Segurança da informação: desafios e o papel do bom usuário - parte1/3 |
||
Por Victor Mascarenhas |
||
01/junho/2016 |
||
Introdução Talvez você não tenha se dado conta, mas a informação é um recurso que move o mundo, cada dia que passa esse recurso se torna mais importante e vital para as empresas e com a massificação da tecnologia e o aumento exponencial de dispositivos móveis, os desafios de aplicar e manter políticas e regras que possam assegurar que a informação esteja disponível, íntegra, confiável, legal e que seja possível de ser auditada está se tornando cada vez mais difícil.
Os usuários têm o poder, eles são responsáveis pelo sucesso ou pelo fracasso na implantação de medidas de segurança, sem o correto treinamento e a conscientização dos usuários, a aplicação de normas e políticas não surtem os efeitos desejados e o fracasso é certo. |
Imagem: Reprodução Internet |
Os recursos humanos são considerados o elo mais frágil da corrente, pois são responsáveis por uma ou mais fases de processo de segurança da informação. Essa situação se explica porque o ser humano não tem um comportamento binário, ele é imprevisível e sofre interferência de fatores externos. Todo o esforço da implantação de políticas, regras e normas são postas em dúvida quando o usuário não cumpre seu papel. Todos esses riscos devem ser tratados de forma gradativa, com o objetivo de conscientizar o usuário da sua importância e do ativo informação. Muitas são as formas de iniciar a construção da cultura de segurança, podemos fazer o uso de seminários, campanha de divulgação, carta do presidente, termo de responsabilidade e cursos de capacitação e certificação para os profissionais de TI.
Conceitos e princípios básicos de segurança da informação Segurança da informação pode ser entendida como o processo de proteger informações das ameaças para a sua integridade, disponibilidade e confidencialidade.
Segundo (BEAL, 2005) a segurança da informação visa, assim, a preservar ativos de informação, levando em conta três objetivos fundamentais:
• Confidencialidade: garantia de que o acesso à informação é restrito aos seus usuários legítimos. • Integridade: garantia da criação legítima e da consistência da informação ao longo do seu ciclo de vida: em especial, prevenção contra criação, alteração ou destruição não autorizada de dados e informações. O objetivo de autenticidade da informação é englobado pelo de integridade, quando se assume que este visa a garantir não só que as informações permaneçam completas e precisas, mas também que a informação capturada do ambiente externo tenha sua fidedignidade verificada e que a criada internamente seja produzida apenas por pessoas autorizadas e atribuída unicamente ao seu autor legítimo. • Disponibilidade: garantia de que a informação e os ativos associados estejam disponíveis para os usuário legítimos de forma oportuna.
Alguns autores acrescentam a esses três objetivos o de legalidade (garantia de que a informação foi produzida em conformidade com a lei), ou ainda o de uso legítimo (garantia de que os recursos de informação não são usados por pessoas não autorizadas ou de maneira não autorizada).
Além da confidencialidade, integridade e disponibilidade da informação, alguns aspectos adicionais de segurança emergem quando esta precisa ser transmitida num processo de comunicação. Problemas como a alteração fraudulenta de documentos em trânsito e disputas sobre a origem de uma comunicação ou o recebimento de uma informação transmitida precisam ser equacionados, levando à necessidade de estabelecer alguns objetivos adicionais relativos à segurança da comunicação.
A segurança da comunicação visa proteger a informação que trafega de um ponto a outro, com o objetivo de preservar:
• Integridade do conteúdo: garantia de que a mensagem enviada pelo emissor é recebida de forma completa e exata pelo receptor. • Irretratabilidade de comunicação: garantia de que o emissor ou receptor não tenha como alegar que uma comunicação bemsucedida não ocorreu. • Autenticidade do emissor e do receptor: garantia de que quem se apresenta como remetente ou destinatário da informação é realmente quem diz ser. • Confidencialidade do conteúdo: garantia de que o conteúdo da mensagem somente é acessível a seu(s) destinatário(s). • Capacidade de recuperação do conteúdo pelo receptor: garantia de que o conteúdo transmitido pode ser recuperado em sua forma original pelo destinatário. Para que esse objetivo seja alcançado, emissor e receptor precisam usar protocolos de comunicação consistentes. Um exemplo de quando essa preocupação está presente na segurança da informação: se for usada alguma espécie de codificação da mensagem de modo a tornala ininteligível para terceiros que possam interceptála, é preciso garantir que o destinatário legítimo tenha acesso à chave de decodificação, para ser capaz de recuperar o conteúdo original.
Continua na próxima edição...
Referências:
|