Introdução à Segurança da Informação
Segurança da Informação deixou de ser um assunto obscuro, hoje de certa forma já um assunto abordado em faculdades e programas de pós-graduação específicos.
Hoje em dia vivemos em um mundo onde as informações trafegam em tempo real. Não tem mais a privacidade dos tempos dos nossos pais, ou seja, informação e privacidade são elementos que caminham lado a lado. Ambos os elementos precisam ser preservados, e é ai que entra a segurança em um termo mais abrangente. Segurança da informação é a prática de assegurar que os recursos que geram, armazenam ou proliferam as informações sejam protegidos contra quebra da confidencialidade, comprometimento da integridade e contra a indisponibilidade de acesso a tais recursos. Seja qual for o seu plano de segurança da informação, o mesmo deverá cobrir os conceitos de: confidencialidade, integridade e disponibilidade.
Pilares da Segurança da Informação
Ter estes três pilares como alicerce de um plano de segurança da informação é o primeiro passo para ter um projeto bem sucedido. Cada pilar tem sua função específica conforme as definições abaixo:
- Confidencialidade: Propriedade que limita o acesso à informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
- Integridade: Propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação.
- Disponibilidade: Trata-se da manutenção da disponibilização da informação, ou seja, a informação precisa estar disponível quando se necessita.
É também importante salientar não se aplicam apenas à segurança da informação em um mundo digital. Na realidade a segurança da informação é algo que está além da tecnologia, é algo que deve estar presente no seu dia a dia, em ações simples. A segurança da informação deveria ser tão presente quanto a segurança física que temos com os nossos bens. Por exemplo: você não vai a um local publico, estaciona o carro e deixa a porta aberta com seus pertences sem travar o carro. Se deixa é porque esqueceu e com isso corre o risco de chegar ao local e não ter mais seus pertences e às vezes nem mesmo encontrar seu carro. A mesma coisa deve-se aplicar no que se refere à segurança da informação. Por que navegar e fornecer seu cartão de crédito em um site que não tem segurança digital aplicada durante a transação? O Brasil é um dos países da América Latina que mais sofre com os ataques baseados em e-mails fraudulentos que incitam os usuários a tomar a ação que aparentemente é legitima, como, por exemplo, ir ao site do banco para trocar a senha.
Um dos motivos pelos quais dizemos que a segurança da informação vai além da tecnologia é porque nada é seguro se você tiver acesso físico ao componente que está tentando manter seguro. Em outras palavras: se você implementa todos os recursos computacionais disponíveis para manter seu computador seguro, mas sua senha esta escrita em um papel e este papel esta debaixo do teclado, então você acabou de cometer o pecado da segurança física. A segurança física dos recursos que você utiliza para ter acesso à informação também é algo que precisa ser cuidadosamente avaliado. Por que você acha que em 2009 a prova do ENEM foi cancelada? Devido ao vazamento de informações: A PROVA! Se não fosse uma falha na segurança operacional e física este problema não teria acontecido. Lembre-se que a maior ameaça sempre mora dentro do seu próprio ambiente. Em outras palavras, o usuário interno sempre terá mais acesso à recursos do que o usuário externo, portanto é necessário implementar politicas de acesso e medidas de segurança que coíbam o uso indevido de recursos. E é justamente neste ponto que entram outros fatores além da tecnologia, como:
- Segurança Física do Ambiente
- Acesso controlado e apenas para usuários autorizados
- Autorização de acesso baseado em necessidade de uso do recurso
- Politicas Administrativas
- Diretrizes de uso indevido dos recursos
- Auditoria de acesso a tais recursos
- Plano de Ação Contra Desastres
- O problema aconteceu, o que fazer?
- Como manter o core-business funcional em momentos de desastre?
