Conceitos Básicos de Segurança da Informação

 

A política de segurança

A informação é um ativo que possui grande valor para a Lerosa, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas e procedimentos que visem garantir a segurança da informação deve ser prioridade constante, minimizando riscos de falhas, os danos e/ou os prejuízos que possam comprometer a imagem e os objetivos da Lerosa.

A informação pode ser manipulada de diversas formas, ou seja, por meio de arquivos eletrônicos, mensagens eletrônicas, internet, bancos de dados, meio impresso, verbalmente, em mídias de áudio e vídeo etc.

A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.

Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente. A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.

A tríade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibilidade -- representa os principais atributos que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger. Outros atributos importantes são a irretratabilidade e a autenticidade. Com o evoluir do comércio eletrônico e da sociedade da informação, a privacidade é também uma grande preocupação.

Os atributos básicos (segundo os padrões internacionais) são os seguintes:

  • Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
  • Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
  • Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.


O nível de segurança desejado, pode se consubstanciar em uma "política de segurança" que é seguida pela organização ou pessoa, para garantir que uma vez estabelecidos os princípios, aquele nível desejado seja perseguido e mantido. Para a montagem desta política, leva-se em conta:

  • Riscos associados à falta de segurança;
  • Benefícios;
  • Custos de implementação dos mecanismos.

Mecanismos de Segurança

O suporte para as recomendações de segurança pode ser encontrado em:

Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infra-estrutura (que garante a existência da informação) que a suporta.

Existem mecanismos de segurança que apóiam os controles físicos: Portas / trancas / paredes / blindagem / guardas / etc..

Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado.

Existem mecanismos de segurança que apóiam os controles lógicos:

Mecanismos de criptografia. Permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a decifração.

Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual são função, garantindo a integridade do documento associado, mas não a sua confidencialidade.

Mecanismos de garantia da integridade da informação. Usando funções de "Hashing" ou de checagem, consistindo na adição, que é a geração de um número identificador de arquivo que é baseado no conteúdo binário do mesmo. Desta forma cada arquivo diferente possui um hash específico. Assim, se o conteúdo do arquivo é alterado, ao tentar gerar um hash deste arquivo um novo número identificador é gerado. O algoritmo de geração do identificador hash, em geral uma soma de verificação, impede que se estabeleça uma relação entre o dado alterado e o próprio identificador gerado. Uma alteração do conteúdo do arquivo, por menor que seja, gera um identificador totalmente diferente do arquivo original. O file hashing é muito utilizado em autenticação digital, pois assegura a autenticiade do arquivo original.

Mecanismos de controle de acesso. Palavras-chave, sistemas biométricos, firewalls, cartões inteligentes.

Mecanismos de certificação. Atesta a validade de um documento.

Integridade. Medida em que um serviço/informação é genuíno, isto é, está protegido contra a personificação por intrusos.

Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a ação de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema.

Protocolos seguros: uso de protocolos que garantem um grau de segurança e usam alguns dos mecanismos citados aqui

Existe hoje em dia um elevado número de ferramentas e sistemas que pretendem fornecer segurança. Alguns exemplos são os detectores de intrusões, os anti-vírus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de código, etc, recomenda-se sua utilização.

 

Procedimentos de composição, guarda e troca de senha de acesso


Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra fundamental é a conscientização quanto ao uso e manutenção das senhas.

  1. A senha é pessoal e instranferível, não deve ser fornecida a ninguém a não ser o usuário proprietário da informação
  2. Senha tem data para expiração: Adota-se um padrão definido onde a senha possui prazo de validade com 30 ou 45 dias, obrigando o usuário a renovar sua senha.
  3. Inibir a repetição: Adota-se através de regras predefinidas que uma senha uma vez utilizada não poderá ter mais que 60% dos caracteres repetidos, p. ex: senha anterior "123senha" nova senha deve ter 60% dos caracteres diferentes como "456seuse", neste caso foram repetidos somente os caracteres "s" "e" os demais diferentes.
  4. O usuário é obrigado a composição com número mínimo de caracteres numéricos e alfabéticos
    Poderá definir-se a obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos, por exemplo: 1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numéricos e os 4 subseqüentes alfabéticos por exemplo: 1432seuz.
  5. É Criado um conjunto com possíveis senhas que não podem ser utilizadas: Monta-se uma base de dados com formatos conhecidos de senhas e proíbir o seu uso, como por exemplo o usuário chama-se Jose da Silva, logo sua senha não deve conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4 etc.
  6. As senhas de acesso à rede e aos sistemas internos seguem, pelo menos, os seguintes parâmetros:
  • Tamanho mínimo: 6 caracteres
  • Tempo máximo de expiração: 45 dias
  • Quantidade máxima de tentativas antes do bloqueio: 3;
  • Duração do bloqueio: desbloqueio pelo administrador;
  • Histórico mínimo de senhas utilizadas: 6
  • Complexidade: ativada; e
  • Serem criptografadas

 

Segurança da Informação

 

Ciente dos riscos de perdas financeiras ocasionadas por disseminação de vírus, acessos indevidos, vazamento de informações e outros problemas que tornam vulnerável o sistema informacional das corporações, a LEROSA contratou empresa específica para tratar de Segurança da Informação. O ambiente de segurança da informação na Corretora baseia-se na conscientização dos colaboradores para a adoção de melhores práticas de segurança.

 

Tecnologia
O desenvolvimento dos aplicativos utilizados internamente na Lerosa e disponibilizados em nosso Portal é feito por profissionais com ampla visão do mercado financeiro e sob um rígido controle de qualidade. A Lerosa investe na contratação e desenvolvimento de aplicativos que proporcionam benefício direto aos seus clientes, focados em três diretrizes.


Convênio Tecnológico

Aplicativos comuns nas instituições financeiras, que não trazem nenhum diferencial competitivo, são contratados diretamente de parceiros. A Lerosa possui como sua infra-estrutura tecnológica:

Segurança
A Lerosa trata com muita seriedade a segurança de seus sistemas eletrônicos e as informações de seus clientes. Realiza grandes investimentos na infra-estrutura de segurança da informação, visando garantir a disponibilidade, a integridade e a confidencialidade das informações armazenadas e processadas por seus sistemas. O Home Broker da Lerosa utiliza recursos avançados de segurança eletrônica, que garantem a integridade e o sigilo das informações transferidas via Internet.

Disponibilidade
Para garantir a disponibilidade das informações, toda a infra-estrutura tecnológica da Lerosa é redundante, permitindo que mesmo em casos de falhas de servidores, energia elétrica, ou telecomunicações os clientes continuem a operar sem qualquer interrupção.

Performance
A infra-estrutura tecnológica da Lerosa tem como uma das suas principais característica a escalabilidade, o que permite ajustar a sua capacidade com o crescimento da demanda sem impactar o desempenho das aplicações.