Introdução à segurança informática

Com o desenvolvimento do uso da Internet, cada vez mais empresas abrem o seu sistema de informação aos seus parceiros ou fornecedores. Assim, é essencial conhecer os recursos da empresa para proteger e dominar o controle de acesso e os direitos dos usuários do sistema de informação. O mesmo acontece na abertura do acesso à empresa na Internet. Além disso, com o nomadismo, que consiste em permitir aos funcionários conectarem-se ao sistema de informação em qualquer lugar, eles são levados a transportar uma parte do sistema de informação para fora da infraestrutura protegida da empresa.

Introdução à segurança

O risco em termos de segurança caracteriza-se geralmente pela seguinte equação:

Risco = (Ameaça x Vulnerabilidade) / Medida defensiva]

.

A ameaça representa o tipo de ação suscetível de prejudicar a empresa, enquanto a vulnerabilidade (às vezes chamada de falha ou brecha) representa o nível de exposição à ameaça num contexto específico. Por último, a medida defensiva é o conjunto das ações implementadas para a prevenção da ameaça. As medidas defensivas a serem aplicadas não são apenas soluções técnicas, mas também medidas de formação e sensibilização para os usuários, assim como um conjunto de regras claramente definidas.

A fim de poder proteger um sistema, é preciso identificar as ameaças potenciais e, consequentemente, conhecer e prever a maneira de proceder do inimigo. O objetivo deste artigo é apresentar um resumo das motivações eventuais dos hackers, classificar estes últimos e, por último, dar uma ideia sobre a sua maneira de proceder para compreender melhor como é possível limitar os riscos de intrusões.

Objetivos da segurança informática

O sistema de informação define-se geralmente como o conjunto dos dados e dos recursos materiais e softwares da empresa que permite armazená-los ou fazê-los circular. O sistema de informação representa um patrimônio essencial da empresa, que deve ser protegido. De um modo geral, a segurança informática consiste em garantir que os recursos materiais ou softwares de uma organização sejam utilizados apenas no âmbito previsto.

A segurança informática tem cinco objetivos principais: a integridade, ou seja, garantir que os dados sejam exatamente o que pensamos ser, a confidencialidade, que consiste em garantir que só as pessoas autorizadas tenham acesso aos recursos compartilhados, a disponibilidade, que permite manter o bom funcionamento do sistema de informação, o não-repúdio, que permite garantir que uma transação não possa ser negada, a autenticação, que consiste em bloquear os usuários sem credenciais válidas, isto é, que não podem comprovar a sua identidade.

A confidencialidade

A confidencialidade foi normatizada pela Organização Internacional de Normalização (ISO) na norma ISO/IEC 17799A. O texto diz que a confidencialidade garante "que a informação seja acessível apenas àqueles autorizados a ter acesso". Assim, um usuário sem direito de acesso, que pretende roubar informações trocadas entre o remetente e o destinatário, não será capaz de extrair nenhum dado protegido.

A integridade

Verificar a integridade dos dados consiste em determinar se eles não foram alterados durante a comunicação (de maneira fortuita ou intencional).

A disponibilidade

O objetivo da disponibilidade é garantir o acesso a um serviço ou recursos.

O não-repúdio

O não-repúdio da informação é a garantia de que nenhum dos correspondentes poderá negar a transação.

A autenticação

A autenticação garante a identidade do usuário, ou seja, que ele é quem diz ser. Ela viabiliza a comprovação de uma identidade por diversos meios (biométricos, senhas, etc.). Na verdade é o controle de acesso que vai permitir o acesso das pessoas autorizadas aos recursos, mediante a digitação de uma senha, por exemplo. O controle de acesso por autenticação é, sempre, garantido pela integridade dos dados informados.

Necessidade de uma abordagem global

A segurança de um sistema informático é frequentemente objeto de metáforas. A comparação mais comum é com uma corrente. Neste caso, o nível de segurança de um sistema é caracterizado a partir da identificação de seu elo mais fraco. Na metáfora, uma porta blindada se torna inútil numa construção se as janelas estiverem abertas para a rua.

Isto significa que a segurança deve ser abordada num contexto global e, principalmente, levar em conta os seguintes aspectos: sensibilização dos usuários para os problemas de segurança, segurança lógica, ou seja, a segurança a nível dos dados, principalmente os da empresa, seus aplicativos e sistemas operacionais, segurança das telecomunicações , isto é, tecnologias de rede, servidores da empresa, redes de acesso, etc, e a segurança física, ou seja, a segurança a nível das infraestruturas materiais: salas protegidas, lugares abertos ao público, espaços comuns da empresa, postos de trabalho do pessoal, etc.

Implementação de uma política de segurança

A segurança dos sistemas informáticos limita-se a garantir os direitos de acesso aos dados e recursos de um sistema implementando mecanismos de autenticação e controle, que garantem que os usuários dos ditos recursos possuem unicamente os direitos que lhes foram concedidos. No entanto, os mecanismos de segurança implementados podem provocar embaraço a nível dos usuários e as instruções e regras tornam-se cada vez mais complicadas à medida que a rede se estender. Assim, a segurança informática deve ser estudada de maneira a não impedir os usuários de desenvolver os usos necessários e fazer com que possam utilizar o sistema de informação com total confiança.

Esta é a razão pela qual é preciso definir, em primeiro lugar, uma política de segurança cuja implementação seja feita de acordo com as quatro seguintes etapas: identificar as necessidades em termos de segurança, os riscos informáticos que pesam sobre a empresa e as suas eventuais consequências; elaborar regras e procedimentos a serem implementados nos diferentes serviços da organização para os riscos identificados, supervisionar e detectar as vulnerabilidades do sistema de informação e manter-se informado sobre as falhas nas aplicações e hardwares utilizados, e definir as ações a serem empreendidas e as pessoas a serem contatadas em caso de detecção de uma ameaça.

A política de segurança é o conjunto das orientações seguidas por uma organização em termos de segurança. A esse respeito ela deve ser elaborada pela direção da organização, porque se refere a todos os usuários do sistema. Assim, não cabe só aos administradores informáticos definir os direitos de acesso dos usuários, mas aos responsáveis hierárquicos dos mesmos. O papel do administrador informático é garantir que os recursos informáticos e os direitos de acesso a estes estejam conformes à política de segurança definida pela organização.

Além disso, já que ele é o único a conhecer perfeitamente o sistema, cabe a ele passar as informações relativas à segurança à sua direção e, eventualmente, aconselhar os tomadores de decisão sobre as estratégias a serem aplicadas, assim como ser o ponto de entrada relativo à comunicação destinada aos usuários sobre os problemas e recomendações em termos de segurança.

A segurança informática da empresa se baseia num bom conhecimento das regras pelos funcionários, graças a ações de formação e sensibilização junto aos usuários. Porém, ela deve ir além e, principalmente, dar conta de um dispositivo de segurança físico e lógico - adaptado às necessidades da empresa e dos usuários, de um procedimento de gestão das atualizações, de uma estratégia de backup corretamente planificada, de um plano de retomada após incidentes e de um sistema documentado atualizado.

As causas da insegurança

Geralmente, distinguimos dois tipos de insegurança: os estados ativo e passivo de insegurança. O primeiro diz respeito ao desconhecimento pelo usuário das funcionalidades do sistema, o que, em alguns casos, pode ser prejudicial. Já o segundo se refere ao desconhecimento dos meios de segurança implementados, por exemplo quando o usuário (ou o administrador) de um sistema não conhece os dispositivos de segurança de que dispõe.

Nosso conteúdo é produzido em colaboração com especialistas em tecnologia da informação sob o comando de Jean-François Pillou, fundador do CCM.net. CCM é um site sobre tecnologia líder em nível internacional e está disponível em 11 idiomas.
Este documento, intitulado 'Introdução à segurança informática', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.

Assine nossa newsletter!

Assine nossa newsletter!