Ao mesmo tempo que a informação é considerada um dos principais patrimônios da organização moderna, sua violação é cada vez mais fonte de risco e ameaça. O mesmo se aplica aos indivíduos, que cada vez mais necessitam de informações e podem ter sua privacidade agredida pelo mau uso delas. Por isso a segurança dos sistemas de informação tornou-se tema de importância na sociedade da informação.
Quando as informações eram armazenadas apenas em papel, a segurança era relativamente simples. Restringir o acesso físico a elas bastava para eliminar os riscos. Trancá-las em algum ambiente especial e controlar o acesso físico aos documentos era suficiente. Com o uso dos primeiros computadores, ainda centralizados nos centros de processamento de dados (CPDs), as informações deixaram de ser exclusivamente físicas, o que demandou tratamento diferente do que se praticava até então. Hoje, com a incorporação dos computadores pessoais, organizados de forma distribuída em redes, com dispositivos sem fio (wireless) e computadores portáteis (notebooks) com acesso via telefone celular, as preocupações com segurança cresceram de modo surpreendente, demandando um tratamento complexo e especializado para esse tema.
Os profissionais da área de tecnologia da informação são os responsáveis pela estruturação da segurança dos sistemas de informação nas organizações. Cabe a eles identificar fontes de riscos e ameaças e propor soluções adequadas para cada situação, sempre de acordo com as possibilidades da organização usuária da tecnologia.
Nesta unidade abordaremos o tema segurança dos sistemas de informação de modo a destacar as fontes de problemas, porque eles ocorrem, e apontar saídas viáveis para a segurança das informações das organizações.
É importante destacar que este tema não se esgotará nesta unidade, uma vez que pode ser abordado por diversas perspectivas. Para cada tecnologia pode-se estudar a segurança associada a ela, como, por exemplo, a segurança de redes de computadores e a segurança dos bancos de dados. Pode-se estudar também este tema sob a ótica dos processos e políticas de segurança a serem implantados nas organizações, sob os aspectos comportamentais envolvidos, sob os aspectos legais, etc.
Conceitos fundamentais de segurança da informação
Uma das tecnologias que mais tem contribuído para informatização das organizações é a tecnologia de redes. Ao mesmo tempo, é essa tecnologia também responsável pela multiplicação dos problemas relacionados à segurança dos sistemas de informação. Segundo o Centro de Atendimento de Incidentes de Segurança da Rede Nacional de Pesquisa (CAIS/RNP – <www.rnp.org.br/cais>) – o índice de ocorrências relatadas de incidentes que ameaçam a segurança de rede tem crescido muito. Em 2003 o crescimento foi de 60% em relação ao ano anterior. A Figura abaixo indica a curva de crescimento dos incidentes ocorridos na rede RNP, o que aponta a necessidade de cuidados e investimentos em segurança.
Esses incidentes são de vários tipos, como, por exemplo, a invasão em sites de empresas e a deliberada violação de informações privadas que ocorreram por iniciativa de alguém mal intencionado.
Há também incidentes que ocorrem sem haver uma intenção explícita de gerar dano, mas que por omissão ou até mesmo por desconhecimento provocam danos à segurança das informações.
O que todos os incidentes têm em comum é que eles afetam a confidencialidade, a integridade ou a disponibilidade das informações. Esses três termos são importantes para a compreensão deste tema. São definidos a seguir:
confidencialidade – toda informação deve ser protegida conforme o grau de sigilo de seu conteúdo e seu acesso deve ser dado apenas às pessoas a quem são destinadas. Informações como dados de pesquisa, registros médicos, registros bancários, de salário dos indivíduos, informações sobre produtos, serviços e estratégias das organizações são confidenciais e necessitam de proteção;
integridade – toda informação deve ser protegida e mantida conforme disponibilizou seu proprietário, visando protegê-la de alterações indevidas, sejam elas
intencionais ou acidentais. Além disso, as informações resultantes do processamento de um sistema também devem ser íntegras e livres de erros. Disseminar informações erradas pode gerar prejuízos e danos aos indivíduos e às organizações;
disponibilidade – toda informação útil deve estar disponível a quem necessita dela, no momento em que essa necessidade se manifesta. Organizações que
prestam serviços, por exemplo, necessitam da informação disponível no momento do atendimento a seu cliente e a indisponibilidade pode comprometer o próprio negócio.
Quais são as principais vulnerabilidades dos sistemas de informação?
Uma das primeiras constatações que é preciso assumir quando
discutimos sobre a segurança dos sistemas de informação é que
eles são falíveis e vulneráveis a ataques ou ameaças. A cada dia
surgem novos casos de invasões e agressões à segurança de
sistemas de informação.
A ameaças podem ser classificadas quanto à sua
intencionalidade em três grupos:
naturais – são as decorrentes de fatores da natureza como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc.;
involuntárias – são ameaças inconscientes, quase sempre causadas por falta de conhecimento. Podem ser provocadas por acidentes, erros, falta de energia, etc. Os usuários podem provocar falhas involuntariamente quando não compreendem a implicação técnica de muitas de suas ações na interação com um sistema de informações;
voluntárias – são ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, incendiários, criadores e disseminadores de vírus de computador. Este grupo é comumente formado por indivíduos com conhecimentos especializados que lhe permitem burlar sistemas de segurança já existentes.
As principais ameaças são decorrências de vulnerabilidades dos sistemas de informação computadorizados, que podem ter origem desde desastres como incêndios e terremotos até falhas elétricas, mau funcionamento do hardware, erros de software e de seus usuários. A seguir estão categorizadas as diversas origens das vulnerabilidades dos sistemas de informação:
físicas – referem-se às vulnerabilidades das instalações físicas que servem de suporte aos sistemas de informação. Podem ter origem em instalações prediais fora do padrão, salas de CPD mal planejadas, falta de extintores, detectores de fumaça e outros recursos para combate a incêndio em sala com armários e fichários estratégicos, riscos de explosões, vazamentos ou incêndio;
naturais – computadores são muito sensíveis a fenômenos da natureza como enchentes, terremotos, tempestades, falta de energia, acúmulo de poeira, aumento de umidade e de temperatura, etc.;
hardware – falha nos recursos tecnológicos resultantes de desgaste ou obsolescência dos equipamentos, ou ainda de erros de instalação;
software – erros de instalação e configuração podem acarretar acessos indevidos a sistemas, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário;
mídias – discos, fitas e relatórios impressos que registram os dados podem ser perdidos ou danificados de modo que não haja possibilidade de sua recuperação. A radiação eletromagnética, por exemplo, pode provocar dano em diversos tipos de mídias magnéticas;
comunicação – acessos não autorizados ou perda de comunicação;
humanas – estão relacionadas à falta de treinamento, compartilhamento de informações confidenciais, não execução de rotinas de segurança, erros ou omissões. As ameaças de origem no homem podem estar relacionadas até mesmo a ameaças de bomba, sabotagem, distúrbios civis, greves, vandalismo, roubo, destruição da propriedade ou dados, invasões ou guerras.
Como garantir a segurança?
Toda organização depende de informações para realizar seu
trabalho e precisa, naturalmente, estabelecer mecanismos que
garantam a segurança desse importante recurso. São notórios os
casos de empresas que, por diversos motivos, tiveram
significativas perdas em virtude de problemas de segurança de
seus sistemas de informação.
No plano individual o mesmo ocorre. Quem não conhece
alguém que teve significativa perda por problemas no seu
computador? Que perdeu aquele documento importante que
levou dias ou meses para ser redigido? Ou aquele conjunto de
arquivos com dados que levaram anos para serem reunidos?
Sendo assim, é importante conhecer os mecanismos e medidas
de proteção contra falhas e ameaças. Essas medidas podem ser
preventivas, detectáveis e corretivas.
- Medidas preventivas – visam evitar que os acidentes venham a ocorrer. São obtidas por mecanismos já instalados que estabeleçam condutas e posturas éticas que evitem a ocorrência de danos. São as políticas de segurança, instruções e procedimentos de trabalho, as campanhas de sensibilização e conscientização de usuários. São também medidas preventivas o uso de antivírus, de configurações adequadas da rede e dos sistemas operacionais, o uso de senhas, a realização de cópias de segurança, etc.
- Medidas detectáveis – são aquelas que identificam a ocorrência de alguma vulnerabilidade nos sistemas de informação. São exemplos os sistemas de detecção de intrusão em redes, os alertas de segurança, as câmeras de vídeo, alarmes, etc. Nesse caso, não se consegue evitar a tentativa do agente ameaçador, mas se pretende evitar que a ameaça se converta em um dano real.
- Medidas corretivas – são as ações voltadas à correção de uma estrutura danificada de modo a garantir a restauração de um padrão mínimo de segurança que a organização necessita. Isso pode ser obtido por meio de planos de contingência, planos de recuperação de desastres, a restauração de cópias de segurança (backups), etc.
Para garantir a segurança dos sistemas de informação deve-se observar com atenção a segurança de dados, a proteção física de computadores e redes, e o desenvolvimento de planos de recuperação de desastres.
Veja a seguir medidas de segurança comumente usadas para garantir a segurança dos sistemas de informação:
O uso de senhas
As senhas possibilitam a identificação de um usuário e a autenticação de seu acesso ao sistema. Cada usuário pode ter uma senha que o habilita um tipo de permissão de acesso ao sistema. Um problema comum com o uso de senhas ocorre quando elas não são guardadas por seu proprietário com o cuidado necessário. Se forem escritas em um papel ou em um arquivo, pessoas não autorizadas podem facilmente descobri-las. Por outro lado, memorizar senhas pode ser uma dificuldade para indivíduos que são usuários de diversos sistemas, ainda mais se as senhas forem trocadas periodicamente.
A criptografia de dados
Consiste no embaralhamento dos dados em forma codificada antes de sua transmissão por uma rede de telecomunicações. Ao chegar ao seu destino os dados são desembaralhados (decodificados). A regra de codificação deve ser secreta para que a criptografia não seja quebrada por alguém que capture os dados em algum ponto de seu caminho pela rede.
Cópia de dados críticos (backup)
Consiste na cópia de dados em mídias externas para que possam ser restaurados em caso de falhas no hardware, danificação ou destruição dos dados.
Uso de servidores ou drives de discos redundantes
Consiste em manter equipamentos alternativos caso o hardware apresente problemas. Em situação de emergência a organização tem condições de ativar o sistema redundante e manter o sistema ativo sem impactos sobre suas atividades. Essa é uma estratégia cara e por isso não é acessível a todas as organizações.
Controle de acesso às estações de trabalho
Consiste em permitir que computadores sejam fisicamente acessados apenas por aqueles em quem se confia e que necessitam utilizar o sistema.
Classificação dos usuários da rede
Consiste em classificar o usuário conforme as atividades que executa e atribuir acesso à rede de acordo com sua necessidade.
Documentação
Procedimentos de segurança devem estar documentados e atualizados para que no momento da emergência estejam acessíveis de modo a facilitar o trabalho de recuperação.
Software antivírus
Úteis para detectar e erradicar vírus de computador. Devem estar sempre atualizados.
Essas são as estratégias mais comuns, porém elas não cobrem todos os tipos de vulnerabilidades existentes. O que fazer então?
Em muitas situações em que medidas preventivas não são suficientes, deve-se elaborar um plano de recuperação de desastres. Esse plano deve prever como as empresas podem retomar suas atividades em casos de grave agressão aos sistemas de informação. Normalmente deve prever o acesso a hardware alternativo, a restauração de softwares, de dados e de instalações de telecomunicações. Os sistemas de informação considerados mais críticos devem receber prioridade em sua recuperação.
Existem hoje no mercado diversas empresas que oferecem serviços especializados para recuperação de desastres. Essas fornecem recursos plenamente operacionais para o processamento de dados e backups de seus clientes, que podem ser acionados em menos de 24 horas após a notificação de uma emergência.
Outra alternativa é que a própria organização mantenha esses recursos alternativos ativos e disponíveis para uso em caso de desastre.
Quem é o responsável pela segurança dos sistemas de informação?
Todos os indivíduos envolvidos com o fluxo das informações são
co-responsáveis por sua segurança, sejam eles colaboradores da
própria organização ou agentes externos que interagem com seus
sistemas. Entretanto, seu grau de responsabilidade é variável e
depende do grau de envolvimento com o sistema.
Aos profissionais de informática cabe o estabelecimento e a
implementação de controles especializados, que
demandam o conhecimento profundo da infraestrutura
de TI e da implementação de sistemas de
informação. Estão envolvidos na segurança
especialistas em redes, analistas de sistemas,
auditores de sistemas, administradores de bancos de
dados, e, naturalmente, os gestores de projetos e o
gestor de TI da organização.
Os auditores de sistemas, em especial, são
profissionais que possuem profundo domínio de
normas, métodos e procedimentos gerenciais para implementar
estratégias e políticas de segurança dos sistemas de informação,
envolvendo todo o seu ciclo de projeto, implementação e
manutenção.
Cabe o gestor da tecnologia da informação garantir que sua
organização possua um bom nível de segurança. Para isso deve
assumir a gestão do processo de construção e manutenção da
segurança dos sistemas de informação. Cabe a ele cuidar para
que uma política de segurança seja implementada, divulgada e
esteja de acordo com as necessidades e a capacidade da
organização de investir nela.
Com freqüência, a implementação de uma política de segurança
envolve mudanças culturais e comportamentais, o que muitas
vezes é obstáculo significativo nessa tarefa. O apoio da alta
administração é de significativa importância para que essa
mudança ocorra.