Segurança em Informática

Autor: Gilmar Caron Tesserolli

Origem

Em torno dos anos 50 é que surgiram preocupações quanto à Segurança em Informática. Nessa época a informática estava ainda engatinhando e pouca coisa se sabia sobre proteção.

Somente a partir de 1984, nos Estados Unidos, é que se começou a fortalecer os procedimentos para garantir a invulnerabilidade dos computadores.

Atualmente, a consciência sobre segurança em informática no Brasil começa a tomar rumos diferentes. As empresas se planejam para garantir a confiabilidade de suas informações (dados).

Os processos auditáveis tiveram início em algumas empresas, quase por obrigatoriedade, a partir da necessidade de se verificar o correto desempenho das diversas estruturas da organização em relação à segurança de suas informações, com isto garantindo o início e a continuidade do aperfeiçoamento dos procedimentos de segurança.

Conceito de Segurança

A segurança na verdade tem a função de garantir a integridade dos dados. Para que isso aconteça tem que estar garantido o ambiente de informática e, por sua vez, a empresa como um todo.

O conceito básico de segurança tem por escopo:

  • Confiabilidade.
  • Integridade.
  • Disponibilidade

Quando falamos em segurança, estamos nos referindo a:

Riscos físicos

  • Incêndio.
  • Roubos e furtos.
  • Sabotagem.
  • Desastres naturais (enchentes, vendavais, raios, etc.).
  • Paradas do sistema.
  • Defeitos nas instalações (calor, falta de energia, falha de um componente);
  • Erros humanos.

Riscos lógicos

  • Vírus.
  • Erros de softwares.
  • Uso inadequado.
  • Erros humanos.
  • Hackers, Sniffers e Crackers (acessos indevidos, violação).

A proteção da informação é uma responsabilidade gerencial.

Responsabilidades

  • Gerencial:
    • Controles.
    • Avaliação.
    • Treinamento.
    • Exemplo.
    • Atuar.
    • Designar.
  • Proprietário:
    • Autorizar acesso.
    • Definir controles.
    • Classificar a informação.
    • Avaliar
    • Supervisionar
  • Usuário:
    • Passwords.
    • Acesso.
    • Controle do uso.
    • Seguir procedimentos.
    • Controle de acesso.
    • Participar.
  • Provedor de Serviços:
    • Controle de acesso.
    • Proteção.
    • Procedimentos de alteração.
    • Relatórios de ocorrências.
    • Assistência técnica.
    • Procedimentos de acesso.
    • Administrador.

Análise de riscos, decisão e responsabilidades.

Quanto maior o investimento em Segurança em informática (prevenção), menor será o prejuízo em caso de Sinistro (correção).

A responsabilidade da Área de Informática é avaliar e apresentar os riscos, quantificar os possíveis prejuízos e sugerir alternativas para a Tomada de Decisão.

A responsabilidade de decidir quando e quanto investir é da Diretoria em conjunto com os Acionistas ou Conselho Administrativo, pois são essas as Áreas diretamente ligadas a fatores típicos do Capital, como Risco e Investimento. É também sobre elas que incidirá o ônus do prejuízo.

Ferramentas

O mercado disponibiliza diversas ferramentas para garantir a segurança, como: software, hardware, edificações de segurança e procedimentos estruturados, que conhecemos como:

  • Software de segurança.
  • Single logon.
  • Criptografia.
  • Classificação de informação.
  • Analisadores da segurança.
  • Backup.
  • Firewall.
  • Antivírus.
  • Sala cofres.
  • Mainframes.
  • Telecomunicação e pool de servidores.
  • Mídias óticas, magnéticas e microfilmes.
  • Fitoteca manual e/ou robotizada.
  • Plano de Contingência.

Ambiente

Hoje, com a evolução da informática, nos ambientes convivem micro, médios e grandes computadores, interligados entre si.

Este ambiente multiplataforma torna mais difícil o processo de proteção, sendo necessário um Plano de Segurança.

Cultura

No Brasil, as empresas perdem por ano muitos milhões de dólares, por falta de segurança.

  • Incêndio destrói o CPD da Petróleo IPIRANGA. (DATANEWS 13/01/82)
  • Fogo na GAMA FILHO destrói sala de computadores.
  • Fábrica pega fogo e destrói CPD e escritório, perdas irrecuperáveis.(DIÁRIO POPULAR 26/01/96)
  • Policia Federal apura roubo de um winchester na CONAB e há suspeitas de sabotagem. (ESTADO S. PAULO 29/09/93).
  • Roubo de quatro disquetes que continham informações estratégicas do movimento de contratações cambiais. Foi falha na Segurança, admite o Banco Central. (Folha de S.Paulo 21/01/93).
  • Hackers invadem os computadores da NASA.

Ainda é forte a reação a sistemas de seguranças, tanto por parte dos dirigentes, devido aos elevados custos, como pelo pessoal técnico, em se adequar às novas normas de seguranças.

Podemos dizer que este assunto requer muita atenção pela parte diretiva da sociedade brasileira, tanto civil e empresarial como governamental. Com a criação desta cultura de segurança em informática, estamos entrando na era da confiabilidade e da qualidade total.

Para fortalecer a cultura de segurança em informática, existem dois procedimentos de apoio, o primeiro é através da Fase Educativa e o segundo da Fase Punitiva.

  • Fase Educativa é a fase que atua através da orientação e da formação de grupos multidisciplinares com o intuito de disseminar o assunto de forma amena, havendo um aprofundamento gradativo, que deverá possibilitar que as gerações futuras tomem ciência desta prática.
  • Fase Punitiva é a fase que esperamos que não se faça necessária, e podemos ter várias formas de punições, desde as brandas até as mais severas.

Passo Inicial

  • Criar o Programa Corporativo de Segurança em Informática.
  • Designar o Líder do Programa.
  • Constituir o Grupo Corporativo de Segurança em Informática.
  • Planejar e cronogramar a forma de atuação.
  • Desenvolver Programa de Conscientização Corporativo.
  • Revisar e definir a Classificação dos Sistemas/Informação.
  • Revisar Programa de Acesso a Informação/Dados.
  • Revisar Controles de Acesso.
  • Desenvolver o Plano de Contingência.
  • Acompanhar e Revisar o Programa.

Quanto tempo poderá sobreviver sua empresa se os equipamentos de processamento de dados e/ou a informação, não estiverem disponíveis?