Olá pessoal!
Como boa parte dos leitores estão começando na área e estão se sentindo meio perdidos vou criar uma série de posts com a base da segurança e vou aprofundando, para meio que nivelar todos os leitores.
Então vamos lá, o que é segurança da informação? Segundo a wikipedia temos:
A segurança da informação está relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.
Como qualquer outra categoria, a Segurança da Informação tem normas e padrões, para poder regularizar todo o processo e definir o que é seguro e funcional e o que não. Vamos ver a seguir os principais padrões e normas:
ISO 27001 - Esta norma aborda os padrões para sistemas de gestão de Segurança da Informação.
ISO 27002 - Baseada na norma ISO 27001, essa norma trata de boas práticas de segurança e possíveis controles e testes dentro delas.
PCI-DSS - Sigla para Payment Card Industry Data Security Standart é uma padronização para empresas que lidam com cartões de crédito, normas utilizadas para evitar fraudes relacionado com cartões.
ITIL - Mais voltada para TI e seus serviços e infraestrutura.
COBIT - Abreviação de Control Objectives for Information and related Technology, é um guia de boas práticas, também voltados para gestão de TI, com ferramentas próprias para implementação, auditoria e gerenciamento.
Agora, todo mundo fala por ai que cada vez mais é necessário saber pelo menos boas práticas de segurança, não vou entrar muito a fundo aqui, todos que chegaram até aqui provavelmente já estão cientes de quão importante a Segurança da Informação é. Alguns pontos que deixam bem óbvio essa necessidade são a facilidade de uso, quanto mais fácil e útil mais pessoas vão usar, interligação entre serviços e dispositivos, atacando um serviço específico pode ser que vários outros sejam atacados de tabela, e o maior problema de todos, a facilidade de uso e localização de ferramentas para um ataque complexo. Este último é o que mais preocupa.
Cada dia que passa, mais os “lammers” ganham mais poder, porque cada dia novas ferramentas de uso simples aparecem e estas ferramentas estão causando cada vez mais estragos. Por exemplo, hoje para explorar uma falha simples de SQL Injection, o “atacante” precisa saber apenas a url vulnerável, o resto o programa faz, tudo automático. Outro exemplo que está muito em foco no momento é o DDoS, em algumas ferramentas, só é necessário pressionar um botão e o ataque está lançado.
Três pontos são essenciais para a Segurança da Informação: Confidencialidade, Integridade e disponibilidade. Sem estes três pilares não temos a Segurança da Informação.
Confidencialidade - Este pilar define que a informação só deve ser acessível para quem foi concebido o direito de acesso pelos donos e/ou responsáveis desta informação.
Integridade - É necessário que as características sejam mantidas de acordo com o que foi determinado pelo dono da informação.
Disponibilidade - Outro ponto importante é a necessidade da informação estar disponível sempre que necessário, desde que respeitando as duas normas acima.
Quem trabalha nesta área sabe que certificações são bastante valorizadas, em alguns casos até mais do que uma graduação em Informática ou Tecnologia. Não vou me alongar muito neste quesito porque já temos dois posts muito bons sobre o assunto aqui no blog, o “Certificação? Pra que serve isso?” e o “Lista de algumas das principais certificações na área de segurança da informação”.
War games são jogos onde o objetivo é invadir sistemas, mas sem comprometer um sistema real, tudo isso feito dentro de um ambiente controlado. Também não vou me aprofundar aqui porque temos a série “Invadindo sem ir para a cadeia!” com uma série de aplicações Web ou Máquinas Virtuais para download com diversos cenários e níveis de dificuldade diferente.
Como boa parte dos leitores estão começando na área e estão se sentindo meio perdidos vou criar uma série de posts com a base da segurança e vou aprofundando, para meio que nivelar todos os leitores.
Então vamos lá, o que é segurança da informação? Segundo a wikipedia temos:
A segurança da informação está relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.
Principais padrões e normas
Como qualquer outra categoria, a Segurança da Informação tem normas e padrões, para poder regularizar todo o processo e definir o que é seguro e funcional e o que não. Vamos ver a seguir os principais padrões e normas:
ISO 27001 - Esta norma aborda os padrões para sistemas de gestão de Segurança da Informação.
ISO 27002 - Baseada na norma ISO 27001, essa norma trata de boas práticas de segurança e possíveis controles e testes dentro delas.
PCI-DSS - Sigla para Payment Card Industry Data Security Standart é uma padronização para empresas que lidam com cartões de crédito, normas utilizadas para evitar fraudes relacionado com cartões.
ITIL - Mais voltada para TI e seus serviços e infraestrutura.
COBIT - Abreviação de Control Objectives for Information and related Technology, é um guia de boas práticas, também voltados para gestão de TI, com ferramentas próprias para implementação, auditoria e gerenciamento.
Agora, todo mundo fala por ai que cada vez mais é necessário saber pelo menos boas práticas de segurança, não vou entrar muito a fundo aqui, todos que chegaram até aqui provavelmente já estão cientes de quão importante a Segurança da Informação é. Alguns pontos que deixam bem óbvio essa necessidade são a facilidade de uso, quanto mais fácil e útil mais pessoas vão usar, interligação entre serviços e dispositivos, atacando um serviço específico pode ser que vários outros sejam atacados de tabela, e o maior problema de todos, a facilidade de uso e localização de ferramentas para um ataque complexo. Este último é o que mais preocupa.
Cada dia que passa, mais os “lammers” ganham mais poder, porque cada dia novas ferramentas de uso simples aparecem e estas ferramentas estão causando cada vez mais estragos. Por exemplo, hoje para explorar uma falha simples de SQL Injection, o “atacante” precisa saber apenas a url vulnerável, o resto o programa faz, tudo automático. Outro exemplo que está muito em foco no momento é o DDoS, em algumas ferramentas, só é necessário pressionar um botão e o ataque está lançado.
Os três pilares da Segurança da Informação
Três pontos são essenciais para a Segurança da Informação: Confidencialidade, Integridade e disponibilidade. Sem estes três pilares não temos a Segurança da Informação.
Confidencialidade - Este pilar define que a informação só deve ser acessível para quem foi concebido o direito de acesso pelos donos e/ou responsáveis desta informação.
Integridade - É necessário que as características sejam mantidas de acordo com o que foi determinado pelo dono da informação.
Disponibilidade - Outro ponto importante é a necessidade da informação estar disponível sempre que necessário, desde que respeitando as duas normas acima.
Certificações
Quem trabalha nesta área sabe que certificações são bastante valorizadas, em alguns casos até mais do que uma graduação em Informática ou Tecnologia. Não vou me alongar muito neste quesito porque já temos dois posts muito bons sobre o assunto aqui no blog, o “Certificação? Pra que serve isso?” e o “Lista de algumas das principais certificações na área de segurança da informação”.
War Games
War games são jogos onde o objetivo é invadir sistemas, mas sem comprometer um sistema real, tudo isso feito dentro de um ambiente controlado. Também não vou me aprofundar aqui porque temos a série “Invadindo sem ir para a cadeia!” com uma série de aplicações Web ou Máquinas Virtuais para download com diversos cenários e níveis de dificuldade diferente.
0 comentários:
Postar um comentário