16

Ps-graduao
Necessidade e componentes gerais
da segurana da informao
Fernando Cerutti
Mesmo numa sociedade centrada em tecnologia, afnal estamos na era
da informao e do conhecimento, ainda assim, poucas empresas podem
assegurar que esto livres de incidentes, mesmo as que investem o sufciente
na proteo dos seus ativos de informao, os quais podem ser representados
por documentos, livros e arquivos em papel ou informao armazenada
eletronicamente (Electronically Stored Information ESI).
A proteo para minimizar os riscos de incidentes envolve elevados recursos
fnanceiros, humanos e computacionais, os quais se justifcam na medida em que
possveis perdas desses ativos de informao possam inviabilizar a continuidade
do negcio da empresa a que pertencem.
A habilidade de detectar os problemas quando da ocorrncia dos incidentes de
segurana e de responder de maneira efetiva a isso mandatria, inclusive sob
os aspectos regulatrios. Por exemplo, o roubo ou abuso no uso de informaes
fnanceiras ou de pronturios mdicos para citar somente alguns casos podem
ter consequncias legais mais graves do que a simples perda dessas informao.
Outros fatores, como perdas devido utilizao incorreta ou ilcita de ativos pelos
prprios funcionrios da organizao, tm gerado prejuzos estimados em milhes
de dlares anuais.
Alm disso, erros e omisses na utilizao de informaes so responsveis
diretos por prejuzos signifcativos, e de uma forma mais danosa que os ataques
intencionais aos ativos de informao. Esses fatos, os quais atuam como fontes
geradoras de incidentes de segurana, so mais difceis de detectar, uma vez que
a origem do problema pode estar bastante difusa em um elevado nmero de
eventos e procedimentos.
Portanto, o domnio de mtodos, normas e tcnicas de tratamento dos incidentes
de segurana torna-se cada vez mais necessrio nos ambientes empresariais
atuais, altamente informatizados e dependentes de seus ativos de informao.
Fundamentos sobre incidente de segurana
17
O usurio da informao um aspecto complexo da sua segurana, pois existe
uma relao inversa entre segurana e a satisfao do usurio:
Segurana =
1
satisfao
Obviamente, quanto mais controles, polticas e permisses de acesso voc insere
em uma rede, menos confortvel fcar a utilizao dos recursos por seus usurios.
Uma questo central : quanto de conforto o usurio abre mo para sentir-se
seguro nas questes de rede? Regras draconianas motivam boicotes s polticas.
Um exemplo desse tipo de regra, que pode ter consequncias adversas, o
seguinte: nenhum uso dos recursos de rede pode ser pessoal. Mas voc precisa
dos usurios atuantes nas polticas de segurana.
Aspectos gerais da segurana da informao
Qualquer componente ou fase de um programa de segurana da informao no
envolve somente tecnologia. Uma abordagem correta para a implementao
dessa segurana inicia sempre pelas pessoas.
O diagrama a seguir mostra o inter-relacionamento entre os componentes envolvidos
nos diversos aspectos dos planejamentos relacionados com segurana da informao.
M
e
t
o
d
o
lo
g
ia
N
o
r
m
a
s
P
r
o
c
e
d
im
e
n
t
o
s
C
u
lt
u
r
a

C
a
p
a
c
it
a

o
C
o
n
s
c
ie
n
t
iz
a

o
Ferramentas
Processos Pessoas
Recursos Fsicos e Lgicos
Figura 1 Abordagem correta para Segurana da Informao
Fonte: ZAPATER; SUZUKI (2009).
18
Ps-graduao
Acompanhemos, pontualmente, a seguir, cada um dos componentes desse
diagrama.
Pessoas
As pessoas so o elemento mais importante na gesto da segurana, pois em
essncia so elas que executam e suportam os processos de uma organizao. Uma
abordagem correta dos componentes responsveis pela segurana da informao
trata com as pessoas os assuntos relacionados a essa rea e estabelece com elas
seus papis e responsabilidades na organizao. O que, por sua vez, abrange desde
a capacitao dos profssionais responsveis pela segurana at o treinamento
dos colaboradores, passando pela criao de uma cultura de conscientizao da
organizao e de seus parceiros (fornecedores, clientes, terceirizados) em relao
necessidade de se estabelecer a segurana da informao.
Importante
Os usurios devem entender os propsitos bsicos do programa de
segurana da informao e a sua implementao antes que ganhem
acesso a recursos de TI.
No mnimo, os usurios devem entender os seguintes componentes de
segurana de TI:
Confdencialidade.
Segurana das Senhas: logging of; mltiplos sign-ons.
Comportamentos adequados para segurana dos sistemas de TI.
Software malicioso.
Armadilhas dos e-mails.
Backups.
Uso da Internet.
Licenciamento de software.
Etiqueta para uso de e-mail.
Expectativas de privacidade.
Como reportar incidentes.
Segurana nos sistemas de telecomunicaes
Resumo do funcionamento da rede.
Fundamentos sobre incidente de segurana
19
Login remoto.
Segurana fsica.
Disponibilidade de informao sensvel ou sigilosa.
Consequncia do mau uso dos recursos dos sistemas de TI.
Processos
Esse elemento da abordagem da segurana da informao o principal eixo de
sua gesto nas tarefas dirias de uma organizao. Compreende desde a viso
da corporao o modelo de negcios, os objetivos, a defnio dos ativos de
informao que se quer proteger, a estratgia de segurana para proteg-los, a
defnio das polticas para a implementao dessa segurana at os processos
que colocam em prtica tais polticas os procedimentos, a documentao de
controle e os padres de conformidade dessa mesma segurana.
Atravs de processos bem defnidos, uma organizao torna a segurana da
informao uma responsabilidade de todos e no apenas da equipe de segurana.
Essa gesto, portanto, determina, por meio de diretrizes, as maneiras corretas
de se agir nos processos da organizao para que a segurana seja minimamente
comprometida.
Ferramentas
Elas so as solues de segurana empregadas para suportar os processos
delineados na organizao. Portanto, devem facilitar a devida aplicao das
polticas de segurana da informao e seu monitoramento. Incluem diversas
funcionalidades, desde a identifcao dos usurios, criptografa de dados, defesa
contra ameaas at a gesto da segurana.
20
Ps-graduao
Referncias
STACEY, T. R. Contingency planning best practices and program maturity. In: TIPTON, H.;
KRAUSE, M. Information Security Management Handbook. 6. ed. Auerbach Publications, 2007.
SWANSON, M. et al. Contingency planning guide for information technology systems
recommendations of the national institute of standards and technology. 2002.
TIPTON, H.; KRAUSE, M. Information Security Management Handbook. 6. ed. Auerbach
Publications, 2007.
ZAPATER, M.; SUZUKI, R. Segurana da Informao: um diferencial determinante na
competitividade das corporaes. Promon Business & Technology Review. 2009
STALLINGS, W. Network security essentials. 4. ed. Pearson Education, 2007.