O básico sobre boas praticas de segurança da Informação no meio Corporativo

Bom, antes de tudo, estou muito feliz em finalmente botar em prática um sonho antigo de escrever sobre a área de TI, já estava na hora de repassar um pouco do que sei sem muito bla bla bla e de uma maneira simples sem formalidades...


Resumidamente, este artigo aborda de forma conceitual e conscientizadora, algo banal e clichê na área...Politicas de segurança da Informação! pode ser que eu não vá falar nada inovador (até porque não é este o objetivo) porém, vejo que este tema ainda continua em alta, por isso vejo a necessidade das organizações disporem de políticas de segurança da informação para minimizar e reduzir ameaças cibernéticas, além de prevenir vazamentos de informações acidentais e melhorar a compreensão da alta gestão e dos colaboradores quanto a importância das informações.




 

Conceito sobre Segurança da Informação


A segurança da informação compreende um conjunto de medidas que visam proteger e preservar informações e sistemas de informações, assegurando-lhes integridade, disponibilidade e confidencialidade. Sendo estes os atributos que constituem os seus pilares (SILVA FILHO 2004). Os três pilares considerados o alicerce para a segurança da informação, e toda sua forma cientifica e técnica é constituído por essa tríplice, também abreviada em CID.


  • Segundo BRASIL (2007) a Confidencialidade, garante que somente pessoas autorizadas tenham acesso a informações armazenadas ou transmitidas por meio de redes de comunicação. Do ponto de vista da privacidade, também consiste na garantia de que indivíduos controlem, quais informações sobre eles podem ser coletadas e armazenadas e por quem e para quem tais informações podem ser compartilhadas (STALLINGS; BROWN, 2014). Ou seja, a confidencialidade é a propriedade que garante a limitação de acesso a tipos determinados de informação, das mais diversas escalas, tornando apenas pessoas autorizadas capazes de acessar tais informações.

  • Quanto à integridade de dados, seria a garantia que as informações e programas somente sejam alterados de maneira autorizada. Em relação à integridade de sistemas, garante que um sistema desempenhe sua função pretendida, livre de manipulação não autorizada, seja ela acidental ou deliberadamente realizada.

  • Segundo KUBOTA (2014) disponibilidade garante que os sistemas e informações estejam, sempre que requisitados, acessíveis e utilizáveis para os usuários autorizados. Além dos pilares da CID, muitos autores consideram de suma importância outros dois conceitos na área de segurança, que seriam a autenticidade e não repudio.

  • A autenticidade é a confirmação que os dados são fidedignos, ou seja, são verdadeiros quanto a sua origem e seu destino, significa verificar se os usuários são quem dizem ser e se os dados são provenientes de fonte confiável (STALLINGS; BROWN, 2014). Já o não repudio, segundo STALLINGS (2014) tem o objetivo de assegurar que ações de uma entidade sejam rastreadas e atribuídas apenas a essa entidade.


 

Depois de falar os conceitos, vamos falar um pouco dos ativos de segurança da informação, que classifiquei da seguinte forma...tecnologias, ambientes, pessoas e processos.


Tecnologias

Hoje a tecnologia transformou a vida das pessoas, e com o aumento do conhecimento cientifico e técnico, aplicado a diversas décadas de pesquisa, a tecnologia digital mudou o mundo, e consequentemente a humanidade de forma profunda, enraizado nas gerações Y e Z, os meios tecnológicos vieram pra ficar, mudando a forma como vemos a vida e o universo de forma abrangente, hoje uma criança de 10 anos, consegue visualizar e ter acesso a uma quantidade muito maior de informações do que nas gerações passadas, tudo isso mostra o quanto a tecnologia é importante para o ser humano, com ela iremos perpetuar a espécie, curar doenças e conquistar outros planetas, tudo graças ao esforço de pesquisadores e cientistas, porém, além da parte cientifica da computação, temos o meio corporativo e industrial, que também são peças fundamentais para que haja rapidez na produção de novas tecnologias, pois o mundo hoje é capitalista e isso torna a criação de novos softwares e hardwares uma das formas mais rentáveis de capital atualmente.


Ambientes

Dentro das empresas deve haver uma preocupação especial com os ambientes, pois eles são suscetíveis a incêndios, enchentes, terremotos e várias outras catástrofes, que podem ser previstas, mais não podem ser evitadas.


Pessoas

Segundo Manduca (2014) As pessoas são um dos elementos mais importantes quando se fala em segurança, pois são elas que executam os processos, e manipulam as informações. Nota-se que elas são o elo mais fraco dentre os problemas que envolvem segurança da informação. Sempre que a informação necessita ser manuseada por uma pessoa ela está potencialmente em risco (SILVA et al 2011).


Processos

Hoje os processos são o principal meio para segurança nas corporações, pois compreendem as políticas e visões da empresa, alinhado com a estratégia e recursos disponíveis. De acordo com Espirito Santo (2012) As políticas de segurança da informação servem para dar suporte a todo o planejamento sobre o que vai ser implantado, sobre como deve agir cada integrante da corporação, como será abordada a política de segurança na empresa, etc.

Políticas de segurança são geralmente construídas a partir das necessidades da organização, e aperfeiçoadas pela experiência do gestor de segurança da informação que deve transformar seu trabalho em algo prático, objetivo e que tenha valor corporativo. "Cada organização deve estabelecer quais políticas serão utilizadas tendo como base suas necessidades, requisitos legais, cultura interna e sistemas informatizados.


 

Tecnologia e métodos de defesa


Firewall

Encabeçando a lista, não poderia ser deixado de lado...o feijão com arroz da segurança! kkkkk o firewall é um dispositivo de segurança mundialmente conhecido, sendo desenvolvido em duas formas, física e virtual. Em sua em forma física “hardware”, chamado de “appliance”, é um software embarcado em um aparelho, especificamente projetado para fornecer um recurso de computação, já em sua forma virtual “software” o mesmo instalado em cima de um sistema operacional, como é mais usado atualmente.


Antivírus

Os antivírus são programas que foram desenvolvidos para prevenir, detectar, alertar e eliminar softwares maliciosos que venham a prejudicar os computadores, ou que sejam nocivos aos sistemas operacionais.


Copias de seguranças

Segundo a CERT BR (2012), cópias de segurança (backups) dos dados armazenados em um computador são importantes, não só para se recuperar de eventuais falhas, mas também as consequências de uma possível infecção por vírus, ou de uma invasão.


Políticas de segurança na empresa

Segundo Campos, (2007, p. 21) “A informação é elemento essencial para todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de grande valor”. Logo, podemos dizer que a informação se tornou um ativo de extrema importância no meio corporativo, sendo crucial atualmente para as empresas se manterem competitivas no mercado, porém é sabido, que esses dados podem ser alvo de uma série de ameaças com a finalidade de explorar as vulnerabilidades e causar prejuízos muitas vezes irreversíveis. Portanto, faz-se necessária a implementação de políticas de se segurança da informação que busquem minimizar os danos, e as chances de fraudes ou perda de informações.

As Implementações de políticas de segurança da informação, são consideradas

motivos de sucesso, pois sua elaboração deve estar em sintonia com os objetivos e

atividades do negócio. Porem deve-se levar em conta a cultura organizacional da

empresa, comprometimento e apoio de todos os níveis gerenciais da alta

administração, para que sua implantação seja efetiva e possa ajudar a empresa a

agregar valor ao negócio.



Então....

Com a definição da PSI alinhada ao negócio, e os mecanismos de proteção, como firewalls e antivírus bem configurados, ainda assim é possível ocorrer vazamentos e comprometimento dos dados na empresa. Através de embasamento teórico, foi pensado e desenvolvido algumas boas práticas e recomendações de segurança da informação, baseado nos autores estudados, na cartilha CERT BR e na norma ISO 27002, as recomendações em alguns casos são apenas conscientizadoras, que podem ser seguidas pelo próprio usuário, ou dadas como regra pela equipe de TI, todas seguindo o escopo do planejamento, são essas:


I. Cuidado com senhas, as senhas são particulares e intrasferíveis, jamais devem ser compartilhadas com quaisquer pessoas, adotar senhas complexas, com letras, números e caracteres especiais, além de evitar palavras do cotidiano, ou palavras familiares, trocar a mesma de acordo com a política de periodicidade para minimizar os riscos com engenharia social.


II. Dados pessoais, deve ser evitado ao máximo o compartilhamento de dados pessoais e informações da empresa, sempre desconfiar de estranhos pedindo informações, e alertar a equipe de TI caso esse incidente ocorra.


III. Cuidado com dispositivos removíveis, os dispositivos (pendrives, HDs externos, cds) podem carregar diversos tipos de ameaças que podem gerar danos a empresa, e por isso devem ser evitados ao máximo, mesmo com o emprego de políticas de bloqueio, cabe o bom senso do usuário.


IV. Analise de e-mails recebidos, pois hoje em dia, este ainda é um dos principais meios utilizados por hackers, por isso é de extrema importância analisar bem os e-mails recebidos, principalmente aqueles que contenham anexo, mesmo sendo de contatos conhecidos, pois

podem estar disseminando vírus de maneira involuntária.


V. Cautela em sites e download de arquivos na web, atualmente existe centenas de links que direcionam a sites maliciosos, que abrem pop-ups e realizam download de plug-ins de maneira quase instantânea, contendo vírus embutidos, além de sites de download de programas e músicas que podem conter códigos maliciosos.


VI. Realizar criptografia das informações importantes, pois a criptografia visa aumentar a integridade e confidencialidade dos dados armazenados, existem hoje, diversos programas que realizam a criptografia, alguns são até nativos em determinados sistemas operacionais.


VII. Atualização de sistemas operacionais e softwares, os mesmos deveram

ser constantemente atualizados, para minimizar as brechas e vulnerabilidades encontradas.



Além das boas práticas mencionadas, a equipe de TI deve tomar consciência da segurança da informação como um todo, não apenas em aspectos virtuais, mas também físicos, como instalação de câmeras e controle de acesso a salas do datacenter, além de implantar métodos para facilitar o monitoramento da rede como um todo, usando softwares de monitoração e trafego, centralização de logs de eventos e criação de VLANS em Switchs, tudo para melhorar a gestão e controle dos ativos, tendo uma visão alinhada as boas práticas de segurança da informação.


Por hoje é só pessoal! valeu.



 

REFERÊNCIAS BIBLIOGRÁFICAS


ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: tecnologia da

informação: técnicas de segurança: sistemas de gestão da segurança informação: requisitos. Rio de Janeiro, 2013. 30p.


MANDUCA, F, A. Segurança da Informação em ambientes organizacionais: Uma abordagem Bibliográfica, 2014.


STALLINGS, William; BROWN, Lawrie. Segurança de computadores: princípios e práticas. Rio de Janeiro: Elsevier, 2014.


KUBOTA, Luis C. et al. (org.). Tecnologias da informação e comunicação: competência,

políticas e tendências. Brasília: Ipea, 2012.


SILVA FILHO, Antonio Mendes Da. Segurança da Informação: Sobre a Necessidade de

Proteção de Sistemas de Informações. Revista Espaço Acadêmico Nº42/2004. Disponível em: Acesso em: 10 ago. 2014.


BRASIL, Tribunal de Contas da União. Boas práticas em segurança da informação. Brasília:

TCU, Secretaria de Fiscalização de Tecnologia da Informação, 2007.

ÁVILA, Rafael O. de; SILVA, Rafael P. da. Brasil informacional: a segurança cibernética como desafio à segurança nacional. Brasília: XII Encontro Nacional de Pesquisa em Ciência da Informação (ENANCIB), 2011.


FREITAS, W. L. D.; BARROS, O. S. D. R.; GOMES, U. D. M. Desafios estratégicos para

segurança e defesa cibernética. Brasília, DF: Secretaria de Assuntos Estratégicos da Presidência da República, 2011.


CERT.br. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil.

Cartilha de segurança para internet.. Disponível em: Acesso em: 25 junho. 2018.