Ampliando horizontes
Quando falamos em Segurança da Informação, a maioria das pessoas pensa logo em “defender a rede contra ataque de hackers”, o que normalmente é feito no ponto de conexão da nossa rede com a internet. É a borda onde termina nosso território e começa a terra-sem-dono. Daí porque é tecnicamente chamado de “Defesa de Perímetro”.
O que essas pessoas não percebem é que ataques de crackers (e não hackers) são apenas um dos tipos de ameaças a qual uma empresa está sujeita. Não se pensa em uma falha de hardware, ocorrência de incêndios ou inundações, falha no sistema de fornecimento de energia elétrica, panes de refrigeração, exclusões ou alterações indevidas de informações (acidental ou intencional), espionagem ou sabotagem da concorrência, fraudes e roubos de informações, furto de equipamentos, etc, etc, etc…
O número de ameaças pode ser infinito, dependendo da paranóia de quem analisa. Veja o caso das diversas empresas que sucumbiram junto com os atentados de 11 de Setembro. Muitas não sobreviveram pela perda de sua força de trabalho; outras pela perdas de suas informações. O caso clássico é o da empresa que possuía seus servidores em uma das torres e os servidores redundantes na outra torre. Quem iria imaginar um ataque terrorista no centro de Nova York e nas duas torres!?
A Segurança da Informação, portanto, tem uma visão muito mais abrangente do que simplesmente defender a rede contra ataques de crackers ou vírus. Em sua essência, ela visa a manutenção da CIA. Não, não é a agência de inteligência do governo norte-americano. São as iniciais de Confidentiality, Integrity e Availability, ou Confidencialidade, Integridade e Disponibilidade.
- Confidencialidade visa garantir que a informação só estará acessível a quem tenha o devido direito, restringindo o acesso aos demais indivíduos.
- Integridade visa garantir que a informação não será alterada ou adulterada, seja acidental ou intencionalmente por que não possua permissão para tal.
- Disponibilidade visa garantir que a informação estará acessível sempre que for solicitada.
É importante ressaltar que a segurança é tratada em todas as formas de informação, seja ela digital, impressa ou até mesmo em forma de áudio e vídeo. Assim, um plano estratégico de negócios rabiscado no papel, constitui uma informação (nesse caso, muito valiosa) e deve receber o tratamento adequado no seu manuseio e descarte. Muitas empresas deixam escapar informações valiosas em suas latas de lixo!
Para atingir aos seus objetivos, a Segurança da Informação se utiliza de várias disciplinas distintas, cobrindo desde os aspectos técnicos da magnetização da informação na superfície do disco rígido às diretrizes estratégicas definidas pela alta direção, relacionadas à segurança, conforme veremos a seguir.
Gestão de Riscos
Para proteger algo, primeiro temos que saber o que proteger e de quais ameaças. Só assim podemos determinar como proteger. Para isso serve a Análise de Riscos: enumerar quais os riscos de determinadas ameaças comprometerem determinadas vulnerabilidades e quais os impactos decorrentes.
A possibilidade de um incêndio é uma vulnerabilidade muito comum para qualquer empresa. Para uma distribuidora de combustíveis, o risco (possibilidade de ocorrência) é muito maior do que para uma distribuidora de água mineral, dada a natureza do produto, que possibilita um número muito maior de ameaças. Dependendo da extensão de um incêndio, ele gera impactos na empresa, podendo variar de pequenos prejuízos materiais à perdas de vidas humanas e até a falência total da empresa.
Quantificando esses itens, torna possível identificar as prioridades das ações necessárias para mitigação desses riscos, já que poderemos quantificar, por exemplo, qual o tamanho do prejuízo decorrente de algumas horas (ou minutos) de sistema fora do ar por falta de energia elétrica, o que pode justificar a compra de um gerador próprio ou até mesmo a construção de um site mirror (instalações replicadas) com atualizações em tempo real.
Alguns riscos não podem ser eliminados, mesmo que o impacto seja grande, por demandarem ações inviáveis seja sob o ponto de vista econômico ou prático. Um terremoto pode destruir o prédio onde se encontram as instalações da empresa. O impacto pode ser fulminante, mas considerando um país como o Brasil, onde não existem ocorrências de terremotos, o risco passa a ser insignificante, não justificando a construção de um prédio a prova de terremotos. Já se sua empresa está situada sobre a Falha San Andreas, na Califórnia (EUA)…
Nesses casos, a gerência de riscos deve optar entre assumir ou transferir o risco. Um seguro contra incêndios é uma forma de transferência de risco: “Eu sei que o risco existe, mas eu transfiro responsabilidade para a seguradora”.
Política de Segurança da Informação
Para garantir uma gestão de segurança eficaz, é necessário que se estabeleçam padrões operacionais e de condutas baseadas nas melhores práticas. O documento que define esses padrões dentro da empresa é a Política de Segurança, abordando os seguintes aspectos:
- Diretrizes: possui caráter estratégico, definindo as políticas e por isso são estabelecidas em conjunto com a alta direção. Descreve “o que dever ser feito”;
- Normas: de caráter tático, definem as regras ou normas a serem adotadas, de acordo com as diretrizes estabelecidas;
- Procedimentos: com caráter operacional, descrevem “como” as normas serão implementadas.
A Política de Segurança deve ser um documento de fácil compreensão, para que seja de conhecimento de todos os funcionários, colaboradores e parceiros comerciais para o uso seguro de todos os ativos da empresa, incluindo-se a informação.
Como a Política de Segurança tem caráter normativo dentro da empresa, é necessário que haja um registro escrito e assinado por cada usuário ou funcionário, quanto ao seu conhecimento, inclusive para respaldo da empresa em possíveis questões trabalhistas.
Classificação da Informação
É impraticável, senão impossível, proteger todos os aspectos da informação. Por isso é necessário que as informações seja classificadas de acordo com o nível de criticidade para que sejam dispensados tratamentos distintos para cada situação.
A classificação deve tratar a informação durante todo seu ciclo de vida, estabelecendo critérios para sua criação, manuseio, transporte, armazenamento e descarte.
Diferentes critérios podem ser utilizados para classificar a informação. Uma forma simples pode constar de três categorias:
- Público: acessível a qualquer pessoa dentro e fora da organização, dispensando qualquer tratamento;
- Restrito: somente para circulação interna à empresa e seus funcionários;
- Confidencial: de acesso restrito somente a determinados grupos dentro da organização.
Como esses critérios são estabelecidos na Política de Segurança, dependendo da necessidade, outros níveis podem ser adotados, tais como Institucionais, Secretos ou Super-Secretos (quem ainda não viu o termo Top Secret nos filmes?).
O aspecto que considero importante na Classificação da Informação, é no que diz respeito ao manuseio e descarte da informação. De nada adianta investir milhares de dólares em firewalls, IDSs, IPSs, switches gerenciáveis layer 3, redundância, etc. se a secretária do diretor entrega os planos estratégicos da empresa para o office-boy tirar fotocópias do documento na copiadora da sala no final do corredor…
Gestão de Continuidade de Negócios
Ninguém espera que aconteça, mas todas as empresas estão sujeitas à catástrofes. Em fevereiro de 2005, um incêndio transformou em cinzas, o edifício Windsor, um dos arranha-céus localizado em pleno coração financeiro de Madri (Espanha) e junto com ele, a sede da renomada empresa de auditoria, Deloitte. A empresa, que contava com cerca de 1200 funcionários na Torre Windsor, já estava operando normalmente algumas horas após o incêndio, um centro de backup distante da torre incendiada.
Um relatório da IBM mostra que os incêndios são a principal causa de interrupção das atividades das empresas, respondendo por 17,5% do total de paradas. Em segundo lugar vem o terrorismo
e as sabotagens, nas quais se incluem os vírus de computador, com 17,5% de incidência cada um; depois, causas atmosféricas (14%), terremotos (10,5%), quedas de energia (9,5%), defeitos de software (8,8%), inundações (7%) e defeitos de hardware (5,3%).
É muito fácil tomar decisões erradas em momentos de crise. Para evitar isso, um Plano de Continuidade de Negócios (PCN), deve ser elaborado (e testado) antecipadamente à esses momentos, prevendo locais alternativos para o trabalho, quantitativo mínimo de mão-de-obra, setores da empresa indispensáveis, procedimentos para restauração do ambiente computacional e de infra-estrutura de comunicação entre outros. Esse plano, uma vez testado, deve ser seguido à risca durante a crise, evitando-se improvisações que pode custar mais caro ainda. É importante, também, que esse plano seja revisto e testado periodicamente, adaptando-se às mudanças naturais que ocorrem em qualquer organização.
Segurança Física e Operacional
O que é que segurança física tem a ver com segurança da informação? Tudo!!! Uma janela mal trancada, a ausência de sistemas de alarme e câmeras de vigilância podem contribuir para que equipamentos ou componentes deles podem ser furtados. Equipamentos não autorizados podem ser plugados à rede com a finalidade de espionagem. Um indivíduo contratado pela concorrência, pode entrar no prédio com um notebook, conecta-lo à rede e lançar um ataque de negação de serviço, justamente no momento de um pregão eletrônico. Uma sala de servidores sem controle de acesso físico, pode permitir que um atacante reinicie um servidor e então roubar o arquivo de senhas, resetar senhas de usuários administradores ou até elevar o privilégio de usuários comuns.
Um incêndio pode comprometer a disponibilidade da informação, portanto, os responsáveis pela segurança da informação tem que estar atentos para verificar se os sistemas de proteção contra incêndio estão operacionais; se os extintores de incêndio estão com as revisões em dia; se as mangueiras de combate a incêndio estão em boas condições e desobstruídas; se as portas corta-fogo estão funcionando corretamente. A preservação das vidas humanas é prioritário em caso de catástrofes, mas além do aspecto humano, existe o fato que a perda de funcionários pode comprometer a continuidade dos negócios, portanto, a eficácia de um plano de evacuação, apesar de não parecer, também faz parte da atribuição da equipe de Segurança da Informação.
Interrupções no fornecimento de energia elétrica, podem comprometer a disponibilidade, portanto quadros de distribuição de energia elétrica devem ser de acesso restrito e manuseado somente por pessoas autorizadas e qualificadas. A mesma preocupação deve ser dispensada à infraestrutura de telefonia e cabeamento lógico.
Como se pode ver, existem “n” pontos de vulnerabilidade, cujos riscos devem ser mitigados através de procedimentos relativos à segurança física e que podem afetar a segurança da informação.
Além do perímetro
Todos os aspectos abordados acima, fazem parte das disciplinas relativas à parte gerencial da Segurança da Informação, que eu citei somente para que você possa ter idéia da abrangência dessa especialidade da TI. Existem outros aspectos que não citei para não prologar demais o artigo.
Também não comentei nada sobre o lado técnico da Segurança da Informação, mais ligada aos bits, bytes, protocolos, softwares, etc que demandaria outras tantas páginas de texto.
O importante é que a partir de agora, quando você ouvir falar em Segurança da Informação, já vai perceber que está se falando de algo muito mais complexo e abrangente do que simplesmente defesa do perímetro contra ataques de crackers.
——
6 respostas Até agora ↓
Washington // Outubro 3, 2008 às 10:12 pm |
Excelente Post.
Parabéns pela clara e objetividade do texto.
Thomas // Outubro 7, 2008 às 9:48 pm |
ótimo texto . .bem explicativo !!! parabéns
Igor Campos // Outubro 8, 2008 às 11:13 pm |
Excelente !
Já faz parte das minha leituras rotineiras o teu blog.
Godoy // Janeiro 10, 2009 às 11:50 am |
Ótimo material
Bem explicativo e abrangente…parabéns!
Gonçalves // Maio 1, 2009 às 11:48 pm |
Excelente! Já trabalhei em uma agência do governo, justamente na divisão de contra-inteligência, e assino embaixo suas colocações a respeito de um tema tão fascinante com este.
Parabéns!
Stephen Schindler // Julho 27, 2009 às 9:52 am |
Sobre seu artigo eu só tenho duas coisas à dizer: Perfeito e Obrigado!!!!