Unidade V - Segurança Lógica, Confidencialidade e Classificação de Informações


1. Introdução

Segurança lógica e de confidencialidade dizem respeito aos ativos intangíveis de informática: software, dados, procedimentos.

 

2. Segurança Lógica

Objeto das práticas de segurança lógica:

A modificação acidental ou proposital de recursos tecnológicos / ativos intangíveis, agregados a recursos humanos e materiais.

Ativos Intangíveis:

Para o bom funcionamento e proteção desses ativos intangíveis são necessários:

Principais Momentos/Problemas em termos de insegurança lógica:

Principais Vulnerabilidades em termos de Segurança Lógica:

Ameaças mais Comuns a Recursos Tecnológicos de Informática:

"A maioria dos incidentes que causam perdas em informática não são de natureza criminosa / intencional, mas ocorrem, fundamentalmente por negligência / incompetência / displicência / falta de treinamento de usuários e do pessoal de informática."

Conceito de Segurança Lógica:

Segurança Lógica consiste num conjunto de métodos e procedimentos manuais e automatizados destinados a proteger os recursos tecnológicos / intangíveis contra quebra de integridade, modificação não autorizada, acesso e uso indevido, intencional, acidental, através de:

Principais Práticas de Segurança Lógica:

  1. criação e uso de segmentos de controle em bancos de dados;
  2. realização de crítica do conteúdo dos dados alimentados aos programas e consistência desses dados contra arquivos cadastrados, ou ainda, validação de parâmetros em função de arquivos e ou tabelas existentes;
  3. existência de arquivos de monitoração do processamento, de cada sistema aplicativo, com a gravação e a conseqüente verificação dos totais de controle dos dados gerados / gravados, a cada programa processado. Ao final do processamento do sistema aplicativo, este arquivo de monitoração conterá totais de controle com todas os cálculos e transformações ocorridos desde a coleta dos dados até a apresentação das informações, constituindo-se, portanto, na verdadeira trilha de auditoria do sistema aplicativo, a cada ciclo de processamento realizado;
  4. existência de arquivos de auditoria; com registros / transações captadas no processamento, em função do tratamento estatístico de seu conteúdo;

"A integração das práticas de segurança lógica com segurança física e confidencialidade é básica para o sucesso e bom funcionamento de um plano de segurança com qualidade."

 

3. Confidencialidade

As informações e programas armazenados em meios magnéticos são ativos intangíveis fundamentais para o sucesso e a continuidade operacional de toda empresa.

A vantagem competitiva de uma empresa é determinada por sua imagem, seu pioneirismo, em práticas e produtos. A disseminação indiscriminada de ativos intangíveis (informações, sistemas aplicativos) ameaça o diferencial competitivo da empresa. Necessária se faz, portanto, uma mecânica de proteção desses ativos.

Responsabilidade pela Atribuição do Grau de Sigilo das Informações:

Em conjunto:

Algumas Providências para Manutenção do Sigilo das Informações:

"O ponto central de qualquer esquema de segurança é o ser humano. Falta de treinamento e de motivação gera incompetência".

 

4. Classificação de Informações

O trabalho de classificação deve obedecer a um padrão único para toda a organização, para que cada membro da mesma saiba que comportamento adotar em relação a informações que esteja manuseando, não importando quem as tenha gerado.

4.1 Razões para a Classificação de Informações

4.2 Regras para a Classificação e Identificação de Informações

  1. Preparação e manuseio - deve especificar quem tem autorização para preparar e manusear requisitos de identificação e classificação de informações quanto ao grau de sensibilidade, e o destino a ser dado a informações de entrada, arquivos temporários, rascunhos, esboços, sucata, etc.;
  2. Reprodução - deve especificar o nível hierárquico necessário para reproduzir informações classificadas ou autorizar sua reprodução;
  3. Distribuição / divulgação - deve especificar que tem autorização para determinar os critérios para distribuição e ou divulgação de informações sensíveis;
  4. Transferência - deve especificar os critérios de transferência de informações classificadas, em função de sua classificação;
  5. Armazenamento - deve especificar os critérios de armazenamento de informações classificadas, em função de sua classificação;
  6. Perda - deve especificar como os casos de perda devem ser relatados e acompanhados;
  7. Destruição / eliminação - deve especificar os critérios para destruição e ou eliminação de informações, quando deixarem de ser necessárias, em função de sua classificação;
  8. Recuperação - deve especificar os critérios para recuperação de informações, em função de sua classificação.

 

5. Modelo de Classificação de Informações

O modelo apresentado abaixo deve ser encarado apenas como um exemplo, a título de sugestão. Cada organização, ao realizar seu trabalho de classificação de informações deve procurar fazer com que seu método seja o mais adequado possível às suas particularidades.

É apresentado apenas um modelo de classificação de informações quanto à necessidade de proteção das mesmas contra revelação. Outros níveis de classificação são necessários, como, por exemplo, classificação quanto à necessidade de preservação, que não será apresentado neste material, mas pode ser encontrado na mesma referência (CARUSO, 1999, p.81) utilizada para o exemplo a seguir.

5.1 Classificação Quanto à Necessidade de Proteção Contra Revelação

Qualquer informação não classificada em nenhuma das categorias acima pode ser liberada para divulgação pública, sem restrições.

Controle da Divulgação

Armazenamento

Transporte interno e expedição

Transporte externo

Transmissão

  1. Transmissão de voz
  1. Transmissão de dados

6. Referências Bibliográficas

1