Segurança da informação

Segurana das Informaes - Glauco Aurlio Silva - UNIGRAN

11

OBJETIVOS

A presente aula tem como objetivo introduzir o acadmico nos conceitos bsicos da segurana da informao. Ao fi nal dessa aula o acadmico estar familiarizado com:

O conceito de informao O conceito de segurana da informao, bem como seu objetivos e seus requisitos. O conceito de segurana da comunicao, bem como seus objetivos. As fases do ciclo de vida da informao, bem como os riscos e cuidados que

devem ser observados em cada fase.

Aula 01

PRINCPIOS DA SEGURANADA INFORMAO


12

1. O QUE INFORMAO

Segundo o dicionrio Aurlio informao 1. Ato ou efeito de informar(se): informe. 2.Dados sobre algum ou algo 3.Instruo e direo.. Tendo essa linha de pensamento, podemos dizer que as informaes podem ser notcias (ato de informar algum sobre algo), dados cadastrais de clientes (dados sobre algum) e que at mesmo um bem de consumo fruto da informao, pois para se produzir um determinado bem, tal como um carro, por exemplo, so necessrios diversos tipos de conhecimentos como mecnica, metalurgia e eletrnica que devem ser transmitidos e transformam-se em informaes na forma de diagramas, manuais com instrues sobre quais procedimentos e aes devem ser tomadas para que se chegue ao produto fi nal.

Numa empresa podemos dizer que o conceito de informao refere-se aos conhecimentos e dados sobre o negcio com que a empresa atua, mas o seu contedo pode variar dependendo do ramo desse negcio. Para uma empresa de publicidade so estatsticas de mercado, perfi l de consumidores de uma determinada regio, vdeos e udio de propagandas. Para uma indstria pode ser o projeto de um novo produto. Para uma instituio de ensino so dados cadastrais de alunos. Para uma empresa de comrcio eletrnico so dados cadastrais, nmero de cartes de crdito e perfi s de seus clientes.

Notamos assim que a informao um objeto de altssimo valor para as empresas, ou seja, ela um ativo. E esse ativo pode estar armazenado de diversas formas, pode estar no crebro de um funcionrio, nas mdias digitais (CDs, DVDs, discos rgidos), nos papis ou micro-fi lmes. Devido facilidade e velocidade de acessos s informaes armazenadas em meio digital, esse meio o preferido para armazenamento das informaes.

Os sistemas de informao e a Internet mudaram a maneira de se fazer negcios e a comunicao entre empresas e seus fornecedores, clientes e parceiros. A evoluo da Internet possibilitou a criao de novos modelos de negcios, o compartilhamento de informaes e recursos de uma empresa pelos seus parceiros, colaboradores e clientes. Poder acessar e atualizar informaes em qualquer hora e em qualquer lugar possibilitou o aumento do nmero de colaboradores e, com isso, um aumento na quantidade e qualidade das informaes. Essas informaes podem ser as mais variadas como, por exemplo, o comportamento de um pblico-alvo ou a deteco de um novo nicho de mercado permitindo o desenvolvimento de novos produtos. E esse dinamismo no est presente somente na concepo desse novo produto, mas continua durante o seu processo de fabricao atravs de contatos com fornecedores e tambm no processo de venda.

Os danos causados pela falta de segurana da informao so inmeros, podendo ir desde um simples constrangimento a danos morais, abalos na reputao da empresa chegando e at a grandes prejuzos econmicos.

A produtividade dos funcionrios e, consequentemente, o lucro da empresa, tambm so afetados com paralisaes causadas por vrus e m utilizao dos recursos computacionais.


13

sobre esse assunto que iremos tratar neste captulo: Segurana da informao. Qualquer poltica de segurana da informao independente do tamanho da empresa baseada em trs tpicos:

2. O QUE SEGURANA DA INFORMAO?

A informao hoje considerada um precioso ativo na administrao moderna. Essas informaes podem ser todo o conhecimento que uma empresa possui sobre o mercado em que atua como os novos projetos, as estratgias, os dados de clientes ou as informaes financeiras.

Um exemplo que podemos citar sobre o poder da informao a de um famoso refrigerante. A sua frmula que determina o sucesso sobre os demais concorrentes. Se essa informao fosse de conhecimento dos concorrentes isso geraria um enorme prejuzo e a empresa deixaria de ser lder do setor.

Vimos que a informao pode estar armazenada em diversos tipos de formatos e pode ser transmitida tambm de diversas maneiras incluindo-se at mesmo a falada.

As empresas esto profundamente dependentes dos sistemas de informaes e da Internet. Alm de prejuzos financeiros, uma fragilidade no sistema onde as informaes esto armazenadas pode acarretar danos imagem e reputao da empresa. A indisponibilidade de um servio de comrcio eletrnico ir gerar prejuzos financeiros para ela. Pior ainda, o furto de informaes confidenciais sobre um determinado produto pode dar ao concorrente a oportunidade de desenvolver um produto similar ou de melhor qualidade. O vazamento da prova do ENEM de 2009, alm de trazer transtorno aos alunos que se prepararam durante vrios anos para a prova, trouxe uma desconfiana quanto ao processo de elaborao e aplicao da avaliao.

Assim, o principal foco da segurana da informao proteger esses ativos contra uso indevido, fraudes, sabotagens, furto, indisponibilidade ou qualquer ao que venha a compromet-la. Alm de proteger a informao em si, uma soluo de segurana da informao deve se preocupar tambm com ameaas que venham a paralisar os sistemas de informao ou os equipamentos de uma empresa.

A segurana da informao no deve atuar somente em nvel tecnolgico, mas tambm no nvel de planejamento estratgico da empresa e na gesto de riscos do negcio.

Uma soluo de segurana da informao deve atender aos seguintes requisitos bsicos:

Proteger o qu? Proteger de que? Como proteger?


14

Confi dencialidade Autenticidade

Integridade Disponibilidade

A confi dencialidade garante que somente o dono da informao ou pessoa por ele autorizada ter acesso mesma. A proteo deve ocorrer tanto em seu armazenamento quanto durante o seu transporte. E a proteo no inclui somente a mdia digital, mas deve contemplar outras mdias. No formato digital ela conseguida utilizando-se da criptografi a do contedo da informao, tanto no armazenamento, como em sua transmisso. Assim, somente a pessoa que possuir a chave criptogrfi ca poder ter acesso ao seu contedo. Tambm deve-se utilizar de senhas de acesso nos dispositivos de armazenamento para assegurar que somente pessoas autorizadas tenham acesso informao.

A autenticidade assegura que a informao foi realmente gerada pela fonte que est sendo informada como autora. Isso geralmente conseguido utilizando pares de chaves criptogrfi cas. A autenticidade garante o no-repdio, ou seja, a pessoa no tem como negar a autoria de uma informao ou de uma transao eletrnica.

A integridade assegura que somente o dono da informao, ou pessoa por ele autorizada, poder alterar ou apagar seu contedo bem como incluir novos contedos. A alterao pode ocorrer tanto no armazenamento como no processamento e em sua transmisso. A ao de vrus pode violar esse requisito.

A disponibilidade assegura que os servios que provm o fornecimento da informao no sero interrompidos. Deve-se proteger a informao contra as tentativas de deleo acidentais ou intencionais e contra as sobrecargas do sistema (tanto naturais como maliciosas). Esse requisito conseguido utilizando-se hardwares redundantes como, por exemplo, RAID, fi rewall e sistemas antivrus.

preciso ainda ter meios para poder identifi car a autoria de aes (danosas ou no, autorizadas ou no) sobre as informaes. Alm de identifi car o autor necessrio ter mecanismo que identifi quem como essa ao foi tomada. Essa identifi cao permite que uma auditoria detecte os responsveis e que aes cabveis sejam tomadas.

A informao dever ser protegida tambm durante a sua transmisso. A esse processo ns damos o nome de segurana da comunicao. Seu objetivo proteger a transmisso de uma mensagem, contendo uma ou mais informaes, entre dois pontos por meio de um canal de comunicao. A segurana deve ser focada nesses trs elementos: emissor, canal de comunicao e receptor. A segurana da comunicao tem como objetivo preservar:

A integridade: visa garantir que o contedo da mensagem recebida pelo receptor seja o mesmo que foi enviado pelo emissor evitando a alterao indevida (acidental ou intencional) durante a comunicao, alm de garantir que a mensagem seja transmitida integral e no parcialmente.


15

A autenticidade: deve garantir que o emissor da mensagem realmente quem diz ser, ou seja, evitar que uma pessoa se passe por outra ou que a mensagem seja recebida por uma pessoa que no o receptor verdadeiro. Evitar tambm que a mensagem seja modifi cada fraudulentamente durante seu percurso entre origem e destino.

A confi dencialidade: visa garantir que o contedo da mensagem seja conhecido somente pelo emissor e pelo receptor.

A irretratabilidade: visa garantir que o receptor e o emissor no possam negar uma transmisso bem sucedida.

A recuperao do contedo: visa garantir que o receptor consiga recuperar o contedo original da mensagem. Esse quesito se difere da integridade no seguinte aspecto: a integridade garante que o contedo no seja modifi cado indevidamente, enquanto esse garante que o receptor e emissor esto utilizando o mesmo protocolo na produo/recuperao da mensagem. Por exemplo, se o emissor utilizou a criptografi a no contedo original, o emissor deve possuir a chave para realizar a recuperao dessa mensagem criptografada e com isso retornar a mensagem ao seu contedo original.

3. CICLO DE VIDA DA INFORMAO

O ciclo de vida da informao indica o momento em que a informao manipulada atravs por intermdio de meios humanos ou no humanos, no caso de processamento eletrnico atravs de sistemas de TI. So nesses momentos que a informao exposta a ameaas colocando em risco a sua disponibilidade, autenticidade, integridade, sigilo e confi dencialidade.

A ilustrao abaixo demonstra o ciclo de vida da informao dentro de um ambiente corporativo.

OBTENO/PRODUO

REFINAMENTO

ARMAZENAMENTO

DESCARTE UTILIZAO

INFORMAES EXTERNAS INFORMAES INTERNA EMPRESA

DISTRIBUIO

INFORMAES PRODUZIDAS PARAO AMBIENTE EXTERNO

DISTRIBUIODISTRIBUIO

AMBIENTE INTERNODA ORGANIZAO

Figura 1 - Ciclo de Vida da Informao


16

Atravs da ilustrao vemos que a informao pode ser obtida por meio de dados externos ou ser produzida com informaes j existentes dentro da corporao. Temos tambm o caso em que, ao invs de criar uma informao, podemos ter a sua atualizao atravs de dados oriundos do ambiente externo ou provenientes de dentro da corporao como, por exemplo, a melhoria de um produto baseada em dados estatsticos colhidos em pesquisa de opinio pblica.

A preocupao nessa fase quanto aos quesitos:

Autenticidade: se a informao est sendo produzida por algum autorizado a faz-la, se ela proveniente de uma fonte segura.

Integridade: certifi car-se de que a informao completa, sem adulterao e precisa. Podemos citar como exemplo informaes que afetem diretamente a parte fi nanceira da empresa como taxas de juros e coleta de preos entre os fornecedores.

Legalidade: garantir que a informao esteja de acordo com a legislao vigente. Evitar que a informao obtida no fi ra a lei de direitos autorais colocando a empresa em um embarao judicial.

Na fase de refi namento, a informao ser analisada, estruturada, classifi cada e formatada de modo que se torne de fcil localizao e entendimento para quem vai utiliz-la. Deve-se ter a preocupao com a integridade da informao, ainda mais quando a mesma passar por reviso textual, a fi m de no se alterar o seu signifi cado.

A fase da distribuio conduz a informao a quem realmente necessita dela. Nessa fase devem ser considerados os objetivos da segurana da comunicao abordados anteriormente. Quando se destinar ao pblico externo corporao, temos que atentar principalmente para a autenticidade e a integridade da informao, garantir que o emissor seja realmente a pessoa autorizada a produzir tal informao e se realmente ela quem diz ser. A afi rmao a deciso certa no momento certo tem muito a ver com essa fase, pois, para se tomar decises acertadas, necessrio dispor rapidamente de informaes e quanto mais efi ciente for o meio de transmisso da informao, mais efi cientes sero os processos de tomadas de decises.

A existncia da informao por si s no garantia de que ela trar benefcios empresa, mas sim a sua utilizao. Uma informao que no esteja disponvel, que seja de difcil acesso ou com signifi cado deturpado prejudicar os processos operacionais da corporao. Nessa fase os requisitos disponibilidade e integridade devem receber ateno especial.

O armazenamento tem como objetivo conservar a informao para uma posterior utilizao. Os requisitos de integridade e disponibilidade devem ser assegurados para que o contedo da informao no se deteriore e esteja disponvel no momento em que for requisitado, e essa recuperao tem que acontecer da maneira mais rpida possvel.

As informaes esto armazenadas nos mais diversos formatos: impresso, manuscrito,


17

magntico ou eletrnico. Temos que estar sempre migrando as informaes de um formato antigo para um mais atual, pelos seguintes motivos:

Aumentar a efi cincia na recuperao: recuperar uma informao que est em formato impresso requer que seja consultado um ndice que informar em qual sala/estante/pasta se encontra a informao. Aps essa consulta, a pessoa tem que se deslocar at o local fsico para recuperar essa informao, enquanto que se ela estivesse digitalizada em um sistema informatizado estaria disponvel em questo de segundos.

Aumentar a vida til do meio de armazenamento: todas as mdias possuem um tempo de vida, assim, digitalizar uma informao e grav-la em um meio magntico, por exemplo, no garante uma vida perptua para essa informao. A mdia magntica pode vir a se deteriorar, j que com o tempo ela perde as propriedades magnticas e se isso ocorre a recuperao da informao fi ca prejudicada, lembrando que o requisito de integridade impe que informao tenha que ser recuperada por inteiro. Por isso temos que periodicamente migrar a informao para outra mdia (podendo ser da mesma tecnologia, por exemplo, de um disco de DVD para outro). Outro fato que temos que levar em conta que, quando uma tecnologia de armazenamento se torna obsoleta os dispositivos de leitura e gravao para esse tipo de mdia no sero mais fabricados e poderemos ter a informao, mas no termos como recuper-la devido falta de um dispositivo para ler a mdia.

Os requisitos de confi dencialidade tambm devem ser aplicados no armazenamento a fi m de assegurar que as informaes sejam acessadas somente por pessoas autorizadas.

Quando a informao j no mais necessria para a corporao a mesma deve ser descartada. No mbito de segurana da informao descarte signifi ca destruio.

comum casos de informaes sigilosas, seja no cenrio pessoal ou empresarial, serem obtidas atravs de discos rgidos que foram para manuteno, ou quando trocam-se os computadores de uma empresa e esses so descartados sem o devido cuidado. A formatao, a queima de placa lgica ou a danifi cao da mdia de um disco rgido no garante que os dados foram destrudos. A recuperao dos mesmos possvel atravs de programas ou empresas especializadas.

Temos tambm ter certeza de que a informao que est sendo descartada est sendo realizada por uma pessoa autorizada. A deleo de um registro em um banco de dados pode tornar a informao indisponvel por um perodo de tempo at que seja feita a restaurao a partir da cpia de segurana (considerando que tenham sido feitas regularmente cpias de segurana). Enquanto essa informao estiver indisponvel a sua falta pode trazer prejuzos empresa.


18

ATIVIDADES As atividades referentes a esta aula esto disponibilizadas na ferramenta Atividades.

Aps respond-las, envie-nas por meio do Portflio- ferramenta do ambiente de aprendizagem UNIGRANET. Em caso de dvidas, utilize as ferramentas apropriadas para se comunicar com o professor.

Documents

Segurança da informação