T.I em Foco: Conceitos Básicos de Segurança da Informação

SEGURANÇA DA INFORMAÇÃO

Por
4 min. de leitura

Olá Pessoal!

Um assunto muito interessante é a Segurança da Informação. Neste artigo vamos explicar o que é, bem como os principais aspectos para entender sua relevância, analisando uma questão para entender como esse assunto costuma ser cobrado pelas bancas.

A Segurança da informação (SI) é um tema em ascensão na administração pública e está diretamente relacionado com a proteção dos ativos tendo como objetivo preservar o seu valor. Na era da informação a constante evolução tecnológica abre novas perspectivas assim como novas ameaças e riscos.

Nesse contexto a proteção da informação tem se tornado um desafio cada vez maior tanto em instituições públicas. A relevância do tema tem crescido nos últimos anos e a as constantes mudanças de paradigmas tem tornado a adoção de medidas para a mitigação de riscos premissas fundamentais para garantia da continuidade dos negócios e a boa prestação dos serviços públicos.

O conceito de SI está padronizado pela norma ISO/IEC 17799, influenciada pelo padrão inglês BS 7799. A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de SI, incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002 continua sendo considerada formalmente como 17799 para fins históricos, detalharemos melhor esse assunto no próximo tópico.

A SI nada mais é do que aquela que visa à proteção de ativos que contém informações, e por ativo de informações entende-se que são aqueles que produzem, processam, transmitem ou armazenam informações, sem se confundirem com os ativos de TI.

Na busca da proteção conferida pela SI contra situações onde prejuízos são causados por danos diretos no ativo ou por situações inesperadas, deve-se observar a tríade CID (Confidencialidade, Integridade e Disponibilidade).

A CID representa os principais atributos que orientam a análise, o planejamento e a implementação da segurança. Em que pesem as divergências acadêmicas sobre o tema, a maioria das normas sobre SI, incluindo a NBR ISO/IEC 17799:2005, definem a CID como os aspectos relativos à segurança de um ativo de informação sendo que, na prática, todos os outros se encaixam.

Sendo a Confidencialidade a restrição de acesso a informação apenas a pessoas autorizadas, já a Integridade se consubstancia na garantia da informação não ser perdida ou manipulada indevidamente e pôr fim a Disponibilidade que nada mais é do que a garantia que a informação esteja disponível para uso legítimo por pessoa autorizada. Qualquer quebra de algum desses atributos é um incidente de SI e pode gerar prejuízo a instituição. Lembre bem desses conceitos e da tríade CID.

 

ABNT’S ISO 27001 e 27002

 

A norma ISO/IEC 27001 é a evolução natural da BS7799-2, norma britânica que trata da definição de requisitos para um SGSI.A norma ISO 27001 é a BS7799-2 revisada, com melhorias e adaptações, contemplando o ciclo PDCA e a visão de processos que as normas de sistema de gestão atuais já incorporam.

O padrão foi incorporado pela The International Organization for Standardization ( ISO – organização não governamental de âmbito internacional com sede na Suiça, que cuida do estabelecimento de padrões internacionais para certificação em diversas áreas). IEC é a sigla da International Eletrotechnical Comission, Fundada em 1906, é a organização líder mundial para a elaboração e publicação de normas internacionais para todas as tecnologias elétricas, eletrônicas e afins, também denominada eletrotécnica.

As revisões são feitas em conjunto pelas duas instituições desde o ano 2000 e no Brasil, a Associação Brasileira de Normas Técnicas (ABNT) é a responsável pela tradução da norma para o português.

A ISO/IEC 27001 – Tecnologia da Informação – Técnicas de Segurança – Sistema de Gestão de Segurança da Informação – Requisitos, explicita os requisitos para o SGSI. A mesma tem o objetivo de garantir a eficácia do SGSI, sustentando o nível de segurança definido pelos membros participantes e gerenciando a SI conforme os riscos do negócio. De maneira geral ela serve de critérios de conformidade para auditorias.

A ISO/IEC 27002 – Tecnologia da Informação – Técnicas de Segurança – Sistema de Gestão de Segurança da Informação – Código de Prática para Gestão de Segurança da Informação é um guia de boas práticas em SI para implementação dos controles do Anexo A da norma ISO 27001, que é a revisão da norma ISO/IEC 17799.

Essas duas normas são bases para o tema nos diversos concursos da área. A Figura 1 esboça as entradas, requisitos de Segurança de Informação (SI) e as expectativas das partes interessadas, e como as ações necessárias e processos de segurança da informação produzidos resultam no atendimento a estes requisitos e expectativas utilizando o ciclo PDCA.

Figura 1 – Modelo PDCA aplicado aos processos do SGSI Fonte: ISO 27001:2006

Vamos agora analisar uma questão sobre esses conceitos!!!

 

Ano: 2020 Banca: CESPE / CEBRASPE Órgão: TJ-PA Prova: CESPE / CEBRASPE – 2020 – TJ-PA – Analista Judiciário – Análise de Sistemas (Suporte)

 

Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.

  1. Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.
  2. Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.
  3. Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.
  4. Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.

 

A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.

 

Considerando-se as boas práticas de segurança da informação, é correto afirmar que, na situação descrita no texto, foram comprometidos a:

A) disponibilidade, pelo acesso indevido às informações pessoais, e a integridade, pela alteração dos registros.

B) disponibilidade, pela alteração dos registros, e a integridade, pelo acesso indevido às informações pessoais.

C) confidencialidade, pelo acesso indevido às informações pessoais, e a integridade, pela alteração dos registros.

D) confidencialidade, pela alteração dos registros, e a integridade, pelo acesso indevido às informações pessoais.

E) confidencialidade, pela alteração dos registros, e a disponibilidade, pelo acesso indevido às informações pessoais.

 

Para Pensar!!!

Um dos problemas para os concurseiros nesse tema é a quantidade de questões existentes, no Gran Cursos Online temos diversas aulas para explicar quando se deve dar atenção a cada uma delas, pois as diversas bancas examinadoras cobram esse assunto de diversas maneiras. A

lém disso existem algumas variações de conceitos que foram incorporados ao longo do tempo, hoje se fala da sigla CIDA, incorporando o A de autenticidade ou princípio de não repúdio, que é a garantia que alguém é realmente responsável por uma informação gerada, não podendo negar ou esconder sua autoria.

Dessa forma encerro esse artigo com essa breve introdução sobre o assunto ! Até mais !

 

GABARITO

  1. LETRA C. De acordo com os princípios da segurança da informação. Integridade – proteger as informações contra alterações não autorizadas. Confidencialidade – proteção de uma informação contra acesso não autorizado.

 

Professor MSC, Washington Almeida

 

Doutorando e mestre em Engenharia de Software pelo Centro de Estudos e Sistemas Avançados do Recife – C.E.S.A.R. Atualmente é Analista Judiciário na Justiça Federal (TRF1), Professor no Gran Cursos Online e na Universidade de Brasília – UNB. É certificado ISF 27002.

 

Por
4 min. de leitura