Publicado em: 10/07/2018 18h12 – Atualizado em: 16/07/2018 13h06

Área responsável: Comissão Local de Resposta a Incidentes - CLRI-TRF3 – CLRI@trf3.jus.br

Como os Incidentes de Segurança Acontecem

Introdução.

Para entendermos como os incidentes de segurança da informação acontecem, precisamos de alguns conceitos básicos de segurança da informação.

Ativo de informação.

Ativo.

"É qualquer coisa que possua valor para a organização"  (Norma Internacional ISO/IEC 13335-1:2004, Item 2.2).

Segundo os termos da Norma ABNT NBR ISO/IEC 27002:2005, “A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, conseqüentemente, necessita ser adequadamente protegida."

A informação é um ativo imprescindível para a Justiça Federal da 3ª Região, porque baseia todas as atividades-meio e atividades-fim da Instituição. É graças ao uso da informação, por exemplo, que decisões são tomadas em processos judiciais, que afetam o trabalho e até mesmo a vida de muitas pessoas.

Garantias Fundamentais para os Ativos de Informação.

Como vimos, a informação é um ativo para as empresas e instituições e deve receber proteção como qualquer outro ativo.

A Resolução CJF nº 6/2008, já citada, lista em seu Anexo I, Item 6, as seguintes garantias fundamentais da segurança da informação: autenticidade, confidencialidade, disponibilidade e integridade.

Por sua vez, a Portaria CJF nº 103/2015, que rege a Auditoria de Segurança da Informação na Justiça Federal, assim define tais garantias:

  • Autenticidade: propriedade que garante ter sido a informação produzida, expedida, modificada ou destruída por determinada pessoa física ou por determinado sistema, órgão ou entidade.
  • Confidencialidade: propriedade que garante não estar a informação disponível ou não ser revelada a pessoa física, sistema, órgão ou entidade não autorizados nem credenciados.
  • Disponibilidade: propriedade que garante estar a informação acessível e utilizável sob demanda de pessoa física ou de determinado sistema, órgão ou entidade.
  • Integridade: propriedade que garante não ter sido a informação modificada ou destruída de maneira não autorizada ou acidental.

Ameaças, controles, riscos, vulnerabilidades.

A Segurança da Informação é a área do conhecimento dedicada à proteção dos ativos de informação contra o comprometimento das garantias fundamentais.

Por exemplo, a falta de um processo adequado de descarte da informação é uma vulnerabilidade e pode ser explorada por uma ameaça, colocando em risco a confidencialidade.

Vamos entender esses conceitos, essenciais para a compreensão dos incidentes de segurança.

Vulnerabilidade

É uma fraqueza ou deficiência do ativo de informação.
Um pneu, por exemplo, pode ser perfurado,  obrigando o motorista a trocá-lo.

Ameaça

É a provável exploração da vulnerabilidade.
Um motorista trocando um pneu no acostamento pode ser assaltado.

Risco

É a probabilidade (determinada por diversos métodos) da exploração da vulnerabilidade.
Qual é a probabilidade de o motorista ser assaltado trocando um pneu?

Análise/Avaliação de Riscos

É o processo pelo qual, a partir do conhecimento dos ativos de informação e das suas vulnerabilidades, determinamos a probabilidade de exploração por ameaças, e estimamos os impactos.

A partir dos resultados dessa análise, estabelecemos a prioridade para cada categoria de risco, e determinamos as opções para o seu tratamento, a mais comum delas a implementação de controles de segurança da informação que ajudam a mitigar as ameaças e portanto reduzir os riscos.

Risco Residual, Causa dos Incidentes.

Como vimos, a análise/avaliação de riscos permite aos gestores da instituição conhecer, priorizar e tratar os riscos, evitando a exploração de ameaças.

Porém, é possível existir um risco residual, isto é, aquele que persiste apesar de todo o processo de tratamento. Entre suas causas podemos citar:

  • Priorização incorreta dos riscos;
  • Má escolha, ineficácia ou má gestão de controles;
  • Riscos para os quais ainda não existam controles adequados;
  • Limitação de recursos que previne a escolha e/ou a aplicação de controles adequados.

Os incidentes de segurança da informação são uma consequência direta do risco residual.

Para melhor entendimento, damos um exemplo (ficcional).

A instituição XYZ adquiriu, para seu uso interno, um antivírus da marca A. Porém, os administradores da rede não zelaram por sua atualização constante (combinando má gestão com ineficácia do controle).

O resultado é que a instituição XYZ ficou vulnerável a ataques de vírus não cobertos pela base de dados desatualizada do antivírus A (ou seja, expôs-se a uma ameaça de infecção).

Pouco tempo depois, um vírus, para o qual A não possuía as definições, propagou-se rapidamente, e sem detecção. Devido ao "modus operandi" do artefato, contaminou estações e servidores, provocando perda de disponibilidade da informação, e consequente impacto nas operações da instituição.

Conclui-se do exemplo que a instituição XYZ, por não ter tratado corretamente do risco de infecção por desatualização do antivírus A, sofreu um incidente de segurança da informação.