POR ONDE COMEÇAR EM SEGURANÇA DA INFORMAÇÃO?

Do que se trata Segurança da Informação? O que fazem os profissionais desta área? Por onde começamos? Estas são algumas perguntas que frequentemente escutamos de iniciantes na área.

Resumo

               Este artigo tem por objetivo entender o que é Segurança da Informação, suas bases e possíveis caminhos a se trilhar. É de suma importância entender os conceitos que permeiam cada assunto para que desta forma seja possível compreender como ataques ocorrem, quais os motivos e como podem ser mitigados. Segurança da Informação é um assunto bastante abrangente e diferente do que se pensa não se trata apenas de hacking e telas pretas com letras verdes como costumamos ver em filmes, é necessário ser bastante flexível e ter um conhecimento minimamente razoável em diversas áreas ao menos para conseguir tomar algumas decisões mais assertivas. Tenha em mente que segurança se trata de saber como um determinado sistema funciona para então defendê-lo, e este sistema não se limita numa estrutura lógica apenas, mas se estende ao ponto de vista físico e humano, pois pessoas também são vetores de ataque.

INTRODUÇÃO

               Antes de tudo precisamos entender o conceito de segurança da informação, desta forma vamos nos agarrar ao conceito descrito na ISO 27002:

“É a proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar riscos, maximizar retorno sobre os investimentos e as oportunidades de negócios”.

                Mas para entender isto, devemos ter em mente que informação é “Algo que se conhece e em que se baseia para racionalizar”. (SÊMOLA, 2013). Ou seja, informação é tudo aquilo que possui valor para alguém, do contrário é apenas um dado. A informação é o patrimônio mais valioso para uma empresa ou pessoa e deve ser muito bem protegida.

                A Segurança da informação baseia-se em cinco grandes pilares principais, sendo eles: Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade. Deve-se fazer o possível para proteger cada um destes pilares quando necessário, pois uma informação que deve ser de conhecimento público, por exemplo, não precisa ter sua confidencialidade protegida, e este pensamento pode se estender aos demais itens.

               Quanto a proteção desses pilares vai custar deve ser levado em conta sempre, pois cabe a alta cúpula da empresa decidir primeiramente se haverá alguma preocupação com segurança e o que será protegido. Vamos entender melhor do que esses pilares tratam:

  • A Confidencialidade determina quem terá acesso à informação. Isto é, apenas pessoas autorizadas podem ter acesso a uma informação específica.
  • A Integridade busca garantir que uma determinada informação não tenha sido alterada, corrompida ou falsificada.
  • A Disponibilidade deve garantir que a informação estará sempre disponível para aqueles que possuem acesso a ela.
  • A Autenticidade ou Não repúdio visa garantir que a pessoa que está acessando a informação é realmente quem diz ser.
  • A Legalidade engloba questões jurídicas, garantindo que a informação e demais coisas ligadas a ela estejam de acordo com a legislação local.

                Devemos ter em mente também alguns outros conceitos básicos bastante importantes sobre segurança, como Ameaças, Riscos e Vulnerabilidades.

                Uma ameaça é qualquer evento ou agente malicioso que possa causar um dano a um ativo (Todo equipamento que manipula uma informação), deixando-o inoperante ou destruído.

                Um risco é qualquer evento que pode impedir que um objetivo em específico seja atingido.

                Uma vulnerabilidade pode ser entendida como uma fraqueza, um ponto de falha em um determinado ambiente físico ou lógico.

                Com essas informações pode-se imaginar um cenário em que a chuva pode ser uma ameaça, ela pode causar danos irreparáveis a recursos de informação. A chuva também trás o risco de uma inundação, que pode impedir a chegada de recursos humanos a uma empresa impedindo que exerçam suas funções. Assim, a chuva como agente malicioso pode “explorar” vulnerabilidades num ambiente, como entrar em buracos em paredes danificando equipamentos eletrônicos.

                Assim chegamos ao ponto principal em segurança da informação que se trata de mitigar riscos. Não existe um sistema completamente seguro, sempre haverá uma vulnerabilidade a ser explorada e, ainda que tornemos sistemas lógicos e físicos robustos o suficiente para inviabilizar a exploração por parte de um agente malicioso, o fator humano é sempre o elo mais fraco, podendo ser explorado por meio de engenharia social.

                Como dito, estes conceitos estarão presentes em todas as áreas que um profissional de segurança poderá atuar. Seus primeiros passos possivelmente seguirão o caminho de Estagiário e posteriormente Analista de Segurança da Informação, a partir daí você se especializará em alguma área de seu interesse.

               O mais importante é gostar do assunto e viver segurança da informação. Tecnologia da Informação é um setor que evolui extremamente rápido, dois anos é um tempo mais do que suficiente para deixar uma tecnologia completamente obsoleta.

               Existem alguns caminhos conhecidos aos estudantes da área, como Segurança Ofensiva, Forense e Gestão em Segurança da Informação. Vamos conhecer como eles funcionam, entender algumas de suas atividades e também o seu mercado.

Segurança ofensiva

                A segurança ofensiva é talvez o maior motivo pela fama do setor de segurança da informação, juntamente com produções audiovisuais como a famosa série hacker “Mr. Robot” de 2015. A área de pentest (Teste de Intrusão) é bastante visada por aqueles que se interessam por segurança e é possivelmente a primeira ramificação que essas pessoas têm contato.

                Pentest se trata de um conjunto de técnicas e ferramentas para avaliar a segurança de redes ou sistemas de computadores. (FAIRCLOTH, 2011). Num pentest seu objetivo é invadir um determinado sistema simulando um ataque externo, isto é, não autorizado, da maneira que for necessária em busca de brechas de segurança como configurações padrão ou indevidas, falhas de segurança em sistemas desatualizados, ausência de medidas protetivas, etc. Existem dois tipos de pentest, sendo eles o “Black Box” e o “White Box”. Sua principal diferença está no conhecimento que o profissional tem sobre o sistema alvo. No Black Box o atacante não possui qualquer conhecimento sobre o alvo, já no White Box supõe-se que o atacante tem todo o conhecimento sobre o funcionamento da infraestrutura alvo, sua segurança, topologia de rede, etc.

                Um pentest normalmente segue uma metodologia em comum, seguindo os passos de Reconhecimento, sendo eles: Coleta Inteligente, Footprinting, Human Recon, Verificação e Vitalidade.

  • Coleta Inteligente – Buscar conhecer tudo que for possível sobre o alvo;
  • Footprinting – Minerar o maior número de hosts e IPs (Internet Protocol) possíveis;
  • Human Recon – Analisar a perspectiva humana, buscando falhas neste que é o elo mais fraco;
  • Verificação – Confirmar validade das informações obtidas;
  • Vitalidade – Confirmar se os IPs obtidos são válidos.

               Após estes passos inicia-se a fase de Varredura e Listagem, onde efetivamente acessamos os sistemas efetuando os ataques, como phishing, criação de malwares, engenharia social, etc.

                A realização de um pentest deve ser autorizada pela equipe de segurança da empresa alvo e autorizada pela alta cúpula da empresa, bem como um bom contrato de trabalho, deixando claro o escopo e metodologia, por exemplo. Tudo para se evitar qualquer problema legal posteriormente. Um relatório deve ser entregue aos responsáveis com os resultados obtidos para que decidam como vão solucionar os problemas encontrados.

                É interessante para um profissional nesta área possuir no mínimo a certificação em hacking ético (CEH). Segundo o site Glassdoor, a média salarial de um profissional em segurança ofensiva era de R$5.000,00. Lembre-se de que é uma ramificação que permite trabalhos freelances, podendo aumentar sua renda média.

Forense

                A área de forense é bastante interessante para quem se interessa por investigações. O profissional de perícia forense inicia seus trabalhos sempre após um ato criminal, seja imediatamente após o delito, como num suposto suicídio onde o perito é chamado para avaliar o corpo da vítima, por exemplo, ou durante o devido processo legal. Um juiz não possui conhecimentos técnicos específicos para julgar sem antes consultar alguém especializado, então a figura do perito se torna muito importante para o processo, tendo em vista que sua função é dar materialidade a um fato, assim, suas decisões podem condenar ou inocentar uma pessoa.

                Conforme o artigo 155 do Código de Processo Penal:

“O juiz formará sua convicção pela livre apreciação da prova produzida em contraditório judicial, não podendo fundamentar sua decisão exclusivamente nos elementos informativos colhidos na investigação, ressalvadas as provas cautelares, não repetíveis e antecipadas.”.

               Num tribunal existem dois tipos de peritos, sendo eles o Perito Judicial e o Assistente Técnico:

  • O Perito Judicial trabalha para o juiz. Ele não possui qualquer lado, sua investigação deve ser imparcial fornecendo as provas necessárias para o juiz tomar suas decisões.
  • O Assistente Técnico trabalha para uma das partes. Ele será responsável por contestar as provas obtidas pelo Perito Judicial ou pelo Assistente técnico da outra parte, defendendo o seu lado.

               Um perito precisa ter uma bagagem de conhecimento bastante grande para realizar suas investigações, investindo não só em conhecimentos específicos para a área de atuação, como em crimes tecnológicos, mas também precisa conhecer bastante sobre o devido processo legal e as leis vigentes do país em que atua.

               Como dito, sua perícia pode condenar ou inocentar alguém. No exemplo do HABEAS CORPUS Nº 392.466 – CE (2017/0058452-1), onde líderes de uma facção criminosa foram libertos, pois o celular que fora utilizado como prova de seus atos foi apreendido sem autorização legal.

               Um perito forense pode ganhar em média R$14.000,00, podendo chegar a R$22.000,00 na esfera federal, por exemplo. É interessante para a área a obtenção de certificações como a ACE, EnCase e CCE, que com certeza podem garantir um conhecimento bastante interessante e uma possibilidade maior neste meio.

Gestão de segurança da informação

                Como já fora visto, a informação é um item muito importante para uma empresa. No ponto de vista corporativo existe a necessidade de amarrar todos os componentes que formam a segurança de modo a fazê-los funcionar em harmonia com todo o negócio da empresa, tendo em vista que Tecnologia da Informação é um setor de apoio que visa dar o suporte necessário para que os principais departamentos da empresa funcionem da melhor maneira.

               Desta forma, é necessário que as ações tomadas pelo setor de segurança da informação estejam de acordo com o objetivo da empresa. Para isso se faz necessário que haja o setor de Gestão de Segurança da Informação, responsável por criar um sistema que contemple as pessoas, os processos e os sistemas de informação (ISO 27001, 2013).

               A elaboração de um Sistema de Gestão de Segurança da Informação segue o ciclo PDCA (Plan, Do, Check, Act). A etapa de planejamento, por exemplo, aborda a criação do PDS (Plano Diretor de Segurança), componente importantíssimo, pois ele é quem fornece as orientações sobre como a empresa deve se portar em relação à segurança da informação.

               Em seguida, na etapa da execução é elaborado, por exemplo, a Política de Segurança, que vai ditar o que o empregado pode ou não fazer em relação aos ativos da empresa no que diz respeito à segurança, bem como ditar medidas corretivas em caso de descumprimento desta.

               Na etapa de verificação entrará a auditoria e em seguida, na etapa de ação melhorias serão implementadas e resultados comunicados à alta direção.

               A obtenção de certificações como ITIL e COBIT, por exemplo, é indispensável para esta área, tendo em vista seu papel mais gerencial e corporativo. O salário médio do Gerente de Segurança da Informação está na faixa dos R$12.000,00.

Conclusão

                De fato segurança da informação é uma área bastante interessante e com muitas oportunidades, principalmente agora com a chegada da Lei Geral de Proteção de Dados (LGPD), onde muitas empresas terão de se adequar as suas normas e consequentemente a demanda por profissionais da área crescerá muito.

                É de extrema importância que o estudante de segurança da informação seja autodidata, tendo em vista que o conteúdo a se estudar é extremamente denso e vasto. Pra cada área em que você pode atuar existe uma bagagem de conhecimento prévia necessária bastante grande, principalmente de conceitos mais primitivos, como matemática, lógica, protocolos, arquitetura de computadores, sistemas operacionais etc.

               Deve-se levar em consideração também a criação de novas tecnologias todos os dias, sejam elas softwares maliciosos como no caso de vírus ou mesmo ferramentas que possam facilitar um trabalho em específico, como o caso do Autopsy, este que é uma ferramenta extremamente interessante que organiza as ferramentas disponíveis do SleuthKit numa interface gráfica e ainda adiciona algumas outras.

                Não há um caminho fixo a se seguir na segurança da informação, o mais provável, entretanto, é que o interessado se torne um Estagiário e posteriormente Analista de Segurança da Informação, como já fora dito. Isto porque são cargos onde o estudante terá contato com a maioria das outras áreas, por vezes exercendo-as várias, mas de modo muito mais raso.

                Independente de qual área seguir, é bastante interessante avaliar a possibilidade de uma certificação como a CompTIA Security+, bem como estudar bastante sobre redes de computadores e sistemas operacionais.

               De certo é um conhecimento bastante interessante e que pode abrir muitas portas para quem quer ingressar na área. O conhecimento corporativo é indispensável, tendo em vista que na maioria dos casos o trabalho prestado é para uma empresa, conhecer então como uma funciona é certamente um diferencial.

Referências

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:2013: Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. Rio de Janeiro, 2005.

FAIRCLOTH, J. Penetration Tester’s Open Source Toolkit, Syngress, 2011.

GLASSDOOR, Média salarial de um analista de segurança da informação, disponível em: <https://www.glassdoor.com.br/Sal%C3%A1rios/security-pentesting-sal%C3%A1rio-SRCH_KO0,19.htm>. Acesso em: 11 de maio de 2020.

STJ – HC:392466 CE 2017/0058452-1, Relator: Ministro SEBASTIÃO REIS JÚNIOR, Data de Julgamento: 12/12/2017, T6 – SEXTA TURMA, Data de Publicação: Dje 12/03/2018).

2 Comments

Leave a Reply to Ruann Melgaço Cancel reply

Your email address will not be published. Required fields are marked *