Entidades orientadas `a Seguran¸ca Inform´atica

Existem tamb´em organiza¸c˜oes governamentais e empresas privadas, nacionais e internacionais, que se dedicam `a seguran¸ca da informa¸c˜ao:

CNPD: Autoridade Nacional de Controlo de Dados Pessoais, que funciona junto da Assembleia da Rep´ublica e em coopera¸c˜ao com autoridades de controlo e protec¸c˜ao de dados de outros estados. Tem a fun¸c˜ao controlar e fiscalizar o processamento de dados pessoais, em rigoroso respeito pelos direitos do Homem e pelas liberdades e garantias consagradas na Constitui¸c˜ao e na lei. http://www.cnpd.pt.

Policia Judici´aria (PJ): A PJ executa a maioria das investiga¸c˜oes no ˆambito de ataques e burlas inform´aticas. http://www.policiajudiciaria.pt.

Instituto Portuguˆes da Qualidade (IPQ): Organismo respons´avel, em Portugal, pelo desenvolvimento de actividades de Normaliza¸c˜ao, Metrologia e Qualifica¸c˜ao. ´E da sua responsabilidade a aprova¸c˜ao e disponibiliza¸c˜ao do Programa de Normaliza¸c˜ao (PN), bem como a aprova¸c˜ao e homologa¸c˜ao das Normas Portuguesas, possuindo liga¸c˜oes institucionais a organismos internacionais de normaliza¸c˜ao, como o Comit´e Europeu de Normaliza¸c˜ao (CEN), Comit´e Europeu de Normaliza¸c˜ao Electrot´ecnico (CENELEC), ou a ISO. http://www.ipq.pt.

Agˆencia Europeia para a Seguran¸ca das Redes e da Informa¸c˜ao (ENISA): Agˆencia Europeia que tem como fun¸c˜ao o aconselhamento e a coordena¸c˜ao das medidas tomadas pela Comiss˜ao Europeia e pelos Estados-Membros para proteger as suas redes e sistemas de informa¸c˜ao. http://www.enisa.europa.eu/.

Open Source Vulnerability Database (OSVDB): Base de dados criada por e para a comunidade de seguran¸ca, com o objectivo de fornecer informa¸c˜oes t´ecnicas precisas, detalhadas, actuais e imparciais sobre as vulnerabilidades de seguran¸ca, promovendo uma colabora¸c˜ao, mais aberta, entre empresas e utilizadores individuais, com vista a eliminar trabalhos redundantes, e reduzir as despesas inerentes ao desenvolvimento e manuten¸c˜ao de BDs de vulnerabilidades. http://osvdb.org/.

National Security Agency (NSA): Agˆencia de seguran¸ca integrada no robusto Departamento de Defesa Norte-Americano, e respons´avel pela SIGNIT (Signals intelligence), isto ´e, inteligˆencia obtida a partir de sinais, sendo dessa forma o maior n´ucleo de conhecimento em criptologia mundial. ´E supostamente a maior agˆencia de seguran¸ca do EUA e do mundo. http://www.nsa.gov/.

Instituto da Defesa Nacional (IDN): ´E tutelado pelo minist´erio da Defesa Nacional e respons´avel pelo estudo, investiga¸c˜ao e divulga¸c˜ao dos problemas da seguran¸ca e defesa nacional e internacional. http://www.idn.gov.pt.

CERT: Servi¸co de Resposta a Incidentes de Seguran¸ca Inform´atica que contribui para o esfor¸co de ciberseguran¸ca nacional na produ¸c˜ao de alertas e recomenda¸c˜oes de seguran¸ca e na promo¸c˜ao de uma cultura de seguran¸ca. http://www.cert.pt. Servi¸co de Informa¸c˜oes de Seguran¸ca (SIS): Servi¸co p´ublico, inserido no Sistema de Informa¸c˜oes da Rep´ublica Portuguesa (SIRP), incumbido da produ¸c˜ao de informa¸c˜oes de seguran¸ca destinadas a garantir a seguran¸ca interna e necess´arias a prevenir a sabotagem, o terrorismo, a espionagem e a pr´atica de actos que, pela sua natureza, possam alterar ou destruir o Estado de direito constitucionalmente estabelecido, incluindo ataques de natureza inform´atica. http://www.sis.pt. Center for Education and Research in Information Assurance and Security (CERIAS): ´E visto como um dos principais centros do mundo de ensino e pesquisa na ´area de seguran¸ca da informa¸c˜ao. A sua abordagem multidisciplinar aos problemas vai desde quest˜oes puramente t´ecnicas at´e quest˜oes ´eticas, jur´ıdicas, educacionais, comunicacionais, lingu´ısticas e econ´omicas. http://www.cerias.purdue.edu/. Information Systems Security Association (ISSA): ´E uma associa¸c˜ao dedicada a fornecer servi¸cos `a comunidade de seguran¸ca da informa¸c˜ao, tal como promover a sua amplia¸c˜ao de conhecimentos e competˆencias nesse dom´ınio, incentivar o livre intercˆambio de t´ecnicas de seguran¸ca, abordagens e resolu¸c˜ao de problemas, entre outros. http://www.issa.int/.

4

Gest˜ao do Risco

´

E praticamente imposs´ıvel abordarmos a tem´atica da seguran¸ca da informa¸c˜ao sem nos depararmos com termos como Gest˜ao do Risco ou An´alise de Risco. De

facto, ambos os conceitos encontram-se intimamente relacionados com o processo de Gest˜ao da Seguran¸ca da Informa¸c˜ao, nomeadamente ao n´ıvel organizacional, constituindo aspectos determinantes para a escolha das medidas e controlos de seguran¸ca a implementar, de acordo com as necessidades e objectivos espec´ıficos destas entidades, no que concerne `a garantia da manuten¸c˜ao da confidencialidade, integridade, autenticidade e disponibilidade da sua informa¸c˜ao cr´ıtica de neg´ocio. Neste ˆambito, a gest˜ao de risco ´e definida:

• Por Krause (2008) e Whitson (2003), como um vasto conjunto de pr´aticas e procedimentos com car´acter c´ıclico, definidas pelas seguintes etapas:

– Identifica¸c˜ao de informa¸c˜ao cr´ıtica;

– An´alise e c´alculo do risco, com base no valor da informa¸c˜ao cr´ıtica, e na probabilidade do impacto que a concretiza¸c˜ao de amea¸cas;

– Planifica¸c˜ao, implementa¸c˜ao, monitoriza¸c˜ao e controlo das medidas de seguran¸ca a adoptar.

• No estudo dePimenta(2005), como um processo detalhado de identifica¸c˜ao de factores que podem contribuir para danificar ou revelar informa¸c˜ao confidencial. • Na norma ISO/IEC 13335, como um processo que consiste na identifica¸c˜ao,

controlo, elimina¸c˜ao ou minimiza¸c˜ao de certos eventos que possam afectar os recursos de um sistema.

ORisco, por sua vez, segundo a norma ISO/IEC 13335, define-se como o potencial

de determinadas amea¸cas explorarem vulnerabilidades de um ou mais recursos do sistema causando danos a uma organiza¸c˜ao.

No cap´ıtulo 3 foram apresentadas v´arias fontes de vulnerabilidades de sistema, as amea¸cas que s˜ao pass´ıveis de serem concretizadas a partir da explora¸c˜ao das mesmas e as contra-medidas que podem prevenir e/ou minimizar essas amea¸cas.

Visto isto, o Risco pode ser apresentado como a manipula¸c˜ao pr´atica destas 3

vari´aveis, segundo a formula matem´atica:

Risco= Ameacas ∗ V ulnerabilidades ContraM edidas ´

E f´acil provar a veracidade desta equa¸c˜ao:

Cada vulnerabilidade de um determinado recurso implica obrigatoriamente, pela sua explora¸c˜ao, a existˆencia de uma ou mais amea¸cas. Logo se as vulnerabilidades aumentam, aumentam tamb´em as amea¸cas, o que consequentemente faz aumentar o risco de ocorrˆencia de um incidente de seguran¸ca nesse recurso.

No denominador da equa¸c˜ao temos as contra-medidas numa rela¸c˜ao inversamente proporcional `as restantes vari´aveis. Logo, se aumentarmos as contra-medidas de protec¸c˜ao do recurso, na pr´atica estamos a eliminar vulnerabilidades, diminuindo assim o n´umero de amea¸cas. Desta forma, matematicamente, estamos a aumentar o valor do denominador e a diminuir o valor do numerador, n˜ao necessariamente na mesma propor¸c˜ao, levando a que o valor do risco diminua consideravelmente. Esta equa¸c˜ao, na minha opini˜ao, ´e perfeita para descrever o processo de Gest˜ao do Risco, pois atrav´es dela ´e poss´ıvel visualiza-lo e perceber-lo atrav´es da manipula¸c˜ao das vari´aveis que nele intervˆem. Por´em, na pr´atica este revela-se bem mais complexo.

4.1

Processo de Gest˜ao de Risco

O processo de gest˜ao de risco (figura 4.1) tem por objectivo minimizar o risco de incidente de seguran¸ca a que um SI est´a sujeito.

SegundoPimenta(2005) esse processo inclui as seguintes fases: an´alise e classifica¸c˜ao do risco, planeamento e selec¸c˜ao de controlos, implementa¸c˜ao e avalia¸c˜ao.

Figura 4.1 – Processo de Gest˜ao de Risco (Fonte:Pimenta (2005))