Os riscos e os prejuízos causados pela vulnerabilidade da segurança da informação

No Brasil, o mundo corporativo está vulnerável em relação à segurança da informação e há a necessidade de investimentos em prevenção contra ataques virtuais e proteção de dados empresariais.

segurança da informação2

Hayrton Rodrigues do Prado Filho – 

A segurança da informação está diretamente envolvida com as áreas de negócio, principalmente com a área de tecnologia, uma vez que esta sustenta a maioria dos processos de negócio da empresa. A sinergia da área com os projetos e departamentos da organização é caráter fundamental para a boa prática da segurança da informação no ambiente corporativo.

Uma boa política e uma adequada cultura de segurança da informação, necessita ser desenvolvida pelos gestores de Tecnologia da Informação antes de garantir a entrega dos recursos e da informação para os usuários, além de mantê-los íntegros e confidenciais. As informações de negócio de uma organização estão dispostas em um complexo ecossistema formado por processos de negócio, pessoas e tecnologia.

Para garantir a continuidade do negócio de uma organização, é preciso assegurar que cada membro deste sistema esteja em conformidade com normas internas criadas pela própria organização e normas técnicas nacionais ou internacionais. Contudo, o principal objetivo nunca muda e em todos os programas de desenvolvimento de uma política e cultura de segurança da informação sempre se encontrar três itens: garantir disponibilidade dos recursos/informação; garantir a integridade da informação; e garantir confidencialidade da informação.

Para Cledison Eduardo Fritzen, diretor de marketing e vendas no sistema Lumiun, o mundo corporativo está vulnerável em relação a segurança da informação e reafirmaram a necessidade de investimentos em prevenção contra ataques virtuais e proteção de dados corporativos. Infelizmente o tema Segurança da Informação ainda não é prioridade e a maioria das empresas não possui políticas para utilização da tecnologia e internet, procedimentos de prevenção e controles eficientes para gerir vulnerabilidades e atenuar riscos e prejuízos em caso de ataques.

cledison

Cledison Eduardo Fritzen: “Hoje, deve-se ressaltar a importância das informações das empresas e a necessidade de proteção dos dados, independentemente do tamanho das organizações, grandes corporações e pequenas empresas podem ter prejuízos enormes ou simplesmente deixar de operar sem acesso aos dados e sistemas do seu negócio”.

O especialista diz que, embora seja praticamente impossível ficar totalmente protegido, com um planejamento adequado e medidas devidamente bem executadas, é possível se prevenir de muitos problemas. Para auxiliar nesse planejamento listamos alguns pontos que sua empresa deve direcionar atenção e investimentos em relação a segurança da informação.

“41% dos incidentes de segurança no Brasil têm origem nos próprios colaboradores da empresa, acima da média mundial que é de 35%. Outra pesquisa realizada pela Intel mostrou que somente 3% dos usuários são capazes de identificar um ataque de phishing. Com a falta de conhecimento e atenção dos usuários, praticamente quatro em cada dez incidentes ocorrem a partir do mau uso dos recursos de tecnologia e internet por parte dos usuários. Por exemplo, clicando em mensagens de e-mail falsas ou links desconhecidos em sites duvidosos da rede, um erro simples como esse pode abrir a porta para instalação de vírus ou ransomware na rede da empresa. Por isso, orientar e treinar os usuários, para que consigam identificar riscos e utilizem a internet de forma segura, é fundamental. Os usuários também precisam entender da sua responsabilidade em relação ao uso da tecnologia e prejuízos causados por possíveis incidentes. Dessa forma irão utilizar os recursos de maneira mais responsável no ambiente corporativo”, acrescenta ele.

A NBR ISO/IEC 27001 de 11/2013- Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. Também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização. Os requisitos definidos nesta norma são genéricos e são pretendidos para serem aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza. A exclusão de quaisquer dos requisitos especificados nas Seções 4 a 10 não é aceitável quando a organização busca a conformidade com esta norma.

Esta norma foi preparada para prover requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI). A adoção de um SGSI é uma decisão estratégica para uma organização. O estabelecimento e a implementação do SGSI de uma organização são influenciados pelas suas necessidades e objetivos, requisitos de segurança, processos organizacionais usados, tamanho e estrutura da organização. É esperado que todos estes fatores de influência mudem ao longo do tempo.

O sistema de gestão da segurança da informação preserva a confidencialidade, integridade e disponibilidade da informação por meio da aplicação de um processo de gestão de riscos e fornece confiança para as partes interessadas de que os riscos são adequadamente gerenciados.

É importante que um sistema de gestão da segurança da informação seja parte de, e esteja integrado com, os processos da organização e com a estrutura de administração global, e que a segurança da informação seja considerada no projeto dos processos, sistemas de informação e controles.

É esperado que a implementação de um sistema de gestão de segurança da informação seja planejada de acordo com as necessidades da organização. Esta norma pode ser usada por partes internas e externas, para avaliar a capacidade da organização em atender aos seus próprios requisitos de segurança da informação. A ordem na qual os requisitos são apresentados nesta norma não reflete sua importância nem implica a ordem em que devem ser implementados. Os itens listados são numerados apenas para fins de referência.

A norma descreve a visão geral e o vocabulário do sistema de gestão da segurança da informação e referência às normas da família do sistema de gestão da segurança da informação (incluindo a ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005 ), com termos e definições relacionados.

Esta norma aplica a estrutura de alto nível, os títulos de subseções idênticos, textos idênticos, termos comuns e definições básicas, apresentadas no Anexo SL da ISO/IEC Directives, Part 1, Consolidated ISO Supplement, mantendo desta forma a compatibilidade com outras normas de sistemas de gestão que adotaram o Anexo SL. Esta abordagem comum definida no Anexo SL será útil para aquelas organizações que escolhem operar um único sistema de gestão que atenda aos requisitos de duas ou mais normas de sistemas de gestão.

Assim, a organização deve determinar as questões internas e externas que são relevantes para o seu propósito e que afetam sua capacidade para alcançar os resultados pretendidos do seu sistema de gestão da segurança da informação.

Entendendo as necessidades e as expectativas das partes interessadas, a organização deve determinar: as partes interessadas que são relevantes para o sistema de gestão da segurança da informação; e os requisitos dessas partes interessadas relevantes para a segurança da informação. A organização deve determinar os limites e a aplicabilidade do sistema de gestão da segurança da informação para estabelecer o seu escopo.

Quando da determinação deste escopo, a organização deve considerar: as questões internas e externas; os requisitos referenciados; e as interfaces e dependências entre as atividades desempenhadas pela organização e aquelas que são desempenhadas por outras organizações. O escopo deve estar disponível como informação documentada.

A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao sistema de gestão da segurança da informação pelos seguintes meios: assegurando que a política de segurança da informação e os objetivos de segurança da informação estão estabelecidos e são compatíveis com a direção estratégica da organização; garantindo a integração dos requisitos do sistema de gestão da segurança da informação dentro dos processos da organização; assegurando que os recursos necessários para o sistema de gestão da segurança da informação estão disponíveis; comunicando a importância de uma gestão eficaz da segurança da informação e da conformidade com os requisitos do sistema de gestão da segurança da informação; assegurando que o sistema de gestão da segurança da informação alcança seus resultados pretendidos; orientando e apoiando pessoas que contribuam para eficácia do sistema de gestão da segurança da informação; g) promovendo a melhoria contínua; e apoiando outros papéis relevantes da gestão para demonstrar como sua liderança se aplica às áreas sob sua responsabilidade.

A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação para: selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando em consideração os resultados da avaliação do risco; determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação; comparar os controles determinados com aqueles do Anexo A e verificar se algum controle necessário foi omitido (o Anexo A contém uma lista detalhada dos controles e dos objetivos de controle e os usuários desta norma são instruídos a utilizar o Anexo A para garantir que nenhum controle necessário seja omitido); elaborar uma declaração de aplicabilidade que contenha os controles necessários, e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A; preparar um plano para tratamento dos riscos de segurança da informação; e obter a aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da informação e a aceitação dos riscos residuais de segurança da informação. A organização deve reter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação.

Quanto à NBR ISO/IEC 27002 de 11/2013 – Tecnologia da informação – Técnicas de segurança – Código de Prática para controles de segurança da informação fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. É projetada para ser usada por organizações que pretendam: selecionar controles dentro do processo de implementação de um sistema de gestão da segurança da informação baseado na NBR ISO/IEC 27001; implementar controles de segurança da informação comumente aceitos; desenvolver seus próprios princípios de gestão da segurança da informação.

Importante dizer que a norma foi é projetada para as organizações usarem como uma referência na seleção de controles dentro do processo de implementação de um sistema de gestão da segurança da informação (SGSI), baseado na NBR ISO/IEC 27001 ou como um documento de orientação para as organizações implementarem controles de segurança da informação comumente aceitos. É também usada no desenvolvimento de organizações e indústrias específicas de gerenciamento de segurança da informação, levando em consideração os seus ambientes de risco de segurança da informação específicos.

Organizações de todos os tipos e tamanhos (incluindo o setor privado e público, organizações comerciais e sem fins lucrativos), coletam, processam, armazenam e transmitem informações em diferentes formatos, incluindo o eletrônico, físico e verbal (por exemplo, conversações e apresentações). O valor da informação vai além das palavras escritas, números e imagens: conhecimento, conceitos, ideias e marcas são exemplos de formas intangíveis da informação. Em um mundo interconectado, a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas suas operações são informações que, como outros ativos importantes, têm valor para o negócio da organização e, consequentemente, requerem proteção contra vários riscos.

Ativos são objeto de ameaças, tanto acidentais como deliberadas, enquanto que os processos, sistemas, redes e pessoas têm vulnerabilidades inerentes. Mudanças nos processos e sistemas do negócio ou outras mudanças externas (como novas leis e regulamentações), podem criar riscos de segurança da informação.

Desta forma, em função das várias maneiras nas quais as ameaças podem se aproveitar das vulnerabilidades para causar dano à organização, os riscos de segurança da informação estão sempre presentes. Uma segurança da informação eficaz reduz estes riscos, protegendo a organização das ameaças e vulnerabilidades e, assim, reduzindo o impacto aos seus ativos.

A segurança da informação é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessário, para assegurar que os objetivos do negócio e a segurança da informação da organização sejam atendidos.

Um sistema de gestão da segurança da informação (SGSI), a exemplo do especificado na NBR ISO/IEC 27001, considera uma visão holística e coordenada dos riscos de segurança da informação da organização, para implementar um conjunto de controles de segurança da informação detalhado, com base na estrutura global de um sistema de gestão coerente.

Muitos sistemas de informação não têm sido projetados para serem seguros, na ótica da NBR ISO/IEC 27001 e desta norma. A segurança que pode ser alcançada através de meios técnicos é limitada e está apoiada por procedimentos e gerenciamentos apropriados. A identificação de quais controles devem ser implementados requer planejamento e atenção cuidadosa em nível de detalhes.

Um sistema de gestão da segurança da informação bem-sucedido requer apoio de todos os funcionários da organização. Isto pode também exigir a participação de acionistas, fornecedores ou outras partes externas. Orientações de especialistas externos podem também ser necessárias.

De um modo geral, uma segurança da informação eficaz também garante à direção e a outras partes interessadas que os ativos da organização estão razoavelmente seguros e protegidos contra danos, agindo como um facilitador dos negócios. Assim, é essencial que uma organização identifique os seus requisitos de segurança da informação. Existem três fontes principais de requisitos de segurança da informação.

A avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.

A legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural. Os conjuntos particulares de princípios, objetivos e os requisitos do negócio para o manuseio, processamento, armazenamento, comunicação e arquivo da informação, que uma organização tem que desenvolver para apoiar suas operações.

Os recursos empregados na implementação dos controles precisam ser balanceados com base na probabilidade de danos ao negócio, resultado dos problemas de segurança pela ausência desses controles. Os resultados de uma avaliação de risco ajudarão a orientar e determinar as ações de gestão apropriadas e as prioridades para gerenciar os riscos de segurança da informação e a implementação dos controles selecionados para proteger contra estes riscos.

A NBR ISO/IEC 27005 de 11/2011 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação fornece as diretrizes sobre gestão de riscos de segurança da informação, incluindo orientações sobre avaliação de riscos, tratamentos de riscos, aceitação de riscos, comunicação de riscos, monitoramento e análise crítica dos riscos. Os controles podem ser selecionados desta norma ou de outros conjuntos de controles, ou novos controles podem ser projetados para atender às necessidades específicas, conforme apropriado.

A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização, e convém que a seleção destes controles também esteja sujeita a todas as legislações e regulamentações nacionais e internacionais relevantes. A seleção de controles também depende da maneira pela qual os controles interagem para prover uma proteção segura.

A informação tem um ciclo de vida natural, desde a sua criação e origem, armazenamento, processamento, uso e transmissão, até a sua eventual destruição ou obsolescência. O valor e os riscos aos ativos podem variar durante o tempo de vida da informação (por exemplo, revelação não autorizada ou roubo de balanços financeiros de uma companhia é muito menos importante depois que eles são formalmente publicados), porém a segurança da informação permanece importante em algumas etapas de todos os estágios.

Eduardo Fritzen lembra que hoje em dia a utilização da tecnologia e da internet fazem parte do cotidiano dos colaboradores no ambiente de trabalho, com o uso dos computadores, smartphones, sistemas gerenciais, e-mails, navegação na internet e tantas outras atividades. Como a tecnologia e a internet são muito amplas e estão tão presentes, é necessário definir de que forma esses recursos podem ser usados no ambiente de trabalho. Por exemplo, usar um pendrive pessoal com vírus na empresa pode contaminar toda a rede, e acessar sites de jogos ou pornografia no trabalho, que geralmente contém links para sites nocivos, pode abrir uma porta para ataques virtuais.

“A internet é a principal porta de entrada para incidentes e falhas de segurança, que podem ocorrer de inúmeras formas”, explica ele. “Por exemplo, não é raro um usuário clicar em um link de uma mensagem falsa no e-mail corporativo, que irá direcioná-lo para um site nocivo na rede, que por sua vez irá instalar (de forma oculta) um vírus na máquina do usuário. Com o vírus instalado e combinado a outras vulnerabilidades, como a utilização de senhas fracas, é possível ter acesso a rede interna da empresa, servidores e dados corporativos. Essa é a mecânica da maioria dos ataques virtuais. Considerando o exemplo, seria possível evitar o acesso a sites nocivos na internet através de ferramentas de controle de navegação, que possam identificar esses riscos. Em relação ao uso da internet, também é importante orientar os usuários sobre os riscos da rede, qualquer erro ou falta de atenção pode tornar a empresa vulnerável a ataques. Para isso pode-se criar um documento conteúdo orientações e diretrizes sobre o uso da internet, informando a política da empresa em relação ao uso da rede”.

A NBR ISO/IEC 27003 de 10/2011 – Tecnologia da informação – Técnicas de segurança – Diretrizes para implantação de um sistema de gestão da segurança da informação foca os aspectos críticos necessários para a implantação e projeto bem sucedidos de um Sistema de Gestão da Segurança da Informação (SGSI), de acordo com a NBR ISO IEC 27001. A norma descreve o processo de especificação e projeto do SGSI desde a concepção até a elaboração dos planos de implantação.

Ela descreve o processo de obter a aprovação da direção para implementar o SGSI, define um projeto para implementar um SGSI e fornece diretrizes sobre como planejar o projeto do SGSI, resultando em um plano final para implantação do projeto do SGSI, deve-se compreender que o monitoramento é um processo contínuo e que, como tal, em seu projeto convém levar em consideração o estabelecimento do seu processo, bem como o projeto das reais necessidades e atividades de monitoramento. Essas atividades precisam de uma coordenação, que também faz parte do projeto. Os objetivos de monitoramento podem ser determinados pela combinação entre as informações previamente estabelecidas pelos ativos e pelo escopo, e os resultados da análise de riscos e seleção de controles. Convém que esses objetivos de monitoramento incluam: o que detectar, quando e em comparação com o quê.

Em termos práticos, as atividades e os processos previamente estabelecidos e os ativos relacionados são o escopo básico para o monitoramento (item “Comparando-se com o quê” supracitado). Para projetar o monitoramento, pode ser necessário fazer uma seleção que abranja os ativos considerados importantes do ponto de vista da segurança da informação. Convém que também sejam feitas considerações sobre o tratamento de riscos e a seleção de controles em atividades e processos. Isso irá definir tanto “O que observar” quanto o “Quando”.

Como o monitoramento pode apresentar aspectos legais, é essencial que o projeto do monitoramento seja verificado, de modo que ele não tenha quaisquer implicações legais. Para garantir que o monitoramento seja verdadeiramente efetivo, é importante coordenar e realizar o projeto final de todas as atividades de monitoramento.

O fluxo do processo de monitoramento

informação

A fim de manter o nível de segurança da informação, convém que os controles de segurança da informação considerados apropriados sejam aplicados corretamente; que os incidentes de segurança sejam detectados e tratados tempestivamente; e que o desempenho do sistema de gerenciamento de segurança da informação seja regularmente monitorado. Além disso, convém que verificações sejam regularmente realizadas, para saber se todos os controles estão sendo aplicados e implementados conforme previsto no plano de segurança da informação. Convém, ainda, que tais verificações envolvam aquelas feitas sobre os controles técnicos (por exemplo, quanto à configuração), e que os controles organizacionais (por exemplo, processos, procedimentos e operações) estejam em conformidade.

Portanto, a efetividade do SGSI todo pode ser calculada com base na medição dos resultados desses dois ou mais processos/objetos. Como o objetivo é medir a efetividade do SGSI, é importante que os objetivos de controle e os controles também sejam mensurados. Uma hipótese é ter uma quantidade suficiente de controles e outra hipótese bem diferente é que esses controles serem suficientes para avaliar a efetividade do SGSI. Dois aspectos de efetividade de medição com o processo PDCA do SGSI e exemplos de processos da organização estão na figura abaixo.

informação2

Ao usar os resultados das medições para avaliar a efetividade do SGSI, dos objetivos de controle e dos controles, é essencial que a direção conheça o escopo do Programa de Medição de Segurança da Informação. Convém que, antes de iniciar os trabalhos, a pessoa responsável pelo programa de medição obtenha aprovação do escopo do Programa de Medição de Segurança da Informação por parte da direção.

Cledison assegura que manter uma (ou mais) cópia (s) de todos os dados da empresa é fundamental. Tente imaginar a empresa sofrendo algum tipo de ataque ou perder todos dados corporativos de alguma forma (planilhas, banco de dados de sistemas, dados de cliente e vendas, e-mails, etc.), com certeza os prejuízos são imensos.

“Infelizmente milhares de empresas no Brasil já passaram por essa situação com ataques de ransomware (sequestro de dados)”, aconselha. “Se sua empresa não possuir cópia das informações, pode ficar na mão dos criminosos, tendo que pagar para ter acesso aos dados, sem garantias de que os dados serão resgatados com integridade. Hoje em dia com recursos em nuvem manter cópias atualizadas se tornou bastante acessível e prático.

Alguns pontos que devem ser avaliados para uma boa política de backups: periodicidade: mensal, semanal, diário, a cada hora?; tempo de armazenamento: guardar cópias semanais por 10 semanas, cópias diárias por 30 dias?; nível de cada backup: integral, diferencial, incremental?; mídia ou local de armazenamento: em nuvem, HDs externo, fitas?; origem dos dados: arquivos, planilhas, documentos, bancos de dados, e-mails? Não há uma maneira de garantir 100% de proteção contra os riscos da rede. Mas com algumas medidas preventivas como as mencionadas acima, é possível prevenir incidentes e evitar problemas como perda de dados do negócio. Por fim, não deixe de dar a devida atenção à segurança da informação na sua empresa, os riscos são muito altos, os prejuízos podem ser elevados e os criminosos estão cada vez mais ativos e audaciosos”.

Medição da segurança da informação

A NBR ISO/IEC 27004 de 04/2010 – Tecnologia da informação – Técnicas de segurança – Gestão da segurança da informação – Medição fornece as diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e dos controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Esta norma é aplicável a todos os tipos e tamanhos de organizações.

O usuário deste documento precisa interpretar corretamente cada uma das formas verbais das expressões fornecidas (por exemplo: “deve”, “não deve”, “convém que”, “não convém que”, “pode”, “não precisa” e “não pode”) como sendo um requisito a ser atendido e/ou recomendações em que existe certa liberdade de escolha.

Esta norma fornece diretrizes para elaboração e uso de medidas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e de controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Isto inclui a política, gestão de riscos de segurança da informação, objetivos de controles, controles, processos e procedimentos, e apoio ao processo de sua revisão, ajudando a determinar se algum processo ou controle do SGSI precisa ser modificado ou melhorado.

As medições podem ser integradas às atividades operacionais normais ou executadas a intervalos regulares determinados pela direção do SGSI. Assim, o Modelo de Medição de Segurança da Informação é uma estrutura que relaciona uma necessidade de informação com os objetos relevantes da medição e seus atributos. Objetos de medição podem incluir processos planejados ou implementados, procedimentos, projetos e recursos.

O Modelo de Medição de Segurança da Informação descreve como os atributos relevantes são quantificados e convertidos em indicadores que fornecem uma base para a tomada de decisão. A figura abaixo mostra o modelo de medição de segurança da informação.

informação3

Uma medida básica é a medida mais simples que pode ser obtida. A medida básica resulta da aplicação do método de medição aos atributos selecionados de um objeto de medição. Um objeto de medição pode ter muitos atributos, dos quais somente alguns podem fornecer valores úteis a serem atribuídos a uma medida básica. Um dado atributo pode ser usado para diversas medidas básicas.

Um método de medição é uma sequência lógica de operações usadas para quantificar um atributo de acordo com uma escala especificada. A operação pode envolver atividades, tais como a contagem de ocorrências ou observação da passagem do tempo. Um método de medição pode aplicar atributos a um objeto de medição.

Na opinião do diretor de marketing e vendas, estima-se que 90% das senhas são vulneráveis e poderiam ser descobertas com facilidade por sistemas especializados. Considerando que a senha é o principal recurso para comprovar a autenticidade de um usuário e proteger o acesso em sistemas de bancos, sistemas gerenciais, contas de e-mail, redes sociais e tantos outros sistemas, é muito importante seguir algumas dicas e recomendações na criação e gerenciamento de senhas.

A NBR 12896 de 11/1993 – Tecnologia de informação – Gerência de senhas fixa procedimentos a serem adotados para reduzir a vulnerabilidade das senhas nestas circunstâncias. A segurança oferecida por um sistema de senhas depende de estas senhas serem mantidas secretas durante todo o tempo em que estiverem em uso.

Assim, a vulnerabilidade de uma senha ocorre quando ela for utilizada, armazenada ou distribuída. Em um mecanismo de autenticação baseado em senhas, implementado em um Sistema de Processamento Automático de Dados (SPAD), as senhas são vulneráveis devido a cinco características básicas de um sistema de senhas, a saber: uma senha inicial deve ser atribuída a um usuário quando este for cadastrado no SPAD; os usuários devem alterar suas senhas periodicamente; o SPAD deve manter um banco de dados para armazenar as senhas; os usuários devem se lembrar de suas respectivas senhas; e os usuários devem fornecer suas respectivas senhas em tempo de conexão ao SPAD.

Os assuntos tratados nesta norma incluem as responsabilidades do Administrador de Segurança do Sistema (ASS) e dos usuários, a funcionalidade do mecanismo de autenticação, e a geração de senhas. Os aspectos relevantes são: os usuários devem estar aptos a alterar suas respectivas senhas; as senhas devem ser preferencialmente geradas pelo SPAD, em vez de o serem pelo usuário; o SPAD deve fornecer aos usuários informações sobre suas conexões ao ambiente. Por exemplo: data e hora da última conexão.

O ASS é responsável por gerar e atribuir a senha inicial para cada identidade de usuário. A identidade e a senha que lhe foram atribuídas devem, então, ser informadas ao usuário. Para evitar a exposição da senha ao ASS, ou anular uma exposição ocorrida, podem ser utilizados os métodos a seguir.

Evitando a exposição; há métodos que podem ser implementados para evitar a exposição da senha ao ASS, após esta ter sido gerada. Uma técnica é imprimi-la num formulário múltiplo selado, de maneira que não seja visível na página facial do formulário. O ASS deve manter, em local seguro, a guarda do formulário, até que este seja entregue ao usuário.

Neste caso, a senha é gerada aleatoriamente pelo SPAD, não sendo determinada diretamente pelo ASS. O formulário contendo a senha deve estar selado para que esta não seja visível e não possa tornar-se visível, sem a quebra do selo.

Um outro método, para evitar a exposição da senha, é o usuário estar presente no processo de geração desta. Neste caso, o ASS deve iniciar o processo de geração da senha, deixar que somente o usuário tenha acesso a esta e destrua a informação apresentada. Este método não se aplica a usuários em terminais remotos. Qualquer que seja o método utilizado para a distribuição de senhas, o ASS deve ser notificado do recebimento destas, dentro de um período predeterminado.

Em resumo, atualmente, a informação digital é um dos principais produtos de nossa era e necessita ser convenientemente protegida. A segurança de determinadas informações pode ser afetada por vários fatores, como os comportamentais e do usuário, pelo ambiente/infraestrutura em que ela se encontra e por pessoas que têm o objetivo de roubar, destruir ou modificar essas informações.

Três características são básicas para segurança da informação: confidencialidade, disponibilidade e integridade e podem ser consideradas até mesmo atributos. A confidencialidade diz respeito à inacessibilidade da informação, que não pode ser divulgada para um usuário, entidade ou processo não autorizado; quanto à integridade, a informação não deve ser alterada ou excluída sem autorização; e a disponibilidade é o acesso aos serviços do sistema/máquina para usuários ou entidades autorizadas. Toda vulnerabilidade de um sistema ou computador pode representar possibilidades de ponto de ataque de terceiros.



Categorias:Normalização, Qualidade

Tags:, , , , , , , ,

Deixe uma resposta

%d blogueiros gostam disto: