O que é?

 

A Segurança da Informação está relacionada com a protecção da informação de um conjunto de ameaças, com o objectivo de: – preservar a continuidade de negócio, – maximizar o retorno do investimento –  minimizar o risco de negócio, e – preservar  os seus respetivos valores. Podemos entender como informação, todo o conteúdo e informação sobre conteúdo (metadados), ou dados disponíveis  com valor para uma organização, pois é de utilidade para o desempenho das suas atividades. A segurança de informação assenta em 3 pilares fundamentais, sendo eles a Confidencialidade, a Integridade e a Disponibilidade. O objetivo é proteger os ativos através da protecção destes  respeito por estes três pilares mencionados.

Confidencialidade – O princípio da confidencialidade tem por objetivo garantir que apenas os utilizadores autorizados tenham acesso à informação que para eles é disponibilizada, e que essa informação não possa ser acessível por utilizadores não autorizados.

Integridade – No que toca à segurança de informação, a integridade implica assegurar a exatidão, precisão e consistência da informação durante todo o seu ciclo de vida. Portanto, a informação pode ser modificada de uma forma não reconhecível ou autorizada.

Disponibilidade – O princípio da disponibilidade tem por objetivo garantir que a informação está disponível sempre que existe necessidade de acesso à mesma e que o acesso à informação não é interrompido durante o seu ciclo de vida.

Veja aqui o vídeo da DRC sobre as Auditorias de Segurança!

Porque é importante?

A informação é um dos ativos mais importantes de qualquer organização, e  hoje em dia está diversificada em meios digitais e não digitais. Além disso, a informação hoje pode estar bastante dispersa dentro e fora da organização, o que faz com que seja cada vez mais dificil proteger a mesma. O valor da informação armazenada em sistemas informáticos por exemplo, é cada vez mais crítico para o negócio das organizações, para o seu bom funcionamento. No entanto, também é verdade que cada vez existem mais ameaças à segurança da informação, quer originadas de fontes internas, motivadas por descontentamento, descuido, falta de formação ou intenção maliciosa, quer originadas de fontes externas, como o caso de atacantes maliciosos (hackers), motivados por “fun or profit” (gozo de conseguir atingir um alvo ou com objetivos financeiros, sejam eles motivados por espionagem industrial, venda direta, etc). Além disso, regularmente são descobertas vulnerabilidades nos sistemas ou aplicações utilizadas diariamente pelas organizações, e as mesmas podem ser exploradas para ter acesso a informação confidencial e fundamental para a organização. Devido ao crescimento exponencial de informação, actualmente é fundamental armazenar e proteger os dados de forma segura (mantendo a confidencialidade) no entanto sem prejudicar a exactidão dos dados (integridade) e a acessibilidade imediata quando requisitada (disponibilidade). Devido a isso, existem um conjunto de serviços importantes para minimizar o risco e aumentar os níveis de segurança das organizações, como os seguintes:

  • Análise de Risco
  • Testes de Intrusão
  • Continuidade do Negócio
  • Engenharia Social e Formação

Análise de Risco

O processo de auditoria ou análise de risco tem por objectivo identificar e avaliar o risco, e posteriormente recomendar medidas de mitigação que ajudem  a reduzir o risco para níveis aceitáveis para a organização.   Através de uma auditoria ou análise de risco, as organizações poderão obter os seguintes benefícios:

  • Melhorias significativas na segurança dos sistemas de informação, que armazenam, processam e transmitem a informação da organização;
  • Melhorias significativas na implementação e gestão de processos;
  • Maior e melhor controlo sobre activos da empresa;
  • Permitir uma melhor gestão do risco organizacional;
  • Permitir à Administração de uma Organização tomar melhores decisões nos investimentos em Segurança da Informação.

Os passos a efectuar numa auditoria ou análise de risco são os seguintes:

  1. Definição do âmbito e contexto organizacional;
  2. Identificação do Risco;
  3. Cálculos de estimativas de risco;
  4. Avaliação do Risco;
  5. Comunicação do Risco e dos Controlos para Mitigação;
  6. Implementação de Controlos;
  7. Aceitação de Risco Final.

A análise de risco pode ser qualitativa ou quantitativa, dependendo dos objetivos da Organização e maturidade da mesma, sendo que podem existir vantagens em adotar uma das duas opções disponíveis. Na análise qualitativa o risco usualmente é classificado com valores como Baixo, Médio ou Alto, ou então uma escala de valores definida por quem define as métricas da avaliação de risco. A análise quantitativa é usada quando se pretende quantificar financeiramente os ativos, bem como como os impactos associados, e dessa forma o risco calculado pode ser indicado numericamente.

Auditoria de Segurança e Testes de Intrusão

As auditorias de segurança ou testes de intrusão têm por objectivo avaliar a segurança dos sistemas e redes empresariais, pela simulação de ataques externos e internos e verificação dos resultados desses ataques.

Envolve a análise de potenciais vulnerabilidades e a sua probabilidade e facilidade de exploração para ter acesso ilegítimo, a algum tipo de informação. O objectivo dos testes de intrusão é a criação de relatórios que mencionem não só as vulnerabilidades identificadas, mas também o seu nível ou grau de risco, bem como as medidas correctivas que deverão ser aplicadas para melhorar a segurança dos sistemas e redes. Existem dois tipos principais de testes de intrusão que são os denominados “black-box” e “white-box”. Os testes denominados “black-box” implicam serem efectuados sem qualquer conhecimento sobre os sistemas e sem acesso a informação sobre a estrutura da organização. Todo o trabalho é efetuado sem quaisquer pressupostos ou informação prévia fornecida pelo Cliente. Este tipo de teste é o que se aproxima mais da realidade de um atacante (hacker) mal-intencionado. Os testes “white-box” implicam um conhecimento prévio dos sistemas, bem como um esquema e configurações de rede, serviços para o exterior, IPs, etc., ou seja, o Cliente fornece informação que vai ajudar a diminuir o tempo de projeto e focar a análise em sistemas críticos.

A realização de auditorias e testes de intrusão regulares permitem às empresas dar passos significativos para a proteção das suas infraestruturas e informação contra os tipos de ataques mais praticados, diminuindo a sua exposição, o nível de risco e minimizando todos os prejuízos financeiros e de imagem associados a falhas de segurança.

O output de um teste de intrusão é a criação de relatórios que mencionem não só as vulnerabilidades identificadas, mas também o seu nível ou grau de risco, bem como as medidas corretivas que deverão ser aplicadas para melhorar a segurança dos sistemas, rede e aplicações.

Auditorias de Segurança a Websites

Hoje em dia, todos os utilizadores, dependem de realizar operações críticas através da Internet, ex: Compras Online, HomeBanking, IPTV, Jogos Online, Etc… Como se consegue garantir que os parâmetros da Segurança (Confidencialidade, Integridade e Disponibilidade) não estão em risco? Além da segurança, qual é a parte da sua empresa mais exposta (ou vulnerável) a ataques? O seu website é seguro?

Descrição As auditorias de segurança WEB ou testes de intrusão web, têm por objetivo avaliar a segurança dos websites, aplicações web ou serviços web, pela simulação de ataques externos ou internos e verificação dos resultados desses ataques. Envolve a análise de potenciais vulnerabilidades e a sua probabilidade e facilidade de exploração, para ter acesso ilegítimo a algum tipo de informação ou colocando o mesmo no estado “offline”.

Tipos de Testes: Podem ser efectuados dois tipos de testes, os chamados testes “sem autenticação” e testes “com autenticação”. Os testes “sem autenticação” têm como objectivo testar um website do ponto de vista de um utilizador casual. No caso em que existe uma gestão do website ou algum método de autenticação (ex: backoffice, intranet, extranet), efectua-se a análise “com autenticação”, onde se simula o comportamento de um atacante, com os privilégios mínimos de um utilizador comum. Neste cenário o objetivo é verificar quais as vulnerabilidades existentes, e também a sua possibilidade de exploração de forma a aceder a informação, fora do âmbito do utilizador autenticado.  

Metodologia: A metodologia utilizada consiste em quatro fases:

  • Recolha de informação sobre a estrutura a testar,
  • Identificar possíveis vulnerabilidades,
  • Exploração das vulnerabilidades,
  • Relatório da exploração das vulnerabilidades identificadas e testadas.

A DRC executa as auditorias e os testes necessários certificando a sua execução com selo e data da realização dos mesmos.

Continuidade de Negócio Já pensou quanto tempo pode a sua organização viver sem sistemas de informação e sem trabalhar? Os imprevistos acontecem e as suas consequências são na maioria das vezes, imprevisíveis. Cada incidente é único, desenrola-se de modo inesperado, afectando a capacidade de resposta e de reação em devido tempo, de maneira a interromper ou reverter o curso dos acontecimentos. Existe assim a necessidade de estar preparado para os imprevistos através de um Business Continuity Plan (Plano de Continuidade de Negócio), que deverá fazer parte integrante de um Plano de Gestão de Crise, que abrange toda a organização. Um BCP é imprescindível para mitigar a perda de receitas, evitar custos extras, além de que os seguros nem sempre cobrem todos os riscos e não conseguem recuperar os clientes que entretanto procuram a concorrência. Um BCP não é essencial, é vital para o negócio! A melhor maneira que uma organização tem para estar preparada para um incidente, acidente ou desastre é ter implementado e testado um BCP, que seja do conhecimento e da responsabilidade de todos os elementos da organização, que o deverão executar. A falta de um BCP não só significa que a organização demorará mais tempo a reagir do que deveria para recuperar de um incidente, mas também que poderá nunca vir a recuperar e ser obrigada a encerrar. Um BCP implica manter o seu negócio a funcionar ou conseguir que volte a funcionar em caso de incidente ou desastre, quer seja causado por fenómenos naturais, como por exemplo, climáticos (fogos, ciclones, inundações, etc), de saúde pública (epidemias, Vírus, etc), atos de terrorismo (ataques via internet), atividades maliciosas de colaboradores ou até devido a erros humanos. Um BCP define procedimentos e instruções que uma organização deve seguir no caso da ocorrência de um destes desastres, e  cobre políticas e procedimentos de gestão, recursos materiais e humanos e parceiros, entre outros. Um BCP, integrado num Disaster Recovery Plan (Plano de Recuperação de Desastres), não pode ser confundido com este, dado que o DRP tem como principal objectivo recuperar a infra-estrutura de TI e as operações após a crise, e o BCP tem como foco a continuidade do negócio de toda a organização após essa crise, de uma forma estruturada e sustentada. O desenvolvimento de um BCP inclui 5 fases distintas: 1. Análise: a) BIA – Business Impact Analysis (visa identificar as funções críticas ou um cronograma específico e os recursos que as suportam) b) Threat and Risk Analysys (identificação das ameaças e análise do risco relativa às diferentes ameaças) c) Cenários de impacto (visa delinear os vários cenários de impacto, desde a sua durabilidade à extensão dos danos) d) Exigências de recuperação (identificação de todos os procedimentos e processos necessários para recuperação global) 2. Desenho da Solução (visa o desenvolvimento de uma solução para a continuidade do negócio) 3. Implementação (execução do plano de continuidade de negócio) 4. Testes e aceitação organizacional (realização de testes de adequação da solução face à estrutura e cultura organizacionais) 5. Manutenção (análise da adequabilidade da implementação e aplicação de eventuais planos de contingência).   A componente de TI inclui vários elementos, tais como redes, servidores, desktops e laptops e muitos dispositivos wireless. A capacidade de gerir a produtividade do escritório e o software da empresa torna-se crítica. Assim, as estratégias de recuperação para os Sistemas de Informação devem ser amplamente desenvolvidas e a tecnologia deve ser recuperada a tempo de responder às necessidades do negócio. Os Manuais devem fazer parte integrante do plano de TI, para que o negócio possa continuar enquanto os sistemas estão a ser recuperados. Em resumo, um BCP (Business Continuity Plan), também designado por BCRP (Business Continuity and Resiliency Plan) identifica os processos e procedimentos a efetuar em caso de incidente, avalia a exposição externa e interna de uma organização a ameaças, sintetizando todos os recursos, a fim de providenciar uma prevenção e recuperação eficazes para a organização, mantendo simultaneamente a vantagem competitiva e a integridade dos sistemas.   .

Engenharia Social e Formação A engenharia social (relacionada com a segurança de informação) é um termo que está relacionado com a arte de manipulação de pessoas, para conseguir obter algum tipo de informação,  a fim de contornar um determinado obstáculo de segurança. A manipulação das pessoas ou dos utilizadores pode ser conseguida de várias formas, como por exemplo através de conversas telefónicas, e-mails e contatos pessoais. Nestas ocasiões, tenta utilizar-se a força da persuasão para conseguir manipular um determinado utilizador a revelar algum tipo de informação, que era suposto não ser pública, como por exemplo passwords. Este é um dos métodos utilizados com frequência por atacantes maliciosos, pois consiste na exploração daquilo que é considerado por muitos o elo mais fraco na cadeia de segurança, o utilizador.  Por vezes, por falta de formação adequada, os utilizadores não estão sensíveis para este tipo de ataques e tornam-se assim, o primeiro ponto de entrada na organização. Para colmatar esta lacuna, a DRC desenvolve um conjunto de testes e métricas para avaliar a sensibilidade dos utilizadores, a ataques de engenharia social e prepara formações, mais ou menos técnicas, para criar mudanças de mentalidade no que toca à segurança de informação. O objetivo é reduzir o risco formando adequadamente os colaboradores, para que os mesmos se possam tornar a primeira linha de defesa, em vez de serem a primeira linha de fragilidade.