Seção: Tutoriais Operação

 

 
Redes de Computadores I: Segurança da Informação

 

Conceitos da Segurança da Informação

 

O processo de proteção da informação das ameaças a sua integridade, disponibilidade e confidencialidade, caracteriza-se como Segurança Informação. (BEAL, 2005). Está claro que vivemos numa sociedade em que a informação nunca foi tão valorizada como é hoje, CARUSO & STEFFEN (2006) afirmam que o bem mais valioso de uma empresa pode não ser o produto fabricado por seus operários ou o serviço prestado ao cliente, mas as informações relacionadas a esse bem de consumo ou serviço.

 

Ao longo da história, o homem sempre buscou dominar o conhecimento sobre o mundo que o cercava. Nos primórdios, ter informações úteis significava a sobrevivência em meio a um ambiente radicalmente hostil. Com o passar do tempo e com o avanço tecnológico, as formas de registro das informações foram sendo alteradas, o que antes era armazenado apenas na memória dos indivíduos, passou a ser registrado através de símbolos com o surgimento dos primeiros alfabetos.

 

Como o fato de possuir informações poderia tornar algumas pessoas mais poderosas do que outras, o acesso às informações sempre foi restrito. Para CARUSO & STEFFEN (2006, p. 24), “os primeiros suportes para o registro de informações foram as paredes das habitações humanas”, que por si já demonstravam algum tipo de segurança, limitando o acesso aos habitantes ou a pessoas próximas.

 

Atualmente, não há organização humana que não seja altamente dependente da tecnologia da informação (CARUSO & STEFFEN, 2006), com o advento da informática, a utilização dos computadores pessoais e a abertura comercial da internet [4], a quantidade de informações nunca foi tão grande e concentrada no mesmo lugar.

 

A norma NBR ISO/IEC 17799 (2005, p. ix) afirma que a Segurança da Informação é:

 

“Especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectvidade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades”.

 

Todo ambiente tecnológico precisa dispor de métodos e ferramentas de proteção das informações. A segurança obtida através de meios técnicos é limitada, por isso deve ser apoiada por uma gestão e por procedimentos adequados. (NBR ISO/IEC 17799, 2005).

 

Para SÊMOLA (2003), o resultado de uma gestão de segurança da informação adequada deve oferecer suporte a cinco pontos principais:

  • Confidencialidade: Somente as pessoas autorizadas terão acesso às informações;
  • Integridade: As informações serão confiáveis e exatas. Pessoas não autorizadas não podem alterar os dados;
  • Disponibilidade: O acesso às informações sempre que for necessário por pessoas autorizadas;
  • Autenticidade: Garante que em um processo de comunicação os remetentes não se passem por terceiros e nem que a mensagem sofra alterações durante o envio;
  • Legalidade: Garante que as informações foram produzidas respeitando a legislação vigente.

 

Estes são os cinco pilares da segurança da informação, conhecidos como C.I.D.A.L., eles nos ajudam a identificar os pontos que devem ser levados em consideração sempre que é necessário manipular ou armazenar informações.

 

Normas de Segurança

 

Diante do risco crescente que há em torno dos ambientes informatizados, empresas e organizações do mundo todo criam e aperfeiçoam soluções para segurança. Dentre as soluções, estão as normas de qualidade voltadas à segurança das informações, como é o caso da ISO 17799 publicada em dezembro de 2000 pela International Organization for Standardization - ISO (Organização Internacional para Padronização). Devido ao interesse em tal norma, a ABNT (Associação Brasileira de Normas Técnicas) publicou em 2001 a versão brasileira, intitulada NBR ISO 17799 – Código de Prática para a Gestão da Segurança da Informação. Em setembro de 2005 a norma foi revisada e publicada como NBR ISO/IEC 17799:2005. Hoje, a norma NBR ISO/IEC 17799:2005 compõe uma família de normas sobre gestão de segurança da informação, nomeada como 27000.

 

SÊMOLA (2003) afirma que uma norma tem o propósito de definir regras, padrões e instrumentos de controle que dêem uniformidade a um processo, produto ou serviço.

 

Em paralelo às normas, estão os frameworks de qualidade e gestão de serviços de TI, como ITIL e COBIT. Estes possuem características menos rigorosas quanto à aplicação dos conceitos, já que são classificados como “Melhores Práticas”. O responsável pela análise pode adaptar o framework ou utilizar apenas os processos que mais lhe interessam. Diferente das normas de qualidade ISO, onde o analista tem a obrigatoriedade de implantar os controles exatamente de acordo com o padrão estipulado, caso contrário estará fora das conformidades.

 

O framework ITIL foi desenvolvido em 1980, pelo governo britânico, com o objetivo de melhorar os processos realizados pelo departamento de TI do próprio governo. (BON, 2005). A partir da sua criação, muitas empresas, entre elas Microsoft, IBM e HP, perceberam que poderiam melhorar seus processos utilizando o ITIL. Tornando- se, de fato, um padrão utilizado por todo o mundo.

 

Segurança em Camadas

 

Para SÊMOLA (2003), a gestão de segurança da informação pode ser classificada em três pontos: tecnológica, física e humana. É muito comum organizações se preocuparem apenas a área tecnológica, focando em antivírus [5], Firewalls [6], e esquecerem-se dos outros aspectos que também estão envolvidos no processo. SÊMOLA (2003) afirma ainda, que a todo momento as empresas são alvos de ataques nesses três aspectos com o objetivo de identificar o ponto mais fraco para uma investida contra a segurança. Como grande parte das empresas deixa a área física e humana de lado, esses se tornaram os pontos mais freqüentes dos ataques registrados.

 

Uma pesquisa realizada no ano de 2000 pelo CSI (Computer Secure Institue), em parceria com o FBI (Federal Bureau of Investigation), mostrou que 100% das empresas entrevistadas possuíam softwares antivírus instalados nos computadores, porém, na mesma pesquisa, 85% disseram que foram vítimas de infecções por vírus. Em outra questão, 91% dos entrevistados responderam ter Firewalls instalados em suas redes, entretanto, 30% das empresas foram vítimas de invasões e 55% tiveram problemas com acessos não autorizados originados por funcionários. A pesquisa foi realizada entre os anos de 1998 e 2000 nos Estados Unidos e contou com a participação de 512 empresas de diversos setores de negócio.

 

Fica claro que houve investimento em tecnologia, mas outros fatores foram negligenciados. Ao término da pesquisa foi ressaltada a necessidade de um melhor treinamento dos usuários e funcionários das empresas com relação à utilização das ferramentas de segurança, bem como a criação de políticas de segurança. ADACHI (2004) distribui as camadas de segurança em física, lógica e humana, esta será a classificação tomada como base para o desenvolvimento deste trabalho.

 

Figura 1: Representação da divisão da segurança em camadas

 

 

[4] Rede mundial de computadores.

[5] Verificar seção Segurança Lógica – Antivírus.

[6] Verificar seção Segurança Lógica – Firewalls.

 

 

Imprima esta página

Adicione aos Favoritos Comunique erros