Um exemplo: Uma empresa pequena tem todos seus dados num servidor numa salinha sem grandes restrições de acesso e eles não fazem backup. Vamos ver como isso se relaciona a segurança da informação.
Segurança física
Proteção de equipamentos e da área que eles estão. Pode ser dividida em dois aspectos, equipamentos e ambiente. Temos que evitar roubos e vandalismos e tentar minimizar danos de desastres naturais ou acidentais. No nosso exemplo, o servidor está numa salinha sem restrição. Deve ter restrição e objetos como ar condicionado e equipamentos de proteção contra incêndio. Isso é só um começo, mais e mais medidas podem ser adotadas pra melhorar a segurança do local, depois de analisarmos a situação toda.
Dados sensíveis não devem ser armazenados em máquinas locais ou em USBs, mas sim em servidores configurados pra garantir a CID dos dados.
O excesso de cuidado também pode virar um problema. Por exemplo, se um site força o usuário a escrever uma senha MUITO forte e complicada, pode levar o usuário a escrever ela num papel, que pode ser facilmente roubado, perdido ou destruído. Tem que ajustar o nível de segurança de acordo com o que queremos proteger.
Uma boa proteção física é biometria, cartões de identificação pra pessoas autorizadas, seguranças, crachás, elevadores, câmera, controle de temperatura, extintores, etc.
Devemos tomar cuidado com coisas fornecidas por terceiros. Como cabeamento, internet e energia. Contratos devem ser feitos, normas devem ser ensinadas, usando técnicas como:
- USO SEGMENTADO: Não é bom duas empresas diferentes usando o mesmo "fio" ou "caminho" pra se conectarem. Se a primeira usa cabo (fibra óptica) a outra deve usar outra coisa, tipo antena (link rádio). Se o caminho der problema e as duas estiverem o usando o mesmo, as duas caem ao mesmo tempo. Isso é ruim pra segurança. Usar caminhos diferentes é mais seguro.
- GERADORES: Sobre a parte de energia, é útil ter nobreaks, bancos de bateria e geradores devidamente carregados e com combustível.
- SEGURANÇA COM ACESSOS FÍSICOS: Senha na BIOS, configuração de botões físicos, segurança ao acesso ao hardware e dispositivos de entrada.
Segurança lógica
Relacionada ao virtual. Baseada no uso de programas. Proteção com programas de computador específicos como antivírus, identificação de usuário, senha, verificação da força da senha, autenticação, biometria virtual, firewall, VPNs. Normalmente tudo junto, pois se um falhar, o outro pode resolver. Também tem algoritmos de criptografia, que fazem com que um arquivo só possa ser aberto com a chave do algoritmo. No nosso exemplo, eles devem restringir o acesso dos usuários ao sistema e aos dados, e também fazer backups e copiar os dados.
Criptografia
Um bom método de proteção é a criptografia. Ela é o conjunto de técnicas que ajudam na confidencialidade da informação transformando os dados numa forma que só quem tem uma chave pode acessar. É o embaralhamento das informações por meio de uma sequência de dados que usa uma chave e um algoritmo. A tal chave é usada pra embaralhar (criptografar) e desembaralhar (descriptografar) as informações. Se a mesma chave é usada nas duas etapas, é simétrica, se duas diferentes são usadas, é assimétrica.
Se você tem, tipo, um pen-drive com arquivos importantes, uma proteção seria compactar seus arquivos usando uma senha, várias ferramentas, até gratuitas, tem essa funcionalidade, como a 7-zip ou o WinRAR. Economiza um espaço e protege as informações.
Criptografia pode ser simétrica ou assimétrica:
- SIMÉTRICA: A chave de criptografar e descriptografar é a mesma. Algoritmos de criptografia que vou pedir pro GPT me explicar melhor são: AES, RC4, 3DES, IDEA, Blowfish, Twofish, etc.
- ASSIMÉTRICA: Pra mais segurança ainda, esse modo usa DUAS chaves. Uma pra cifrar e outra pra decifrar. Essas chaves são privadas (sob posse do usuário) e públicas (disponível num servidor confiável). Algoritmos de criptografia assimétrica são: RSA, DSA e Diffie-Hellman (mas Diffie-Hellman é mais usado pra troca segura de chaves, não diretamente pra criptografar mensagens)
Algoritmos de criptografia são regras e formulas que dizem como transformar uma informação legível em algo que parece aleatório e ilegível, e vice-versa, se tiver a chave.
Zonas de segurança e firewall
Esses controles permitem a criação de zonas de segurança, uma área protegida dentro de uma rede ou sistema, a mais comum é a DMZ, zona desmilitarizada, que limita a região onde os servidores web e de aplicação podem ficar.
Firewalls podem funcionar de duas formas.
- NEGAR POR PADRÃO: Nega todo tráfico, só aceita os que as regras permitem. É o mais usado.
- ACEITAR POR PADRÃO: Aceita todo tráfico, só nega os que as regras mandar negar.
Nenhum comentário:
Postar um comentário