You are on page 1of 7

Fatores Facilitadores e Inibidores da Segurança Computacional Corporativa

Prof. Especialista José Mauricio Santos Pinheiro em 28/02/2008 1. Compreendendo Segurança Poucas coisas podem parecer tão improváveis quanto uma corporação estar absolutamente segura no contexto de um mercado global, onde a concorrência e a rivalidade internacionais se intensificam. Resta-nos uma pergunta: O que significa exatamente segurança corporativa? A resposta para esta pergunta é muito relativa, uma vez que dependerá principalmente da cultura organizacional estabelecida em cada empresa e do modelo de Política de Segurança adotado por seus colaboradores. Não obstante a dificuldade de precisão na resposta é fundamental destacar que a empresa que não se preocupa com a segurança dos seus ativos computacionais está fadada a ser superada muito rapidamente.

Segundo Wadlow (2000): A segurança deverá ser proporcional ao valor do que se está protegendo. Parte desse valor é realmente um valor; outra parte é o trabalho necessário para restabelecê-lo; uma outra parte mais sutil é o trabalho que permitirá confiar em sua rede novamente.

A segurança da informação é um tema bastante amplo e uma preocupação muito discutida na atualidade. Entretanto, mesmo com a constante divulgação dos problemas e perigos referentes à segurança dos sistemas, principalmente relativos às conexões com a Internet, não são todas as organizações que estão preparadas adequadamente para enfrentar os problemas oriundos de ameaças e tentativas de invasão sobre suas redes de comunicação.

Outra função, talvez não tão aparente, mas não menos importante do que a que surge em função do negócio da empresa, é a aplicação das estratégias de segurança nas áreas da empresa que dão suporte operacional. Uma das funções mais importantes da segurança computacional atualmente é ampliar a compreensão geral de segurança, seus usos e abusos. Compreendendo-se como funcionam os procedimentos de segurança e como todos são vulneráveis a falhas internas e à agressão externa é possível analisar de forma objetiva os impactos na infra-estrutura organizacional.

Dentre os fatores facilitadores, aqueles que contribuem para a segurança computacional corporativa estão a adoção de um ambiente que observa as normas e padrões de segurança no uso dos recursos computacionais disponibilizados; a disponibilidade de canais de comunicação abertos para melhorias contínuas nos procedimentos de segurança; a correlação entre desempenho e proatividade na empresa.

ou propositadamente. Política de Segurança da Informação A segurança das informações. deve ser aprovada pela alta gerência e divulgada a todos os funcionários e usuários de serviços de informática. seja acidentalmente. Técnicas de Segurança . a segurança dos sistemas de informação é uma questão muito importante quando se desenvolve uma política de segurança da informação. riscos e impactos envolvidos. planejamento de capacidade. É importante lembrar que a política não envolve apenas a área de Tecnologia da Informação (TI). A política de segurança é um recurso importante que se pode criar para tornar uma rede segura. do tipo "isto sempre foi assim". É importante que a política de segurança defina as responsabilidades das funções relacionadas à segurança e discrimine as principais ameaças. depende do esquema de segurança dos sistemas onde as mesmas estão armazenadas. influenciando todos os projetos de informatização da empresa tais como o desenvolvimento de novos sistemas. mas a organização como um todo. A partir de então. falta de tempo para a melhoria dos procedimentos de segurança e a prisão do organograma. 2. como um todo. fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas atuais. planos de contingências. Pode ser usada ainda para definir as interfaces entre usuários. os resultados se mostram altamente prejudiciais e. empresas com pouco ou nenhum controle sobre a utilização dos recursos computacionais. gerência e os demais usuários (internos e externos) do sistema de informação. dentre outros. controle e monitoramento dos recursos de informação. 3. Ela deve integrar-se às metas de negócio da organização e ao plano das políticas de informatização. A política de segurança da informação é um mecanismo preventivo de proteção dos dados e processos de uma organização que define também padrões de segurança a serem seguidos pelo pessoal técnico. Uma de suas preocupações é estabelecer os métodos de proteção. Como toda política institucional. todos os controles devem se basear nessa política. Quando esta segurança é quebrada.Os fatores inibidores da segurança mais comuns são atitudes e meios excessivamente autoritários. pressão para conformar-se. também conhecida como rigidez organizacional. por isso.

pode-se aplicar seguidamente e. Ele deve ser incentivado a sentir que as medidas de segurança foram adotadas visando o seu próprio benefício. detalhadamente. De qualquer forma. a amplitude daquilo que se pretende proteger. É preciso avaliar o grau de risco e de vulnerabilidade destes ativos. O primeiro passo consiste em realizar um levantamento e a classificação dos ativos da empresa. a segurança tende a ser cada vez pior. é necessário que se avalie. fazer a avaliação das suas falhas e definir o que pode ser feito para aperfeiçoar sua segurança. Antes de tratar da segurança das tecnologias que compreendem uma rede corporativa. Segurança é um processo e como tal.1. enquanto a simples implantação de uma política de segurança poderia evitar esses transtornos. existem diversas ferramentas e procedimentos que podem ser usados para aumentar o nível de segurança do computador em casa. Medidas de segurança nada representam se não se conhecer o que deve ser protegido. Entretanto. à medida que surgem novas formas de ameaças e técnicas de ataques. O segundo passo diz respeito à formalização de uma política de segurança que basicamente estabelece a elaboração de normas e procedimentos dentro da organização. Este trabalho normalmente é monitorado por um grupo especialmente criado para esse fim. 3.O perfeito funcionamento de uma Política de Segurança depende muito do conhecimento do seu conteúdo e da cooperação dos usuários nos seus diversos níveis. melhorar a segurança da corporação. As técnicas de segurança têm evoluído com o objetivo de minimizar essa vulnerabilidade dos sistemas em rede frente às novas ameaças que surgem diariamente e políticas de segurança têm sido adotadas abrangendo questões do tipo: O que proteger? Do que proteger? Quais os mecanismos serão usados para controle? Uma política de segurança depende de respostas a perguntas desse tipo. Se não for aplicada ou é interrrompida a aplicação do processo. para quem acessa a Internet por uma linha telefônica comum ou outro serviço dedicado e principalmente para aqueles que utilizam as redes como ferramentas no seu trabalho diário. Na maioria das vezes gastam-se horas tentando recuperar as informações. Cada um deve decidir quais precauções deve adotar segundo suas prioridades e disponibilidades. a maioria das pessoas e empresas só lembra-se da segurança quando acontece algum problema grave. A infraestrutura de tecnologias é a terceira fase deste planejamento. dessa maneira. envolvendo desde aquisição de . O que proteger? A segurança não é tecnologia e tampouco soluciona todos os problemas de uma corporação.

A segurança dos dados pode ser definida como a proteção dos mesmos contra revelações de seus conteúdos. entre outras. o uso adequado das senhas. passando pela análise de infra-estrutura da empresa. nada irá suprir as perdas ocasionadas pela não observação das fragilidades. A escolha adequada do software e hardware específicos de segurança da informação eleva o nível de segurança e resguarda a rede de imprevistos cujas conseqüências são críticas. Contudo. as divisões dos usuários em grupos e a administração dos recursos computacionais de forma adequada são medidas que se complementam e devem ser adotadas. Um sistema absolutamente seguro ainda está longe de existir. existem indivíduos buscando a todo o momento burlar esta segurança. testes regulares de ataques a vulnerabilidades. Segurança Física e Segurança Lógica As redes de computadores se desenvolveram a partir da necessidade de se compartilhar informações e dispositivos. até configuração e instalação de soluções. Uma política de segurança bem definida. quer acidentalmente. o nível de segurança que devemos buscar deve ser o mais alto possível. auditoria de processos. quer intencionalmente a pessoas não autorizadas. Seu universo se divide em duas visões: Segurança Física e Segurança Lógica. porém.ferramentas. Segurança Física . revisões e acompanhamento de políticas e tratamento de incidentes. O problema tem muitas facetas e envolve diversos fatores tais como: instalações físicas. pois elas serão na maioria das vezes irrecuperáveis.1. A grande dificuldade encontrada está no fato de que. Um dos maiores problemas e certamente um dos mais difíceis de ser resolvido é o da segurança dos dados. Ao delimitar estes processos. procedimentos operacionais. ou até mesmo com maior intensidade com que buscamos assegurar as nossas comunicações e os nossos dados. criação de projetos específicos e recomendações de uso. 4. 4. características do hardware. o profissional deve partir para a fase de gerenciamento. especificações de software. contra violações e possíveis alterações sem que para isso esteja autorizado. na mesma proporção.

seus meios de suporte e armazenamento ou os mecanismos de controle de acesso às informações. "A segurança física é uma parte importante da segurança global da rede. sistemas de fornecimento de energia ininterrupto. de grande valor para a organização. requerendo. sejam esses recursos às próprias informações.A segurança física está diretamente relacionada aos aspectos associados ao acesso físico a recursos de informações.2. conseqüentemente. Por esse motivo devem-se observar as ameaças sempre presentes e que às vezes passam despercebidas. está também relacionada com as técnicas de preservação e recuperação das informações e seus meios de suporte e armazenamento. circuitos internos de televisão. representado por seus diretores e outros funcionários. 5. não podemos arriscar e levar empresas ao fracasso pelo simples fato de não possuir as informações necessárias e em tempo hábil. A governança surgiu visando garantir o componente ético da organização. mas componentes de má qualidade certamente propiciarão danos bem elevados. sistemas de alarmes. Vale para decisões importantes. falhas na rede elétrica. . Devemos estar atentos aos mínimos detalhes que compõem este tipo de segurança. devem ser adotadas utilizando-se componentes adequados. acesso indevido em ambientes restritos e que medidas de proteção como serviços de vigilância. Governança Corporativa e Governança de TI Governança é segundo os dicionários o ato de governar-se. deliberações sem grande relevância. desabamentos. Além disso. um estudo muito mais apurado e detalhado. Segurança Lógica A Segurança Lógica é aspecto abrangente e complexo. O conceito de Governança Corporativa surgiu nos Estados Unidos e na Inglaterra no final dos anos 1990 e está relacionado à forma como as empresas são dirigidas e controladas. Não vale para qualquer atitude adotada na empresa. 4. Isto significa dizer que as empresas precisam saber quem toma as decisões e quais os processos pelas quais essas decisões são tomadas. Wadlow (2000) enfatiza. Considerando que a informação é a principal ferramenta do processo decisório das empresas. na criação e proteção dos benefícios para todos os acionistas. tais como disponibilidade física ou o próprio acesso físico. inundações e alagamentos. Uma boa infra-estrutura não garante por si só a segurança física. mas é um dos aspectos mais malcompreendidos da segurança de rede". tais como: riscos de incêndios. monitoramento e controle de acesso às áreas de caráter privativo dentre outras.

dentro do conceito de Governança em TI.5. 5. Internamente a governança deve desenvolver competências e designar os direitos de decisão nas questões de real valor tendo por fim atingir os objetivos de negócio. a cobrança sobre os responsáveis pelas operações de tecnologia da informação quanto à maximização do uso dos investimentos já realizados. a governança em TI se apresenta como uma estrutura bem definida de relações e processos que controlam e dirigem uma organização dentro de um cenário de extrema competitividade. internamente. . parceiros e clientes. O foco é permitir que as perspectivas de negócios. termo que tem hoje grandes aplicações no mundo empresarial. Governança em TI Governança em TI (Tecnologia da Informação) é uma derivação de Governança Corporativa. a Governança em TI define as condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade. alinhando a tecnologia da informação a essa estratégia. 5. de infra-estrutura. Em muitas organizações este processo se inicia pela demonstração dos riscos envolvidos na falta de controle sobre o ambiente de TI. aperfeiçoamento de relações com fornecedores. Por trás desta iniciativa está a preocupação das empresas com melhorias nos seus processos operacionais. tem como principal motivação. viabilizando o acompanhamento de contratos internos e externos. devem equilibrar os riscos em relação ao retorno da tecnologia de informação e a seus processos.1. aumento da eficiência de seus colaboradores. de pessoas e de operações sejam levadas em consideração no momento de definição do que mais interessa à empresa. A Governança em TI inclui estruturas de relacionamentos e processos que tem como objetivos dirigir e controlar a organização para que ela alcance seus objetivos. São estruturas e processos que permitem controlar a execução e a qualidade dos serviços.3. redução de custos. Desenvolvendo uma estrutura de Governança em TI A Governança em TI visa designar os direitos de decisão nas questões relevantes com o propósito de atingir os objetivos de negócio da organização. ou seja. mas que.2. Neste aspecto. Dificuldades na adoção da Governança em TI A adoção acelerada de processos de gestão de infra-estrutura nas empresas. simultaneamente.

6. 2000. dedicando entre 70% a 80% dos recursos disponíveis somente para a manutenção dos sistemas e aplicações existentes. o indivíduo tende a utilizar-se ao mesmo tempo da função de criação e de julgamento. incluindo a tarefa de gerenciar soluções heterogêneas de diferentes fornecedores. as organizações têm hoje uma grande dificuldade em manter os custos operacionais sob controle. Thomas A. O primeiro passo é dar vazão ao conhecimento e livrar-se dos fatores inibidores que dificultam a criatividade frente aos novos desafios que surgem. A elevada complexidade de gerenciamento é uma das principais razões pelas quais as organizações têm sido forçadas a incrementar seus orçamentos e equipes de TI. funcionais e econômicas de cada novo cenário que se apresenta. . Segurança de redes: projeto e gerenciamento de redes seguras. Conclusões Segurança é um processo dinâmico e não um estado ou uma meta. 7. É muito importante considerar que o espaço de tempo entre o desenvolvimento de novas técnicas de invasão e sua aplicação hoje em dia diminuiu tão rapidamente que se torna necessário prever as implicações éticas. Por esse motivo torna-se primordial que as empresas canalizem investimentos e utilizem a capacidade dos seus colaboradores em prol de melhorias contínuas dos requisitos de segurança computacional e que adotem uma postura de empresa na vanguarda de soluções de segurança.Entretanto. Tradução: Fábio Freitas da Silva. com a contínua evolução da infra-estrutura de TI. O maior bloqueio à criatividade ocorre quando em face de um problema e obrigado a apresentar soluções com agilidade. Referências Bibliográficas WADLOW. Rio de Janeiro: Campus.