Nesta unidade temática, você vai aprender

• Princípios de Segurança;

• Pilares da Segurança;

• Nomenclatura - Termos e Definições;

• Gestão de Risco de TI.

Definição de Segurança da Informação

Informação enquanto conceito remete a uma grande diversidade de definições, desde o uso quotidiano ao mais técnico. O conceito de informação está intimamente ligado a dados, códigos, formas estruturadas, padrões, instruções, percepção e representação e, enquanto armazenada, é conhecimento acumulado que pode ser consultado, utilizado e transferido, servindo como um fornecedor de ensino e cultura para a sociedade.

O domínio de informações corretas e qualificadas permite uma precisa tomada de decisões e o planejamento de estratégias para os negócios. Sistemas de informações eficientes possibilitam que as corporações produzam mais, faturem mais e gerem mais empregos.

O processo de transmissão dessas informações, circulando em quantidade e com qualidade entre pessoas e empresas, possibilitam que todos se comuniquem mais rapidamente entre si, o que gera uma atividade econômica maior e um desenvolvimento mais rápido da sociedade. Desde 550 AC, Ciro, o Grande, rei da Pérsia, já projetava os primeiros sistemas para transmitir informações a distância por meio de pessoas e animais.

Nas últimas décadas, as comunicações de dados deram um grande salto tecnológico e continuam a se desenvolver rapidamente. Desde o início da década de 1960, vários pesquisadores desenvolveram paralelamente a ideia de informação viajando em pacotes, ou seja, blocos de dados transportando informações, e os personagens-chave desse conceito foram Vinton Cerf e Robert Kahn, criadores da pilha de protocolos TCP/IP, o conjunto de regras que veio a ser implementado para controlar a comunicação ainda na ARPANET que pouco depois veio a se tornar a Internet, a rede de pacotes interligando milhares de computadores compartilhando informações no mundo inteiro.

As transformações trazidas pela evolução das tecnologias de informação e do advento da Internet como um meio global de comunicação afetou a forma com a sociedade e as organizações agem, dando início à Era da Informação e da Sociedade do Conhecimento, em que um dos aspectos mais importantes é a Segurança das Informações.

Em nossa sociedade digital atual, é notório que cada vez mais presenciamos situações nas quais o termo Segurança de Informação está inserido. De vazamento de informações pessoais como fotos e vídeos, Engenharia Social e práticas de cyberbullying (atos hostis para constranger pessoas), golpes bancários, espionagem industrial e até guerra cibernética, podemos vê-la presente nas mais diversas situações.

Dessa forma, qual a melhor forma de definir o que é a Segurança da Informação?

A Segurança da informação significa “proteger a informação dos vários tipos de ameaças”, ou seja, identificar medidas – proteções – que visam livrar a organização de situações de risco – ameaças – que possam comprometer os objetivos da instituição trazendo danos ou prejuízos. Um exemplo de proteção são os softwares antivírus e um exemplo de ameaça são os vírus de computadores. Dessa forma, “Garante-se a continuidade dos negócios, minimizando o risco e maximizando o retorno sobre os investimentos e as oportunidades de negócios”. FONTE da citação.

Essa definição de segurança faz referência a norma internacional ISO/IEC 27002:2013, que no Brasil foi regulamentada pela ABNT e serve como um guia de melhores práticas para a gestão da Segurança da Informação, sendo consolidada em todo mundo como a principal referência em Segurança.

E quais os objetivos da Segurança da Informação? Todas as ações em segurança da informação devem ser orientadas por esta tríade formada pelos aspectos de confidencialidade, integridade e disponibilidade:

Manter a Confidencialidade das informações, significa basicamente garantir o sigilo de forma que apenas as pessoas que devem ter conhecimento a seu respeito poderão acessá-la. Diferentes tipos de informações terão diferentes níveis de confidencialidade.

Manter a Disponibilidade das informações é garantir que ela possa ser acessada por aqueles que dela necessitam, no momento em que precisam.

Manter a Integridade das informações, envolve proteger as informações contra alterações em seu estado original, conforme a figura a seguir.

A TECNOLOGIA está relacionada com as soluções de segurança empregadas para suportar os processos delineados. São elas que facilitam a devida aplicação das políticas de segurança e seu monitoramento. Incluem diversas funcionalidades, desde a identificação dos usuários, criptografia de dados, defesa contra ameaças (como vírus), até a gestão da segurança.

Os PROCESSOS constituem a linha mestra da gestão da segurança no dia a dia. Compreendem desde a visão da corporação, sua estratégia de segurança e a definição das políticas até os processos que colocam em prática as políticas, os procedimentos, a documentação de controle e os padrões de conformidade. Através de processos bem definidos, uma organização torna a segurança uma responsabilidade de todos e não apenas da área de segurança, pois determinam diretrizes do que é ou não permitido.

As PESSOAS são um dos elementos mais importantes na gestão da segurança, pois em essência são elas que executam e suportam os processos de uma corporação. Temos os quatros pilares, porém somente as pessoas estão vinculadas ou participam nos primeiros três pilares, pois em última análise são elas que definem, criam, implementam e controlam os Processos, as Tecnologias e os Ambientes. Por essa razão existe uma forte necessidade de que as pessoas estejam conscientes e tenham uma cultura relacionada à Segurança da Informação, até porque, comumente se fala, que “As pessoas são o elo mais fraco da corrente...”. Será?

Dessa forma, é importante compreender que não adianta investir apenas em um dos pilares, deixando os outros de lado. Caso esses fatores não estejam em equilíbrio, deixará a segurança da informação instável, trazendo grandes prejuízos às organizações. A Segurança não é apenas tecnologia, pois não é possível comprar um dispositivo que torne um ambiente totalmente seguro, assim como não é possível comprar ou criar um software capaz de tornar um computador seguro. A segurança é a direção em que se pode caminhar, mas nunca chega-se de fato ao destino pelo fato de ela não ser estática, é semelhante a tentar subir uma escada rolante infinita que desce. Você poderá correr alguns degraus acima e então parar para recuperar o fôlego; após descansar, descobrirá que a escada rolante o levou para baixo até o mesmo ou além do ponto de início. Para se manter no mesmo nível, será preciso um esforço contínuo. Para avançar e conseguir maior segurança, será necessário um esforço ainda maior. E, como em uma escada rolante, não basta a quantidade do esforço, precisa mover-se na direção correta.

Ou seja, a segurança da Informação é como processo cíclico. Não é um processo que termina e está pronto. Sempre que termina uma fase, inicia-se uma nova fase de planejamento, implementação, avaliação e melhoria. Em Segurança da Informação é assim, logo depois que terminamos uma fase, alguém divulga uma nova vulnerabilidade e reiniciamos todo um novo ciclo.

É como a saúde, as pessoas podem comprar livros e aprender sobre dietas, exercícios ou terapias, que são processos que as pessoas podem seguir em busca da saúde. A saúde é um tipo de estado ideal que nunca se consegue alcançar de maneira completa. Uma pessoa pode ser maravilhosamente saudável, mas nunca alcançará o estado de saúde perfeita. Também nunca se alcança um estado de segurança perfeita.

Termos e Definições

Ativo

Qualquer coisa que tenha valor para a organização, produzindo, processando, transmitindo ou armazenando informações. A identificação dos ativos que necessitam de proteção é o passo fundamental para SI.

Escopo

Conjunto de ativos, ameaças e vulnerabilidades que serão cobertos pela Segurança da Informação.

Escopos pequenos podem não ser eficientes por não cobrirem todos os ativos críticos da organização. Escopos muito grandes podem gerar projetos que não acabam nunca.

Quando se fala em segurança, sempre é necessário definir o escopo!

Parte Envolvida (Stakeholder)

Indivíduos, grupos ou organizações que são afetados diretamente por um determinado risco.

Ameaça

Tudo aquilo que tem potencial para causar algum tipo de dano a um ativo e, consequentemente, a uma organização. Já quando uma ameaça se concretiza, ela recebe o nome de incidente.

As ameaças têm basicamente duas origens:

• Ambiental - Causadas normalmente por fenômenos naturais (terremotos, alagamentos, furacões etc.), interrupção de serviços básicos (energia elétrica, água, gás etc.) ou, ainda, eventos que causam prejuízos sem o envolvimento direto de pessoas, como incêndios ou quedas de aviões.

• Humana - Causadas diretamente pela ação de pessoas. Esta categoria pode ainda ser dividida em ameaças humanas acidentais (erros) ou intencionais (inserir vírus/roubo/invasão).

As ameaças possuem certas propriedades que são utilizadas para avaliar a sua relação com outros componentes de segurança, como origem, motivação, frequência de ocorrência, probabilidade e impacto, que serão estudados ao longo desta aula.

Convém também lembrar que algumas ameaças podem afetar mais de um ativo, mesmo que sejam de tipos diferentes. Um incêndio, por exemplo, afeta desde a imagem da organização até os seus ativos físicos e humanos.

Vulnerabilidade

Circunstância que leva um ou mais ativos a ficarem expostos a uma ou mais ameaças. Podemos classificá-las como a ausência de um mecanismo de proteção ou uma falha de funcionamento em um mecanismo de controle existente.

A existência de uma vulnerabilidade por si só não causa prejuízos. O que causa prejuízo é a sua exploração por uma determinada ameaça.

Ex.: uma falha no mecanismo de controle de acesso de uma aplicação ou a ausência de um procedimento de troca periódica de senhas pode ser considerada vulnerabilidade.

O processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções é chamado análise de vulnerabilidades.

Quando os dados da “análise de vulnerabilidade” são combinados com uma lista de possíveis ameaças, gerando dados que indiquem a real probabilidade de uma ameaça se concretizar, explorando as vulnerabilidades existentes além de informações a respeito do ambiente e do contexto, o processo é chamado avaliação de vulnerabilidades.

Proteção

As proteções são práticas, procedimentos ou mecanismos que podem proteger os ativos contra ameaças, reduzir ou eliminar vulnerabilidades, limitar o impacto de um incidente ou ajudar na sua detecção, facilitando a correção e a recuperação dos estragos causados.

Basicamente, todas as estratégias de segurança fundamentam-se no uso de proteções adequadas. Uma série de fatores determinam se a proteção é adequada ou não como custo da proteção, seu custo de manutenção, sua eficiência, possíveis perdas de produtividade associadas ao seu uso, aceitação, valor dos ativos protegidos, probabilidade e impacto dos incidentes associados, entre outros fatores.

A efetividade do uso das proteções reside, principalmente, na estratégia e na arquitetura utilizadas para a definição de como as proteções interagem entre si e se complementam.