Segurança da Informação X Infraestrutura Tecnológica

ROCHA, Daniel Cruz da [1]

ROCHA, Daniel Cruz da. Segurança da Informação X Infraestrutura Tecnológica. Revista Científica Multidisciplinar Núcleo do Conhecimento. Ano 02, Vol. 01. pp 613-621, Abril de 2017. ISSN:2448-0959

RESUMO

Quando falamos em Segurança da Informação isso atrai um grande interesse para gerentes, técnicos e até executivos. O fato ocorre, porque o tema Segurança da informação cobre várias áreas de atuação como por exemplo: segurança física, infraestrutura tecnológica, aplicações e conscientização organizacional, cada uma com seus risco e ameaças. Com o aumento das tecnologias de informação e sua rápida disseminação, cresceu também os crimes relacionados a ela onde surgiu a necessidade nas empresas e organizações o controle de seguranças que podem reduzir o nível de exposição ao qual as mesmas estão expostas, com o objetivo de garantir segurança para o seu principal patrimônio a informação. Com a preocupação de proteger os dados recorremos a consulta de referências bibliográficas, onde por meio de análises buscamos sugestões, ideias e argumento que ajudem nesta reflexão.

Palavra-Chave: Segurança da Informação, Segurança Física, Infraestrutura Tecnóloga.

INTRODUÇÃO

A segurança da informação se refere à proteção de dados de uma empresa, organização ou pessoa. Entendemos que toda a informação e o conteúdo ou dado valioso para uma organização/indivíduo, que consiste em qualquer conteúdo com capacidade de armazenamento ou transferência, que serve a determinado propósito e que é de utilidade do ser humano. Hoje em dia, a informação digital é um dos principais produtos de nossa era, e necessita ser convenientemente protegida.

As seguranças de determinadas informações podem ser afetadas por vários fatores, como os comportamentais e do usuário, pelo ambiente/infraestrutura em que ela se encontra e por pessoas que têm o objetivo de roubar, destruir ou modificar essas informações. Quando o assunto segurança e discutido, as pessoas associa o tema a hackers e vulnerabilidade em sistemas, onde o principal entendimento e que um bom antivírus, e um firewall, que com seus “patches” aplicados no ambiente tecnológico resolverão. Pois sim, são questões importantes porem a segurança da informação não está limitada a somente esses pontos. O administrador de segurança deve estar atendo em diversos itens por exemplo: processos de pessoas, ambiente, tecnologia. Onde surgem diversas iniciativas por parte do gestor em aplicar políticas, normas e procedimentos, controle de acesso (logico/físico), auditorias, conscientização dos usuários segurança na rede entre outros.

Com o desenvolvimento deste trabalho venho contribuir para à importância da segurança da informação nas empresas/organizações.

SEGURANÇA DA INFORMAÇÃO

A segurança da informação trata-se a respeito à proteção de determinado dados, assim para preservar seus valores da informação para uma organização/empresa. “ A informação pode existir em diversos formatos: impressa, armazenada eletronicamente, falada, transmitida pelo correio convencional de voz ou eletrônico etc. Seja   qual for o formato ou meio de armazenamento ou transmissão, recomenda-se que ela seja protegida adequadamente, sendo assim é de responsabilidade da segurança da informação protege-la de vários tipos de ameaça. ” (Coelho, Araújo e Bezerra, 2014 :2)

A segurança das informações pode ser afetada por vários fatores, por exemplo: pelo usuário, ambiente/infraestrutura, com objetivo de destruir roubar ou modificar essas informações. “ A proteção da informação e uma responsabilidade da organização e deve se materializar pela atuação dos gestores dessa organização.  A segurança da informação existe para proteger os recursos de informação, que possibilita a organização atingir os seus objetivos institucionais e de negócios. “ (Gonçalves, 2015:2).

Em uma organização deve se implantar um projeto de segurança da informação, para isso deve se seguir algumas diretrizes, por exemplo: ferramenta de proteção e autenticação, políticas e procedimentos, mecanismos de segurança, custo e benefícios. O nível de segurança ideal para cada empresa está estreitamente relacionado com o volume de usuários que acessam os sistemas e ao perfil do negócio. Para cada caso a uma Soluções de segurança, que têm de ser personalizadas. “A implementação de um Sistema de Gerenciamento de Segurança da Informação não se resume na instalação de softwares. Sua abrangência vai além deste tipo de ação “ (MOREIRA, 2001).

PERIGOS E AMEAÇAS À SEGURANÇA

As ameaças podem ocorrer de várias formas: falhas de energia, incêndios, sabotagem, roubo entre outros. Mais nos últimos anos com o avanço da internet e da intranet nas organizações, trouxeram várias vulnerabilidades na rede interna. Agora além de se preocupar as sabotagens, roubo, bugs, as organizações têm que ficar atentas as invasões de hackers, vírus e outras ameaças que infiltram, através desta nova porta de acesso.

Os bancos de dados, rede de computadores, comunicação e sistema de energia são uns dos pontos de ameaça. Para a proteção desses itens devemos manter um foco de atenção nos seguintes elementos:

• Segurança no servidor
• Segurança na estação (cliente);
• Segurança no meio de transporte;
• Segurança na Rede Interna.

A segurança do servidor é tão importante quanto a segurança da rede, porque os servidores frequentemente armazenam grande parte das informações vitais de uma organização/empresa. Se um servidor for comprometido, todo o seu conteúdo pode ficar disponível para o cracker roubar ou manipular como quiser. Usa-se o serviço de firewall para controlar os acesos permitido e proteger contra invasões, porém, exige conhecimento da ferramenta utilizada. Deve ser feito teste de invasão nos servidores para avaliar a segurança do mesmo. Com este tipo de serviço é possível identificar falhas de segurança nos servidores e vulnerabilidade. Os responsáveis pelo teste devem informa a organização/empresa e recomendar ações de melhoria ou correções dos problemas identificados.

A Segurança na estação com uso da internet e intranet, nas estações de trabalho podem armazenar chaves privadas e informações pessoais, na maioria das vezes sem proteção ou controle de acesso informações delicadas, tais como dados de cartões de crédito, também são alvos de crackers de sistemas. Estações de trabalho também podem ser violadas sem o conhecimento do usuário e utilizadas por atacantes como máquinas “escravas” em ataques coordenados. Por estas razões, saber das vulnerabilidades de uma estação de trabalho pode poupar os usuários da “dor de cabeça” de reinstalar o sistema operacional, ou pior, de recuperar-se do roubo de dados.

Com a Segurança no meio de transporte e possível garantir a segurança das informações enviada via internet e intranet e manter sua integridade, utilizando alguns meios de tecnologia: como criptografia, firewalls entre outros. A mais utilizada e a criptografia que com ela consegue manter a integridade dos dados como mensagens de correios eletrônicos e qualquer informação.

A Segurança na rede interna deve prever a proteção e controle de acesso. Os ataques podem ocorrer do lado externo ou interno da organização/empresa. Com estudo feito vemos que os problemas ocorrem em maior proporção do lado de dentro da organização. Isso ocorre por falta de uma solução completa de segurança.

Uma solução completa deve abranger.

• Treinamentos dos colaboradores e capacitações dos técnicos;
• Ferramentas específicas dê segurança;
• Políticas de segurança cooperativa com normas e diretrizes claras;
• Acompanhamento constante da intranet e controle das trilhas de auditoria.

O Gestor de redes após identificar os riscos, deve determinar os níveis de proteção, e quais as consequências que esse risco podem causar, e aí sim implementar os pontos de controle para garantir que esse risco seja reduzido, sabendo que não existe total garantia de eliminar totalmente os riscos na organização/empresa.

Segundo (SANTANDER, 2015) “os principais itens para o gestor analisar são:

1) políticas de Segurança da Informação;

2) organização da segurança;

3) segurança em recursos humanos;

4) gestão de ativos;

5) segurança física e do ambiente;

6) gerenciamento das operações e comunicação;

7) controle de acesso;

8) aquisição, desenvolvimento e manutenção de sistema da informação;

9) gestão de incidentes de segurança da informação;

10) gestão da continuidade do negocio;

11) conformidade”.

A política de segurança da informação consiste num conjunto de regras onde a implementação deve ser realista, e definir claramente as áreas envolvidas além de abranger as responsabilidades dos recursos humanos da gestão de sistemas e redes e da direção.

Organização na segurança: são medidas tomada pelo gestor da segurança da informação (SI) para que o processo de segurança na organização/empresa esteja seguro. “As responsabilidades pela segurança da informação são atribuídas aos funcionários e colaboradores através de ações realizadas pela área de Recursos Humanos.” (SANTANDER,2015)

Segurança em recursos humanos é uma parte importantíssima na conformidade em controle de segurança, é muito importante ter claramente definido na organização/empresa termos de contratação, como os acordos de confidencialidade, responsabilidade da direção, controles e processos disciplinares. “As responsabilidades pela segurança da informação são atribuídas aos funcionários e colaboradores através de ações realizadas pela área de recursos humanos” (SANTANDER,2015)

Gestão de ativos: são as medidas de controle e prevenção tomadas pelo gestor de segurança da informação que visa gerir e controlar o acesso de funcionários. “Fazer a gestão adequada de todos os ativos, especialmente os ativos relacionados à tecnologia, evita desperdícios com investimentos inapropriados, otimiza as atividades do negócio, permite a aderência a vários controles de normas de gestão, além de qualidade e segurança, fundamental em alguns casos para a sobrevivência da empresa em um mercado cada vez mais competitivo” (Souza 2015).

Segurança física e do ambiente: é fundamental ao pensarmos em proteção de informações e continuidade dos negócios. O objetivo maior é impedir perdas, danos, furto ou comprometimento de ativos e interrupção das atividades da organização. A missão dos sistemas de segurança da informação é eliminar o acesso não autorizado às informações e proteger os ativos contra perdas ou danos.

Gerenciamento das operações e comunicação: é um fator crítico de sucesso para a correta disseminação das políticas corporativas, já que esta provoca alteração no status de praticamente todos os colaboradores. “Consequentemente obriga a mudanças na forma de trabalho e qualquer mudança gera resistência, sendo a comunicação a melhor maneira de reduzir os conflitos inerentes a ela”. (FERREIRA, ARAÚJO, 2008, 32).

Controle de acesso: significa permitir o acesso a propriedades, prédios, salas, entre outros locais, apenas a pessoas autorizadas. “Hoje, além dos prédios governamentais e indústrias, o controle de acesso abrange também os condomínios empresariais e residenciais, hospitais, aeroportos e mais uma gigantesca quantidade de localidades. E para garantir esta segurança, a tecnologia passou a ser um grande aliado”. (Barbosa 2015)

Aquisição, desenvolvimento e manutenção de sistema da informação:  são muitas vezes relegados a um segundo plano. Nesta forma este assunto e colocado na sua devida importância, para que a segurança seja parte do sistema de informação desde a sua concepção.

Gestão de incidentes de segurança da informação: “ O objetivo deste aspecto é garantir que incidentes e ocorrência similares seja formalmente registrado e deixa uma busca pela efetiva causa do mesmo com objetivo de corrigir e resolver em tempo aceitável para a realização do negócio ” (GONSALVES, 2008)

Gestão da continuidade do negócio:  tem como objetivo manter a continuidade do processo da organização/empresa em caso de falhas e danos. ” Estabelecer uma gestão para continuidade dos negócios que atenda os seguintes requisitos:

• Realize uma análise de riscos para o desenvolvimento do plano de continuidade de negócios;
• Desenvolva, revise e teste (no mínimo anualmente) o plano de continuidade de negócios de pessoas;
• Desenvolva, revise e teste (no mínimo anualmente) o plano de continuidade de negócios de tecnologia. “ (SANTANDER)

Conformidade: trata –se de “evitar a violação de qualquer lei criminal ou civil, estudos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança é o objetivo desse item de conformidade. ” (Fontes, 2008)

Uma gestão que previna sobre possíveis erros na organização/empresa não pode ser deixada de lado, e de grande importância para o sucesso da implementação da segurança na empresa. A segurança da informação não deve atrapalhar o funcionamento da organização/empresa, deve se levar em paralelo a segurança e o negócio, de forma que não prejudique no processo da organização.

A organização deve implantar as diretrizes da segurança da informação estabelecidas. Também tem que qualificar os colaboradores quanto à implantação das diretrizes e como agir de acordo com as diretrizes implantadas. O gestor tem que conscientizar os colaboradores quanto as normas da segurança da informação na organização/empresa, havendo qualquer inconformidade com normas e diretrizes o processo deve ser revisto.

CONSIDERAÇÕES FINAIS

O artigo indica como as empresas devem se posicionar para aumentar a segurança, usando de métodos e soluções que orientam e previnem contra usuários mal-intencionados. Essas orientações servem para observar e prevenir a segurança das informações de um modo geral, pois, os ataques podem ocorrer tanto em usuários comuns, como também em empresas de pequeno, médio e grande porte, que são os alvos principais dos invasores.

Vimos que os recursos e investimentos em segurança, estão obviamente, relacionados à importância da informação e ao risco que a mesma está exposta e o processo é semelhante ao da própria defesa do patrimônio físico, com o agravante que a recuperação da informação pode ser muito mais onerosa do que do equipamento físico e que na maioria dos casos sua mensuração é extremamente difícil. Em função destes relatos podemos assumir que mais importante que escolhermos produtos e ferramentas que prometem níveis de segurança, é termos políticas aplicáveis a todos ambientes operacionais, e que estes mesmos ambientes nos permitam ter programas segmentados que auxiliem na aplicação e fácil operacionalização destas políticas da segurança da informação.

REFERÊNCIAS

EDISON LUIZ GONÇAVES FONTES (gestão da segurança da informação)2008

https://books.google.com.br/books?id=Gh82CgAAQBAJ&printsec=frontcover&hl=pt-BR#v=onepage&q&f=false acessado 28/12/2015

MOREIRA, NILTON S. (Segurança Mínima – uma visão corporativa da segurança de           informações. Rio de Janeiro, Axcel Books) 2001.

SANTANDER. “Principais itens em segurança da informação”. Disponível em:

http://www.santander.com.br/document/gsb/seguranca_parceiros_principais_itens.pdf. Acessado em: 28/12/2015.

Souza – Gestão de Ativos – A organização nas mãos da TI – Revista Infra Magazine 11 http://www.devmedia.com.br/gestao-de-ativos-a-organizacao-nas-maos-da-ti-revista-infra-magazine-11/27895#ixzz3vcga4erB acessado 31/12/2015

FERREIRA, FERNANDO NICOLAU FREITAS, ARAÚJO, MÁRCIO TADEU. “Políticas de segurança”. Segurança da informação – Guia prático para elaboração e implementação”. Rio de Janeiro: Ciência Moderna, 2008.

BARBOSA. http://www.campograndenews.com.br/artigos/o-mercado-brasileiro-de-controle-de-acesso acessado 29/12/2015

EDISON LUIZ GONÇAVES FONTES (gestão da segurança da informação)2008

https://books.google.com.br/books?id=Gh82CgAAQBAJ&printsec=frontcover&hl=pt-BR#v=onepage&q&f=false acessado 28/12/2015

[1] Desenvolvedor de sistemas e Pós-graduando em administração de rede e segurança da informação pela UNEB-DF – União de Ensino Superior de Brasília – DF.