Este artigo pretende descrever a importância da implementação de medidas de
segurança, visando proteger as informações armazenadas nos sistemas computacionais das organizações, e demonstrar as principais ameaças que existem no ambiente corporativo. Também descreve a necessidade de formalizar os procedimentos de segurança através da Política de Segurança da Informação.
Introdução
Em um cenário de globalização e concorrência acirrada, as empresas utilizam e
até mesmo dependem cada vez mais de recursos tecnológicos para realizar negócios, desenvolver novos produtos, ou simplesmente permitir que a operação diária ocorra da forma mais eficiente possível. Esta dependência cada vez maior da informática e das telecomunicações para o sucesso das organizações gera também, como consequência, diversos novos problemas, principalmente com relação à segurança dos recursos e informações que estão disponíveis nos sistemas e nas redes de computadores.
O ambiente corporativo e suas ameaças
A busca incessante de conseguir realizar os trabalhos de forma mais rápida,
fácil, eficiente e competitiva, gerando melhores resultados, faz com que múltiplas organizações troquem informações técnicas, comerciais e financeiras através de redes de computadores que interligam suas filiais, seus clientes, seus parceiros e seus distribuidores. Portanto, a segurança da informação não é mais tratada levando em consideração somente o nível interno, onde a rede da organização funciona de forma isolada e única, provendo acesso apenas aos seus próprios funcionários. O ambiente corporativo é complexo, e a segurança necessária é igualmente complexa, envolvendo aspectos tecnológicos, humanos, processuais, jurídicos e de negócios. A segurança empregada nas redes e nos sistemas deve ser diretamente proporcional ao valor que se esta protegendo, ou seja, qual a importância da informação? Qual será o trabalho desempenhado para corrigir os problemas causados pelo roubo ou destruição das informações? Qual será o impacto do descrédito que este incidente de segurança causará na organização? Respondendo estas questões é possível justificar os custos da implementação de medidas de segurança, em diversos níveis. Em informática, definimos um sistema como sendo seguro, quando eliminamos ou minimizamos suas vulnerabilidades, que são as fraquezas que podem ser exploradas para se violar um sistema ou as informações ali armazenadas. As principais ameaças que as organizações estão sujeitas são:
• Espionagem/roubo de informações: muitos casos são noticiados de roubo de
senhas, roubo de números de cartão de crédito, divulgação de projetos antes do momento determinado, quebra de sigilo junto à receita federal, entre outros. • Destruição de informações: funcionários descontentes podem apagar arquivos da empresa, por vingança. • Interrupção de serviços: hackers provocam excessivo uso de sistemas a fim de causar “congestionamento” e impossibilitar o uso correto por parte dos demais usuários. • Modificação de informações: sites são invadidos e modificados, a fim de denegrir a imagem de empresas e promover descrédito. • Engenharia social: o invasor finge sua identidade, induzindo outras pessoas a fim de conseguir acesso ao sistema ou informações privilegiadas. • Vírus de computador: programas maliciosos que muitas vezes são utilizados para a execução de outros ataques, como o roubo de informações ou a interrupção de serviços. • Uso indevido de recursos: Funcionários utilizam a rede de computadores para fins particulares, muitas vezes indevidos, como acesso a pornografia e outros sites que podem tornar a rede vulnerável.
Política de Segurança da Informação
A política de segurança é o primeiro e principal passo para o desenvolvimento
da estratégia de segurança das organizações, a política de segurança é a base para todas as questões relacionadas à proteção da informação, desempenhando importante papel nas organizações. Deve definir todos os aspectos relativos a proteção dos recursos, portanto, exige grande trabalho para ser desenvolvido, mas é preciso ter em mente que sem uma política que abranja todos os aspectos da organização, a tentativa de tornar o ambiente seguro já começa sendo falho. É com base nesta política que procedimentos e normas de segurança serão criados, e também que serão implementados recursos tecnológicos para prover a proteção da rede, o desenvolvimento da política deve abranger aspectos humanos, culturais e tecnológicos, levando também em consideração os processos de negócios, além da legislação vigente.
Segurança da informação
Aspectos tecnológicos
Aspectos processuais Aspectos humanos
Aspectos de negócios Aspectos jurídicos
O responsável pela segurança da informação da empresa deve elaborar a política
de segurança, de acordo com os objetivos de negócios e levando em conta os aspectos relativos à segurança, conforme citado anteriormente, e deve formalizar a política junto ao corpo executivo da empresa, também é necessário levar em conta o fato de que procedimentos de segurança que dificultem a execução das atividades diárias dos usuários não terão sucesso na implementação, portanto, a aplicação dos procedimentos deve ser transparente ao usuário, neste ponto, é importante que seja tratado aspectos do cotidiano, como documentos confidenciais deixados em cima de mesas e documentos jogados no lixo sem serem destruídos. Deve ser esclarecido o melhor possível as punições e procedimentos a serem adotados no caso de não-cumprimento da política definida, este aspecto é importante para que o usuário tenha consciência da importância da segurança para a organização. Alguns pontos comuns na política de segurança de qualquer organização são citados abaixo, estes itens são genéricos e aplicáveis a qualquer empresa:
• A segurança é mais importante do que os serviços, caso não haja conciliação, a
segurança deve prevalecer, caso isto não ocorra é necessário o conhecimento dos administradores da empresa, e que eles assumam a responsabilidade por possíveis problemas; • A política de segurança deve ser flexível, de forma que possa evoluir juntamente com a estrutura da organização; • O que não estiver expressamente permitido esta proibido, o ideal é proibir todos os serviços e liberar apenas os necessários para o desenvolvimento das atividades; • Nenhuma conexão direta com a rede interna da empresa é permitida, sem que um rígido controle de acesso seja implementado; • Devem ser realizados testes de segurança nos serviços, a fim de garantir que todos os objetivos sejam alcançados; • Conexões remotas devem ter um alto nível de autenticação e criptografia; • Arquivos existentes em computadores móveis (notebooks) devem ser criptografados, para em caso de roubo, dificultar o acesso as informações ali existentes;
Uso aceitável da rede e dicas de segurança
A conscientização dos usuários a respeito da importância da segurança durante a
manipulação e troca das informações é vital para a efetivação da política de segurança, é importante que o setor de Tecnologia da Informação da empresa consiga comunicar-se com os demais funcionários e utilizadores de forma clara, de fácil compreensão, a respeito dos riscos e melhores práticas para evitar incidentes de segurança. É indicada a criação de uma política de uso aceitável dos recursos computacionais, onde também deve estar esclarecido os direitos e deveres dos usuários, incluindo dicas de segurança importantes para o cotidiano da organização, como:
• Escolha das senhas: Evitar palavras e números fáceis de outras pessoas
adivinharem, criar senhas que combinem letras maiúsculas, minúsculas, números e caracteres especiais, como %, # ou $. • Não deixar senhas e informações confidenciais anotadas em locais visíveis ou de fácil acesso a qualquer pessoa. • Não abrir, responder, ou clicar em links de emails que venham de destinatários desconhecidos, pois pode tratar-se de fraude e tentativa de instalação de vírus. • Atentar para falsas mensagens que aparentam vir de bancos, receita federal, outros órgãos públicos, pode se tratar de fraude para roubo de informações. • Manter sempre antivírus instalado no computador, para dificultar a infecção de vírus. • Não utilizar a internet para fins que não sejam de interesse da empresa, é importante o usuário ter ciência que seu acesso a internet sempre é monitorado e registrado. • Não instalar programas de computador que não sejam explicitamente fornecidos pela empresa, incluindo programas considerados “gratuitos” que são baixados da internet e podem conter vírus do tipo espião. • Não utilizar serviços de bate papo e mensagem instantânea se não for explicitamente autorizado pela empresa, estas conversações também são monitoradas e registradas. • Verificar com o responsável pela segurança da rede de computadores qual o local indicado para armazenar arquivos, de forma que seja feito backup, e que seja garantido que somente pessoas autorizadas tenham acesso.
Conclusão
Os recursos e investimentos em segurança estão, obviamente, relacionados à
importância da informação e ao risco que a mesma está exposta. Informações estratégicas podem estar em diversos locais diferentes, o uso indevido, alteração, ou danificação destas informações muitas vezes é mais onerosa do que o equipamento físico que o armazena, mensurar o valor da informação é extremamente difícil. Em redes de computadores que abrangem além do uso interno, também acessos externo e comunicação com outras redes a vulnerabilidade fica aumentada devido a fragilidades existentes nos diversos serviços oferecidos pela tecnologia e, principalmente, por atitudes dos usuários. Em função destes relatos podemos assumir que mais importante que escolhermos produtos e ferramentas que prometem níveis de segurança “X” ou “Y” é termos políticas aplicáveis a todos ambientes operacionais multiplataformas e que estes mesmos ambientes nos permitam ter programas segmentados que auxiliem na aplicação e fácil operacionalização destas políticas.
Referências
NAKAMURA, Emilio Tissato; GEUS, Paulo Lício de. Segurança de Redes em