Segurança da Informação: Como Saber Se Você Está Realmente Seguro

A segurança da informação é uma das preocupações principais dos gestores de empresas, uma vez que há dados relacionados ao negócio cujo valor é imensurável.

Algumas operações, se expostas podem não só provocar prejuízos imensos como interferir no funcionamento da empresa de tal forma que pode levá-la ao até mesmo ao fechamento.

A importância da segurança da informação

A expansão da internet e a troca de informações estão dia após dia mais disponíveis aos usuários. Como resultado, a rede ficou surpreendentemente vulnerável.

Com isso houve uma perda de controle sobre o tipo de material que era anteriormente transmitido.

Os dados trocados poderiam ser de interesse de alguém, e se esse alguém soubesse como intercepta-los, teria acesso a todo o conhecimento.

Em princípio, esse tipo de intervenção era feito apenas por fama e para mostrar ao mundo a hierarquia de poder em relação a tecnologia da informação.

Posteriormente, os ataques passaram a ser feitos por interesses financeiros, espionagem, poder e mais.

Com isso tornou-se necessário criar um tipo de escudo à essas ameaças, dando assim início a agora chamada segurança da informação.

Existem dois tipos de modelos para Segurança da Informação:

• Modelo de segurança de redes: O atacante é visto como uma figura externa que está na rede e de alguma forma tenta interferir nas comunicações. É o tipo mais fácil de proteção do sistema.
• Modelo de segurança de computadores: O atacante não está satisfeito apenas com os dados que passam pela rede. Ele tem o intuito de entrar na máquina para roubar dados. São necessários atributos como firewall para criar uma barreira.

O processo de segurança se dá por estas etapas:

• Analisar o tipo de ataque ao qual o sistema pode estar exposto
• Definir os tipos de informações existentes no sistema que se deseja proteger
• O quão relevante são os ataques sofridos
• A política de segurança que será utilizada para combatê-los
• A forma como essa política será implementada no processo
• Administrar todo o processo e verificar a existência de novos ataques
• Caso sejam identificados possíveis ataques, refazer todas as etapas

É um processo intermitente de melhoria. Ele nunca tem um fim, está sempre reiniciando.

Conceitos Básicos Da Segurança Da Informação

Há alguns aspectos distintos que caracterizam a segurança de um sistema de redes. São os chamados conceitos básicos de Segurança da Informação:

• Disponibilidade
• Confidencialidade
• Integridade
• Autenticidade
• Irretratabilidade ou Não repúdio

Vamos entender melhor o que é cada um deles.

Disponibilidade

É a garantia de que o sistema precisa estar acima de tudo, sempre disponível.  Os usuários que são legítimos e tem direito a acesso ao sistema não podem ser impedidos de acessar as informações e recursos do sistema sem um motivo plausível.

Em contrapartida, o ataque contra a disponibilidade é chamado de negação de serviço. Assim sendo, há um impedimento de acesso indevido mesmo com o direito a ele.

É um serviço difícil de garantir sempre, pois não há um algoritmo por trás de sua execução. É mais físico do que virtual de fato.

Só para exemplificar: Caso um servidor caia, é obrigatório que haja outro de backup para substituir imediatamente.

Confidencialidade

É a garantia de que qualquer informação armazenada em um computador ou transmitida via rede, seja revelada somente aos usuários devidamente autorizados.

O que está sendo compartilhado entre duas entidades não pode ser visto por usuários sem permissão.

Lembrando que informação é diferente de dado. O dado pode estar acessível a qualquer pessoa sem que, no entanto, sua informação contida seja revelada.

Integridade

É a garantia de que a informação esteja íntegra. Caso haja algum tipo de alteração no arquivo ou imagem, é possível identificar.

Dessa forma, é viável verificar a consistência da informação apresentada impedindo que seja alterada, mesmo que de forma imperceptível.

O princípio da integridade não garante que os dados não sejam alterados e sim que, caso sejam feitos sem autorização, essas alterações serão certamente identificadas.

Autenticidade

É a garantia de que o remetente de uma mensagem seja corretamente identificado pelo seu destinatário.

Em outras palavras, é certificar a autoria da mensagem. Os protocolos e mecanismos que fornecem a autenticidade garantem que a pessoa que iniciou a comunicação é a mesma durante todo o processo.

E-Book GRÁTIS! – Guia Definitivo Como Montar Sua Rede De Computadores
O Passo a Passo Inicial Para Criar a Sua Própria Rede Totalmente Do Zero, De Maneira Fácil e Rápida

E-Book GRÁTIS! – Como Montar Sua Rede De Computadores
O Passo a Passo Inicial Para Criar a Sua Própria Rede Totalmente Do Zero, De Maneira Fácil e Rápida

Seu Nome Completo

Seu Melhor E-Mail

EU QUERO

A verificação de autenticidade é necessária ao longo de toda a comunicação, seja não só entre usuário e sistema, como também entre sistema e usuário ou até mesmo entre sistema e sistema.

Assim, caso, eventualmente, alguém tente falsificar a autoria, será de certo interceptado no caminho.

Irretratabilidade ou Não repúdio.

É a garantia de que o emissor e o destinatário das informações não possam negar a sua transmissão, recepção ou posse.

É ligado ao conceito de assinatura digital. Semelhantemente a ideia de uma assinatura manual, mas com garantias geradas sobretudo por algoritmos.

Lembra vagamente autenticidade, contudo nesta não é possível provar para terceiros que foi o originador inicial da mensagem.

Na irretratabilidade essa garantia existe. Se um indivíduo gerou uma mensagem, ele não pode negar tê-lo feito já que existem provas.

Tipos de Ataques Possíveis Em Uma Rede

Alguns ataques a redes são mais comuns e conhecidos.

Interceptação: quando um terceiro tem acesso a uma troca de informações entre duas pessoas. O que garante que essa brecha não exista é o serviço de confidencialidade.

Interrupção: Quando a transmissão da mensagem é interrompida e nunca chega ao seu destino. Nesse cenário o serviço utilizado é a disponibilidade.

Modificação: Quando há a alteração das informações ou troca por uma referência falsa, realizada por algum intermediário não autorizado. Para evitar que isso aconteça, existem os serviços de integridade e autenticidade.

Fabricação: Quando um intruso cria mensagens falsas e as repassa ao destinatário final. Para evitar essa ocorrência, há novamente o serviço de autenticidade.

Esses serviços só são possíveis graças a criptologia.

Criptologia

Em resumo, é a ciência que une e estuda os conhecimentos de criptografia e criptoanálise.

A criptografia é um conjunto de técnicas utilizadas para cifrar mensagens, torná-las codificadas, de forma que só possam ser lidas por aqueles que compreendam esses códigos.

Ela garante a segurança impedindo que mensagens privadas sejam traduzidas por pessoas indesejadas.

Existem dois tipos básicos de algoritmos para criptografia.

Simétricos: são os que utilizam chaves similares de conhecimento tanto para quem enviou quanto para quem deve recebê-la.

Assimétricos: são os que utilizam duas chaves diferentes, porém com alguma relação matemática entre si.

Se usada de forma correta, a criptografia pode ser um escudo intransponível de sistemas computacionais.

A criptoanálise é um estudo que tenta decifrar um texto codificado através da lógica de sua encriptação.

Ela testa todas as chaves existentes para garantir que a criptografia é a mais segura possível. Leva um tempo demasiadamente grande para ser realizada em virtude da quantidade de possibilidades.

Como garantir a segurança da informação de uma empresa

Alguns pontos são básicos para garantir a segurança e integridade na troca de informações em qualquer ambiente. Veja algum deles:

• A maior incidência de ataques a vírus costuma ter origem com os próprios usuários. Em sua maioria no conteúdo de e-mails com pishings usados para copiar dados pessoais. Dessa maneira, ter um controle dos acessos a e-mails na empresa é primordial.
• Ter antivírus instalados em todas as máquinas é uma das prioridades para evitar as novas ameaças que surgem diariamente.
• Acompanhar as tendências e evoluções da área. Todos os dias são criadas novas soluções e é preciso estar atualizado e saber contra o que pode ser necessário de proteger.
• Manter os drives e softwares sempre atualizados dificulta o acesso ao sistema por meio das falhas.
• Restringir o uso de hardwares removíveis nas máquinas é outro passo importante. CDs, DVDs ou Pen drives podem conter vírus ou softwares não autorizados e colocar as informações confidenciais da empresa em risco
• É importante sempre orientar os usuários a criarem senhas de alta segurança, pois estas são as menos vulneráveis a ataques externos.
• Reforçar a segurança da rede, não somente corporativa. Mas também o site da empresa, as aplicações e o banco de dados.
• Estabelecer um controle de acesso aos colaboradores, evitando ações inadequadas como a exclusão por engano de algum arquivo importante.
• Criar políticas de Segurança da Informação na empresa com efeito de alinhar as normas de condutas esperadas bem como diminuir a probabilidade de falhas.
• Treinar os colaboradores periodicamente para medidas de segurança. Elas podem não ser claras principalmente para os funcionários que são alheios a área de tecnologia. Assim, com o conhecimento necessário as chances de que cometam erros em virtude de ignorarem os procedimentos são reduzidas.

Conclusão

Em suma, a segurança de uma empresa vai muito além de uma questão estratégia. Uma falha pode eventualmente pôr em risco todo o funcionamento da organização.

De acordo com o que vimos, dados são poder e poder é controle. Seguindo as dicas e com a ajuda de profissionais, é possível garantir a confiança em todos os processos realizados.