Proteo e Segurana da Informao

Leonardo Carvalho Arajo

FATEPI Faculdade de Teresina do Piau

leo.carvalho.araujo@gmail.com

Abstract. This paper presents information on the protection and information security, its definition, what makes a professional in this area, the availability of resources, information integrity, confidentiality of information, as it is classified information, identity management and access and cultural change that occurred in the security of information systems in organizations.

Resumo. Este trabalho apresenta informaes sobre a proteo e segurana da informao, sua definio, o que faz um profissional nessa rea, a disponibilidade dos recursos, a integridade da informao, confidencialidade da informao, como classificada as informaes, a gesto de identidade e acessos e a mudana cultural que houve no sistemas de segurana de informao nas organizaes.

1. Definio
A informao um dos itens mais valiosos para uma pessoa e principalmente para uma organizao. Elaborar e garantir formas que protejam estas informaes contra fraudes, roubos ou vazamentos nas empresas so responsabilidades e habilidades dos gestores e analistas de segurana da informao. As atividades de segurana da informao englobam o desenho, implementao, controle e monitorao de mtodos e processos que visam assegurar os ativos de informao de uma organizao ou pessoa. A atuao de um sistema de segurana numa empresa est diretamente envolvida com as reas de negcio, principalmente com a rea de tecnologia, uma vez que esta sustenta a maioria dos processos de negcio da empresa.

2. Segurana da Informao em uma Organizao

As informaes de negcio de uma organizao esto dispostas em um complexo ecossistema formado por processos de negcio, pessoas e tecnologia. Para garantir a continuidade do negcio de uma organizao, preciso assegurar que cada membro deste ecossistema esteja em conformidade com normas internas criadas pela prpria organizao e normatizaes externas, nacionais e internacionais.

3. Poltica e Cultura de Segurana da Informao

3.1. Garantir disponibilidade dos recursos/informao; a. Confidencialidade - propriedade que limita o acesso a informao to somente s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao. b. Integridade - propriedade que garante que a informao manipulada mantenha todas as caractersticas originais estabelecidas pelo proprietrio da informao, incluindo controle de mudanas e garantia do seu ciclo de vida (nascimento,manuteno e destruio). c. Disponibilidade - propriedade que garante que a informao esteja sempre disponvel para o uso legtimo, ou seja, por aqueles usurios autorizados pelo proprietrio da informao. d. Irretratabilidade - propriedade que garante a impossibilidade de negar a autoria em relao a uma transao anteriormente feita Recursos de informao como dados, servidores, aplicaes, equipamentos de telecomunicaes devem estar disponveis demanda e necessidade do negcio. preciso mapear quais so estes ativos principais crticos para o negcio e controlar as necessidades de atualizaes de toda esta infraestrutura a fim de minimizar paradas no ambiente. 3.2. Garantindo a integridade da informao Entende-se em garantir integridade da informao o trabalho de coloc-la disponvel aos recursos que a utilizaro na forma de sua ltima verso vlida. O principal item desta etapa aqui so os processos de auditoria, essenciais para a garantia de integridade das informaes e recursos da organizao. Os principais objetivos desta etapa so entender os mtodos como processos de negcio so aprovados e repassados, quem so seus proprietrios/responsveis e usurios e buscar ferramentas para monitorar e controlar estas alteraes a fim de garantir a integridade. Recursos como firewalls, antivrus, criptografia, assinatura digital, backup, processos e outras ferramentas devem ser usadas

para garantir o bom funcionamento do ambiente. 3.3. Garantindo a confidencialidade da informao As informaes devem estar disponveis apenas a pessoas e/ou outros recursos que tenham direito a elas. Com isso em mente podemos trabalhar para minimizar ataques a rede computacional da empresa, vazamento de dados atravs do envio de informaes de negcio sem autorizao por e-mails, impresses, cpias em dispositivos mveis, tambm acesso a informaes de projetos e departamentos armazenadas em servidores por pessoas no autorizadas.

4. Mecanismos de Segurana
O suporte para as recomendaes de segurana pode ser encontrado em: 1. Controles fsicos: so barreiras que limitam o contato ou acesso direto a informao ou a infraestrutura (que garante a existncia da informao) que a suporta. Existem mecanismos de segurana que apoiam os controles fsicos: Portas / trancas / paredes / blindagem / guardas / etc... 2. Controles lgicos: so barreiras que impedem ou limitam o acesso a informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao no autorizada por elemento mal intencionado. Existem mecanismos de segurana que apoiam os controles lgicos: a. Mecanismos de criptografia. Permitem a transformao reversvel da informao de forma a torn-la ininteligvel a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados no criptografados, produzir uma sequncia de dados criptografados. A operao inversa a decifrao. b. Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual so funo, garantindo a integridade e autenticidade do documento associado, mas no a sua confidencialidade. c. Mecanismos de garantia da integridade da informao. Usando funes de "Hashing" ou de checagem, consistindo na adio. d. Mecanismos de controle de acesso. Palavras-chave, sistemas biomtricos, firewalls, cartes inteligentes. e. Mecanismos de certificao. Atesta a validade de um documento. f. Integridade. Medida em que um servio/informao genuno, isto , est

protegido contra a personificao por intrusos. g. Honeypot: o nome dado a um software, cuja funo detectar ou de impedir a ao de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema. h. Protocolos seguros: uso de protocolos que garantem um grau de segurana e usam alguns dos mecanismos citados aqui Existe hoje em dia um elevado nmero de ferramentas e sistemas que pretendem fornecer segurana. Alguns exemplos so os detectores de intruses, os anti-vrus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de cdigo, etc...

5. Mudana Cultural A poltica de segurana da informao deve ser divulgada e de fcil acesso pelos colaboradores. Workshops e treinamentos so boas maneiras de divulg-la e orientar os usurios de como a rea de segurana da informao est trabalhando para proteger os ativos de informao da empresa e quais so as responsabilidades dos colaboradores dentro deste ecossistema. Como certo dizer que hoje qualquer processo de negcio de uma empresa depende de tecnologia e informao, a forma no mais fcil, porm melhor, de garantir interao da rea de segurana da informao para cumprimento da poltica orientar que cada projeto ou rea de negcio da empresa comunique e solicite colaborao para avaliao de riscos e implementao de controles. O contrrio disso pode demandar um esforo de venda das atividades na empresa que seguramente no apresentar bons resultados no final de cada trabalho.

Referncias

Lyra, Maurcio Rocha, Segurana e Auditoria em Sistemas de Informao, Rio de

Janeiro: Editora Cincias Modernas Ltda., 2008; O que segurana da informao?, http://webinsider.uol.com.br/2009/09/23/o-que-eseguranca-da-informacao, Junho; Segurana da Informao: Sobre a Necessidade de Proteo de Sistemas de Informaes, http://www.espacoacademico.com.br/042/42amsf.htm, Junho; Segurana da informao, http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o, Junho.