Mamura
Mamura Programador web com mais de 15 anos de experiência.

Princípios da segurança e ciclo da informação

Princípios da segurança e ciclo da informação

A segurança da informação é um tema de extrema importância para a sustentabilidade e longevidade de uma organização, especialmente no contexto do mundo atual, que foca na digitalização das informações e na transformação digital.

Apesar das organizações já terem uma consciência bem consolidada de importância de cuidar da segurança interna e externa por elas gerenciadas, há por vezes dúvidas com relação à abrangência do termo segurança da informação, dos seus conceitos básicos, do seu real valor para a organização, bem como do seu ciclo de vida.

O conhecimento dos conceitos básicos sobre segurança da informação é a base para que seja possível formular a segurança da informação de forma adequada, contemplando não apenas as questões lógicas, realizadas pelos softwares, mas também os aspectos físicos ligados à segurança da informação, bem como o controle de acesso.

Segurança e Informação

Conceitos básicos da área de segurança da informação

O conceito fundamental que dá origem à informação, é conhecido como dado. Mas como defini-lo?

O dado pode ser considerado o valor de determinada medida sem uma contextualização e, portanto, sem valor para ser aplicado ou tratado. No momento em que um dado é contextualizado, ou seja, é atribuído a um contexto ou a uma situação, torna-se uma informação, consequentemente, obtendo valor.

Ciclo de vida da informação

Por se tratar de um dado contextualizado, a informação possui o seguinte ciclo de vida:

  • Criação
  • Transporte
  • Manuseio
  • Descarte

Após a primeira etapa (criação), o dado pode ser transportado ou manuseado. A ordem do ciclo representa o transporte antes do manuseio por tal procedimento ser o mais comum nesses casos, porém é perfeitamente possível que ele seja manuseado anteriormente. Na etapa final, a informação é descartada.

Durante todas essas etapas, a informação deve ser protegida. Seu vazamento em quaisquer etapas pode provocar problemas em vários aspectos. Vamos analisar as seguintes hipóteses:

Transporte inadequado de dados por uma transportadora que não realiza todos os procedimentos de segurança necessários.

Laptop levado para a manutenção sem que os dados do disco rígido dele sejam protegidos. Não é raro haver casos de roubos de unidades que possuíam informações sensíveis de empresas.

Analista de dados tem um laptop e um disco rígido externo roubados em sua residência com informações, não criptografadas, de 26,5 milhões de veteranos do exército americano. Ele informou que rotineiramente levava os dados para a sua residência. Neste caso, o problema ocorreu no manuseio da informação.

Empresa forense de Nova Iorque, a Kessler International realizou o seguinte estudo: durante seis meses, ela foi adquirindo discos rígidos usados no portal eBay. Cerca de 40% deles continham informações de seus usuários.

Facebook, uma das companhias mais novas do mercado de tecnologia e com um altíssimo valor agregado, sendo usado por milhões de pessoas no mundo, teve um disco rígido furtado de um veículo. Ele continha informações de aproximadamente 29.000 empregados norte-americanos.

Que conclusão podemos tirar dos casos apresentados? A informação, que é o dado contextualizado, precisa de proteção em todo o seu ciclo de vida. A partir dos exemplos citados, conseguimos entender a necessidade de sempre estabelecer uma proteção adequada dela em qualquer etapa do seu ciclo de vida.

No caso do transporte de mídias magnéticas contendo informações sigilosas de usuários de determinada empresa, por exemplo, uma boa proteção é o emprego da criptografia, que pode ser definida como o embaralhamento das informações por meio de uma sequência de dados que utiliza uma chave e um algoritmo. Esta chave é usada para embaralhar (criptografar) e desembaralhar (decriptografar) as informações.

Quando a mesma chave é usada nas duas etapas, a criptografia é dita simétrica; quando são usadas chaves distintas, ela é assimétrica.

Como você manuseia seu pen drive? Hoje em dia, por estarmos na era da informação, é comum sempre levarmos um desses dispositivos no bolso, mochila ou na carteira. Afinal, como você cuida das suas informações?

Certamente, seu pen drive contém alguns arquivos nos quais você ainda deve estar trabalhando. Ele pode servir para várias pessoas e diferentes tipos de trabalho, como:

  • Se você é um programador, pode estar mexendo em alguma parte de um sistema que está desenvolvendo.
  • Se você trabalha na direção, pode estar atualizando alguma planilha com os dados financeiros da sua empresa.

Uma prática simples - mas eficiente - nestes casos é simplesmente compactar os seus arquivos usando uma senha.

Praticamente todas as ferramentas (até mesmo as gratuitas) possuem essa funcionalidade. Cada uma conta com uma metodologia para acrescer a senha ao processo de compactação. Um bom exemplo disso é a ferramenta 7-zip.

Essas ferramentas utilizam os melhores algoritmos de criptografia existentes no mercado. Além de economizar o espaço do pen drive, essa simples prática cria ainda uma camada de proteção para as informações contidas no dispositivo.

Devemos observar que a proteção e a facilidade caminham em direções contrárias. Por isso, o processo de compactar com senha gera um aumento de tempo no manuseio da informação, pois ele sempre torna necessária a tarefa de descompactar e compactar para tratar a informação.

Dessa forma, seu descarte deve ser realizado de forma padronizada, já que o propósito é evitar a recuperação de suas informações. Exemplo: pen drives, discos rígidos e outras mídias usadas precisam ser descartadas com o uso de trituradores adequados.

Aspectos da segurança da informação

O três principais aspectos da informação requerem cuidados especiais:

  • Confidencialidade: Capacidade do acesso à informação apenas para quem possui autorização.
  • Integridade: Possibilidade de alteração da informação por pessoas ou sistemas autorizados.
  • Disponibilidade: Faculdade de a informação poder ser acessada, em qualquer tempo, por pessoas ou sistemas autorizados para tal.

Citados por diversos autores como pilares, estes três aspectos correspondem à prioridade do que deve ser protegido em relação à informação. Todos os exemplos citados correspondem à confidencialidade da informação em três momentos diferentes do seu ciclo de vida.

Portanto, a segurança da informação pode ser definida como as atividades, os procedimentos e as metodologias que objetivam a proteção da informação, principalmente no que tange à confidencialidade, integridade e disponibilidade (CID).

Os aspectos seguintes, contudo, também são considerados importantes:

  • Autenticidade: Assegura que a informação foi gerada por pessoa ou sistema autorizado para isso.
  • Legalidade: Alinha informação e/ou dos processos com normas, portarias, leis e quaisquer outros documentos normativos, cada um na sua respectiva esfera de atribuição e abrangência.
  • Não repúdio: Relaciona-se ao fato de o emissor negar a autoria de uma informação divulgada. Também é conhecido como irretratabilidade.

Juntos, todos eles compõem os principais aspectos empregados pelos controles - ou pelas ferramentas que proporcionam a segurança da informação - para proteger a informação.

Segurança física, lógica e controle de acesso

Segurança física

No módulo anterior, vimos o exemplo de roubo de dados no transporte. Mesmo que eles estivessem criptografados, a ação poderia ocorrer da mesma forma, pois ela foi uma consequência de vulnerabilidades na segurança física das mídias em questão. Assim, dois aspectos poderiam ser transgredidos:

  • Integridade: Depende da informação ser ou não totalmente impactada, pois a mídia poderia ser destruída.
  • Confidencialidade: Depende da informação armazenada ter ou não algum controle de proteção, como a criptografia.`

A família de normas ABNT ISO/IEC 27.000 divide a segurança física em dois aspectos: um é relacionado aos equipamentos e o outro, ao ambiente.

A segurança da informação age dessa forma. Ela é entendida como camadas justapostas que permitem à informação ficar cada vez mais protegida. É como se nossa informação recebesse camadas de proteção similar a uma cebola.

Quanto ao ambiente, em uma instalação empresarial, por exemplo, é possível observar as camadas de segurança físicas e, a partir daí, estabelecer um paralelo com a imagem da cebola.

Imaginemos a seguinte situação: Ao nos aproximarmos de uma instalação, alcançamos a cancela para automóveis, que, geralmente, conta com dois seguranças. Sua função é solicitar identificação ou verificar se o veículo possui algum selo de identificação. Normalmente, esse selo é único para aquela instituição. Em alguns casos, essa verificação pode ser feita de forma automatizada com alguma tecnologia de emissão de sinal de baixa frequência, como o RFID.

Após a ultrapassagem dessa primeira barreira (camada mais externa à nossa cebola de segurança), geralmente existe mais uma etapa: catraca e elevador. Ela está vinculada a algum controle biométrico ou de crachá. O RFID novamente surge como um exemplo.

Esses controles físicos são justapostos, permitindo que a vulnerabilidade de um deles possa ser recoberta por outro controle. Isso funciona de forma similar nas salas de servidores, data centers e salas-cofres, criando camadas de segurança que dificultam o acesso físico ao servidor.

Outro aspecto que deve ser levado em consideração é a proteção contra ameaças da natureza, como enchentes, incêndios e outras calamidades provocadas pela natureza e/ou pelo homem.

Tendo isso em vista, certos controles de monitoramento e prevenção devem ser instalados e controlados.

O cabeamento e o acesso à rede externa (internet), bem como ao fornecimento de energia, são fatores fundamentais nesse processo. Como eles dependem de um fornecimento feito por terceiros, certos aspectos contratuais e de redundância precisam ser estabelecidos.

Além disso, políticas e instruções normativas devem ser instituídas, treinadas e simuladas visando à prontidão. Nesse sentido, é razoável haver uma redundância no fornecimento de rede (internet), bem como uma independência física desse fornecimento no que tange ao tipo de conexão estipulada. Veja:

  • É necessário evitar o uso compartilhado de conexões entre fornecedores distintos. Desse modo, se, para um fornecedor, a conexão é feita por meio de fibra ótica, para o outro ela poderia ser feita por intermédio de link de rádio.
  • É necessário, sobre a parte de energia elétrica, o uso de bancos de bateria (e/ou no-breaks) e de geradores. Quanto aos geradores, deve-se levar em consideracão o fornecimento de insumos necessários e periódicos, como o combustível.
  • É necessário adotar medidas como senha na BIOS e configurações de botões físicos e de ordem de execução na inicialização dos computadores, pois em relação aos equipamentos, a ideia de segurança tem a ver com o acesso físico aos componentes de hardware e aos dispositivos de entrada.

Segurança lógica

Em adição às medidas de segurança física, há as de segurança lógica, que correspondem às medidas baseadas em software. Dessa lista, podemos destacar as senhas, as listas de controle de acesso, a criptografia, e o firewall.

Repetindo o padrão já apresentado, esses mecanismos estão justapostos, isto é, intercalados entre si. Dessa forma, a demanda de uma camada pode criar uma adicional a outra que possua alguma vulnerabilidade particular.

Como exemplo disso, existem no próprio equipamento controles de acessos biométricos, como a leitura de digital e o reconhecimento facial. Esses sistemas de controle biométricos são caracterizados pela captura da geometria humana, a qual, em grande parte, difere em cada pessoa.

Atualmente, os leitores de digitais têm dado espaço para o reconhecimento facial pela disseminação dos sensores e da tecnologia empregada. Há diversas APIs disponibilizadas para uso gratuito e comercial, como a API do Amazon Rekognition. Esses controles atuam na proteção da confidencialidade da informação.

A criptografia corresponde ao conjunto de técnicas que permite o embaralhamento de dados por intermédio do uso de chaves e de algoritmos computacionais baseados em funções matemáticas. Essas funções propiciam, em linhas gerais, a presença de duas grandes classes de algoritmos: os simétricos e os assimétricos.

Criptografia simétrica

Utiliza funções matemáticas mais simples e uma única chave para criptografar e decriptografar. Esta classe de algoritmos é composta por, entre outros exemplos, Cifra de César, Blowfish, Twofish e Rijnadel. Graças a esse controle, é possível assegurar a confidencialidade da informação. Veja o conjunto na tabela a seguir: | Algorítmo | Tamanho da chave | | ——— | —————- | | AES (Rijnadel) | 128, 192 e 256 bits | | Twofish | 128, 192 e 256 bits | | Serpent | 128, 192 e 256 bits | | Blowfish | 32 a 448 bits | | RC4 | 40 a 128 bits | | 3DES (baseado no DES) | 168 bits | | IDEA | 128 bits |

Criptografia assimétrica

Caracteriza-se por algoritmos que normalmente envolvem técnicas matemáticas mais sofisticadas, como a fatoração de números grandes e o logaritmo discreto. Esta família emprega duas chaves: uma é utilizada para cifrar; a outra, para decifrar. Tais chaves são conhecidas como:

  • Pública: Fica disponibilizada em um servidor de confiança.
  • Privata: Está sob a posse do usuário.

Com a combinação dessas chaves, é possível assegurar não somente a confidencialidade, mas também o não repúdio ou irretratabilidade. Afinal, pode-se combinar o uso desse controle tanto com a chave privada do emissor (não repúdio) quanto com a pública do destinatário (confidencialidade). Diffie-Hellman, El Gamal e Curvas Elípticas são alguns dos algoritmos dessa família. Quanto aos controles aplicados às redes, destacam-se os firewalls, os sistemas detectores de intrusão e os VPNs.

Esses controles permitem a criação de zonas de segurança dentro e fora da instituição. Tais zonas possibilitam a criação de segregações de funcionalidades. Das zonas de segurança, a mais comumente encontrada é a DMZ. Zona desmilitarizada, ela limita a região onde os servidores web e de aplicação podem ficar.

As regras dos firewalls podem seguir duas políticas:

  • Negar por padrão: Todo o tráfego é negado. Apenas os servidores e os protocolos são autorizados.

Trata-se da política normalmente encontrada e recomendada no mercado. Como todos os tráfegos são negados, apenas podem trafegar os tráfegos cujas regras (R1) são aceitas.

  • Aceitar por padrão: Todo o tráfego é autorizado, embora o destinado para determinados servidores seja negado. Qualquer tráfego é aceito por padrão. Regras específicas (R1 e R2) definem quais serão negados.

Referências

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Norma ABNT ISO/IEC 27.0002/2013 – boas práticas para gestão em segurança da informação. Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005.

BARRETO, J. dos S.; ZANIN, A.; MORAIS, I. S. de; VETTORAZZO, A. de S. Fundamentos de segurança da informação. São Paulo: Sagah, 2018.

BE COMPLIANCE. Ladrão rouba HDs com dados de 29 mil funcionários do Facebook. Publicado em: 19 dez. 2019.

BRASIL. Decreto-lei nº 3.689, de 3 de outubro de 1941. Código de Processo Penal. Brasília, 1941.

FREIRE, A. Notebooks furtados da Petrobras estavam na Bacia de Santos, diz PF. G1, 5 fev. 2008.

GUSMÃO, G. Os 15 maiores vazamentos de dados da década. Exame, 21 fev. 2014.

MEARIAN, L. Survey: 40% of hard drives bought on eBay hold personal, corporate data. Computerworld, 10 fev. 2009.

RODRIGUES, F. N. Segurança da informação - princípios e controles de ameaças. São Paulo: Érica, 2019.