Segurana da Informao: Sobre a Necessidade de Proteo de Sistemas de Informaes

ANTONIO MENDES DA SILVA FILHO

Professor do DIN/UEM. Doutor em Cincia da Computao

Retirado de: http://www.espacoacademico.com.br/042/42amsf.htm

Informao compreende qualquer contedo que possa ser armazenado ou transferido de algum modo, servindo a determinado propsito e sendo de utilidade ao ser humano. Trata-se de tudo aquilo que permite a aquisio de conhecimento. Nesse sentido, a informao digital um dos principais, seno o mais importante, produto da era atual. Ela pode ser manipulada e visualizada de diversas maneiras. Assim, medida que a informao digital circula pelos mais variados ambientes, percorrendo diversos fluxos de trabalho, ela pode ser armazenada para os mais variados fins, possibilitando ela ser lida, modificada ou at mesmo apagada. Desde a insero do computador, na dcada de 40, como dispositivo auxiliar nas mais variadas atividades, at os dias atuais, temos observado uma evoluo nos modelos computacionais e tecnologias usadas para manipular, armazenar e apresentar informaes. Temos testemunhado uma migrao de grandes centros de processamento de dados para ambientes de computao distribuda. Considerando o cenrio apresentado acima, h uma necessidade de oferecer suporte colaborao de mltiplas organizaes e comunidades que muitas vezes tm interesses sobrepostos. Em tal situao, o controle de acesso s informaes um requisito fundamental nos sistemas atuais. Vale ressaltar que, atualmente, a grande maioria das informaes disponveis nas organizaes encontra-se armazenadas e so trocadas entre os mais variados sistemas automatizados. Dessa forma, inmeras vezes decises e aes tomadas decorrem das informaes manipuladas por esses sistemas. Dentro deste contexto, toda e qualquer informao deve ser correta, precisa e estar disponvel, a fim de ser armazenada, recuperada, manipulada ou processada, alm de poder ser trocada de forma segura e confivel. oportuno salientar que, nos dias atuais, a informao constitui uma mercadoria, ou at mesmo uma commodity, de suma importncia para as organizaes dos diversos segmentos. Por esta razo, segurana da informao tem sido uma questo de elevada prioridade nas organizaes. Segurana da informao compreende um conjunto de medidas que visam proteger e preservar informaes e sistemas de informaes, assegurando-lhes integridade, disponibilidade, no repdio, autenticidade e confidencialidade. Esses elementos constituem os cinco pilares da segurana da informao e, portanto, so essenciais para assegurar a integridade e confiabilidade em sistemas de informaes. Nesse sentido, esses pilares, juntamente com mecanismos de proteo tm por objetivo prover suporte a restaurao de sistemas informaes, adicionando-lhes capacidades deteco, reao e proteo. Os componentes criptogrficos da segurana da informao tratam da confidencialidade, integridade, no repdio e autenticidade. Vale, no entanto, ressaltar que o uso desses pilares feito em conformidade com as necessidades especficas de cada organizao. Assim, o uso desses pilares pode ser determinado pela suscetibilidade das informaes ou sistemas de informaes, pelo nvel de ameaas ou por quaisquer outras decises de gesto de riscos. Perceba que esses pilares so essenciais no mundo atual, onde se tem ambientes de natureza pblica e privada conectados a nvel global. Dessa forma, torna-se necessrio dispor de uma estratgia, levando em conta os pilares acima mencionados, a fim de compor uma arquitetura de

segurana que venha unificar os propsitos dos cinco pilares. Neste contexto, as organizaes e, mais amplamente, os pases incluem em suas metas: Forte uso de criptografia; Incentivo a educao em questes de segurana; Disponibilidade de tecnologia da informao com suporte a segurana; Infra-estrutura de gesto de segurana; Disponibilidade de mecanismos de monitoramento de ataques, capacidade de alerta e aes coordenadas. Atualmente, numa era onde conhecimento e informao so fatores de suma importncia para qualquer organizao ou nao, segurana da informao um pr-requisito para todo e qualquer sistema de informaes. Nesse sentido, h uma relao de dependncia entre a segurana da informao e seus pilares, como ilustrado na Figura 2. Dentro desse contexto, a confidencialidade oferece suporte a preveno de revelao no autorizada de informaes, alm de manter dados e recursos ocultos a usurios sem privilgio de acesso. J a integridade previne a modificao no autorizada de informaes. Por outro lado, a disponibilidade prover suporte a um acesso confivel e prontamente disponvel a informaes. Isto implica em dados e sistemas prontamente disponveis e confiveis. Adicionalmente, o no repdio e autenticidade compreendem o que poderia ser denominado de responsabilidade final e, dessa forma, busca-se fazer a verificao da identidade e autenticidade de uma pessoa ou agente externo de um sistema a fim de assegurar a integridade de origem.

Figura 2: Pilares da segurana da Informao.

Os pilares acima visam prover os sistemas de informaes contra os mais variados tipos de ameaas como, por exemplo: Revelao de informaes em casos de espionagem;

Fraude no reconhecimento da origem, modificao de informaes ou mesmo caso de espionagem; Interrupo modificao de informaes; Usurpao espionagem. modificao de informaes, negao de servios ou

Vale ressaltar que as ameaas acima podem ser de diversas naturezas e, nesse sentido, as ameaas so, geralmente, classificadas como passiva, ativa, maliciosa, no maliciosa. Para lidar com essas ameaas, torna-se necessrio a definio de polticas e mecanismos de segurana, visando dar suporte a: Preveno evitar que invasores violem os mecanismos de segurana; Deteco habilidade de detectar invaso aos mecanismos de segurana; Recuperao mecanismo para interromper a ameaa, avaliar e reparar danos, alm de manter a operacionalidade do sistema caso ocorra invaso ao sistema. Algumas questes de natureza operacional surgem em decorrncia da necessidade de prover suporte a segurana de sistemas de informaes, tais como: menos dispendioso prevenir ou corrigir danos? Qual o grau de segurana a ser imposto aos sistemas de informaes? Qual o nvel de legalidade das medidas de segurana desejadas? Essas e outras questes no abordadas neste texto sero tratadas no prximo texto sobre o assunto. Aos leitores interessados no tpico, recomendo a leitura dos textos abaixo: E. Amoroso, Fundamentals of Computer Security Technology, Prentice Hall,1994. M. Bishop, Computer Security: Art and Science, Addison Wesley, 2003. J. H. Saltzer, The Protection of Information in Computer Systems, http://web.mit.edu/Saltzer/www/publications/protection/index.html