O documento discute segurança física e lógica e análise de vulnerabilidade. A segurança física protege equipamentos e informações contra acessos não autorizados através de medidas como câmeras, detectores e controle de acesso. A segurança lógica protege sistemas e dados através de controle de acesso, firewalls e criptografia. A análise de vulnerabilidade identifica fragilidades nos sistemas para implementar controles de segurança e evitar riscos.
Segurança física e lógica e análise de vunerabilidade (abnt)
1. SEGURANÇA FÍSICA E LÓGICA E ANÁLISE DE VULNERABILIDADE
Rio de Janeiro
Abril – 2013
SEGURANÇA FÍSICA
2. A segurança física surgiu para proteger informações e equipamentos para que só as pessoas
certas tenham acesso a esse recurso.
Antes documentos eram protegidos por cadeados, cofres, gavetas e salas trancadas. Com a
evolução da tecnologia, novos meios de proteção foram surgindo de forma a melhorar a segurança das
empresas. Sala-cofre, câmeras de segurança, detectores de movimento e calor, leitor biométrico são
algumas das tecnologias usadas para a proteção física de um ambiente.
Segurança física é voltada para proteção de equipamentos contra usuários não autorizados. Dessa
forma previne o acesso a esses recursos. É baseada em perímetros predefinidos nas imediações dos
recursos.
Esse tipo de segurança pode ser explícito como um cofre ou sala-cofre, ou implícita, como áreas de
acesso restrito.
A segurança física pode ser abordada como segurança de acesso ou segurança ambiental.
Segurança de acesso trata das medidas de proteção contra o acesso físico não autorizado, utilizando
recursos como sala-cofre, câmeras 24x7 entre outros.
Segurança ambiental trata de medidas para prevenir danos causados pela natureza, utilizando recursos
como equipamentos resistentes à água por exemplo.
O controle de acesso físico é muito importante. Deve ter uma forma de instituir formas de
identificação que distinguem funcionários de visitantes e categorias diferenciadas de funcionários, caso
necessite.
Deve-se ter cuidados com bens das empresas (crachás, chaves, cartões de acesso etc.) para que
funcionários os devolvam caso sejam retirados de suas funções. Registrar datas de eventos como
entrada e saída de materiais, equipamentos, pessoal etc.
Registrar e restringir acesso de visitantes em determinadas áreas, se necessário, acompanhando-os aos
locais de visita e destino.
A supervisão de equipes terceirizadas (limpeza, manutenção etc.) também é fundamental, assim
como ter cuidado para não instalar em área de acesso público equipamentos que podem dar acesso a
rede interna da corporação. Orientar os funcionários para que não deixem informações sobre a empresa
à amostra, como senhas, computadores desbloqueados sem a devida supervisão.
Utilizar mecanismos de controle de acesso físico (câmeras de vídeo, fechaduras eletrônicas, alarmes
etc.) é um bom controle de acesso físico, como também proteger por onde passam as informações
(telefones internos e externos, cabos de internet, modem etc.), proteger fisicamente as unidades de
backup, restringir o acesso a computadores e impressoras que possam conter dados confidenciais.
Ter uma boa política de segurança física adequada para empresa também é essencial. Ela estará
ligada diretamente a importância de seus ativos. Deve-se sempre observar a relação dos modelos de
segurança do que apenas o uso de tecnologia.
É de fundamental importância analisar o perfil da empresa para definir a política de controle de
acesso físico que se encaixe nas necessidades dos usuários.
Quanto maior o investimento em prevenção menor será o prejuízo em caso de sinistro. Isso não se
refere apenas ao uso de tecnologia avançada, mas à forma de como a empresa lida com a
conscientização de seus funcionários.
Alguns itens de avaliação de riscos são: incêndios, danos pela água, eletricidade, climatização,
treinamento de pessoal e controle de acesso.
Com o avanço constante da tecnologia novas formas de proteção vão surgindo. Novos tipos de
travas, sensores mais precisos e câmeras de alta qualidade. Já existem equipamentos de vigilância
3. autônomos que com seu algoritmo consegue identificar uma invasão de área restrita. Cada vez mais se
vê o uso de vigilância à distância por parte de donos de algum tipo de comércio. Essa forma de
proteção vareia de acordo com a necessidade das empresas, mas se torna uma alternativa a mais para
garantir a integridade das informações protegidas.
Os smartphones e tablets com câmeras e aplicativos podem ajudar na vigilância e na segurança das
empresas. A chegada do Google Glass (óculos interativo) pode transformar a forma como é feito a
vigilância das empresas.
A segurança física tem como ponto positivo as várias opções para garantir a integridade das
informações com tecnologias variadas e cada vez mais acessíveis. Pode-se uma vigilância quase
autônoma de áreas que precisam de proteção e vigilância 24 horas por dia, 7 dias por semana.
O ponto negativo é que muitos funcionários ainda despreparados fazem com que a integridade
da segurança seja, de certa forma, abalada, pois muitos esquecem de seguir os treinamentos dados
pelas empresas e têm empresas que passam o treinamento inadequado ou não passam o treinamento
para o funcionário.
SEGURANÇA LÓGICA
4. A segurança lógica evoluiu muito. Antes sistemas básicos de senhas eram usados para proteger
arquivos nos computadores. Nos tempos atuais existem vários tipos e várias formas de criptografar
senhas, arquivos etc.
“Um sujeito ativo deseja acessar um objeto passivo”. Isso é uma parte da funcionalidade da
segurança lógica onde o sujeito é um usuário ou processo da rede e o objeto pode ser um arquivo ou
outro recurso de rede (impressora, estação de trabalho etc).
A segurança lógica compreende um conjunto de medidas e procedimentos adotados pelas
empresas com o objetivo de proteger dados, programas e sistemas contra tentativas de acessos não
autorizados, feitas por usuários ou outros programas.
Alguns dos recursos a serem protegidos são: aplicativos (programas fonte e objetos), arquivos
de dados, utilitários e sistema operacional; arquivos de senha e arquivos de log.
O controle de acesso lógico pode ser visualizado a partir de recurso computacional que se
pretende proteger ou a partir do usuário a quem se pretende dar privilégios e acesso aos recursos. A
proteção dos recursos computacionais baseia-se na necessidade de acesso de cada usuário. É usada
uma identificação e uma senha durante o processo para que o usuário seja autenticado e identificado, e
possa acessar os recursos a ele permitidos.
Existem alguns elementos básicos de controle do acesso lógico que são:
•
•
•
•
Apenas usuários autorizados devem ter acesso aos recursos computacionais;
Os usuários devem ter acesso apenas aos recursos realmente necessários para a execução de
suas tarefas;
O acesso a recursos críticos do sistema monitorado e restrito;
Os usuários não podem realizar transações incompatíveis com sua função.
Um bom firewall também é essencial para a proteção lógica, evitando invasão a rede interna do
sistema. O firewall deve ser acompanhado de uma boa estratégia lógica para melhor proteger o
sistema. Um exemplo seria de usar uma porta única de entrada e saída da rede interna com a
supervisão do firewall.
Detectores de intrusos também ajudam a evitar invasão.
Os chamados IDS (Intrusion Detection Sytems) são responsáveis por analisar o comportamento de
uma rede ou sistema em busca de tentativas de invasão.
Existe o HIDS (Host IDS) que monitora um host específico, e o NIDS (Network IDS) que monitora
um segmento de host específico.
Um IDS utiliza dois métodos específicos:
Detecção por assinatura:
Semelhante a assinaturas de antivírus. Associam um ataque a um determinado conjunto de pacotes
ou chamadas de sistema. Não só detecta o ataque como também o identifica. Exige atualização
frequente do fabricante.
Detecção por comportamento:
Observa o comportamento da rede em um período normal, e o compara com o comportamento atual
da rede. Utiliza métodos estatísticos e inteligência artificial.
Detecta um ataque desconhecido, mas não sabe informar qual ataque está em andamento.
Existem também as Redes Virtuais Privadas.
A VPN (Virtual Private Network) é uma forma barata de interligar duas redes privadas (intranet)
através da internet. Tem a ligação entre dois firewalls ou entre dois servidores de VPN para interligar
5. duas redes internas. Tem ligação entre uma estação na internet e serviços localizados dentro da rede
interna (intranet).
VPN integra criptografia em cada pacote trafegado. A criptografia deve ser rápida o suficiente para
não comprometer o desempenho entre as redes e segura o suficiente para impedir ataques.
As vantagens da VPN são substituição de linhas dedicadas a custo baixo e uso de infraestrutura já
existente.
As desvantagens são os dados sensíveis trafegando em rede pública e os dados ficam sensíveis aos
congestionamentos e interrupções que ocorrem na internet.
Muitas empresas estão apostando na computação em nuvem e isso tende a aumentar. As empresas
que distribuem o serviço terão que aumentar a segurança e qualidade do produto em parceria com as
empresas de internet e a empresa contratante.
A segurança digital está em evolução constante e novas formas de criptografia e sistemas
inteligentes de defesa surgem para melhorar a segurança das empresas.
Em tempos de smartphone e tablets, empresas podem adaptar esses aparelhos para ajudar na
segurança e autenticação dos funcionários, utilizando-os com a tecnologia NFC (Near Field
Comunicaton) – que permite autenticação apenas aproximando um aparelho celular do dispositivo, por
exemplo – podendo dispensar o crachá ou cartão, ou dando uma alternativa a mais ao funcionário.
Em tempos de mobilidade e computação em nuvem o comportamento das empresas, em especial as de
pequeno e médio porte, está mudando e se adaptando junto essa nova leva de tecnologia digital.
Segurança lógica tem como ponto positivo preservar informações essenciais para as empresas e
evitando que pessoas não autorizadas tenham acesso aos mesmos. Claro que nem todo sistema é 100%
seguro, mas esses softwares aumentam a segurança dos sistemas e integridade das informações.
Um sistema protegido por um firewall ou antivírus terá seu desempenho um pouco menor que
um não protegido, pois a filtragem feita pela proteção exigirá mais tempo para varrer o sistema atrás de
invasão. Essa é uma desvantagem necessária no sistema, mas se for planejada de maneira errada pode
prejudicar e muito o desempenho do sistema.
ANÁLISE DE VULNERABILIDADE
6. A análise de vulnerabilidade tem por objetivo identificar fragilidades de segurança no ambiente
tecnológico das empresas, visando a implementação de controles que irão proteger suas informações e
seus respectivos negócios. É uma ferramenta analítica para o planejamento estratégico que identifica
ameaças sutis ou esquecidas, que podem afetar ou mesmo destruir o negócio.
A análise de vulnerabilidade é um processo simples e barato. É um diagnóstico feito
normalmente em grupo dentro da empresa sem uso de conceitos complexos, modelos elaborados ou
grande quantidade de dados, mas a experiência e a capacidade de julgamento dos participantes, do
grupo, de origem de todos os setores da empresa. Isso faz com que aumente a comunicação
interdepartamental, pois todos que participam mostram divergências implícitas e explicitas nas suas
hipóteses de planejamento.
O processo fornece um método pelo qual a administração da empresa pode sistematicamente
identificar certas ameaças não notadas anteriormente, independente do tipo de negócio envolvido ou
do local em que se situa. Então a empresa tem tempo para controlar situações ameaçadoras, revisar as
opções de que dispõe e prepara um plano de contingência, se necessário.
Os objetivos da alta administração são definidos na análise vulnerabilidade porque lidam com
assuntos que podem afetar negativamente a empresa futuramente.
A análise de vulnerabilidade aumenta a eficiência do controle ambiental porque focaliza a atenção da
empresa no que é mais importante para ela.
Existem empresas que não sabem usar a análise de vulnerabilidade corretamente, controlando
tudo que se passa no ambiente, fazendo com que a empresa passe por riscos desnecessários.
Deve usar esse método para aumentar a eficiência do controle ambiental, focalizando a atenção
de empresa no que é mais importante para ela.
Empresas ainda deixam passar uma série de condições ou forças ameaçadoras em potencial.
Esta análise é uma ferramenta importante para a implementação de controles de segurança eficientes
sobre os ativos de informação das empresas.
A análise de vulnerabilidade sobre ativos da informação compreende Tecnologias, Processos,
Pessoas e Ambientes:
Tecnologias:
Software e hardware usados em servidores, estações de trabalho e outros equipamentos pertinentes,
como sistemas de telefonia, rádio e gravadores; Ex.: estações sem antivírus, servidores sem detecção
de intrusão, sistemas sem identificação ou autenticação;
Processos:
Análise do fluxo de informação, da geração da informação e de seu consumo. Analisa também como a
informação é compartilha entre os setores da organização; Ex.: Em um processo de compra, se a lista
de compra for passada de modo errôneo, esta pode ser apagada ou esquecida, ou interpretada errado.
Causando a indisponibilidade do processo ou a falta de integridade dos resultados do processo.
Pessoas:
As pessoas são ativos da informação e executam processos, logo, precisam ser analisadas. Pessoas
podem possuir importantes vulnerabilidades. Ex.: Desconhecer a importância da segurança,
desconhecer suas obrigações e responsabilidades, deixando processos com “dois pais” e outros
“órfãos”.
Ambientes:
7. É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão
instalados os componentes de tecnologia. Este item é responsável pela análise de áreas físicas. Ex.:
Acesso não autorizado a servidores, arquivo e fichários.
•
•
•
•
Benefícios
Maior conhecimento do ambiente de TI e seus problemas;
Possibilidade de tratamento das vulnerabilidades, com base nas informações geradas;
Maior confiabilidade do ambiente após a análise;
Informações para o desenvolvimento da Análise de Risco;
Produtos Finais
Reunião de conclusão da Análise de Vulnerabilidades;
Relatório de Análise de Vulnerabilidades;
Resumo Estratégico do Relatório de Vulnerabilidades;
Plano de Ação para curto e médio prazo;
Reunião de follow-up (acompanhamento).
•
•
•
•
•
A análise de vulnerabilidade evita que a maioria dos fatos negativos aconteça. Essa prevenção é
essencial para que problemas sejam solucionados.
Muitas empresas ainda deixam passar uma série de condições ou forças ameaçadoras em potencial isso
pode prejudicar possíveis análises de vulnerabilidade.
8. CONCLUSÃO
A segurança física e lógica é essencial à maioria das empresas. Com elas consegue-se manter a
integridade das informações, mantendo a segurança das empresas.
É preciso começar com uma boa segurança física.
“Não adianta investir dinheiro em esquemas sofisticados e complexos se não instalarmos uma
simples porta para proteger fisicamente os servidores da rede.”
O ambiente seguro é fundamental para se pensar melhor no ambiente lógico. Os dois
combinados podem tornar as informações das empresas mais integras e seguras.
Os dois tipos de segurança já estão praticamente fundido nos dias atuais. São catracas com
leitor biométrico, salas-cofre com identificação fácil entre muitas outras formas de proteção físicas e
digitais dependentes.
“Alguém não autorizado passa por uma catraca que ativa o alarme. Isso faz parte da segurança
física ou lógica?”
Com esses tipos de questionamentos vemos que está cada vez mais difícil separa os dois tipos
de segurança e tem que se pensar cada vez mais em como utilizá-las paralelamente para deixar as
empresas mais seguras, sem chances para falhas e roubo de dados.
Com a ajuda da análise de vulnerabilidade isso pode ficar mais fácil, pois estudando e
prevenindo possíveis erros no futuro tem como melhorar o desempenho da segurança de maneira que
erros não atrapalhem o “conjunto da obra”.
Não existe sistema de segurança 100% seguro, mas seguindo um padrão de acordo com que a
empresa necessita para garantir a segurança de suas informações é possível diminuir e muito os riscos
de invasão e de vazamento de informações.
Deve ter cuidado para não elaborar um projeto se segurança gigantesco, para uma empresa que
não precisa de tanto, pois isso poderia deixar a empresa mais lenta e os custos mais caros sem
necessidades.
Segurança física e lógica integrada e com uma análise de risco bem elaborada garantem uma
grande porcentagem de segurança para empresa.
9. REFERÊNCIAS
< http://pt.wikipedia.org/wiki/Segurança_da_informação> Acesso em: 1 de abril – 2013.
<http://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_auditoria_e_analise_de
_seguranca_aula_02.pdf> Acesso em: 2 de abril – 2013.
<http://xa.yimg.com/kq/groups/22195076/1606473661/name/Seguranca-2.pdf> Acesso em: 2 de abril
– 2013.
<http://www.devmedia.com.br/convergencia-seguranca-fisica-e-logica/15760> Acesso em: 2 de abril –
2013.
<http://www.trackerti.com/consult/view/name/analise-vulnerabilidades> Acesso em: 3 de abril – 2013.
<http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=13203&sid=42>
Acesso em: 4 de abril – 2013.
< http://www.mindconsultoria.com.br/artigos.asp?cod=56> Acesso em: 5 de abril – 2013.
<http://olhardigital.uol.com.br/negocios/digital_news/noticias/sete-tendencias-de-seguranca-paracontrole-de-acesso-a-edificios-em-2012> Acesso em: 5 de abril – 2013.
10. REFERÊNCIAS
< http://pt.wikipedia.org/wiki/Segurança_da_informação> Acesso em: 1 de abril – 2013.
<http://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_auditoria_e_analise_de
_seguranca_aula_02.pdf> Acesso em: 2 de abril – 2013.
<http://xa.yimg.com/kq/groups/22195076/1606473661/name/Seguranca-2.pdf> Acesso em: 2 de abril
– 2013.
<http://www.devmedia.com.br/convergencia-seguranca-fisica-e-logica/15760> Acesso em: 2 de abril –
2013.
<http://www.trackerti.com/consult/view/name/analise-vulnerabilidades> Acesso em: 3 de abril – 2013.
<http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=13203&sid=42>
Acesso em: 4 de abril – 2013.
< http://www.mindconsultoria.com.br/artigos.asp?cod=56> Acesso em: 5 de abril – 2013.
<http://olhardigital.uol.com.br/negocios/digital_news/noticias/sete-tendencias-de-seguranca-paracontrole-de-acesso-a-edificios-em-2012> Acesso em: 5 de abril – 2013.