Diminua Riscos aos seus Negócios – Proteja suas Informações

A informação é um bem de grande valor e como qualquer outro ativo de uma organização é essencial para os negócios e consequentemente deve ser protegida. E isto se torna importante ao passo que cada vez mais o mundo se encontra interconectado. Como resultado desta interconexão as organizações e até mesmo as pessoas estão expostas a um crescente número e uma grande diversidade de vulnerabilidades. A informação existe em diversas formas e não importa qual for esta forma ou o meio onde ela é compartilhada é necessário que ela seja protegida de forma adequada.

Segurança_da_Informação

 

A segurança da informação pode ser definida como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. Ou seja, é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. Desta forma, é possível definir segurança da informação como a área do conhecimento que visa proteger a informação de ameaças a sua confidencialidade, disponibilidade e integridade.

  • Confidencialidade: a informação somente pode ser acessada por pessoas explicitamente autorizadas. É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso ao mesmo. O aspecto mais importante deste item é garantir a identificação e autenticação das partes envolvidas;
  • Disponibilidade: a informação ou sistema de computador deve estar disponível sempre que haver uma requisição;
  • Integridade: a informação deve ser retornada em sua forma original no momento em que foi armazenada. É a proteção dos dados ou informações contra modificações intencionais ou acidentais não autorizadas

O tema segurança da informação a cada dia vem ganhando mais destaque na medida em que as empresas possuem cada vez mais informações processadas e armazenadas em um ambiente computacional responsável por realizar e consolidar negócios. Cada organização define uma estrutura adequada para a proteção da informação, os regulamentos (políticas, normas e regras) têm como objetivo garantir que o acesso e uso da informação aconteçam de forma estruturada, possibilitando desta forma que o negócio não seja comprometido por mau uso desta informação, seja por erro ou por acidente.

Para proteger a informação as medidas de segurança devem ser implementadas antes da concretização do risco, ou seja, antes do incidente ocorrer. Estas medidas são classificadas em função da forma como abordam as ameaças, em duas grandes categorias: prevenção e proteção. A prevenção é o conjunto das medidas que visam reduzir a probabilidade de concretização das ameaças existentes e a a proteção, por seu lado, é o conjunto das medidas que visam dotar os sistemas de informação com capacidade de inspeção, detecção, reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam.

Para que a informação esteja realmente protegida o sistema que esta administrando esta informação deve respeitar:

  • Autenticidade: garante que a informação ou o usuário da mesma é autêntico. Atesta com exatidão, a origem do dado ou informação;
  • Não repúdio: não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação. Não é possível negar o envio ou recepção de uma informação ou dado;
  • Legalidade: garante a legalidade (jurídica) da informação. Aderência de um sistema à legislação. Característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes;
  • Privacidade: foge do aspecto de confidencialidade, pois uma informação pode ser considerada confidencial, mas não privada. Uma informação privada deve ser vista / lida / alterada somente pelo seu dono. Garante ainda, que a informação não será disponibilizada para outras pessoas (neste caso é atribuído o caráter de confidencialidade a informação). É a capacidade de um usuário realizar ações em um sistema sem que seja identificado;
  • Auditoria: rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação foi submetida, identificando os participantes, os locais e horários de cada etapa. Auditoria em software significa uma parte da aplicação, ou conjunto de funções do sistema, que viabiliza uma auditoria. A auditoria consiste no exame do histórico dos eventos dentro de um sistema para determinar quando e onde ocorreu uma violação de segurança.

É necessário proteger a informação da empresa, pois ela é o sangue que move toda a organização. A segurança da informação existe para possibilitar uma diminuição dos riscos do negócio em relação à dependência do uso dos recursos de informação para o funcionamento tático e estratégico da empresa. Não possuir a informação ou possuir a informação errada pode trazer perdas aos negócios da organização que comprometam o seu funcionamento e o retorno de investimentos.

Segurança do Ambiente Físico

O ambiente físico abrange todo o ambiente onde os sistemas de informação estão instalados como prédios, portas de acesso, pisos, salas, entre outros. O objetivo de um ambiente físico seguro é prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização.

A todo o momento os ativos físicos são alvos de ameaças que buscam identificar um elo fraco para poder realizar sua ação. Por conta disso para atingir um bom nível de segurança física e do ambiente convém que as instalações de processamento da informação críticas ou sensíveis sejam mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados.  Por meio destes procedimentos é possível proteger fisicamente a informação contra o acesso não autorizado, danos e interferências com métodos compatíveis aos riscos identificados.

Segurança do Ambiente Lógico

O ambiente lógico compreende todos os mecanismos de proteção que são baseados em softwares como criptografia, senhas, listas de acessos, firewall, redes privadas, etc. É nessa camada que estão as regras, normas, protocolo de comunicação e onde, efetivamente, ocorrem as transações e consultas.  Desta forma, o objetivo da adoção de medidas de segurança no ambiente lógico é proteger os dados, programas e sistemas contra tentativas de acessos, tanto de usuários como de outros sistemas, não autorizados.

A segurança do ambiente lógico remete ao acesso que os indivíduos têm em um ambiente informatizado, onde apenas usuários autorizados devem ter acesso aos recursos computacionais. Além disso, estes usuários devem acessar somente os recursos realmente necessários para a execução de suas tarefas, recursos críticos devem ser monitorados e restritos, impedindo o usuário de executar alguma ação incompatível com seu nível de segurança.

Aspectos Humanos da Segurança da Informação

O aspecto humano trata-se do elemento central de um sistema de segurança da informação. Os incidentes de segurança sempre envolvem pessoas, quer do lado das vulnerabilidades exploradas, quer do lado das ameaças que exploram essas vulnerabilidades, ou seja, as pessoas devem ter uma relevância considerada em um sistema de gestão de segurança.

O aspecto humano é formado por todos os recursos humanos presentes em uma organização, com maior destaque para aquelas que possuem acesso aos recursos de tecnologia da informação, seja este acesso para manutenção ou uso na execução de suas tarefas diárias. A percepção do risco pelas pessoas (como elas lidam com incidentes de segurança), a habilidade dos usuários com a TI, o perigo com intrusos maliciosos e a engenharia social (arte de utilizar o comportamento humano para quebrar a segurança sem que a vítima perceba que foi manipulada), são pontos importantes e de destaque na busca pela segurança da informação por meio do aspecto humano.

Referências

ADACHI, Tomi. Gestão de Segurança em Internet Banking – São Paulo: FGV, 2004. 121p. Mestrado. Fundação Getúlio Vargas – Administração. Orientador: Eduardo Henrique Diniz.

ALBUQUERQUE, Ricardo e RIBEIRO, Bruno.  Segurança no Desenvolvimento de Software – Como desenvolver sistemas seguros e avaliar a segurança de aplicações desenvolvidas com base na ISO 15.408. Editora Campus. Rio de Janeiro, 2002.

CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em Informática e de Informações – São Paulo: Editora SENAC São Paulo, 1999.

DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Axcel Books. Rio de Janeiro, 2000.

FONTES, Edison. Segurança da Informação: O usuário faz a diferença. São Paulo: Saraiva, 2006. 172 p.

ISO 17799. ABNT NBR ISO/IEC 17799:2003 – Tecnologia da Informação. Código de Prática para Gestão da Segurança da Informação. Associação Brasileira de Normas Técnicas. Rio de Janeiro, 2003.

ISO 17799. ABNT NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Técnicas de segurança. Código de prática para a gestão da segurança da informação. Associação Brasileira de Normas Técnicas – Rio de Janeiro: ABNT, 2005.

KRAUSE, Micki e TIPTON, Harold F. Handbook of Information Security Management. Auerbach Publications, 1999.

LYRA, Maurício Rocha. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008. 253p.

SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva – Rio de Janeiro: Campus, 2003.

SILVA, Pedro Tavares; CARVALHO, Hugo; TORRES, Catarina Botelho. Segurança dos Sistemas de Informação: Gestão Estratégica da Segurança Empresarial. Lisboa, Portugal: Centro Atlântico, 2003. 254 p.

SANDHU, Ravi S. e SAMARATI, Pierangela. Authentication, Acess Control, and Intrusion Detection. IEEE Communications, 1994.