Segurança da informação: desafios e o papel do bom usuário - parte1/3

  
     
 

Por Victor Mascarenhas

  
     
 

01/junho/2016

  
     
 

Introdução

Talvez você não tenha se dado conta, mas a informação é um recurso que move o mundo, cada dia que passa esse recurso se torna mais importante e vital para as empresas e com a massificação da tecnologia e o aumento exponencial de dispositivos móveis, os desafios de aplicar e manter políticas e regras que possam assegurar que a informação esteja disponível, íntegra, confiável, legal e que seja possível de ser auditada está se tornando cada vez mais difícil.

 

Os usuários têm o poder, eles são responsáveis pelo sucesso ou pelo fracasso na implantação de medidas de segurança, sem o correto treinamento e a conscientização dos usuários, a aplicação de normas e políticas não surtem os efeitos desejados e o fracasso é certo.

  

Imagem: Reprodução Internet

  
 

 

Os recursos humanos são considerados o elo mais frágil da corrente, pois são responsáveis por uma ou mais fases de processo de segurança da informação. Essa situação se explica porque o ser humano não tem um comportamento binário, ele é imprevisível e sofre interferência de fatores externos. Todo o esforço da implantação de políticas, regras e normas são postas em dúvida quando o usuário não cumpre seu papel. Todos esses riscos devem ser tratados de forma gradativa, com o objetivo de conscientizar o usuário da sua importância e do ativo informação. Muitas são as formas de iniciar a construção da cultura de segurança, podemos fazer o uso de seminários, campanha de divulgação, carta do presidente, termo de responsabilidade e cursos de capacitação e

certificação para os profissionais de TI.

 

Conceitos e princípios básicos de segurança da informação

Segurança da informação pode ser entendida como o processo de proteger informações das ameaças para a sua integridade, disponibilidade e confidencialidade.

 

Segundo (BEAL, 2005) a segurança da informação visa, assim, a preservar ativos de informação, levando em conta três objetivos fundamentais:

 

• Confidencialidade: garantia de que o acesso à informação é restrito aos seus usuários legítimos.

• Integridade: garantia da criação legítima e da consistência da informação ao longo do seu ciclo de vida: em especial, prevenção contra criação, alteração ou destruição não autorizada de dados e informações. O objetivo de autenticidade da informação é englobado pelo de integridade, quando se assume que este visa a garantir não só que as informações permaneçam completas e precisas, mas também que a informação capturada do ambiente externo tenha sua fidedignidade verificada e que a criada internamente seja produzida apenas por pessoas autorizadas e atribuída unicamente ao seu autor legítimo.

• Disponibilidade: garantia de que a informação e os ativos associados estejam disponíveis para os usuário legítimos de forma oportuna.

 

Alguns autores acrescentam a esses três objetivos o de legalidade (garantia de que a informação foi produzida em conformidade com a lei), ou ainda o de uso legítimo (garantia de que os recursos de informação não são usados por pessoas não autorizadas ou de maneira não autorizada).

 

Além da confidencialidade, integridade e disponibilidade da informação, alguns aspectos adicionais de segurança emergem quando esta precisa ser transmitida num processo de comunicação. Problemas como a alteração fraudulenta de documentos em trânsito e disputas sobre a origem de uma comunicação ou o recebimento de uma informação transmitida precisam ser equacionados, levando à necessidade de estabelecer alguns objetivos adicionais relativos à segurança da comunicação.

 

A segurança da comunicação visa proteger a informação que trafega de um ponto a outro, com o objetivo de preservar:

 

• Integridade do conteúdo: garantia de que a mensagem enviada pelo emissor é recebida de forma completa e exata pelo receptor.

• Irretratabilidade de comunicação: garantia de que o emissor ou receptor não tenha como alegar que uma comunicação bem­sucedida não ocorreu.

• Autenticidade do emissor e do receptor: garantia de que quem se apresenta como remetente ou destinatário da informação é realmente quem diz ser.

• Confidencialidade do conteúdo: garantia de que o conteúdo da mensagem somente é acessível a seu(s) destinatário(s).

• Capacidade de recuperação do conteúdo pelo receptor: garantia de que o conteúdo transmitido pode ser recuperado em sua forma original pelo destinatário. Para que esse objetivo seja alcançado, emissor e receptor precisam usar protocolos de comunicação consistentes. Um exemplo de quando essa preocupação está presente na segurança da informação: se for usada alguma espécie de codificação da mensagem de modo a torna­la ininteligível para terceiros que possam interceptá­la, é preciso garantir que o destinatário legítimo tenha acesso à chave de decodificação, para ser capaz de recuperar o conteúdo original.

 

Continua na próxima edição...

 

 

Referências: