Unidade I - Introdução e Conceitos Básicos de Segurança da Informação

• Ditado popular: “nenhuma corrente é mais forte do que seu elo mais fraco”.

• Segurança no ambiente de informações: “eliminar o máximo possível de pontos fracos ou garantir o máximo de segurança possível para os mesmos.”

1. O Valor das Informações

• Informação: acima de tudo, o bem mais valioso de uma organização.
• Busca pelo controle das informações: sempre houve, ao longo da história; o que mudou foram as formas de registro e de armazenamento das informações;
• Nos últimos dois séculos: informações passaram a ter uma importância crucial para as organizações humanas, devido à popularização da alfabetização.
• Atualmente, não há organização humana que não seja altamente dependente de tecnologia de informações, em maior ou menor grau;
• Informática: o meio de registro é, ao mesmo tempo, meio de armazenamento, meio de acesso e meio de divulgação.
• Essa característica acarreta conseqüências graves para as mesmas organizações, por facilitar os ataques de pessoas não autorizadas.
• As informações estão relacionadas com os processos de produção e de negócios, políticas estratégicas, de marketing, cadastro de clientes, etc. São, enfim, de valor inestimável não só para a organização que as gerou, mas, eventualmente, para seus concorrentes.
• As organizações costumam dedicar grande atenção à proteção dos seus ativos físicos e financeiros, mas pouca ou nenhuma atenção aos ativos de informação.
• O ambiente de informações não está restrito à área de informática. As informações estão armazenadas na área de informática, mas fora desse ambiente as informações estão representadas ainda em grande parte na forma impressa, portanto mais tangível e acessível por seres humanos.
• Muitas empresas não sobrevivem mais do que poucos dias a um colapso do fluxo de informações. Os riscos são agravados á medida que informações essenciais ao gerenciamento dos negócios são centralizadas. Porém as vantagens da centralização ainda são maiores.
• Solução: “cercar o ambiente de informações com medidas que garantam a segurança efetiva a um custo aceitável”. As medidas devem estar claramente definidas na política global de segurança, sustentada pela alta administração.
• “Por política de segurança entende-se política elaborada, implantada e em processo contínuo de revisão, válida para toda a organização, com regras o mais claras e simples possível e estrutura gerencial e material de suporte a essa política, claramente sustentada pela alta administração.”
• A política de segurança deve ser enunciada apenas nos seus aspectos gerais, menos sujeitos às rápidas mudanças que sofrem as atividades de processamento de informações.
• “Não existe política de segurança certa ou errada: não há política de segurança pronta para uso. Cada organização deve ter uma solução única e adequada para o seu caso, para a sua cultura.”

2. Conceitos Gerais Sobre Segurança

2.1 Acesso Lógico

• Está relacionado com o acesso ao conteúdo da informação. Abrange aspectos como acesso de pessoas a terminais e outros equipamentos de computação, manuseio de listagens (uma questão também de acesso físico), funções autorizadas dentro do ambiente informatizado (transações e programas que pode executar), arquivos aos quais tenham acesso, etc.
• Mesmo que as informações não estejam armazenadas em computadores, valem os mesmos conceitos de segurança de acesso lógico.

2.2 Propriedade da Informação

• O conceito deriva do direito de posse direta ou delegada sobre os ativos de informações, exercido em nome da organização. Em princípio, a propriedade de um ativo pertence a quem dele faz uso em função de uma necessidade funcional; normalmente, quem faz uso de um determinado ativo é o seu criador, o pessoa que recebeu autorização do mesmo.
• Também recebe o nome de gestão, sendo o responsável pela administração das informações conhecido também como gestor.

2.3 Custódia da Informação

• Refere-se à pessoa ou organização responsável pela guarda de um ativo de propriedade de terceiros, sendo o conceito estendido ao domínio das informações.
• A área de informática, ao contrário da visão clássica ainda bastante aceita, é custodiante dos ativos de informações das áreas usuárias, os legítimos proprietários dos mesmos.
• Geralmente, uma vez recebida do proprietário, a custódia não pode ser delegada.
• Implica a responsabilidade do receptor quanto à integridade dos ativos custodiados.

2.4 Controle de Acesso

• Está relacionado diretamente ao acesso concedido. Sua função é garantir que o acesso seja feito somente dentro dos limites estabelecidos. Esse controle é exercido por meio de mecanismos como senhas, listas de acesso, categorias, níveis de acesso, privilégios de acesso, etc.

a) Senhas

• Constituem o mecanismo de controle de acesso mais antigo usado pelo ser humano para impedir acessos não autorizados. Foram e ainda são muito usadas como forma de se controlar o acesso a recursos de informação.
• Modernamente, tendem a ser usadas apenas como mecanismo de autenticação de identidade de usuários, através da atribuição de uma senha exclusiva para cada chave de acesso ou identificação de usuários individuais.
• Á medida que evolui a tecnologia, as senhas tendem a ser substituídas por alguma característica físico-biométrica do usuário, como a imagem da íris, a impressão digital, a voz, etc.

b) Chaves de acesso ou identificações

• Códigos de acesso atribuídos a usuários; cada um recebe uma chave de acesso única e individual. A cada chave de acesso é associada uma senha destinada a autenticar a identidade do usuário que possui essa chave.

c) Listas de acesso

• Constitui uma espécie de tabela onde constam o tipo e o nome do recurso, ao qual são associadas as identificações de usuários com os tipos de operações permitidas aos mesmos.

d) Operações

• Determinam o que cada usuário pode fazer em relação a determinado recurso. Normalmente, consistem no seguinte:

  Leitura - o usuário pode somente consultar informações;

  Gravação - o usuário pode incluir informações;

  Alteração - o usuário pode alterar informações existentes;

  Exclusão - o usuário pode excluir informações existentes;

  Eliminação - o usuário pode eliminar o meio físico de suporte das informações;

  Execução - em ambientes informatizados, permite que o usuário possa executar comandos ou programas contidos em arquivos.

2.5 Acesso Físico

• Acesso ou posse de um ativo do ponto de vista físico é o uso que se faz de determinado recurso. No caso de informações, está representado pelo acesso ao meio de registro ou suporte que abriga as informações;
• Normalmente, os riscos relacionados com o acesso físico afetam os meios de registro e suporte das informações, ao passo que os riscos relacionados com o acesso lógico afetam o conteúdo.

2.6 Plano de contingência

• Um plano global destinado a manter o ambiente de informações da organização totalmente seguro contra quaisquer ameaças a sua integridade e disponibilidade.
• Consiste em procedimentos de recuperação pré-estabelecidos, com a finalidade de minimizar o impacto sobre as atividades da organização no caso de ocorrência de um dano ou desastre que os procedimentos de segurança não conseguiram evitar.
• Estatísticas européias demonstram que mais de três quartos das empresas que sofreram um desastre envolvendo a perda de seu ambiente de informações fecham imediatamente ou no máximo em dois anos.

2.7 Preservação e recuperação de informações

• O conceito de preservação está ligado à necessidade de sobrevivência dos acervos de informações, evitando eventos que causem sua destruição.
• O conceito de recuperação aplica-se a recursos que tenham sido destruídos ou danificados, permitindo que os mesmos sejam novamente disponibilizados para uso.

3. “Mitos” (Concepções Errôneas) Sobre Segurança

• Uma vez implantada a segurança, as informações estão seguras.

  A segurança nunca é um produto acabado; reflete o ambiente altamente dinâmico das informações. Precisa, portanto, ser constante revista e trabalhada.

• A implantação da segurança é um processo simples.

  A implantação da deve ser um processo gradual. Grande parte do esforço interno recai sobre os usuários, que precisará de todo apoio possível da área de informática, que é tão somente custodiante dos ativos de informações, porém não da totalidade desses ativos.

• A segurança é um assunto de exclusiva responsabilidade da área de informática ou da área de segurança.

  O conhecimento do que é importante para a organização reside na área que é proprietária das informações e não nas áreas de informática ou de segurança. Além disso, segurança é um assunto que é de responsabilidade compartilhada de todos na organização.

• A estrutura de segurança é relativamente estática.

  Da mesma forma que as estruturas internas das organizações humanas não são estáticas, ocorre com a segurança.

  Tal qual uma máquina que precisa de constantes ajustes e cuidados de manutenção para funcionar de maneira confiável, a estrutura de segurança também sofre um processo de envelhecimento normal a qualquer estrutura dinâmica e, atualmente, poucas coisas são mais dinâmicas que o ambiente de informações nas organizações modernas.

   

4. Referência Bibliográfica

• CARUSO, Carlos A. A.; STEFFEN, Flávio D. Segurança em Informática e de Informações. 2ª ed. rev. e ampl. Senac, São Paulo, 1999.