Olá, aluno! Falaremos, nesta lição, sobre um aspecto que ganha cada dia mais importância em vista da nossa dependência dos computadores: a segurança. É difícil não conhecer alguém que já teve algum problema com isso, não é mesmo? Dessa forma, é muito importante conhecer os fundamentos de segurança da computação e analisar como ela precisa ter profissionais bem capacitados para lidar contra invasões, roubos ou manipulações de informações.

Com certeza, você já deve ter visto alguém postando um status no WhatsApp dizendo que não é para enviar dinheiro, pois o seu número de WhatsApp foi clonado, ou, então, você já deve ter alguém na família que recebeu um telefonema dizendo que algum familiar tinha sido sequestrado, ou, talvez, o seu celular ou seu notebook tenha sido infectado com um vírus e este apagou arquivos ou, mesmo, impossibilitou o seu uso. 

Por meio desses exemplos, você já pode perceber como este é um problema comum, não é mesmo? Portanto, é necessário cada vez mais profissionais nessa área! Quanto mais pessoas usam a tecnologia, mais ela se torna alvo de ataques e da ideia de tirar proveito de quem a utiliza.

A segurança de computadores ganha cada vez maior importância, isso porque as empresas estão utilizando — cada dia mais — estratégias com os dados que coleta, manipula e processa; por isso, é preciso que essas informações estejam seguras. É cada vez mais comum a adoção de tecnologias por parte das empresas em relação a trabalhar com bancos de dados e big data, e, de um lado, isso é muito importante, no entanto as empresas passaram a se tornar alvo de muitos ataques. 

Os ataques atuais não acontecem em relação a apagar os dados ou, mesmo, alterá-los. Os ataques são na verdade sequestros de dados por meio do que é chamado de Ransomware, que é um malware que bloqueia o uso do computador e dos dados, sendo que, somente após o pagamento do resgate, libera-se, novamente, o acesso.

Várias empresas têm sido vítimas desses ataques — e eles estão sendo cada vez mais comuns. Eu mesmo conheço várias empresas que já tiveram que pagar alguns milhões de reais em resgate de dados. Essa estimativa é complicada, porque muitas empresas acabam optando por não reportar o sequestro, pois, muitas vezes, quando outros ficam sabendo do problema, a imagem da empresa fica “manchada”, o que diminui seu valor de mercado e faz com que outras empresas deixem de fazer negócio com ela. Recentemente em vigor, a Lei de Proteção de Dados (LGPD) impõe penalidades (multas, processos, indenizações etc.) a empresas que não resguardarem a segurança dos dados de terceiros mantidos sob sua custódia. Portanto, muitos casos acabam não sendo divulgados para todos. 

Lyra (2008) afirma que informação é um item cada dia mais valioso. Por isso, é muito importante discutir e abordar como dar segurança à informação. Esta tem vários aspectos, mas três são os mais relevantes:

Por exemplo, pense em um bankline (site de um banco na internet). Você consegue verificar os três aspectos descritos? Analisemos:

• A confidencialidade se dá pelo fato de que somente quem é cliente do banco (usuário e senha) consegue acessar as opções do sistema e verificar as informações da conta. Um cliente não pode ver as informações da conta de outro cliente. 

• A integridade precisa ocorrer quando são acessadas as informações da conta. Se foi realizado um saque da conta no dia anterior, ele precisa aparecer ou constar. Se ele não aparecer, será um problema de integridade.

• A disponibilidade pode ser vista no momento em que você digita o endereço do site. Se for digitado o endereço do banco em um navegador da internet e o site não abrir, isso significa que ele não está disponível e, portanto, pode estar sendo alvo de um ataque ou um problema no servidor do banco. 

Há, ainda, outros aspectos de segurança que são abordados a seguir, conforme Lyra (2008): 

Esses aspectos, também, não são difíceis de perceber! Analisemos:

• Em relação à autenticação, você deve realizá-la todos os dias quando o seu celular fica um tempo sem ser usado. Ele trava, não é? Para destravar, muitas pessoas, como forma de segurança, cadastram a própria digital ou, mesmo, por meio de reconhecimento facial. Essa seria uma autenticação, ou seja, uma garantia de que a pessoa que está acessando é, de fato, quem ela alega ser. 

• O não-repúdio pode ser visto em muitos sistemas empresariais que possuem centenas de usuários utilizando ao mesmo tempo. Nesse caso, eles trabalham com sistemas de log, que armazenam as atividades de cada usuário, como o momento em que ele loga no sistema, as opções que acessa bem como as atividades que realiza. 

• A legalidade nunca foi tão requisitada como nos últimos anos, com a questão da Lei Geral de Proteção de Dados ou LGPD. Essa lei precisa estar nos sistemas para fazer com que todos que oo utilizem saibam o que será feito com os dados pessoais cadastrados.

• A privacidade dependerá do tipo de sistema que você for construir. Ela não é um requisito para a maioria dos sistemas. Mas, pense no voto eletrônico, por exemplo. Nesse tipo de sistema, manter a privacidade das ações do usuário é fundamental. Ao mesmo tempo, ela, também, precisa ser auditada. No caso da urna eletrônica, ela já é criada para possibilitar que exista uma conferência esperada de acordo com os votantes de cada sessão. Outra preocupação dela em relação a facilitar a auditoria é não permitir acesso à internet.

Lyra (2008, p. 4) informa que, “quando ocorre um evento que pode causar interrupções nos processos de negócio em consequência da violação de um dos aspectos de segurança da informação, isso pode ser chamado de Incidente de Segurança”.

Um Incidente de Segurança pode ser um ataque ao sistema, uma operação incorreta, algum desastre natural, uma manifestação ou uma greve, desde que tais ocorrências acarretem uma indisponibilidade ou, mesmo, uma falha na integridade das informações. 

Sempre que você for trabalhar com segurança da informação, perceberá que o primeiro passo é identificar as necessidades e os requisitos esperados para aquele sistema. Por exemplo, em geral, nos aparelhos que temos em nossa casa — computador, tablet ou celular, por exemplo —, não temos muitos dados valiosos aos olhos de pessoas que desejam explorar os dados. Os dados, muitas vezes, são valiosos apenas para nós. Logo, não nos convém aplicar muito dinheiro em um antivírus muito caro. De modo geral, a maioria das pessoas acabam optando por um antivírus gratuito mesmo.

Mas o que podemos dizer de uma aplicação para uma empresa? Um antivírus gratuito não seria a opção mais indicada, visto que os dados de uma empresa, aos olhos de pessoas que desejam explorar dados, são valiosos, não é mesmo? Dessa forma, com certeza, no caso de uma empresa, ela deveria investir na compra de uma opção mais qualificada de antivírus. Perceba, então, que segurança e seus níveis dependerão do valor da informação que queremos manter em segurança. 

Lyra (2008) sugere algumas etapas para identificar as necessidades e os requisitos de segurança: 

• Obtenção: procedimentos para captura e recepção da informação que chega de alguma fonte externa.

• Tratamento: tratar a informação em relação à sua organização, formatação, classificação ou análise para que seja acessível e fácil de utilizar. 

• Distribuição: fazer com que a informação chegue a quem é preciso que chegue. 

• Uso: determinar como, por meio do uso da informação, a empresa gerará valor. 

• Armazenamento: estratégia para assegurar a conservação da informação para uso futuro. 

• Descarte: a informação, quando perde utilidade, precisa ser descartada, pois isso gerará economia e melhorará o processo de gestão.  

Essas etapas, quando seguidas, auxiliam em alcançar os aspectos citados anteriormente e podem fazer com que eles fiquem mais evidentes, para que, dessa forma, seja possível dar maior ênfase a um aspecto mais importante — de acordo com o sistema e a informação que se quer. À medida que a tecnologia avança, é preciso estabelecer cada vez mais princípios de segurança. Note, por exemplo, que a computação em nuvem trouxe outras preocupações, o uso de smartphones obrigou a desenvolver outros tipos de sistemas para aplicativos e o acesso a tecnologias de big data. 

O mercado para profissionais de segurança da informação tem crescido e há grande necessidade de profissionais. Um excelente caminho para atuação é atuar com consultorias. Muitas empresas nunca tiveram uma experiência, por exemplo, de classificar e controlar os ativos de informação, pois nem se dão conta de quais são seus sistemas de informação e quantos usuários possuem. O que acontece com frequência é que muitas empresas nem mesmo tem conseguido gerenciar o acesso de usuários quando estes são demitidos ou contratados.

Assim, um primeiro trabalho para uma empresa que nunca teve uma experiência voltada para a segurança das informações poderia ser classificar a informação de acordo com o seu grau de importância, ou de acordo com seu impacto no negócio, ou, ainda, de acordo com o processo que ela suporta. 

Assim como existem empresas que, ainda, precisam implementar a segurança das informações, existem muitas — principalmente multinacionais — que já atuam nisso há muito tempo. Não raro, quando você troca um e-mail com empresas grandes — como uma multinacional —, ter uma classificação em relação à informação que você recebeu — se ela é confidencial ou não, por exemplo. 

Dessa maneira, tivemos aqui nesta lição uma excelente oportunidade de compreender como auxiliar uma empresa a, realmente, investir em aspectos necessários e ter uma ideia do quanto as informações são importantes para ela.