Segurança da informação
A segurança da informação é um conceito que está ligado a normas, procedimentos e controles que tem como objetivo proteger processos, tecnologias e pessoas de ameaças que possam vir a expor os dados de pessoas físicas e jurídicas de maneira indevida.
Pilares da segurança da informação
Para alcançar um bom nível de segurança nos ambientes corporativos, as empresas geralmente utilizam os pilares da Segurança da Informação (SI) listados abaixo, para construir suas Políticas de Segurança da Informação (PSI) e para se adequarem a normas.
- Confidencialidade: As informações só podem ser acessadas por pessoas autorizadas;
- Integridade: As informações não devem ser alteradas; a fonte desses dados precisa ser segura e autêntica;
- Disponibilidade: As informações devem ser acessíveis aos usuários que forem autorizados sempre que eles necessitarem acessá-las.
Normas de segurança da informação
ABNT (Associação Brasileira de Normas Técnicas) — A ABNT é responsável por manter algumas normas Brasileiras voltadas para a segurança física na área de tecnologia, como, por exemplo, a NBR 1333, 1334 e a 1335.
ISO (International Standardization Organization) — As normas ISO foram criadas visando a atender diversos requisitos de segurança.
Para estabelecer padrões para desenvolvimento de aplicações seguras, existe a ISO 15408. Para atender frentes específicas de segurança, foi criada a série 27000. Essa linha começa com a ISO 27000 e tem várias na sequência, porém as mais conhecidas sāo a ISO27001 e a ISO27002, que focam em controle e armazenamento de dados digitais, entretanto só existe certificaçāo para a ISO27001. As outras normas ISO da família 27000 sāo consideradas apenas guias com boas práticas recomendadas. Em um dos meus trabalhos acadêmicos, utilizei a ISO27001 como referência para criar processos de Segurança da Informaçāo para uma instituiçāo de ensino superior no Brasil. Atualmente esse estudo está publicado em uma revista científica brasileira e você pode acessá-lo neste link.
PCI (Payment Card Industry) — O PCI-DSS é um padrão de segurança para a proteção de dados de cartão de crédito, criado pelo PCI Council. O conselho foi criado em 2006 pela American Express, Discover, JCB International, MasterCard e Visa. Esse conselho ajuda comerciantes e instituições financeiras e fornecedores a compreender e implementar políticas de segurança, tecnologia e processos que protejam os dados de cartão de crédito em seus sistemas financeiros.
Neste artigo, que escrevi aqui para o SysAdminas, expliquei como é possível atender a alguns requerimentos do PCI-DSS utilizando o Elastic Stack como ferramenta de observabilidade e armazenamento de dados de auditoria.
SOX (Sarbannes-Oxley) — A SOX ou Sarbox tem como objetivo manter auditorias para segurança das organizações, com o intuito de diminuir ou evitar fraudes. Ela foi criada após serem evidenciados diversos escândalos financeiros em algumas empresas dos Estados Unidos.
NIST 800–53 — O NIST é uma norma do Instituto Nacional de Normas e Tecnologia (NIST) dos Estados Unidos. O NIST 000–53, em específico, define os padrões e diretrizes para agências federais gerenciarem seus sistemas de segurança da informação.
GPDR (General Data Protection Regulation) — A GDPR é uma norma que entrou em vigor em 2018 e foi criada pela Comissão Europeia com o intuito de aumentar, melhorar e padronizar a proteção de dados pessoais na União Europeia.
LGPD (Lei Geral de Proteção de Dados) — A LGPD ainda não entrou em vigor no Brasil, mas seu objetivo é similar ao da GDPR: estabelecer normas para proteger os dados pessoais no Brasil e, por isso, todas as empresas, independente do porte, estão tendo que se adequar para quando a lei entrar em vigor, em 2021.
Tipos de ataques de segurança
Ataques DoS e DDoS: Um DoS — Denial of Service (em português, Ataque de Negação de Serviço) é um meio utilizado para derrubar recursos de um sistema. Ele não é caracterizado como uma invasão, mas sim como uma forma de indisponibilizar a aplicação para os usuários devido a sua sobrecarga. Geralmente o ataque DoS é feito por um único computador que envia vários pacotes para o servidor que deseja atacar. Já o DDoS — Distributed Denial of Service (em português, Ataque Distribuído Negação de Serviço) é distribuído entre diversas máquinas, em que uma máquina master consegue comandar diversos computadores “zumbis” e fazer com que todos eles ataquem em massa um servidor, tornando-o indisponível devido à alta volumetria de requisições não suportada.
Backdoor: Um Backdoor é um tipo de trojan que torna possível o acesso e controle do sistema infectado. Quem usa esse método geralmente consegue fazer o que quiser no dispositivo infectado, como, por exemplo, excluir dados, enviar emails, entre outras ações.
Engenharia Social: A engenharia social é uma técnica utilizada para obter informações de usuários ou induzi-los a alguma ação através de técnicas de persuasão, fazendo com que eles divulguem o acesso a dados confidenciais, como senhas e acessos a locais restritos.
Phishing: Essa é uma das técnicas de engenharia social usada para enganar usuários e obter informações como senhas, dados de cartão, entre outras informações por meio de mensagens, e-mails ou sites falsos, que tem características dos sites verdadeiros.
Escalonamento de privilégios: Essa técnica é utilizada pelo invasor que, mesmo depois de já ter atacado um sistema ou device, continua tentando obter acesso a dados que ainda não estão visíveis para ele.
Se você deseja conhecer mais sobre segurança através de cursos e certificações, acompanhe a lista abaixo.
Sugestões de cursos
Cursos de Tenable, da Tenable University, em inglês;
Curso de revisão individualizada do (CISSP), oferecido pelo (ISC), em inglês;
Treinamentos gratuitos sobre Cybersecurity, da Fortinet.
Sugestões de certificações
Certificação CISSP;
Certified Ethical Hacker (CEH).
Caso conheça outras indicações de livros, certificações ou cursos, fique à vontade para deixar nos comentários. Ficarei feliz em adicionar a esse post!
Esse texto faz parte do Guia de Infraestrutura de Tecnologia de Informação publicado no medium, no dev.to, e na Open Library. Para checar todos os capítulos, clique aqui e acesse a Introdução.
Próximo capítulo: Infrastructure as Code