Legal Informatics Lab - LILAB
Data: 22/05/2024
Relatores: Dafne Alves, Letícia Amorim M. Mendonça e Victoria Vital C. M. Costa
1. INTRODUÇÃO
Estes dois capítulos do livro Security+ Study Guide abordam um elemento da conhecida tríade de cibersegurança confidencialidade, integridade e disponibilidade. É abordado a importância da disponibilidade. O autor pontua: Não importa quão forte seus controles de confidencialidade e integridade são, se os sistemas, redes e serviços de uma organização não estão disponíveis quando necessário, a organização terá problemas.
A disponibilidade corresponde com controles físicos e virtuais de segurança da informação. Uma vez escolhida quais controles a organização trabalhará, ela deverá ter uma abordagem de segurança em casos de ameaças, pois em ambos controles há vulnerabilidades. Na visão do autor, quando há uma combinação de vários controles é o cenário mais seguro para uma organização. Alguns dos controles dos quais mais é melhor:
1. Múltiplos caminhos de rede para evitar a perda de conectividade;
2. Separação geográfica das máquinas físicas;
3. Proteção de energia para evitar quedas de energia;
4. Vários dispositivos de rede;
5. Diversidade tecnológica, como usar diferentes soluções de criptografia, plataformas etc.
Ademais, os backups são um elemento essencial no cuidado excessivo, pois a organização deve priorizar o armazenamento das suas informações. Backups evitam a perda parcial ou total dos dados. Cabe às organizações avaliarem suas necessidades e escolherem a melhor maneira de manter backup: online ou offine, visto que manter um backup online é bom pelo rápido e fácil acesso, enquanto um backup offline não corre pelas mesmas inseguranças rotineiras do virtual.
2. RESILIÊNCIA E CONTROLES FÍSICOS
Atualmente, as empresas enfrentam desafios simultâneos tanto físicos quanto cibernéticos, por isso, no estudo deste capítulo, será abordado e comprovado que os controles físicos na segurança empresarial complementam a perspectiva tradicional centrada em controles de segurança cibernética.
Com o avanço da tecnologia, na era digital, a segurança empresarial muitas vezes é discutida sob a ótica dos controles técnicos/virtuais, negligenciando a importância dos controles físicos, permitindo que surja uma vulnerabilidade significativa para as empresas. Este estudo busca preencher essa lacuna, destacando a relevância dos controles físicos na proteção das organizações.
A não implementação de medidas de segurança física pode resultar em várias consequências adversas, incluindo roubo de equipamentos, roubo de dados e informações sigilosas, acesso não autorizado em instalações, perda financeira, interrupções nos serviços, multas regulatórias e danos à reputação da empresa etc.
Um plano de segurança físico eficaz identifica e mitiga riscos, adaptando-se às mudanças operacionais e ambientais. O objetivo do plano de segurança físico é identificar e mitigar os riscos presentes no ambiente empresarial, isso envolve uma análise profunda dos perigos, incluindo desastres naturais e ameaças cibernéticas, sendo crucial adaptar o plano às mudanças operacionais e ambientais, garantindo sua eficácia contínua.
2.1. Controles físicos
Dentre os meios de controle de segurança física, destaca-se:
1. Camuflagem industrial: Algumas organizações adotam a camuflagem para proteger suas instalações. Essa estratégia busca ocultar atividades sensíveis e minimizar a detecção de operações específicas, contribuindo para a segurança das informações e operações empresariais;
2. Uso de cercas e barreiras: Cercas e barreiras físicas são essenciais como primeira linha de defesa da segurança perimetral das instalações. Essas barreiras visam dificultar o acesso não autorizado e possibilitar uma intervenção eficaz da equipe de segurança;
3. Utilização de bollards: São obstáculos colocados para impedir o movimento de veículos em áreas específicas. Podem ser removíveis ou mecanicamente acionados para permitir acesso quando necessário, fornecendo uma medida de segurança eficaz contra intrusões veiculares;
4. Iluminação: A iluminação brilhante é crucial para desencorajar intrusos, aumentar a visibilidade e o conforto do pessoal, ela pode indicar atividades suspeitas, auxiliando na vigilância e detecção de ameaças potenciais;
5. Ameaça dos drones: Os drones representam uma preocupação crescente para as organizações devido às suas capacidades de vigilância e ataques. Enquanto apresentam riscos potenciais, também podem ser utilizados como ferramentas de segurança, fornecendo vigilância em tempo real, inspeção de áreas de difícil acesso e resposta rápida a incidentes;
6. Uso de crachás na segurança física e registros de visitantes: Os crachás desempenham um papel fundamental no controle de acesso e identificação de pessoal autorizado. Sistemas de gestão de visitantes facilitam a validação da identidade dos visitantes e garantem o acesso apenas a áreas designadas, reforçando a segurança física das instalações;
7. Sistemas de alarmes e sensores de movimento: Esses sistemas são essenciais para detectar e alertar sobre problemas como acesso não autorizado e incêndios;
8. Sistemas de supressão de incêndio: São cruciais para aumentar a resiliência contra incêndios catastróficos, os sistemas de supressão de incêndio, como os sprinklers, desempenham um papel fundamental na proteção de dados e recursos empresariais;
Estudos de caso, como o incidente na OVH Cloud, destacam a importância de investir em medidas práticas contra incêndios para garantir a segurança e continuidade das operações empresariais.
9. Sinalização e controles dissuasivos: Embora não seja uma medida de segurança óbvia, uma sinalização eficaz desempenha vários papéis na proteção das instalações, como: "Somente Pessoal Autorizado", “Sorria Você Está Sendo Filmado”, podem atuar como controles dissuasivos, alertando sobre a presença de intrusos não autorizados e lembrando ao pessoal autorizado sobre áreas seguras;
10. Fechaduras e controles de acesso: As fechaduras garantem que apenas pessoas autorizadas tenham acesso a áreas restritas, utilizando chaves, cartões de acesso ou métodos de autenticação biométrica. O reconhecimento facial é uma tecnologia emergente que desempenha um papel crescente nos sistemas de segurança modernos, embora levante preocupações de privacidade e proteção de dados pessoais;
11. Guardas de segurança e sistemas de vigilância: Os Guardas de segurança são essenciais em áreas onde a interação humana é necessária ou benéfica, fornecendo detecção e resposta adicionais;
12. Gaiolas de Faraday: As gaiolas de Faraday representam uma ferramenta crucial na proteção de equipamentos e dados sensíveis contra interferências eletromagnéticas, além de prevenir interceptações ou acessos não autorizados. Essa tecnologia baseia-se nos princípios desenvolvidos pelo cientista Michael Faraday, que descobriu que uma gaiola metálica pode bloquear campos eletromagnéticos;
Essas estruturas consistem em um invólucro composto por uma malha condutora, geralmente feita de metal, que bloqueia efetivamente os campos eletromagnéticos externos.
13. Design de corredor quente/frio e segurança do local: O design de corredor quente/frio em data centers é essencial para manter a temperatura ideal nos equipamentos, reduzindo os riscos de falhas e aumentando a eficiência energética. Implementar um plano de segurança do local é crucial para identificar e mitigar os riscos presentes no ambiente, desde desastres naturais até ameaças cibernéticas.
Por fim, percebe-se a importância de adotar uma abordagem abrangente à segurança física, integrando diversas estratégias e medidas para proteger as organizações contra uma variedade de ameaças e garantir a continuidade dos negócios.
2.2 Estratégias para Destruição Segura de Dados e Implicações da LGPD na Segurança da Informação
No atual cenário, onde tudo gira em torno de dados e informações pessoais, ainda é comum encontrar dados expostos em folhas de papel e dispositivos móveis, por isso, destaca-se a importância da destruição segura de dados para prevenir violações de segurança e proteger informações confidenciais.
No livro foram abordados os principais métodos de destruição segura, são eles:
1. Incineração de alta temperatura: Realizada geralmente fora do local por serviços de terceiros, garantindo a destruição completa dos materiais sem deixar resíduos recuperáveis;
2. Fragmentação: Utilização de fragmentadoras industriais para papel ou dispositivos, podendo exigir métodos adicionais, para garantir a destruição completa;
3. Polpação: Desintegração de documentos de papel em polpa de madeira, removendo a tinta e possibilitando a reciclagem dos materiais resultantes;
4. Desmagnetização: Processo de desmagnetização que apaga efetivamente dados de mídias magnéticas, como discos rígidos, mas é eficaz apenas em mídias magnéticas.
A não destruição adequada de dados pode resultar em diversos riscos, incluindo violação de privacidade, roubo de identidade, fraude financeira, danos à reputação da empresa e consequências legais e regulatórias, como espionagem corporativa.
Em suma, este capítulo reforça que os controles físicos desempenham um papel crucial na proteção das organizações contra ameaças, demonstrando a necessidade de um plano de segurança físico eficaz para identificar e mitigar riscos, garantindo a continuidade dos negócios e a preservação da empresa. A não implementação de medidas de segurança física, assim como a não destruição correta de informações e dados pessoais de uma organização, podem gerar sérias consequências para a empresa, portanto, conclui-se sobre a importância de priorizar a segurança em todos os seus aspectos e meios, tanto protegendo o ambiente físico da organização, tanto para enfrentar os desafios da segurança da informação na era digital.
3. AMBIENTE DE NUVEM E SUA SEGURANÇA
A definição formal de “nuvem” é um modelo para viabilizar acesso ubíquo, conveniente e sob-demanda a recursos computacionais que podem ser disponibilizados com um mínimo gasto. Portanto, o modelo viabiliza o uso de recursos comuns para finalidades diferentes por usuários diferentes, e apresenta diversas vantagens para a realização de negócios.
Destaca-se que a melhor solução varia de acordo com a necessidade de cada operação, mas, dentre as principais vantagens da nuvem, estão: o fato de o serviço ser sob demanda, a possibilidade de ajuste da escala de acordo com a capacidade das operações, elasticidade e otimização de custos, e agilidade e flexibilidade.
O modelo da nuvem é caracterizado pela presença de diversos atores em colaboração, o que gera um cenário de responsabilidade compartilhada quanto aos riscos e custos. Identifica-se cinco principais atores no modelo: (a) o provedor — disponibiliza o serviço; (b) os consumidores ou clientes, os parceiros, os auditores — fiscalizam o serviço para a garantia de padrões de qualidade; e (c) o suporte ou carriers — responsáveis pela entrega do serviço ao cliente.
O cenário de responsabilidade compartilhada apresenta impactos em relação à forma de se pensar em cibersegurança na nuvem. Embora preocupações como a disponibilidade, confidencialidade e integridade dos dados também sejam relevantes no ambiente da nuvem, de maneira semelhante à cibersegurança como conceito de on-premise, há especificidades derivadas da responsabilidade mista entre o provedor e o cliente que devem ser consideradas.
A responsabilidade entre os atores varia de acordo com o modelo de implantação da nuvem, mas sempre é compartilhada. Destaca-se três principais formas de oferecimento do serviço: (a) Infrastructure as a Service (IaaS), na qual o provedor é responsável pelo hardware e o cliente pode ajustar a infraestrutura às suas necessidades; (b) Software as a Service (SaaS), na qual o provedor é responsável pelo hardware e pela administração da aplicação, e o cliente tem poucas possibilidades de configuração (exemplo: web-based mail); e (c) Platform as a Service (PaaS), na qual o provedor disponibiliza uma plataforma na qual os clientes podem executar aplicações, que pode envolver ambiente de execução com bibliotecas, serviços e outras ferramentas. No modelo IaaS, o provedor tem menos responsabilidades, que aumentam no modelo PaaS. Já no modelo SaaS, todas as responsabilidades são compartilhadas entre o cliente e o provedor. Veja a imagem abordada no livro:
Compartilhamento de Responsabilidades em Nuvem
Quanto às permissões de acesso à nuvem, é possível modelar o sistema de acordo com os requerimentos do usuário. Nesse sentido, classifica-se a nuvem em pública, privada ou comunitária. A nuvem pública é utilizável por qualquer cliente; a privada é criada apenas para o uso de um cliente; e a comunitária é compartilhada entre uma comunidade com requerimentos em comum (como consórcios de bibliotecas acadêmicas). Pode, também, haver a implantação de uma nuvem híbrida, com características destes três modelos.
Além disso, há diversos recursos de infraestrutura de nuvem que podem ser combinados entre si. Como recursos de computação em nuvem, destaca-se o uso de servidores virtuais ou virtual machines (virtualização de todo o sistema operacional), e de containers (virtualização da aplicação, ao invés de todo o sistema na máquina virtual). Quanto aos recursos de armazenamento, há os modelos de block storage/armazenamento em bloco, na qual se pré-alocam espaços como discos virtuais no sistema operacional, e o de object storage, na qual a informação sobre o local de armazenamento em disco não é relevante para o acesso aos dados finais, visto que são alocados como entidades independentes.
Diante desse cenário, em relação à segurança da informação na nuvem, são destacados três principais pontos: (a) a criação de um sistema de permissões, tendo em vista o compartilhamento de recursos que caracteriza esse modelo; (b) a garantia de disponibilidade e de durabilidade dos dados e formas de armazenamento físico pelo provedor; e (c) o uso de criptografia como forma de proteção de informações sensíveis.
3.1. Segurança em nuvem
Armazenamento em nuvem tem inúmeras vantagens financeiras e operacionais, mas estas vêm acompanhadas com algumas resistências, o Autor atenta a 5:
1. Disponibilidade: a maior vantagem da plataforma em nuvem é poder ser operada em várias regiões geográficas — as organizações enxergam isso como uma vantagem estratégica. Todavia, a distância pode causar problemas de disponibilidade;
2. Jurisdição: é um princípio regulatório importante, ainda mais para países como o Brasil, que tem uma lei específica para proteção de dados. Dados e informações seguem as jurisdições de onde são coletados; as organizações devem manter cuidado com as legislações do local onde estão armazenando seus dados. Profissionais de segurança devem procurar entender como é tratado, armazenado, processado e transmitido as informações;
3. Vulnerabilidade nas máquinas virtuais: o livro aborda duas vulnerabilidades corriqueiras neste ambiente: (a) Escape de máquina virtual – vulnerabilidade do qual o atacante tem acesso ao host e todas máquinas virtuais conectadas aquele host; e (b) Virtual machine sprawl – quando há muitas máquinas virtuais em um ambiente e o administrador perde o controle;
4. Aplicações em nuvem: são problemas que acontecem em (a) Application Programming Interfaces — APIs — são conjuntos de regras e protocolos que permitem que diferentes softwares se comuniquem entre si; e (b) Secure Web Gateways —SWG — são dispositivos ou serviços de rede que fornecem uma camada de segurança adicional para proteger as organizações contra ameaças baseadas na web.
5. Governança e auditoria: ambos são critérios que as organizações devem adotar para manter a escolha de fornecedores em nuvem e ambiente em nuvem seguros, assim como regula obrigações contratuais de proteção de dados. Governança é uma política que estabelece estratégia e procedimentos de segurança da informação. A Auditoria, tanto interna quanto externa, fornecerá garantia para organização e aos clientes que os provedores estão operando de maneira segura.
Conjuntamente com a manutenção dos critérios de segurança na nuvem, a escolha dos controles é um dos processos a fim de garantir a segurança na nuvem. Os fornecedores de ambientes nuvem oferecem serviços de segurança próprios, mas o livro aborda, novamente, que essa manutenção trabalhe junto com controles internos, escolhidos pela organização. Há três maneiras de segurança na nuvem: (a) a própria fornecida pelo fornecedor da nuvem; (b) terceirizar esse serviço à uma organização; (c) combinação dos dois controles anteriores.
Por fim, todos esses critérios precisam passar por uma análise da organização de custo e benefício. Os controles devem ser implementados conforme necessidade e investimento das organizações.
REFERÊNCIAS
CHAPPLE, Mike. SEIDL, David. CompTIA Security+ Study Guide. Capítulos 9 e 10.
_________________________________________________________________________________________________________
O LILAB realiza encontros quinzenais remotos para debater temas afetos à sua área e o DTIBR cede espaço no site e nas suas redes sociais para divulgar as atas de reuniões e editais de processo seletivo do grupo de estudos.
Para maiores informações, acesse nosso FAQ.