Princípios de Segurança da Informação

A quantidade de dados produzidos pela humanidade vem crescendo exponencialmente a cada ano. Iminentemente, tais dados podem sofrer algum tipo de ataque/risco. Com base nisso, entra a área da Segurança da Informação (SI). A SI tem como principal objetivo garantir a segurança/qualidade dos dados levando em consideração três características principais: disponibilidade, integridade e confidencialidade. A junção delas forma a tríade da Segurança da Informação (Kim, 2014).

Apesar de todo o cuidado em definir políticas/ações com base em normais internacionais, sobre os dados de uma organização, ainda existem elos que são facilmente quebrados. Se um elo se rompe toda a estrutura da organização pode ruir.

De acordo com o assunto tratado identifique quais são os domínios existentes em uma organização, em seguida responda qual elo é considerado o mais fraco (Justifique). Cite também ao menos duas medidas que podem atenuar o risco entre os domínios.

Os domínios são classificados em três tipos: o físico, lógico e o humano. Normalmente as empresas investem mais nos domínios físicos e lógicos, ao esquecer um domínio pode gerar um grande erro que comprometerá a segurança de todos os outros.

O primeiro domínio é o físico, que compreende às estruturas presenciais de ambientes da empresa como: computadores, servidores, bancos de dados, cabeamento de redes de comunicação etc.

O segundo domínio é a parte lógica, que são os softwares de uso geral como: sistemas operacionais, protocolos de comunicação entre máquinas e equipamentos, antivírus, firewall, monitores de tráfego de rede e programas de trabalho. Uma boa prática é manter todos os sistemas atualizados com as novas correções dos fabricantes. As vezes é preciso tomar cuidados pois muitas atualizações trazem problemas e até novas falhas de segurança que podem ser exploradas.

O terceiro domínio é o humano, ele tem falhas, sentimentos e pode ter dias ruins, justamente por causa disso se tornar muito mais suscetível e vulnerável a ser explorado do que um conjunto de máquinas, regras e atualizações de sistemas protegidos por fortes senhas. Os golpes mais comuns hoje se utilizam de engenharia social aliados a aplicações falsas muito bem produzidas que captam dados. Para minimizar os riscos neste terceiro domínio é necessário uma constância de treinamentos e reciclagem de funcionários para evitar esses incidentes.

Como medidas para minimizar os riscos podemos citar duas:

1) Implementação de um rigoroso controle de acesso a todos os ambientes da empresa para evitar a visualização de informações não autorizadas e até roubo de dados ou equipamentos.

2) Autorizar o acesso remoto aos sistemas da empresa apenas com uso, obrigatório, das VPNs e equipamentos homologados pelo setor de tecnologia, a fim de criptografar a transmissão de ponta a ponta e evitar a interceptação de dados.

Mas o fato é que nunca uma empresa estará 100% segura enquanto a tecnologia continuar evoluindo.

...