A VISÃO MACRO SOBRE SEGURANÇA DA INFORMAÇÃO

1. SEgurança da Informação

1.  Visão Geral

A complexidade e o grande número de tecnologias que formam a estrutura de tráfego de informação dentro de uma rede é um dos principais motivos pelo qual podemos dizer, com elevado nível de certeza, que estas estruturas apresentam pontos fracos. Pontos estes que podem comprometer a integridade de todo o seu complexo, devido à alta variedade de elementos e consequentemente ao aumento da probabilidade de falhas.

As tecnologias atuais, formadas por desenvolvimento intenso de diversas companhias e órgãos de regulamentação, trazem ao mercado soluções que visam o aumento da produtividade e o “bem estar” dos componentes destes sistemas.

Independente de qualquer estrutura, a segurança da informação é algo que deve ser cultivado ou inserido na realidade do ambiente como componente singular e comum dentro das ações de usuários e outros ativos da rede. Isso é possível através de técnicas que permitem uma associação destes mecanismos, que vão desde ações até ferramentais, junto à realidade da transação de dados de um ambiente informatizado.

Observando a realidade que enfrentam os sistemas de informática na interação com o componente humano e no tratamento dos dados dentro destas tecnologias, faz pensar em se questionar a importância de métodos e procedimentos seguros e o porquê de se fazer a segurança da informação.

1.  O por quê da Segurança da Informação

Ações que visam a transferência de dados de forma sigilosa entre componentes do sistema de comunicação de um determinado ambiente necessitam de mecanismos que preservem os aspectos necessários a originalidade do conteúdo, principalmente contra agentes que possam prejudicar ou denegrir o correto comportamento dos elementos que formam o canal de comunicação.

Essa necessidade é acentuada quando os dados possuem alta importância financeira e conseqüentemente alto valor para quem possui ou para quem puder possuí-lo. Este é o caso, por exemplo, de informações bancárias referentes a cartões de créditos e a senhas de contas corrente, que são informações sigilosas e que necessitam de um tratamento especializado para a manutenção de suas características como objeto seguro e a sua utilização pelos seus proprietários.

Hoje, a partir de qualquer ponto do planeta que esteja conectado a Internet, pode-se acessar contas bancárias ou contas de email pessoal/corporativo podendo utilizar locais de acesso público à rede, como cyber-cafés, LanHouses e HotsPots. Todos esses lugares oferecem conexão a preços acessíveis a qualquer um. De qualquer localidade onde a rede é utilizada, o tráfego da informação inserida pelo computador conectado na Internet passa por inúmeros componentes de rede até chegar ao destino final. Os caminhos percorridos pelas unidades de informação dentro desta rede, comumente chamados de pacotes, podem ser interceptados ou alterados durante o percurso de origem-destino. A comunicação entre estes hosts, dependendo do serviço acessado, necessita de um alto grau de confiança é autenticidade e privacidade para que estes dados possam ser utilizados com eficiência pelos  softwares que tratam dos dados de comunicação.

Desde usuários comuns até grandes empresas estão suscetíveis a falhas e fraudes âmbito da comunicação, o que inclui fraudes eletrônicas, espionagem, sabotagem e vandalismo causados por softwares maliciosos, crackers, hackers e outros. Incluem-se também falhas no aspecto físico, como incêndios e inundações, que podem danificar a estrutura física do ambiente de rede (ABNT, 2005).

Parte dos sistemas de comunicação não foram projetados para satisfazer níveis adequados de segurança, ainda sim este nível pode ser alcançado com a ajuda de métodos e procedimentos que vão auxiliar o tratamento e controle de acesso aos dados sensíveis. É necessário um planejamento cuidadoso e detalhista, além da participação de todos os envolvidos, para que se obtenha sucesso na implementação das soluções de segurança.

Os princípios básicos para a segurança da informação são constituídos por elementos que preservarão e garantirão o conteúdo e norteará as decisões e medidas necessárias para a padronização e organização dos ativos da rede, possibilitando a sua classificação e realização de uma avaliação de riscos (WENSTROM, 2002). Estes elementos são definidos como:

Disponibilidade: garante que usuários devidamente autenticados possam acessar recursos, serviços ou dados, do ambiente assim que requerido.

Confidencialidade:  garante a privacidade dos usuários no acesso aos recursos.

Integridade: garante que os ativos estão íntegros e completos, ou seja, que não foram alterados no percurso origem-destino.

Autenticidade: correto conhecimento de origem e de destino dos dados. Diante a autenticação da identidade dos elementos que manipulam a informação e a correto conhecimento de origem e de destino dos dados.

1.  

2. Avaliando os Riscos

Nos ambientes em que a segurança da informação é necessária, a implementação de soluções que protejam os elementos sensíveis demandam investimentos e custos para que o trabalho de proteção seja efetivado. Por este motivo, é necessário que a avaliação de riscos identifique os pontos importantes e relevantes dentro dos objetivos da organização, tendo como objetivo a melhor eficácia dos investimentos e a real eficiência da relação custo/benefício. Este processo é efetuado de forma metódica, constante e com intervalos de tempo pré-determinados em diversas áreas do ambiente analisado, para atingir possíveis mudanças nos requisitos de segurança e dos riscos potenciais, ameaças e vulnerabilidades.

O escopo envolvido na análise periódica da segurança e dos riscos pode ocorrer com tempo finito, em toda organização, partes dela, em sistemas de informação e componentes.

É necessário, antes do início do tratamento dos componentes que podem representar um potencial risco a estrutura, que a organização planeje e tenha bem definidos os critérios para determinar  o nível de segurança necessário a sua realidade, para que as soluções de segurança tenham seu valor intrinsecamente relacionado com o valor e condições do objeto seguro. O ideal é que esses mecanismos assegurem que o risco seja reduzido a um patamar aceitável para a segurança levando em consideração determinados aspectos, como:

...