Segurança da Informação

Hoje em dia, as empresas estão voltando seus olhos para as questões de segurança da informação. Muito se fala em segurança da informação, mas, em primeiro lugar, é preciso definir o que é Informação.

Informação é um dado que, quando tratado, serve para um determinado fim. Por exemplo, o nosso CPF. Vendo de longe, não passa de um monte de números sem um significado especial. Mas, esses números, quando processados ou consultados na Receita Federal, passam a serem vistos como um dado importante que serve para identificar um cidadão.

Sendo assim, a informação, para uma empresa, é um ativo, isto é, um bem como qualquer outro que a empresa possui, e por essencial para os negócios da empresa, deve ser adequadamente protegido.

E por falar em proteção, de acordo com a Norma NBR ISO/IEC 17799:2005, a Segurança da Informação é a proteção da informação de vários tipos de ameaça para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades do negócio.

Falando em termos mais simples… a segurança da informação, é um conjunto de normas e diretrizes definidas pela empresa para proteger seus dados, funcionários, o negócio da empresa como um todo, e a garantia da continuação do mesmo.

Quando falamos em segurança da informação, podemos pensar que se trata de um produto ou serviço que podemos adquirir de terceiros. Os produtos e serviços comerciais são importantes e podem fazer parte de uma solução para a empresa, mas não devem ser vistos como um todo.

De acordo com Bruce Schneier , um conceituado escritor de livros e artigos sobre segurança da informação, “segurança é um processo e não um produto”.

Alcançar um nível de segurança aceitável, requer muitas doses de paciência, vigilância e persistência e conscientização, não só por parte do administrador, mas também de toda comunidade de usuários.

Sim, os usuários entram nessa questão… afinal de contas, quando se trata de informação, um dos elos mais frágeis é o ‘ser humano’. Então, como administradores, nossa responsabilidade é garantir que os sistemas além de estarem em um nível aceitável de segurança (não existe um sistema 100% seguro), temos que treinar e conscientizar os usuários.

Para implementação de medidas de segurança da informação, é utilizado um documento chamdo BS7799, elaborado pela British Standards Instituition; aqui no Brasil, a versão para esse documento é a NBR ISO/IEC 17799. Aqui, cabe uma informação: em 2007, a edição ISO/IEC teve seu esquema de numeração alterado para ISO/IEC 27002.

Falando sobre esse documento, ele possui itens que são utilizados para implementar e garantir a segurança da informação em uma organização. Além de explicar como estabelecer requisitos de segurança, também dá uma base para o administrador desenvolver diretrizes específicas para a organização.

Manter os usuários treinados e conscientizados para seguir boas práticas de segurança da informação na escolha e uso de senhas; afinal de contas, a cooperação de todos é essencial para uma segurança efetiva.

Isso quer dizer que os usuários devem ser orientados a escolher senhas que não sejam fáceis de se advinhar, manter a senha em segredo, alterar periodicamente ou assim que suspeitar que alguém teve acesso a mesma. Não adianta também escolher uma senha absurda e deixar ela grudada no monitor, embaixo do teclado ou então no issue da máquina…

Ahn, para quem não sabe o que é o issue, é um arquivo localizado no /etc; ele é o que dá boas-vindas em modo texto, isto é, mostra uma mensagem antes do login, tanto para quem acessa local, quanto quem acessa remotamente.

O documento também trata sobre mesa e tela limpa… não deixar terminais logados (ainda mais como root!); não deixar documentos espalhados pois podem conter informações essenciais sobre o negócio da empresa, ou até mesmo uma configuração de servidor; se alguém não autorizado tiver acesso, pode passar adiante a informação, ou, se o terminal estiver logado, pode executar comandos que destruam o sistema.

Mídias de armazenamento (CD, DVD, pendrive, ou até mesmo o antiquado disquete) devem ser guardadas em local seguro e não disponíveis para qualquer um acessar.

Também no documento, diz que as normas de segurança da informação devem estar em conformidade com os seguintes itens:

Confidencialidade –  a informação deve ser acessada somente por quem está autorizado a acessá-la.

Vou usar aqui o exemplo dos Correios. Imaginem que estou enviando uma carta para o Motivo. A confidencialidade vai garantir que a carta que estou enviando para o Motivo, vai para ele mesmo… e nenhuma outra pessoa terá acesso ao conteúdo da mesma!

Integridade – a informação deve estar íntegra, isto é, completa, sem nenhuma modificação do seu conteúdo original.

Ainda falando da carta que está sendo endereçada ao Motivo… a integridade garante que o conteúdo da carta que enviei para ele não foi alterado! O que eu escrevi vai chegar para ele sem nenhuma vírgula fora do lugar😉 !

Disponibilidade – a informação deve estar disponível sempre que necessário.

Retornando ao assunto da carta para o Motivo, a disponbilidade vai garantir que a mesma será entregue a ele! Isso implica em manter os Correios funcionando, ter o carteiro para entregar a carta para o Motivo🙂 .

Autenticidade – garante a identidade das pessoas envolvidas no envio/recebimento da informação!

Pensando na cartinha que estou mandando para o Motivo, a autenticidade, vai permitir que ele saiba que é a Nix mesmo que está enviando a carta… e não outra pessoa! E aí… ele pode ler a carta sem medo de ser feliz🙂 !

Legalidade – trata do aspecto jurídico da informação juntamente com a parte de tecnologia da empresa. Provavelmente, vocês já devem ter recebido um e-mail que no final, contém uma mensagem mais ou menos assim:

“Essa mensagem (incluindo qualquer anexo) e confidencial e pode ser privilegiada.
Se você recebeu por engano, deve apagar essa mensagem do seu sistema e avisar o remetente. Qualquer uso não autorizado assim como disseminações dessa mensagem ou partes dela é estritamente proibido.”

A mensagem acima, trata do aspecto jurídico da informação. Voltando no exemplo da carta que estou enviando para o Motivo, imaginem que ela se extraviou e foi parar na casa de outra pessoa.

Se eu trato a cartinha dentro dos princípios da segurança da informação, então, a pessoa que recebeu por engano, deve devolver a carta aos Correios, e este, me avisar que a carta não chegou para o Motivo… E isso vai proteger o que escrevi para o Motivo, garantindo que essas informações sejam utilizadas apenas para determinados objetivos.

Acima, é só um exemplo para tentar ilustrar o que representa cada item dos princípios de segurança da informação… mas é importante lembrar, que outras medidas devem ser tomadas para garantir a segurança!

Numa empresa, muitas pessoas tem necessitam ter acesso ao sistema, mas nem todas precisam ver todas informações que estão lá. Para que não haja acessos indevidos, a empresa deve adotar protocolos e mecanismos para controlar o acesso aos recursos e compartilhamentos.

Esses protocolos e mecanismos, são conhecidos como políticas de segurança, um conjunto de princípios e valores nos quais se baseiam a realização e a administração de uma empresa ou atividade. Dentro dessa política, basicamente devem ser abordados os procedimentos e controles de segurança, além de um plano de contingência.

Falando dessa forma, a impressão que temos é que tudo é muito burocrático… mas se for implantado corretamente de acordo com a realidade da empresa, para proteger a informação e o negócio, começamos a enxergar um certo sentido!

Procedimentos e Controles de Segurança – Instruções que devem ser rigorosamente seguidas e executadas, porque a integridade e precisão das informações dependem dessas instruções. Os procedimentos de segurança devem incluir:

Atividades rotineiras: verificação de vulnerabilidades, correções (patches), atualizações, logs, etc.

Atividades eventuais: revisão do conjunto de filtros de navegação na web, regras de firewall, políticas de acessos, etc.

Atividades de controle: utiliza ferramentas para controlar se os procedimentos, políticas e ações de segurança realmente estão sendo executados.

Plano de Contingência – Toda instituição pública ou privada deve estar constantemente preparada para enfrentar interrupções de processamento ou comunicação de dados, perda de informações ou interrupções de acesso. Um plano de contingência tem por objetivo, garantir o restabelecimento das atividades o mais depressa possível.

O que coloquei acima, é só um apanhado geral do que li na NBR ISO/IEC 17799:2005 e das minhas anotações de aula. Não terminei ainda a leitura da norma, mas pelo que já li, vi que o documento também trata sobre análise/avaliação dos riscos, isto é, análise e avaliação de possíveis ou reais ameaças à segurança da informação e ao negócio; controles de acessos, monitoração de ambiente, registros de acessos, falhas, como agir em caso de um incidente de segurança (procedimentos e controles de segurança), continuidade do negócio (plano de contingência) e etc.

Esse documento é uma leitura bem importante para quem está implementando os requisitos de segurança da informação em uma organização. Claro que não deve levar todo documento ao pé da letra; ele deve ser utilizado como guia, pois pode haver momentos em que um requisito do documento conflita com os princípios da organização ou com a legislação vigente; cabe ao administrador e a gestão da empresa utilizarem o bom senso ao implementarem as normas😉 !

Referências:
BS 7799
ABNT NBR ISO/IEC 17799:2005

1 Response to “Segurança da Informação”


  1. 1 Robson/André/Reston 16/05/2010 às 1:44 PM

    Muito interessante o seu blog.

    Robson Ramos


Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s




Follow Nix on WordPress.com
abril 2010
S T Q Q S S D
« mar   maio »
 1234
567891011
12131415161718
19202122232425
2627282930  

Flickr Photos

Fast-flying Falcon

Mais fotos

%d blogueiros gostam disto: