Portifólio

Portifólio de Serviços - Segurança da Informação

Índice do Artigo
Portifólio de Serviços
Auditoria de Redes
Segurança da Informação
Sites
Arquivismo
Auditoria de Software/Hardware
Software de Saúde
Download Portifólio
Todas as Páginas
SEGURANÇA DA INFORMAÇÃO

“Informação é poder”
Vivemos num mundo onde a informação está cada vez mais disponível e por conseqüência cada vez mais barata. Outrora as informações eram transportadas no lombo de poderosos cavalos através de poucas centenas de quilômetros, após a invenção do motor a vapor um dos mais famosos adventos da primeira revolução industrial, temos a informação navegando pelos rios e trilhos de aço movida por motores podendo ser transportada por milhares de quilômetros sem que se torne desatualizada. No século XX inúmeras mudanças, dentre as quais podemos citar motor de combustão interna, aviação, computadores, fibra óptica e internet, proporcionaram uma enorme diminuição de espaço pelo tempo, agora podemos percorrer distâncias outrora impensáveis tornando o tráfego de informação simples, barato e rápido. Hoje podemos nos atualizar sobre as novidades do mundo apenas sentando-se a frente de um computador conectado a grande rede.
Quando nos conectamos a esta rede deixamos de ter características próprias como a voz, o corpo e a escrita para nos transformar numa entidade matemática chamada bit, que traduz nossas vontades através dos dispositivos de entrada tais como teclados e mouses sendo transmitidos como se nós mesmos fossemos compactados e colocados dentro do cabo da conexão. Existe um sério problema quando assumimos nossa identidade virtual, todas nossas características podem ser facilmente clonadas, nosso nome, nossa assinatura e endereço. Em suma quando um indivíduo não autorizado descobre a senha de alguém praticamente pode agir como se fosse esta pessoa sem a menor dificuldade, uma vez que não se trata de voz e nem assinatura, apenas bits. Os resultados deste roubo de identidade serão tão graves quanto o grau de imersão deste indivíduo na sua “vida virtual”, quanto mais ele utilizar a rede, quanto mais contatos virtuais com fornecedores, clientes, bancos e familiares ele tiver maior será o estrago, e é exatamente neste ponto onde tornamos nossa vida física vulnerável devido à nossa “vida virtual” que entra a grande necessidade de possuirmos segurança da informação. Este termo tem que ser amplo e atingir tanto os dados computacionais quanto dados físicos na forma de documentos impressos, pois cada vez mais estamos dependentes de dados para provar quem somos, e assustadoramente está cada vez mais fácil de conseguir estes dados. A espionagem está cada vez mais sendo utilizada.
Espiões existem há séculos, inteligência e contra-inteligência sempre foram utilizadas em guerras e inúmeras outras situações onde a necessidade de conseguir a informação fosse necessária podendo servir a um propósito nobre ou não. Espionagem sempre foi banhada numa aura de mistério e até mesmo certo glamour, pois personagens como o espião James Bond eternizaram esta atividade, devemos nos lembrar que até mesmo este famoso personagem foi utilizado com fins estratégicos de contra-inteligência, pois, em plena guerra fria todas as missões do agente tinham como objetivo lutar contra o comunismo e os russos que para nós ocidentais eram comedores de crianças e planejavam tomar o mundo, pura propaganda de guerra. Nestes tempos havia a necessidade de presença física para plantar escutas ambientais e telefônicas, hoje podemos grampear um alvo no Japão monitorando seus telefones e dados sem sair da frente do computador. A facilidade de carregar um computador portátil com acesso sem fio a internet e ter acesso a bancos de dados em qualquer parte do mundo se tornou um grande problema corporativo, pois, não existe segurança forte do lado do cliente, ou seja, por mais que os servidores da empresa estejam protegidos se seus usuários não estiverem atentos todos os dados da empresa estarão em risco. Criamos os espiões de cadeira, erroneamente chamados amplamente de hackers.
A palavra hacker foi criada para denominar indivíduos que se destacam em suas áreas de atuação e se preocupam em inovar e não ficar constantemente reinventando a roda. Podem existir hackers da medicina, hackers da literatura e etc. Não se sabe ao certo quando este termo foi associado unicamente à informática, mas, sem dúvida quando nos referimos a hackers sempre nos vem à mente pessoas experts em informática. Imagine o estrago que um indivíduo que somasse os conhecimentos de espião clássico e habilidades hacker poderia causar num alvo, praticamente nada poderia detê-lo, estes indivíduos existem e felizmente muitos deles estão voltados para proteção dos dados e não para o roubo dos mesmos.
Pode-se dividir os ataques contra informações sigilosas em dois grupos: ataques físicos somados a engenharia social e ataques virtuais remotos ou locais também associados á engenharia social. Definiremos inicialmente engenharia social:
“Em Segurança da informação, chama-se Engenharia Social as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinados para esses ataques, podem ser facilmente manipuladas.” Fonte: (http://pt.wikipedia.org/wiki/Engenharia_social_(seguran%C3%A7a_da_informa%C3%A7%C3%A3o).
Esta definição não poderia ser mais simples e direta, a engenharia social explora falhas das pessoas sem treinamento e que possuem ou podem conseguir informações valiosas.
Ataques físicos a informação ocorrem quando obtêm-se inteligência através de documentos impressos e para tal há a necessidade de acesso físico a estes documentos, em outras palavras o atacante tem que entrar na empresa, geralmente utilizando engenharia social, surfe de ombro ou tail. Outra técnica muito utilizada é o dumpster diving, ou seja, roubar o lixo do alvo e obter inteligência dele, se a empresa ou pessoa não tiver cuidado com seu lixo, 40% do trabalho pode ser feito somente utilizando corretamente esta técnica.
Ataques virtuais remotos são feitos pela internet quando a empresa tem seus dados ligados a ela, ataques virtuais locais são feitos quando acessamos a rede localmente através dos cabos de rede e/ou conexão sem fio. Todos os ataques utilizam engenharia social como premissa, pois temos que nos passar por alguém ou enganar alguém para obter a informação desejada. Listamos abaixo os objetivos da 3F:
1- Tornar o acesso a informações sigilosas mais oneroso que o valor intrínseco da informação em questão.

2- Treinar toda a equipe contra técnicas de engenharia social.


3- Realizar inspeções constantes nos computadores para minimizar o risco de invasões e perda de dados devido a vírus e demais pragas virtuais.


4- Sistematizar o fluxo de informação visando impedir que pessoas não autorizadas tenham acesso a informações sigilosas.


5- Realizar auditoria na rede através de testes de penetração locais e remotos.

6- Utilizar criptografia simétrica e assimétrica forte em mensagens sigilosas e documentos.


7- Digitalizar documentos sigilosos e criptografá-los.


8- Contra-inteligência.


9- Estender o conceito de segurança da informação a todos os colaboradores.


10- Proteção individual exclusiva a todos que manusearem dados sigilosos.




Última atualização (Sex, 05 de Agosto de 2011 19:30)