Segurança da Informação

Conceito de Segurança da Informação

A Segurança da Informação está relacionada à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.

 

Análise, Planejamento e Implementação da Segurança

Quando tratamos do assunto Segurança da informação levamos em conta a tríade CID (Confidencialidade, Integridade e Disponibilidade) que representa os principais atributos que orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger.

Outros atributos importantes são a irretratabilidade, a autenticidade e a conformidade. Com o advento da evolução do comércio eletrônico e da sociedade da informação, a privacidade também uma grande preocupação.

 

Atributos Básicos de uma Informação

– Confidencialidade: propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação;

– Integridade: propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição);

– Disponibilidade: propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação;

– Autenticidade: propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo;

– Irretratabilidade: propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita;

– Conformidade: propriedade que garante que o sistema deve seguir as leis e regulamentos associadas a este tipo de processo.

 

Mecanismos de Segurança da Informação

– Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infraestrutura (que garante a existência da informação) que a suporta.

Exemplo de mecanismos de segurança que apoiam os controles físicos:

Portas / trancas / paredes / blindagem / guardas / etc.

– Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado.

 

Mecanismos de segurança que apoiam os controles lógicos

. Mecanismos de cifração ou encriptação: Permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a decifração.

. Assinatura digital: Um conjunto de dados criptografados, associados a um documento do qual são função, garantindo a integridade e autenticidade do documento associado, mas não a sua confidencialidade.

. Mecanismos de garantia da integridade da informação: Usando funções de “Hashing” ou de checagem, é garantida a integridade através de comparação do resultado do teste local com o divulgado pelo autor.

. Mecanismos de controle de acesso: Palavras-chave, sistemas biométricos, firewalls, cartões inteligentes.

. Mecanismos de certificação: Atesta a validade de um documento.

. Integridade: Medida em que um serviço/informação é genuíno, isto é, está protegido contra a personificação por intrusos.

. Honeypot: É uma ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema. É um espécie de armadilha para invasores. O HoneyPot não oferece nenhum tipo de proteção.

. Protocolos seguros: Uso de protocolos que garantem um grau de segurança e usam alguns dos mecanismos que citamos aqui.

Existe hoje também um elevado número de ferramentas e sistemas que pretendem fornecer segurança. Alguns exemplos são os detectores de intrusões, os antivírus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de código etc.

 

Políticas de Segurança

Uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.

As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se às alterações na organização. Devem também definir procedimentos de segurança adequados, processos de auditoria à segurança e estabelecerem uma base para procedimentos legais na sequência de ataques.

O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido.

 

Políticas de Senhas

Dentre as políticas utilizadas pelas grandes corporações a composição da senha é a mais controversa. Por um lado profissionais com dificuldade de memorizar várias senhas de acesso, por outro funcionários displicentes que anotam a senha sob o teclado no fundo das gavetas, em casos mais graves o colaborador anota a senha no monitor.

Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra fundamental é a conscientização dos colaboradores quanto ao uso e manutenção das senhas.

– Senha com data para expiração: adota-se um padrão definido onde a senha possui prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usuário a renovar sua senha;

– Inibir a repetição: adota-se através de regras predefinidas que uma senha uma vez utilizada não poderá ter mais que 60% dos caracteres repetidos;

– Composição com número mínimo de caracteres numéricos e alfabéticos: define-se obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos;

– Criar um conjunto com possíveis senhas que não podem ser utilizadas: monta-se uma base de dados com formatos conhecidos de senhas e proibir o seu uso, como por exemplo 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4;

– Recomenda-se senhas com utilização de caracteres especiais como: @ # $ % & *;

– Proibição de senhas que combinam formatos como: de datas do calendário, placas, números de telefone, ou outros números comuns;

– Proibição do uso do nome da empresa ou uma abreviatura.

 

A Segurança da Informação na Gestão de Riscos

Ao englobar a Gestão da Segurança da Informação, a Gestão de Riscos tem como principais desafios proteger um dos principais ativos da organização – a informação – assim como a reputação e a marca da empresa, implementar e gerir controles que tenham como foco principal os objetivos do negócio, promover ações corretivas e preventivas de forma eficiente, garantir o cumprimento de regulamentações e definir os processos de gestão da Segurança da Informação. Entre as vantagens de investir na Gestão de Riscos voltada para a Segurança da Informação estão a priorização das ações de acordo com a necessidade e os objetivos da empresa e a utilização de métricas e indicadores de resultados.

 

Fonte: Wikipédia

Fernando Vieira

Website:

Deixe uma resposta