o impacto.

Terceira parte: Aceitação do Risco
Ocorre quando o custo de proteção contra um determinado risco não vale a pena. Isso normalmente ocorre quando o custo de proteção é maior que o custo do próprio ativo que está sendo protegido ou figura em escala muito próxima a isso. A aceitação também pode ocorrer quando os riscos identificados já se encontram dentro de patamares aceitáveis.

Quarta parte: Comunicação do Risco

O último componente do processo de GR e tem o propósito de fechar o ciclo por meio da divulgação de informações sobre os riscos que forem identificados, tenham eles sido tratados ou não, a todas as partes envolvidas que precisam ter conhecimento a respeito deles. Compartilhar a responsabilidade dos riscos é uma atividade que contempla a comunicação do risco mas convém lembrar que nem todos os riscos precisam ser comunicados.

Conclusão

A importância cada vez maior da Gestão de Riscos vem tomando a consciência dos empresários e incorporando suas técnicas na gestão global das corporações.  A tendência é que tenhamos investimentos maiores em ações preventivas que justifiquem a incorporação de sistemas de gestão de risco e projetando-os de maneira eficaz. Além disso, outros fatores como a cultura da empresa, necessidades jurídicas, práticas e métodos de gestão influenciam também no projeto.


Referência:
RAMOS, Anderson (org.). Security Officer - 1: Guia Oficial para Formação de Gestores em Segurança da Informação. Porto Alegre, RS: Zouk, 2008.