Qual a importância de se estudar a Segurança da Informação?

Qual é a importância da Segurança da Informação?

Saiba a definição do conceito de segurança da informação, e entenda sua importância para proteger os dados do seu negócio.

Hoje, sistemas, suas informações confidenciais e dados, independentemente do formato, são os maiores patrimônios de qualquer empresa. Nesses ambientes virtuais estão armazenados todos os diferenciais que tornam uma organização competitiva no mercado.

Assim, com o desenvolvimento tecnológico constante, o investimento em Segurança da Informação se torna imprescindível no universo corporativo. Mais do que proteger as empresas de ataques hackers, ou evitar a vulnerabilidade de sistemas, a Segurança da Informação garante a proteção de processos, ambientes, serviços, tecnologias e pessoas. Os atributos básicos que caracterizam o conceito são:

– Garante que a informação não foi alterada de forma não autorizada ou indevida.

– Garante que os serviços sejam disponibilizados durante o maior tempo possível.

– garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita.

O

é um sistema especialista de

que conta com o que há de mais avançado no quesito segurança de servidores.

O sistema realiza o backup de dados diários, monitoramento 24 horas por dia e 7 dias por semana. Mas permite a restauração de dados em até 24 horas e o espelhamento de dados, o que aumenta a disponibilidade do banco de dados. Utiliza ainda HTTPS (Hypertext Transfer Protocol Secure), uma implementação do protocolo HTTP sobre uma camada adicional de segurança com base no protocolo SSL/TLS. Essa camada adicional permite que os dados sejam transmitidos por meio de uma conexão criptografada, que se verifique a autenticidade do servidor e do cliente por meio de certificados digitais. Para conhecer o Manusis4 e suas principais vantagens,

acesse nosso site

.

Segurança da informação é importante?

COMPARTILHAR

Tempo estimado de leitura: 6 minutos

Diariamente, milhares de informações circulam na internet numa dinâmica enérgica e volátil. Isso ocorre, principalmente, pela acessibilidade atual aos mais diversos meios de comunicação. Nesse sentido, a área de segurança da informação atua com foco na proteção dessa enorme quantidade de dados.

Apesar da inicial facilidade que essa capacidade de armazenamento apresenta, não parece muito legal ter todos os seus dados pessoais “jogados” por aí, não é mesmo?

E é justamente por causa dessa preocupação que tanto se fala em segurança da informação, um conceito muito importante quando tratamos da defesa dos dados e da privacidade na era digital. Continue lendo este artigo e saiba mais sobre o assunto.

O que é segurança da informação na internet?

A segurança da informação é uma estratégia usada para proteger dados, informações sigilosas e demais materiais particulares que devem, obrigatoriamente, ser restritos apenas ao responsável de direito ou às pessoas para quem o conteúdo é encaminhado.

Vale ressaltar que essa área atua para proteger os dados tanto da pessoa física quanto jurídica. Isto é, ela envolve a garantia de proteção às informações do usuário comum, bem como de empresas e organizações, que dependem diretamente da transmissão e armazenamento de dados digitalmente.

Inclusive, em relação ao uso da internet pelo usuário comum, é preciso ter uma atenção redobrada, visto que muitos, por exemplo, fazem cadastros em diversos sites diferentes, sem se preocupar com as informações que estão disponibilizando a uma fonte potencialmente não confiável. E é então que temos vários casos de fraude, golpe, roubo de identidade etc.

Qual é o objetivo de segurança da informação?

Além do seu principal papel de assegurar a confidencialidade e a privacidade, a segurança da informação também tem o objetivo de gerenciar e controlar o processamento, o armazenamento, o compartilhamento e a distribuição desses dados.

Assim, no meio empresarial, por exemplo, a segurança da informação busca aplicar práticas e políticas de segurança que garantam a integridade das informações corporativas, evitando possíveis ataques, vazamentos de dados, dentre outras ameaças que podem prejudicar a empresa.

Dessa forma, para cumprir esses objetivos efetivamente, a segurança da informação conta com quatro pilares, os quais veremos a seguir.

A carreira de segurança da informação está cada vez mais em expansão devido às demandas tecnológicas!

Quais são os 4 pilares da segurança da informação?

Antes de aplicar métricas e ações de segurança da informação, é preciso ter conhecimento dos 4 fundamentos que a compõem:

1. Confidencialidade

A confidencialidade da informação se refere às práticas utilizadas para manter as informações em sigilo, acessíveis apenas aos seus responsáveis diretos ou pessoas autorizadas.

Nesse sentido, ela envolve medidas como criptografia de dados e restrição de acesso dos colaboradores a determinadas informações, bem como um treinamento adequado para que os funcionários saibam lidar cuidadosamente com dados sigilosos.

2. Integridade

A integridade assegura que as informações não serão modificadas indevidamente sem a autorização do responsável. Ou seja, é preciso se certificar de que as informações não sejam corrompidas durante sua transmissão, armazenamento ou processamento.

Assim, o pilar da integridade dentro da segurança da informação garante, por exemplo, que um arquivo permaneça o mesmo desde sua entrega até o seu processamento.

3. Disponibilidade

A disponibilidade garante que os usuários ou destinatários autorizados pela empresa tenham acesso a suas informações a qualquer momento, respeitando as práticas de confidencialidade.

Além disso, esse pilar também diz respeito à eficiência da rede utilizada, analisando sua capacidade de evitar falhas.

4. Autenticidade

A autenticidade existe para garantir a confiabilidade do autor de determinada informação. Desse modo, é necessário registrar os usuários e receptores para assegurar sua veracidade, bem como documentar toda e qualquer manipulação das informações.

O que é preciso para ser um profissional de segurança da informação?

Existem vários caminhos para seguir carreira como um profissional de segurança da informação. Aliás, essa área é muito promissora, tendo em vista as crescentes ameaças de crimes cibernéticos e a falta de profissionais qualificados para lidar com essas questões.

Dentre as opções de cargos e funções, temos, por exemplo, o administrador de sistemas, que é o profissional responsável pela manutenção, configuração e segurança da rede de computadores e servidores.

Da mesma forma, existe também o perito forense digital, o qual investiga vazamentos de dados, corrupções de informações e outras ameaças cibernéticas. Por sua vez, temos o engenheiro de segurança cibernética, que está um passo à frente de possíveis problemas ou vazamentos, criando e aprimorando os processos de segurança da informação.

Mas qual graduação ou curso fazer para atuar em alguma área da segurança da informação? As principais graduações procuradas por quem se interessa pela área são:

Ciências da Computação;

Segurança da Informação (tecnólogo);

Informática;

Engenharia da Computação

Análise de Desenvolvimento de Sistemas;

Tecnologia da Informação.

Além disso, é possível investir em uma especialização, como o curso de pós-graduação em Privacidade e Proteção de Dados Pessoais, que atua diretamente com a segurança de dados.

Diante de um contexto cada vez mais dependente do mundo virtual, as políticas de segurança da informação se tornam extremamente essenciais para a rotina empresarial. E, por consequência, o mercado procura assiduamente por profissionais que consigam cuidar e manipular os dados, bens tão valiosos atualmente.

Compartilhe esse post com aquele(a) amigo(a) que também tem interesse na área de segurança da informação!

Qual a importância de se estudar a Segurança da Informação?

04 de dezembro de 2016 as 22: 44 h

Segurança da Informação

Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização.

São características básicas da segurança da informação os atributos de confidencialidade, integridade e disponibilidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.

Atualmente o conceito de Segurança da Informação está padronizado pela normaISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos.Não obstante, insta mencionar que declarações de princípios de governança – estabelecidas pelo NETmundial (1) e pela Cúpula Mundial sobre a Sociedade da Informação (Genebra 2003 e Túnis 2005)(2)-, e normas internacionais editadas pela International Organization for Standardization e pela International Electrotechnical Comission (por exemplo, ISSO/IEC 27001:2013)(3), as quais indicam padrões de boas práticas para a gestão de segurança da informação.

Salienta-se que não há legislação específica que verse sobre segurança da informação. Contudo, pode-se citar a Medida Provisória nº 2.200-2/2001, que institui a Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, a fim de garantir a autenticidade, a integridade e a validade jurídica dos documentos eletrônicos, nos termos do artigo 1º da referida norma.

Porque a Preocupação com a Segurança da Informação?

A informação é algo de suma importância para uma organização e fundamental para os negócios. Para isso, é importante que seja adequadamente protegida. Com o crescimento da interconectividade entre ambientes de trabalho, a informação fica exposta a uma grande variedade de ameaças. Daí a necessidade da segurança da informação, que é a proteção da informação contra os vários tipos de ameaças, minimizando os riscos relacionados com o negócio, e maximizando o retorno sobre os investimentos.

Para obter a segurança da informação, torna-se necessário um conjunto de controlos adequados, com o intuito de garantir que os objetivos do negócio e de segurança da organização sejam conseguidos. Esses controlos têm vindo a ser alterados e aperfeiçoados com o passar do tempo, permitindo que as organizações cuidem e se previnam contra eventuais riscos causados pela falta de segurança.

A norma ISO/IEC 17799:2005 inclui as diretrizes e os princípios gerais para implementar, manter e melhorar a gestão da segurança da informação numa organização (ver texto com o nome da norma no título).

Quando se iniciam as atividades na área de segurança da informação, percebe-se ao longo do tempo o quanto as empresas sofrem para manter a sua base de informação segura, pois são vários os obstáculos, começando pela parte burocrática, passando pela configuração de serviços e formação, até se ter efetivado todo o sistema de segurança.

Para se ter um ambiente tecnológico seguro, é necessária a criação de um conjunto de normas e recomendações para a gestão da segurança da informação, usado por aqueles que são responsáveis pela implantação, implementação ou manutenção da segurança nas respectivas organizações.

Mas porque nos devemos preocupar com a segurança da informação? Simplesmente porque este tema se tornou importante na sociedade contemporânea, visto que as empresas guardam nos computadores os segredos de seus negócios. Por outro lado, as pessoas comunicam de forma electrónica, incluindo frequentemente nessa comunicação informação de carácter pessoal.

Todos têm o legítimo direito de esperar que os dados confiados às máquinas sejam mantidos intactos e confidenciais, acessíveis apenas às pessoas autorizadas. Apesar de todas as ferramentas de hardware e de software disponíveis no mercado, há sempre uma possibilidade de falhas de segurança. Alguns especialistas defendem mesmo a ideia de que é impossível ter um ambiente tecnológico totalmente e (100%) seguro.

"Não existe uma rede segura; nem um computador seguro. O único computador seguro é aquele que está desligado da tomada, fechado numa caixa forte, e a única pessoa que conhecia a combinação morreu na semana passada - Kevin Mitnick". (4)

A partir destas palavras, pode-se avaliar a importância de se ter um tratamento diferenciado com o assunto aqui abordado, pois é a informação que está em risco e a informação é o ativo mais valioso das empresas .

A importância de Estudar, Planejar e Aplicar a Segurança da Informação

A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.

Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente. A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.

A tríade CIA (Confidentiality, Integrity and Availability), Confidencialidade, Integridade e Disponibilidade representa os principais atributos que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger. Outros atributos importantes são a irretratabilidade e a autenticidade. Com o evoluir do comércio electrónico e da sociedade da informação, a privacidade é também uma grande preocupação.

Os atributos básicos (segundo os padrões internacionais) são os seguintes:

Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.

Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).

Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.

O nível de segurança desejado, pode se consubstanciar em uma "política de segurança" que é seguida pela organização ou pessoa, para garantir que uma vez

estabelecidos os princípios, aquele nível desejado seja perseguido e mantido.

Para a montagem desta política, deve-se levar em conta:

Riscos associados à falta de segurança; Benefícios; Custos de implementação dos mecanismos.

Mecanismos de segurança

O suporte para as recomendações de segurança pode ser encontrado em:

Controles físicos : são barreiras que limitam o contato ou acesso direto a informação ou a infra-estrutura (que garante a existência da informação) que a suporta.

Existem mecanismos de segurança que apoiam os controles físicos:

Portas / trancas / paredes / blindagem / guardas / etc ..

Controles lógicos : são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado.

Existem mecanismos de segurança que apoiam os controles lógicos:

Mecanismos de criptografia. Permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a decifração.

Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual são função, garantindo a integridade do documento associado, mas não a sua confidencialidade.

Mecanismos de garantia da integridade da informação. Usando funções de "Hashing ou de checagem, consistindo na adição.

Mecanismos de controle de acesso. Palavras-chave, sistemas biométricos, firewalls, cartões inteligentes.

Mecanismos de certificação. Atesta a validade de um documento.

Integridade. Medida em que um serviço/informação é genuíno, isto é, está protegido contra a personificação por intrusos.

Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a ação de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema.

Protocolos seguros: uso de protocolos que garantem um grau de segurança e usam alguns dos mecanismos citados aqui Existe hoje em dia um elevado número de ferramentas e sistemas que pretendem fornecer segurança. Alguns exemplos são os detectores de intrusões, os anti-vírus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de código, etc.

Ameaças à segurança

As ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas 3 características principais, quais sejam:

Perda de Confidencialidade: seria quando há uma quebra de sigilo de uma determinada informação (ex: a senha de um usuário ou administrador de sistema) permitindo com que sejam expostas informações restritas as quais seriam acessíveis apenas por um determinado grupo de usuários.

Perda de Integridade: aconteceria quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.

Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por quem necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor de uma aplicação crítica de negócio, que apresentou uma falha devido a um erro causa do por motivo interno ou externo ao equipamento.

No caso de ameaças à rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, muitas vezes conhecidos como crackers, (hackers não são agentes maliciosos, pois tentam ajudar a encontrar possíveis falhas). Estas pessoas são motivadas para fazer esta ilegalidade por vários motivos.

Os principais são: notoriedade, auto-estima, vingança e o dinheiro.

De acordo com pesquisa elaborada pelo Computer Security Institute, mais de 70% dos ataques partem de usuários legítimos de sistemas de informação (Insiders) -- o que motiva corporações a investir largamente em controles de segurança para seus ambientes corporativos (intranet). (5)

Nível de segurança

Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança a estabelecer para uma rede ou sistema os recursos físicos e lógicos a necessitar de proteção. No nível de segurança devem ser quantificados os custos associados aos ataques e os associados à implementação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um ataque .

Segurança física

Considera as ameaças físicas como incêndios, desabamentos, relâmpagos, alagamento, acesso indevido de pessoas, forma inadequada de tratamento e manuseamento do material.

Segurança lógica

Atenta contra ameaças ocasionadas por vírus, acessos remotos à rede, backup desatualizados, violação de senhas, etc.

Políticas de Segurança

De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.

As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização.

As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.

O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido.

Existem duas filosofias por trás de qualquer política de segurança :

a proibitiva (tudo que não é expressamente permitido é proibido)

e a permissiva (tudo que não é proibido é permitido).

Os elementos da política de segurança devem ser considerados:

A Disponibilidade : o sistema deve estar disponível de forma que quando o usuário necessitar possa usar. Dados críticos devem estar disponíveis ininterruptamente.

A Utilização : o sistema deve ser utilizado apenas para os determinados objetivos.

A Integridade : o sistema deve estar sempre íntegro e em condições de ser usado.

A Autenticidade : o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.

A Confidencialidade : dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.

Políticas de Senhas – Dificuldade de Memorização

Dentre as políticas utilizadas pelas grandes corporações a composição da senha ou “password “é a mais controversa. Por um lado profissionais com dificuldade de memorizar varias senhas de acesso, por outro funcionários displicentes que anotam a senha sob o teclado no fundo das gavetas, em casos mais graves o colaborador anota a senha no monitor.

Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra fundamental é a conscientização dos colaboradores quanto ao uso e manutenção das senhas.

Senha com data para expiração

Adota-se um padrão definido onde a senha possui prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usuário a renovar sua senha.

Inibir a repetição

Adota-se através de regras predefinidas que uma senha uma vez utilizada não poderá ter mais que 60% dos caracteres repetidos, p. ex: senha anterior “123senha” nova senha deve ter 60% dos caracteres diferentes como “456seuze”, neste caso foram repetidos somente os caracteres “s” “e” os demais diferentes.

Obrigar a composição com número mínimo de caracteres numéricos e alfabéticos. Define-se obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos, por exemplo: 1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numéricos e os 4 subsequentes alfabéticos por exemplo: 1432seuz.

Criar um conjunto possíveis senhas que não podem ser utilizadas

Monta-se uma base de dados com formatos conhecidos de senhas e proibir o seu uso, como por exemplo o usuário chama-se Jose da Silva, logo sua senha não deve conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4 etc.

Conclusão

Este estudo, nos trouxe a reflexão de que no tocante à segurança da informação, se trata de processos e mecanismos que permitem a confidencialidade, a integridade e a disponibilidade das informações, com o fito de mitigar riscos e impedir incidentes que influenciem diretamente na privacidade (proteção de dados), perdas financeiras, danos à imagem e perda na confiabilidade da tecnologia.

Nesta oportunidade, importante indicar o uso da criptografia como forma de garantir a segurança das informações, protegendo dados confidenciais/sigilosos, backups e comunicações realizadas pela Internet.(6)

Referências Bibliográficas

(1)CGI.br – Comitê Gestor da Internet. NETmundial – Declaração Multissetorial. Acesso em 04/12/16 -Disponível em: http://netmundial.br/pt/2014/05/07/declaracao-multissetorial-do-netmundial-e-apresentada/

(2) CGI.br – Comitê Gestor da Internet. Documentos da Cúpula Mundial sobre a Sociedade da Informação – Genebra 2003 e Túnis 2005. Acesso em 04/12/16 - Disponível em: http://cgi.br/media/docs/publicacoes/1/CadernosCGIbr_DocumentosCMSI.pdf

(3) ISO/IEC 27001 - Information security management. Acesso em 04/12/16 Disponível em:

(4) Baseado num documento intitulado "Estudo e Aplicação da Norma ISO/IEC - 17799:2005 em Segurança da Informação", da autoria de Cristiane Cavalcante Souto, Miris Alves da Silva, e Welton Dias de Lima. -Produzido em 2006

(5)Computer Security Institute (CSI) - Link de acesso em 04/12/2016:

(6) CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança da Informação no Brasil; NIC.br – Núcleo de Informação e Coordenação do Ponto BR. Cartilha de Segurança da Informação. Acesso em 04/12/16 - Disponível em:

Por Profª Drª Valéria Reani em 04 de dezembro de 2016 as 22: 44 hs.

Valéria Reani - Advogada graduada pela Universidade Católica de Santos, com mais de 20 anos de experiência na área de Direito do Trabalho, Especialista em Gestão Empresarial pela PUC Campinas com atuação em plano de Marketing jurídico e Compliance como instrumento da Governança corporativa. Pós-graduada em Direito Digital e Compliance pela Faculdade Damásio Educacional, com foco em Cyberbullying; e-commece, fraudes e crimes digitais, Direito autoral e de imagem. Professora em Educação Digital, Ética e Legislação. Presidente Comissão de Direito Eletronico OAB Santos e Membro Efetivo da Comissão de Direito Digital OAB/ Campinas.