Análise de Risco na Segurança da Informação

Advogado, Mestre em Direito (IMED).
Analista Judiciário do Tribunal Regional Eleitoral do Rio Grande do Sul, Mestre em Direito (IMED)
Analista de Sistemas, Especialista em Gestão de Sistemas de Informação (FAE). Professor de Auditoria e Segurança de Informação
No original: "[...] protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide—
(A) integrity, which means guarding against improper information modification or destruction, and includes ensuring information nonrepudiation and authenticity;
(B) confidentiality, which means preserving authorized restrictions on access and disclosure, including means for protecting personal privacy and proprietary information; and
(C) availability, which means ensuring timely and reliable access to and use of information."
Devido ao seu nome em inglês: Confidentiality, Integrity, e Availability.
Controlador Lógico Programável, computadores utilizados para o controle de maquinario industrial em sistemas SCADA ou DCS.
No original: "The design artifacts that describe how the security controls (= security countermeasures) are positioned, and how they relate to the overall IT Architecture. These controls serve the purpose to maintain the system's quality attributes, among them confidentiality, integrity, availability, accountability and assurance".
Análise de Risco na Segurança da Informação
Cassiano Calegari
Rafael Copetti
Éderson Tiago Szlachta


RESUMO: Segurança da informação constitui um tema de crescente relevância na sociedade informatizada. Conforme a humanidade vem se tornando dependente de bancos de dados, tanto na esfera pública, quanto nas empresas e serviços privados, salvaguardar a informação se torna uma prioridade. O presente capítulo analisará a segurança da informação, as principais ameaças à integridade dos dados e técnicas de segurança. Os métodos utilizados para tanto são o dedutivo e monográfico e a técnica de pesquisa é a bibliográfica.
Palavras-chave: Segurança de dados; segurança da Informação; malware; bancos de dados; análise de risco.
Introdução
Com a evolução da teoria da informação, foi possibilitado o armazenamento e transmissão de dados em escalas nunca antes imaginadas ou planejadas. Um computador doméstico é capaz de armazenar mais dados que qualquer biblioteca que se tem registro desde o início da história.
A facilidade no armazenamento e transmissão da informação gerou uma espécie de "fetiche" da sociedade moderna pelo acúmulo de dados. Armazenar informação se tornou tão barato que o simples risco de perde-la não compensa a facilidade de se arquivar qualquer dado, desde fotos e vídeos, registros de acesso e utilização, mensagens até padrões de comportamento de usuários.
Este acumulo de informação, seja pelo próprio usuário ou nos servidores externos, resulta na necessidade de se garantir sua segurança e integridade perante terceiros. Em um mundo onde toda e qualquer ação é registrada por dispositivos eletrônicos que vão desde câmeras até logs de acesso nos servidores e provedores de internet, a segurança desta informação se torna um assunto particularmente sensível, estando diretamente relacionada com a privacidade e intimidade do indivíduo.
No presente capítulo será analisada o cenário atual da segurança da informação, as principais ameaças à privacidade e integridade de dados e os principais meios de proteção da informação.
Segurança da Informação: uma visão geral
A legislação americana define segurança da informação como

[...] proteger a informação e sistemas de informação de acesso não autorizado, utilização, divulgação, interrupção, modificação ou destruição, a fim de fornecer
(A) integridade, que significa proteção contra modificação informações impróprias ou destruição, e inclui a garantia de não-repúdio à informação e autenticidade;
(B) a confidencialidade, que significa preservar restrições autorizadas de acesso e divulgação, incluindo meios para proteger a privacidade pessoal e informações próprias; e
(C) a disponibilidade, que significa garantir o acesso oportuno e de confiança e uso da informação. (CORNELL UNIVERSITY)

Os diversos elementos que compõem um sistema seguro são normatizados pela ISSO/IEC 17799:2005 elaborada pela Comissão de Estudo de Segurança Física em Instalações de Informática (CE-21:2-4.01), abrangendo gestão da segurança da informação, gestão de riscos, métricas e medidas e diretrizes para implementação e pela ISO 27000.
Cumpre salientar que a segurança da informação está diretamente relacionada com a análise de risco. Desta forma, o grau de segurança razoável para um sistema é diretamente proporcional à sensibilidade da informação armazenada. Ao implementar medidas de segurança da informação é analisado o prejuízo financeiro potencial resultante de um vazamento ou comprometimento dos dados para justificar o investimento. Desta forma, quanto maiores for o prejuízo potencial e as chances de dano à informação, maior será o investimento para garantir sua integridade. (INTERNATIONAL ELECTROTECHNICAL COMMISSION)
O dano à informação é composto pela ameaça aos dados somada a uma vulnerabilidade do sistema. A não ocorrência de qualquer destes fatores (ameaça ou vulnerabilidade) resulta em um risco de dano inferior (LANGNER, 2012).

Ameaça + Vulnerabilidade incidente

Quanto maior for a ameaça, ou seja, o interesse na destruição ou aquisição da informação, maior será o risco da ocorrência do dano. Da mesma forma, o grau de vulnerabilidade do sistema influencia nas chances de um incidente. Nenhum destes fatores jamais é zero. Um sistema não pode ser completamente imune a ataques, da mesma forma nenhum sistema é totalmente imune a ameaças, mesmo que incidentais.
O que pode ocorrer é que o nível de segurança de um sistema pode ser elevado ao ponto de que as chances de um incidente são muito pequenas, ou o nível de ameaça, seja pelos dados serem irrelevantes, seja pelo isolamento daquele sistema específico, ser muito baixa. Estes cenários devem ser sopesados no momento de se justificar um investimento na segurança da informação e seu montante.
Da possibilidade de um incidente remetem-se três cenários. Um em que não há um efetivo ataque ao sistema e o prejuízo é zero. Outro em que há um ataque e o prejuízo econômico é de X valor e um terceiro em que o investimento em segurança Y foi capaz de evitar um prejuízo X. Sendo o valor de Y significativamente inferior a X, o investimento é sustentável e vantajoso para a empresa.



Esta análise é chamada de modelo financeiro do risco. Em que o investimento é justificado pelo prejuízo potencial de um evento e a chance da sua ocorrência. Constitui a forma mais comum de justificar investimentos em segurança no setor privado.
Em algumas áreas esta análise não se aplica, como infraestrutura de risco (distribuição de energia elétrica, agua, hospitais), serviços relacionados à defesa nacional, diplomáticos e administração pública em geral. A lógica aplicada em serviços críticos ou no Poder Público deve ser pela proteção de dados independente de eventuais prejuízos financeiros para salvaguardar a população e seus direitos fundamentais.
Desta forma, mesmo que um ataque a um fórum não resulte em um prejuízo financeiro para o Poder Judiciário, os dados dos processos devem ser protegidos para evitar a exposição de dados particulares ou eventual dano a direitos de terceiro ou das próprias partes interessadas.
No setor privado, a segurança da informação sempre está diretamente relacionada com uma análise de risco, porém existem situações em que é de interesse público interferir no resultado desta análise. Suponhamos que uma loja tenha seu banco de dados de clientes, incluindo informações de cobrança, comprometidos por um ataque.
Não se tratando de um ataque destrutivo, o prejuízo para a loja é relativamente pequeno, relacionado apenas ao prejuízo à sua imagem. Entretanto o prejuízo aos clientes, que tiveram seus dados bancários comprometidos, tende a ser muito maior.
Pelo modelo financeiro do risco, um investimento em segurança da informação significativo não se justificaria apenas pelo prejuízo à imagem da empresa. Desta forma é necessário interferir na avaliação para salvaguardar os dados dos consumidores, impondo sanções e políticas públicas que se resultem em um prejuízo econômico maior para a empresa, possibilitando uma análise de risco que justifique um investimento maior na proteção de dados de seus clientes.
Portanto, definimos a análise de risco para investimentos em segurança da informação para empresas privadas em:

α+ β+ γδ > ε

Onde "α" representa o prejuízo econômico causado por um possível ataque; "β" representa o prejuízo à imagem da empresa; "γ" representa as custas resultantes de processos judiciais e multas geradas pelo incidente; "δ" representa o risco de um ataque; "ε" representa o investimento em segurança da informação justificado pelo risco.
Ao aplicar o mesmo modelo a órgãos públicos é possível perceber que a primeira parte da equação dificilmente justificaria investimentos significativos em segurança, visto que o prejuízo à imagem e sanções judiciais não se aplicariam nesta categoria. Portanto, avaliar o montante de investimento se torna problemático, é muito difícil quantificar o prejuízo sofrido com o vazamento de dados.
Pode-se argumentar que a parte econômica da equação poderia ser substituída pelo risco da violação de direitos fundamentais ou por prejuízos colaterais gerados por esta violação, entretanto estes constituem valores abstratos e de apuração quase impossível, resultando em duas alternativas lógicas: Não investir em segurança, uma vez que é muito difícil quantificar os efeitos da sua violação ou investir em segurança com o pretexto de que a mera violação de direitos fundamentais já justifica o investimento, independente de um eventual prejuízo econômico.
Ambas as posturas são logicamente justificáveis, entretanto, no modelo jurídico brasileiro, a segunda pareça mais adequada. A indenização por eventuais danos causados por ataques a bancos de dados públicos se fundamenta na Teoria do Risco Criado da responsabilidade da administração pública. Nesta teoria o Estado é responsável pelas situações de risco que criar, devendo indenizar danos resultantes delas.
Ao criar bancos de dados de processos judiciais, o Estado está criando uma situação de risco para ataques e outros eventos que venham a prejudicar os particulares cujos dados constam no banco. Desta forma terá não apenas o dever de indenizar por eventuais danos, mas o dever de salvaguardar estes dados independente do custo necessário.
Conceitualmente, a segurança da informação, em sua concepção clássica, é composta por três aspectos conhecidos como "CIA Triad": confidencialidade, integridade e disponibilidade. (PERRIN, 2008). Confidencialidade trata da não disponibilização dos dados a terceiros não autorizados; integridade refere-se à garantia de precisão e plenitude dos dados e disponibilidade à acessibilidade de informação quando necessária.
Comprometer qualquer elemento desta tríade resulta em uma violação à segurança, seja obtendo dados indevidos, alterando/danificando a informação ou tornando o sistema inacessível. Sua manutenção constitui, portanto, o objetivo da implementação de técnicas de segurança.
Um conceito trazido de meios legais para a segurança da informação, que se enquadra dentro da integridade, é o de não repúdio dos dados e comunicações. Este visa a garantia de que as partes envolvidas em uma comunicação receberam a transação de uma forma que nenhuma das partes possa negar ter enviado ou recebido os dados. Trata-se de um conceito implicitamente relacionado à criptografia e sistemas de assinatura e certificação digital, baseado em uma tradução de elementos judiciais analógicos, como Avisos de Recebimento e Citações Judiciais, para o meio digital (MCCULLAGH, 2000).
O não repúdio abrange garantir que não houve fraude durante uma comunicação e que as duas partes a aceitaram de forma inequívoca e segura sem a necessidade de verificação humana, utilizando criptografia de chaves públicas.
No presente capítulo serão analisadas as principais ameaças e métodos de segurança que possibilitam a redução ou anulação do dano causado à informação de particulares e pública.
Ameaças e vetores de ataque à informação
Constituem ameaças ou incidentes, qualquer evento que possa resultar em prejuízo para a tríade (confidencialidade, integridade e disponibilidade) de um sistema, seja ele intencional ou acidental. Desta forma, a segurança da informação não abrange apenas eventos humanos, mas também eventuais eventos naturais que possam prejudicas direta ou indiretamente os dados.
As ameaças intencionais são comumente classificadas pelo grau de sofisticação de seu agente e vetor e ataque. O grau se sofisticação costuma ser dividido em quatro categorias: nenhum, novato, intermediário e expert (GRAGIDO e PIRC, 2011, p. 117). O primeiro grupo abrange usuários comuns, sem conhecimentos específicos acerca de ataques cibernéticos, estes normalmente disseminam malwares sem sequer ter conhecimento que o estão fazendo, tendo sido seu computador infectado por um malware que se propaga automaticamente ou através de malwares que utilizam engenharia social.
Novatos, conhecidos pejorativamente como Script KIiddies, assim como os agentes do primeiro grupo, não possuem conhecimentos técnicos significativos, porem utilizam ferramentas prontas para atacar suas vitimas. Embora este grupo não possua qualquer grau de sofisticação, não representando perigo para sistemas com algum grau de segurança, eles são responsáveis por grande parte dos ataques em usuários comuns devido ao grande número de agentes nessa categoria. Seu modo de operação consiste em explorar vulnerabilidades amplamente conhecidas em sistemas sem a devida segurança, se aproveitando da ignorância de suas vítimas.
Os agentes de nível Intermediário, entretanto, possuem habilidades especificas representando verdadeiros agentes e mentores no mundo cibernético. Tais agentes costumam utilizam seus conhecimentos para ganhar dinheiro através da internet. Possuem conhecimentos em programação e são capazes de, através de engenharia reversa, modificar malwares complexos para atingir seus objetivos.
No topo da pirâmide estão os experts, constituindo os agentes mais sofisticados em seu ramo. Estes se encontram normalmente empregados por organismos governamentais, grandes empresas multinacionais, como a Symantec, ou grupos ciberterroristas. Estes agentes possuem conhecimento não apenas de programação, mas de hardware, e são capazes esconder sua identidade em meios virtuais (GRAGIDO e PIRC, 2011, p. 117).
No tocante aos grupos específicos de agentes, vale salientar dois tipos de hackers, os hacktivists, que tem ganho bastante espaço na mídia em função do grupo Annonymous, e os Patriot Hackers. Os primeiros tratam-se de hackers que utilizam suas habilidades para defender um determinado ponto de vista moral, no tocante ao grupo Annonymous, a liberdade de informação. Porem estes agentes utilizam meios criminosos para realizar suas reinvindicações, como os ataques a diversos websites de instituições bancarias, incluindo o Banco Itaú́, HSBC e Banco Central que ocorreram em 2012 sob autoria do Annonymous (OLIVEIRA, 2012). Já́ Patriot Hackers, como o nome indica, são hackers que agem apoiando um Estado, não necessariamente financiados pelo país, mas seus atos são motivados por ideais nacionalistas (ANDRESS e WINTERFELS, 2011, p. 197).
Em relação à sofisticação do vetor de ataque, esta se divide em duas categorias (Tier 2 e Tier 1) determinadas por sua complexidade, seu estudo constitui um tópico importante pois os rastros e danos de um ataque realizado por um agente expert são muito diferentes daqueles realizados pelas outras categorias de agentes (GRAGIDO e PIRC, 2011, p. 118)
A primeira, Tier 2, engloba ataques não cinéticos, ou seja, que ocorrem totalmente em meios virtuais. Um grande exemplo deste tipo de categoria é a Operação Aurora, contra o Google. Os agentes que conduziram o ataque exploraram várias falhas conhecidas para realiza-lo, entre elas a já referida falha de segurança do navegador internet explorer. Ataques Tier 2 normalmente possuem vários vetores de ataque, como foi o caso do Aurora, que além da disseminação inicial pelo navegador utilizou rootkits para escalar a hierarquia de privilégios dos servidores da Google.
A segunda categoria, Tier 1, inclui ataques cinéticos e não cinéticos, ou seja, podem ocorrer fisicamente ou por meios cibernéticos. Ataques Tier 1 constituem os ataques cibernéticos mais sofisticados, raramente chegando ao conhecimento da população em geral. Estes normalmente visam redes chamadas de air gapped, redes fisicamente, eletronicamente e eletromagneticamente isoladas do meio externo, ou seja, da internet, ou redes tidas como de alta segurança, como as redes da indústria de energia ou de alguns órgãos do governo federal, como o Banco Central.
Em 2007, o americano Idaho National Laboratory conduziu um experimento chamado de Aurora Test, no qual criaram um código malicioso que, ao ser injetado em um sistema SCADA especialmente criado para o teste, resultou na explosão dos geradores ligados ao sistema. O objetivo do teste foi justamente testar o conceito de arma cibernética, utilizando um malware para realizar ataques cinéticos à infraestrutura crítica, ou seja, causar dano físico a uma instalação.
Os principais exemplo de ataque Tier 1 são os malwares Stuxnet e Flame, que constituíram um ataque cinético realizado pelo governo americano em parceria com o Serviço de Inteligência israelense (Mossad) na operação Olympic Games que teve inicio em 2008 e durou até 2012, visando causar dano físico às centrifugas de enriquecimento de uranio de Natanz (Irã) através do envio de códigos maliciosos para seus CLPs atrasando o programa nuclear iraniano. (SANGER, 2012).
Ataques não intencionais ou acidentais incluem questões de caso fortuito, força maior ou negligência pela manutenção do sistema. Estão enquadrados neste grupo os danos causados por descargas elétricas, destruição acidental de equipamento ou dano decorrente da degradação por uso devido ou indevido dos componentes de um sistema de computadores.
As ferramentas utilizadas nos ataques intencionais são chamadas de malwares, do inglês malicious software. Constituindo programas desenvolvidos com o intuído de se apropriar, danificar ou impossibilitar o acesso a dados, seja causando danos físicos ou lógicos ao sistema alvo.
Dentre os malwares, os mais populares são os vírus e worms. Vírus na informática é um termo utilizado para denominar um software que infecta arquivos legítimos, comumente executáveis, para ser transmitido sem ser detectado. Worms são malwares autônomos capazes de se auto replicar e infectar sistemas a partir de seu alvo.
Outras categorias comuns de malwares comuns são: Cavalos de Tróia, Rootkits, Ransomwares, Spywares, Adwares e Keyloggers. Cumpre salientar que a classificação de malwares não é exclusiva, ou seja, é possível que malwares se enquadrem em mais de um grupo, de acordo com suas funções e meios de disseminação.
Cavalos de Tróia tratam-se de uma categoria ampla, abrangendo qualquer software malicioso que engane o usuário a pensar que se trata de um programa com função diversa, nos moldes da lenda grega. É comum que Cavalos de Tróia sejam escondidos em softwares comuns, confiáveis e plenamente funcionais, executando o código malicioso sem o conhecimento do usuário, em segundo plano.
Rootkits são ferramentas que utiliza falhas de segurança para possuir acesso a partes restritas do sistema normalmente utilizadas em conjunto com outros malwares. O uso mais comum de Rootkits é adquirir privilégios de administrador do sistema, permitindo a alteração irrestrita do mesmo.
Dentre estas, Ransomwares são a modalidade mais recente de malwares. Constituindo softwares que utilizam criptografia para sequestrar dados do sistema afetado. O Ransomware codifica os dados do alvo exigindo uma senha para a reversão do código. Esta senha só pode ser adquirida mediante pagamento de um resgate para a organização criminosa que criou o malware.
A crescente popularidade dos ransomwares se deve à facilidade de monetizar sobre o ataque (imagem 1). Segundo estudo da Symantec, o resgate médio para a recuperação de dados em 2016 é de US$ 679,00 (SYMANTEC, 2016), resultando em um prejuízo de US$ 209 milhões para empresas e particulares nos Estados Unidos durante o primeiro trimestre de 2016 (FINKLE, 2016).


Imagem 1 – Número de novos ransomwares descobertos por quadrimestre
ALEXANDER GOSTEV, 2016

Spywares são programas que coletam informações sobre o sistema alvo sem o consentimento do usuário. Estes podem ser utilizados com diversas finalidades, desde marketing direcionado, coletando padrões de consumo, até extorsão e coleta de senhas e informações bancárias.
Adwares constituem programas que exibem propagandas indesejadas ao usuário com o intuito de gerar lucros para o seu criador. A publicidade pode ser exibida durante o uso do software, durante sua instalação ou permanentemente, sem a utilização do software, afetando outros programas ou constituindo um processo autônomo. Adwares muitas vezes são utilizados em conjunto com softwares gratuitos legítimos, como uma forma de recuperar os investimentos de desenvolvimento.
Por fim, keyloggers tratam-se de softwares que capturam as teclas pressionadas no teclado pelo usuário ao utilizar um computador. Estes podem ser programas instalados no computador da vítima ou mecanismos externos presentes em teclados adulterados ou conectados entre o teclado e o computador alvo.
O cenário atual é caracterizado por uma grande popularização dos ransomwares, constituindo o vetor mais comum de ataque em 2015 e na primeira metade de 2016 (imagem 2).


Imagem 2 – Expansão dos ransomwares comparado a outros meios de ataque.
SYMANTEC, 2016

Outra tendência observada é o aumento nas ameaças a sistemas móveis, principalmente smartphones. As vulnerabilidades encontradas nestes sistemas sofreram um aumento de 214% entre 2013 e 2015 (imagem 3).


Imagem 3 – vulnerabilidades e famílias de malwares em dispositivos móveis.
SYMANTEC, 2016

Ferramentas e técnicas de segurança de dados
Inicialmente, cumpre salientar que a segurança da informação não se refere apenas à proteção de dados em computadores domésticos, mas em qualquer dispositivo com processador e memória que possa ser definido como um computador. Abrangendo desde smartphones até Controladores Lógicos Programáveis (CLPs) que controlam e monitoram o maquinário em indústrias.
O objetivo da implementação de métodos de segurança da informação é proteger confidencialidade, integridade e disponibilidade dos dados. Desta forma é possível assegurar a funcionalidade normal do sistema e privacidade dos dados armazenados.
Diversos padrões foram elaborados para certificar a segurança de sistemas, dentre os principais estão aqueles da International Organization for Standarization (ISO): ISO 15443 (Information technology - Security techniques - A framework for IT security assurance); ISO 20000 (Information technology - Security techniques - Code of practice for information security management). ISO/IEC 27002 (Information technology - Security techniques - Code of practice for information security management) e ISO/IEC 27001 (Information technology - Security techniques - Information security management systems – Requirements). Outros padrões relevantes incluem o US Federal Information Processing Standard (FIPS) elaborado pelo National Institute of standards and Technology (NIST) e Site Security Handbook elaborado pelo The Internet Society; Standards of Good Practice do Information security Forum.
Adequação a estes padrões é denominada compliance, constituindo uma forma de elidir a responsabilidade de empresas privadas por eventuais danos à informação ou sua disponibilidade. Deve-se observar que o mero cumprimento das normas previstas em uma ISO não é suficiente para tornar um sistema seguro contra ataques, visto que compliance é meramente a implementação determinadas práticas de segurança, sem especificar sua qualidade ou adequação às necessidades específicas de cada sistema.
A implementação de padrões de segurança em empresas privadas tende a resultar na mera adequação a uma ISO, comumente a ISO 27001, da forma mais barata possível. O objetivo acaba não sendo a segurança do sistema, mas elidir eventual responsabilidade judicial resultante de ataques ou danos, anunciar a adequação à ISO e desfrutar de eventuais benefícios tributários ou em licitações pela adequação ao padrão.
Além disso, os padrões são uma espécie de manual ao contrario para invasores, que já sabem quais vetores de ataque estão seguros pela implementação da ISO e podem partir diretamente para aqueles que não estão previstos na normativa. Desta forma, recomenda-se um enfoque na segurança do sistema para cada caso e configuração e não a mera adequação aos padrões internacionais. ISOs devem ser utilizadas apenas como um ponto de partida na criação de um plano de segurança efetivo.
O planejamento da segurança de um sistema depende da espécie de incidente a ser evitado. Segurança contra incidentes intencionais é diversa daquela contra incidentes não intencionais ou eventos naturais. Se há alguém deliberadamente tentando danificar os dados, protege-los requer medidas significativamente mais complexas e caras.
A segurança contra eventos não intencionais é mais simples e consiste essencialmente em redundância: Construir cópias físicas e infraestrutura emergencial para suportar o sistema e garantir a integridade dos dados. O nível de redundância depende da importância dos dados a serem salvaguardados.
Para dados críticos é razoável a existência de cópias físicas dos arquivos em locais físicos diversos e sistemas de servidores redundantes para garantir a acessibilidade do sistema em caso de emergência. Em sistemas que armazenam dados de menor relevância, como em computadores residenciais ou pequenas empresas, o simples arquivamento periódico de cópias dos arquivos (backup) costuma ser suficiente.
Em se tratando de ataques intencionais existe uma série de medidas que tendem a dificultar ou impossibilitar determinados vetores de ataque. Deve-se salientar que nenhum sistema pode ser perfeitamente seguro, ao investir em segurança se está aumentando os requisitos de conhecimento técnico do invasor a um ponto em que não seja vantajoso investir o tempo e habilidade necessários para superar as proteções.
O método mais eficaz de se segurança é projetar o sistema ou software desde sua concepção para ser o mais seguro possível, limitando privilégios e criptografando os dados armazenados, uma técnica chamada de Security by design. Trata-se, entretanto, de um modelo que aumenta significativamente os custos de desenvolvimento e planejamento do sistema e é mais comum que empresas lidem com sistemas ou softwares que já se encontram prontos e à venda no mercado, sendo mais custoso ou impossível projetar novamente toda a infraestrutura física ou lógica.
Uma técnica mais comum e prática é implementar métodos de segurança na infraestrutura a ser protegida. Reorganizando o sistema para evitar acessos externos ou indevidos de agentes sem os devidos privilégios. Estes métodos englobam:
Os artefatos de design que descrevem como os controles de segurança (= contramedidas de segurança) são posicionados, e como eles se relacionam com a arquitetura global de TI. Estes controles servem o propósito de manter os atributos de qualidade do sistema, entre eles a confidencialidade, integridade, disponibilidade, responsabilidade e segurança. (OPEN SECURITY ARCHITECTURE, 2016)
A Segurança da Informação compreende principalmente medidas de segurança preventivas, visando evitar ou dificultar ataques. Dentre elas, as principais técnicas são Firewalls, Controles de Acesso, Criptografia e Intrusion Detection Systems.
Firewalls constituem a medida de segurança mais amplamente utilizada, constituindo sistemas que monitoram o tráfego de entrada e saída de um determinado dispositivo ou rede baseado em regras predeterminadas. Estas podem ser implementadas em um equipamento específico ou através de programas no computador a ser protegido.
O uso mais comum de Firewalls é proteger os computadores de uma rede local de ataques externos vindos da internet. Para isso normalmente são utilizados equipamentos específicos que realizam o roteamento da rede e filtragem dos dados buscando por tráfego malicioso ou indevido.
Controles de acesso englobam regras e restrições de acesso a determinados locais ou conteúdos físicos ou digitais. Dentre os controles de acesso físicos estão medidas de segurança como portas trancadas, catracas que exigem credenciais. Controles digitais incluem senhas, sistemas biométricos, credenciais físicas para desbloquear o acesso a computadores e técnicas secretas para acessar determinados conteúdos.
Criptografia na segurança da informação se refere à codificação dos dados e comunicações, normalmente utilizando chaves assimétricas. Uma boa prática de segurança é garantir a criptografia comunicações de ponta a ponta e dos dados de clientes armazenados em servidores.
É comum que dados sensíveis sejam criptografados, como informações bancárias, porém outros dados, como informações cadastrais, tendem a ser deixados desprotegidos. Isso normalmente resulta do interesse da empresa em analisar e processar constantemente estes dados com o intuito de gerar relatórios de uso de seus produtos ou publicidade direcionada aos usuários.
Intrusion Detection Systems (IDS) são dispositivos que monitoram o tráfego de uma rede buscando atividade maliciosa. Atividades suspeitas verificadas pelo IDS são reportadas ao administrador da rede. Muitos softwares de anti-virus possuem uma função de IDS, porém a forma mais eficaz de implementação constitui na instalação de um dispositivo específico com esta finalidade na rede a ser protegida.
IDS, ao contrario dos firewalls, são sistemas de alarme que requerem a análise e ação do administrador do sistema. Isso possibilita que o IDS analise mais profundamente as ameaças buscando padrões de comportamento maliciosos com um risco menor de acabar bloqueando informações legítimas.
Independente da sofisticação de um sistema de segurança, sua eficácia está indispensavelmente condicionada ao comportamento de seus usuários. O ponto mais importante e sensível de qualquer sistema são seus operadores e a maioria das ameaças à informação podem ser prevenidas com treinamento adequado e uma hierarquia precisa de acessos.
Conclusão
Segurança da informação é tema de crescente relevância no cenário atual. A evolução tecnológica transformou a humanidade acumuladores compulsivos de dados e a proteção desses dados, tanto contra agentes mal intencionados, quanto contra danos acidenteis, constitui uma prioridade para manter o modo de vida proporcionado pela internet.
Esta proteção só pode ocorrer através do conhecimento dos riscos e necessidades específicas de cada sistema. Uma boa avaliação de risco constitui o primeiro passo na construção de um plano de segurança efetivo e sustentável, possibilitando compreender o escopo ideal do projeto e estabelecer os custos a serem investidos.
A simples adequação a normas e padrões se segurança não torna um sistema imune a ataques. Compreender as ameaças e contramedidas de segurança permite conscientizar o usuário do sistema a atuar de forma preventiva. A melhor forma de defesa é, ainda, manter as portas fechadas e se assegurar de que todos aqueles a adentrar são conhecidos e confiáveis, seja no mundo físico, seja no ciberespaço.
Independente da sofisticação e segurança do sistema, o elo mais fraco da corrente sempre é o usuário e a melhor ferramenta de segurança é o conhecimento.
Referências

ALEXANDER GOSTEV, R. U. M. G. D. M. A. I. IT threat evolution in Q1 2016. Secure List, 2016. Disponivel em: . Acesso em: 2016 out 27.
ANDRESS, J.; WINTERFELS, S. Cyber Warfare. Waltham: Syngress, 2011.
BARRETO, R. N. A guerra como meio de solucionar conflitos internacionais. Âmbito Jurídico, 2007. Disponivel em: . Acesso em: 31 jul. 2014.
BHATTACHARJEE, Y. How a Remote Town in Romania Has Become Cybercrime Central. Wired, 2011. Disponivel em: . Acesso em: 31 jul. 2014.
BLUM, J. Hackers Target U.S. Power Grid. The Washington Post, 2005. Disponivel em: . Acesso em: 31 jul. 2014.
COLEMAN, K. Hezbollah's Cyber Warfare Program. Defense Tech, 2008. Disponivel em: . Acesso em: 31 jul. 2014.
CORNELL UNIVERSITY. 44 U.S. Code § 3542 - Definitions. Legal Information Institute. Disponivel em: . Acesso em: 2016 out 22.
ENGEBRETSON, P. The Basics of Hacking and Penetration Testing. Waltham: Syngress, 2011.
ENGELFRIET, A. TOR: The Onion Router. Ius mentis, 2006. Disponivel em: . Acesso em: 31 jul. 2014.
FALLIERE, N.; O MURCHU, L.; CHIEN, R. W32.Stuxnet Dossier. Symantec, 2011. Disponivel em: . Acesso em: 31 jul. 2014.
FINKLE, J. Ransomware: Extortionist hackers borrow customer-service tactics. Reuters, 2016. Disponivel em: . Acesso em: 2016 out 27.
GRAGIDO, W. Suversive Multi-Vector Threats. Cassandra Security, 2009. Disponivel em: . Acesso em: 2 jul. 2012.
GRAGIDO, W.; PIRC, J. Cybercrime and Espionage. Waltham: Syngress, 2011.
INTERNATIONAL ELECTROTECHNICAL COMMISSION. Risk. International Electrotechnical Commission. Disponivel em: . Acesso em: 2016 out 26.
LANGNER, R. Robust Control System Networks: How to achieve reliable control after stuxnet. Nova Iorque: Momentum Press, 2012.
LEVY, P.; LEMOS, A. O futuro da internet: em direção a uma ciberdemocracia planetária. São Paulo: Paulus, 2010.
LEWIS, J. A. Computer Espionage, Titan Rain and China. CSIS, 2005. Disponivel em: . Acesso em: 31 jul. 2014.
MAURER, T. Cyber norm emergence at the United Nations. Cambridge: Harvard Press, 2011.
MCCULLAGH, A. Non-Repudiation in the Digital Environment. First monday, 2000. Disponivel em: . Acesso em: 2016 out 26.
OLIVEIRA, K. Anonymous assume autoria de ataque a site do Banco Central. Exame, 2012. Disponivel em: . Acesso em: 31 jul. 2014.
OPEN SECURITY ARCHITECTURE. IT Security Architecture. OSA, 2016. Disponivel em: . Acesso em: 26 out 2016.
PARNELL, B.-A. Cyber crime now bigger than the drug trade. The Register, 2011. Disponivel em: . Acesso em: 31 jul. 2014.
PERRIN, C. The CIA Triad. TechRepublic, 2008. Disponivel em: . Acesso em: 2016 out 26.
PRITCHETT, W.; SMET, D. D. Backtrack 5 Cookbook. Birmingham: Packt, 2012.
RAMACHANDRAN, V. BackTrack 5 Wireless Penetration Testing. Birmingham: Packt, 2011.
REBANE, F. The Stuxnet Computer Worm and Industrial Control System Security. New York: Nova, 2011.
SANGER, D. E. Confront and Conceal: Obama's Secret Wars and Surprising Use of American Power. New York: Broadway, 2012.
SYMANTEC. Special Report: Ransomware and Business 2016. Symantec, 2016. Disponivel em: . Acesso em: 2016 out 26.
WILHELM, T.; ADRESS, J. Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques. Burlington: Syngress, 2011.