Segurança da Informação

Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, integridade e disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e disponibilidade das informações das organizações. O impacto da perda e ou violação de informações para empresa é enorme e pode, em alguns casos, a leva-la a falência. Casos reais de empresas que tiveram seus ambientes invadidos por hackers sofreram quedas no valor de suas ações nas bolsas de valores. A questão de segurança da informação cresce em importância com o uso intensivo do comércio eletrônico e das redes sociais. Com uma multiplicidade de tecnologias envolvidas é necessário à especialização nas áreas de infraestrutura, softwares, banco de dados, testes de segurança, gestão de risco, auditoria, planejamento de continuidade de negócios, técnicas forense digital, etc.

As diretrizes para a segurança dos sistemas e redes de informação, definida pelo OCDE (Organisation for Economic Co-operation and Development), propôs nove princípios geralmente aceitos: consciência e responsabilidade; resposta; ética; democracia; avaliação de risco; design e implantação de segurança; gestão da segurança e reavaliação. Uma evolução da tríade clássica da segurança (integridade, confidencialidade e disponibilidade) foi revista e hoje conta com seis elementos: confidencialidade, posse, integridade, autenticidade, disponibilidade e utilidade.

Uma questão que o comércio eletrônico tenta resolver é como evitar o não repúdio em transações eletrônicas. O não repúdio é o fato de depois de registrado uma solicitação de compras o comprador no momento do recebimento da mercadoria se nega a recebê-la. Este fato ocorre, pois não existe a garantia que o solicitante é quem está recebendo a mercadoria. Isso gera um enorme prejuízo às empresas de comércio eletrônico que devem pela lei do consumidor retornar sem custo para o comprador a mercadoria. A solução para isso é o uso de tecnologias de assinaturas digitais e criptografia de chave pública para verificar a autenticidade do comprador e evitar o não repúdio.

Um ponto crucial da estratégia empresarial é a gestão de risco de segurança da informação. Esse tema não é apenas uma questão da área de TI, é uma questão corporativa. O conceito de gestão de risco é o processo de identificação de vulnerabilidade e ameaças para os recursos de informação usados por uma organização para alcançar objetivos de negócios, e decidir contra medidas, se houver, para mitigar o risco a um nível aceitável, com base no valor da informação para a organização. Pesquisas mostram que o fator humano é a maior componente de risco para as organizações.

Para gerenciar o risco, a ISO 27002:2005 recomenda a análise e controle dos seguintes pontos:

  • Política de segurança;
  • Organização da segurança da informação;
  • Gestão de ativos;
  • Recursos humanos;
  • Segurança física e ambiental;
  • Gestão da operação e comunicação;
  • Controle de acessos;
  • Sistemas de aquisição de informação, desenvolvimento e manutenção;
  • Informações sobre segurança e gerenciamento de incidentes;
  • Gestão de continuidade de negócios, e
  • Conformidade regulatória.

O processo de gestão de risco envolve os seguintes pontos:

  • Identificação dos ativos e estimar o seu valor. Incluem: pessoas, edifícios, hardwares, software, dados e suprimentos;
  • Realizar uma avaliação das ameaças. Incluem: atos da natureza, acidentes, atos maliciosos de dentro e fora da organização e atos de terrorismo;
  • Conduzir uma avaliação de vulnerabilidade. Para cada vulnerabilidade calcular a probabilidade de ocorrência. Avaliar as políticas, procedimentos, normas, treinamento, segurança física, controle de qualidade e técnicas de segurança;
  • Calcular o impacto que cada ameaça tem sobre cada ativo através de análises quantitativa e qualitativa;
  • Identificar e selecionar os controles apropriados, considerando a produtividade, rentabilidade e valor do ativo;
  • Avaliar a eficácia das medidas de controle para assegurar que os controles forneçam a proteção necessária a um custo eficaz sem perda de funcionalidade.

Essas análises devem ser submetidas aos dirigentes da organização que podem optar por aceitar o risco ou investir em projetos para mitigar os riscos. Embora não livre a responsabilidade da empresa, o risco pode ser transferido para uma empresa especializada na modalidade de outsourcing.

A gestão de segurança da informação é complexa e multidisciplinar. Para apoio aos processos de design, análise e operação as seguintes ferramentas são recomendadas:

  • Sistema de firewall;
  • Sistema de detecção de intrusão;
  • Sistema de antivírus;
  • VPN, virtual private network
  • PKI, public key infrastructure;
  • Sistemas de criptografia;
  • Sistema de gestão de identidade.