YouTube Facebook Twitter
Apostilas Artigos Tutoriais Aulas Vídeos Blog Ferramentas de Rede Fórum Downloads Colabore Fale Conosco
» artigos
:: Fatores Facilitadores e Inibidores da Segurança Computacional Corporativa

Prof. Especialista José Mauricio Santos Pinheiro em 28/02/2008

 

1. Compreendendo Segurança

Poucas coisas podem parecer tão improváveis quanto uma corporação estar absolutamente segura no contexto de um mercado global, onde a concorrência e a rivalidade internacionais se intensificam. Resta-nos uma pergunta: O que significa exatamente segurança corporativa? A resposta para esta pergunta é muito relativa, uma vez que dependerá principalmente da cultura organizacional estabelecida em cada empresa e do modelo de Política de Segurança adotado por seus colaboradores. Não obstante a dificuldade de precisão na resposta é fundamental destacar que a empresa que não se preocupa com a segurança dos seus ativos computacionais está fadada a ser superada muito rapidamente.

Segundo Wadlow (2000):

A segurança deverá ser proporcional ao valor do que se está protegendo. Parte desse valor é realmente um valor; outra parte é o trabalho necessário para restabelecê-lo; uma outra parte mais sutil é o trabalho que permitirá confiar em sua rede novamente.

A segurança da informação é um tema bastante amplo e uma preocupação muito discutida na atualidade. Entretanto, mesmo com a constante divulgação dos problemas e perigos referentes à segurança dos sistemas, principalmente relativos às conexões com a Internet, não são todas as organizações que estão preparadas adequadamente para enfrentar os problemas oriundos de ameaças e tentativas de invasão sobre suas redes de comunicação.

Outra função, talvez não tão aparente, mas não menos importante do que a que surge em função do negócio da empresa, é a aplicação das estratégias de segurança nas áreas da empresa que dão suporte operacional. Uma das funções mais importantes da segurança computacional atualmente é ampliar a compreensão geral de segurança, seus usos e abusos. Compreendendo-se como funcionam os procedimentos de segurança e como todos são vulneráveis a falhas internas e à agressão externa é possível analisar de forma objetiva os impactos na infra-estrutura organizacional.

Dentre os fatores facilitadores, aqueles que contribuem para a segurança computacional corporativa estão a adoção de um ambiente que observa as normas e padrões de segurança no uso dos recursos computacionais disponibilizados; a disponibilidade de canais de comunicação abertos para melhorias contínuas nos procedimentos de segurança; a correlação entre desempenho e proatividade na empresa.

Os fatores inibidores da segurança mais comuns são atitudes e meios excessivamente autoritários; empresas com pouco ou nenhum controle sobre a utilização dos recursos computacionais; pressão para conformar-se, do tipo "isto sempre foi assim"; falta de tempo para a melhoria dos procedimentos de segurança e a prisão do organograma, também conhecida como rigidez organizacional.

2. Política de Segurança da Informação

A segurança das informações, como um todo, depende do esquema de segurança dos sistemas onde as mesmas estão armazenadas. Quando esta segurança é quebrada, seja acidentalmente, ou propositadamente, os resultados se mostram altamente prejudiciais e, por isso, a segurança dos sistemas de informação é uma questão muito importante quando se desenvolve uma política de segurança da informação.

A política de segurança da informação é um mecanismo preventivo de proteção dos dados e processos de uma organização que define também padrões de segurança a serem seguidos pelo pessoal técnico, gerência e os demais usuários (internos e externos) do sistema de informação. Pode ser usada ainda para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas atuais. Uma de suas preocupações é estabelecer os métodos de proteção, controle e monitoramento dos recursos de informação. � importante que a política de segurança defina as responsabilidades das funções relacionadas à segurança e discrimine as principais ameaças, riscos e impactos envolvidos.

A política de segurança é um recurso importante que se pode criar para tornar uma rede segura. Ela deve integrar-se às metas de negócio da organização e ao plano das políticas de informatização, influenciando todos os projetos de informatização da empresa tais como o desenvolvimento de novos sistemas, planos de contingências, planejamento de capacidade, dentre outros. � importante lembrar que a política não envolve apenas a área de Tecnologia da Informação (TI), mas a organização como um todo. Como toda política institucional, deve ser aprovada pela alta gerência e divulgada a todos os funcionários e usuários de serviços de informática. A partir de então, todos os controles devem se basear nessa política.

3. Técnicas de Segurança

O perfeito funcionamento de uma Política de Segurança depende muito do conhecimento do seu conte�do e da cooperação dos usuários nos seus diversos níveis. Ele deve ser incentivado a sentir que as medidas de segurança foram adotadas visando o seu próprio benefício. Entretanto, a maioria das pessoas e empresas só lembra-se da segurança quando acontece algum problema grave. Na maioria das vezes gastam-se horas tentando recuperar as informações, enquanto a simples implantação de uma política de segurança poderia evitar esses transtornos. De qualquer forma, existem diversas ferramentas e procedimentos que podem ser usados para aumentar o nível de segurança do computador em casa, para quem acessa a Internet por uma linha telef�nica comum ou outro serviço dedicado e principalmente para aqueles que utilizam as redes como ferramentas no seu trabalho diário.

As técnicas de segurança têm evoluído com o objetivo de minimizar essa vulnerabilidade dos sistemas em rede frente às novas ameaças que surgem diariamente e políticas de segurança têm sido adotadas abrangendo questões do tipo: O que proteger? Do que proteger? Quais os mecanismos serão usados para controle? Uma política de segurança depende de respostas a perguntas desse tipo. Cada um deve decidir quais precauções deve adotar segundo suas prioridades e disponibilidades.

3.1. O que proteger?

A segurança não é tecnologia e tampouco soluciona todos os problemas de uma corporação. Segurança é um processo e como tal, pode-se aplicar seguidamente e, dessa maneira, melhorar a segurança da corporação. Se não for aplicada ou é interrrompida a aplicação do processo, a segurança tende a ser cada vez pior, à medida que surgem novas formas de ameaças e técnicas de ataques.

Medidas de segurança nada representam se não se conhecer o que deve ser protegido. Antes de tratar da segurança das tecnologias que compreendem uma rede corporativa, é necessário que se avalie, detalhadamente, a amplitude daquilo que se pretende proteger. O primeiro passo consiste em realizar um levantamento e a classificação dos ativos da empresa. � preciso avaliar o grau de risco e de vulnerabilidade destes ativos, fazer a avaliação das suas falhas e definir o que pode ser feito para aperfeiçoar sua segurança.

O segundo passo diz respeito à formalização de uma política de segurança que basicamente estabelece a elaboração de normas e procedimentos dentro da organização. Este trabalho normalmente é monitorado por um grupo especialmente criado para esse fim. A infra-estrutura de tecnologias é a terceira fase deste planejamento, envolvendo desde aquisição de ferramentas, até configuração e instalação de soluções, criação de projetos específicos e recomendações de uso.

Ao delimitar estes processos, o profissional deve partir para a fase de gerenciamento, passando pela análise de infra-estrutura da empresa, auditoria de processos, testes regulares de ataques a vulnerabilidades, revisões e acompanhamento de políticas e tratamento de incidentes.

4. Segurança Física e Segurança Lógica

As redes de computadores se desenvolveram a partir da necessidade de se compartilhar informações e dispositivos. Um sistema absolutamente seguro ainda está longe de existir, porém, o nível de segurança que devemos buscar deve ser o mais alto possível. A grande dificuldade encontrada está no fato de que, na mesma proporção, ou até mesmo com maior intensidade com que buscamos assegurar as nossas comunicações e os nossos dados, existem indivíduos buscando a todo o momento burlar esta segurança.

A escolha adequada do software e hardware específicos de segurança da informação eleva o nível de segurança e resguarda a rede de imprevistos cujas conseq�ências são críticas. Contudo, nada irá suprir as perdas ocasionadas pela não observação das fragilidades, pois elas serão na maioria das vezes irrecuperáveis. Uma política de segurança bem definida, o uso adequado das senhas, as divisões dos usuários em grupos e a administração dos recursos computacionais de forma adequada são medidas que se complementam e devem ser adotadas.

Um dos maiores problemas e certamente um dos mais difíceis de ser resolvido é o da segurança dos dados. A segurança dos dados pode ser definida como a proteção dos mesmos contra revelações de seus conte�dos, quer acidentalmente, quer intencionalmente a pessoas não autorizadas, contra violações e possíveis alterações sem que para isso esteja autorizado. O problema tem muitas facetas e envolve diversos fatores tais como: instalações físicas, procedimentos operacionais, características do hardware, especificações de software, entre outras. Seu universo se divide em duas visões: Segurança Física e Segurança Lógica.

4.1. Segurança Física

A segurança física está diretamente relacionada aos aspectos associados ao acesso físico a recursos de informações, tais como disponibilidade física ou o próprio acesso físico, sejam esses recursos às próprias informações, seus meios de suporte e armazenamento ou os mecanismos de controle de acesso às informações. Além disso, está também relacionada com as técnicas de preservação e recuperação das informações e seus meios de suporte e armazenamento. Wadlow (2000) enfatiza, "A segurança física é uma parte importante da segurança global da rede, mas é um dos aspectos mais malcompreendidos da segurança de rede".

Uma boa infra-estrutura não garante por si só a segurança física, mas componentes de má qualidade certamente propiciarão danos bem elevados. Por esse motivo devem-se observar as ameaças sempre presentes e que às vezes passam despercebidas, tais como: riscos de incêndios, desabamentos, inundações e alagamentos, falhas na rede elétrica, acesso indevido em ambientes restritos e que medidas de proteção como serviços de vigil�ncia, sistemas de fornecimento de energia ininterrupto, sistemas de alarmes, circuitos internos de televisão, monitoramento e controle de acesso às áreas de caráter privativo dentre outras, devem ser adotadas utilizando-se componentes adequados.

4.2. Segurança Lógica

A Segurança Lógica é aspecto abrangente e complexo, requerendo, conseq�entemente, um estudo muito mais apurado e detalhado. Devemos estar atentos aos mínimos detalhes que compõem este tipo de segurança. Considerando que a informação é a principal ferramenta do processo decisório das empresas, não podemos arriscar e levar empresas ao fracasso pelo simples fato de não possuir as informações necessárias e em tempo hábil.

5. Governança Corporativa e Governança de TI

Governança é segundo os dicionários o ato de governar-se. O conceito de Governança Corporativa surgiu nos Estados Unidos e na Inglaterra no final dos anos 1990 e está relacionado à forma como as empresas são dirigidas e controladas. A governança surgiu visando garantir o componente ético da organização, representado por seus diretores e outros funcionários, na criação e proteção dos benefícios para todos os acionistas. Isto significa dizer que as empresas precisam saber quem toma as decisões e quais os processos pelas quais essas decisões são tomadas. Não vale para qualquer atitude adotada na empresa, deliberações sem grande relev�ncia. Vale para decisões importantes, de grande valor para a organização.

5.1. Governança em TI

Governança em TI (Tecnologia da Informação) é uma derivação de Governança Corporativa, termo que tem hoje grandes aplicações no mundo empresarial. A Governança em TI inclui estruturas de relacionamentos e processos que tem como objetivos dirigir e controlar a organização para que ela alcance seus objetivos, mas que, simultaneamente, devem equilibrar os riscos em relação ao retorno da tecnologia de informação e a seus processos. São estruturas e processos que permitem controlar a execução e a qualidade dos serviços, viabilizando o acompanhamento de contratos internos e externos, ou seja, a Governança em TI define as condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade.

5.2. Desenvolvendo uma estrutura de Governança em TI

A Governança em TI visa designar os direitos de decisão nas questões relevantes com o propósito de atingir os objetivos de negócio da organização. Em muitas organizações este processo se inicia pela demonstração dos riscos envolvidos na falta de controle sobre o ambiente de TI.

Internamente a governança deve desenvolver competências e designar os direitos de decisão nas questões de real valor tendo por fim atingir os objetivos de negócio. Neste aspecto, a governança em TI se apresenta como uma estrutura bem definida de relações e processos que controlam e dirigem uma organização dentro de um cenário de extrema competitividade. O foco é permitir que as perspectivas de negócios, de infra-estrutura, de pessoas e de operações sejam levadas em consideração no momento de definição do que mais interessa à empresa, alinhando a tecnologia da informação a essa estratégia.

5.3. Dificuldades na adoção da Governança em TI

A adoção acelerada de processos de gestão de infra-estrutura nas empresas, dentro do conceito de Governança em TI, tem como principal motivação, internamente, a cobrança sobre os responsáveis pelas operações de tecnologia da informação quanto à maximização do uso dos investimentos já realizados. Por trás desta iniciativa está a preocupação das empresas com melhorias nos seus processos operacionais, redução de custos, aumento da eficiência de seus colaboradores, aperfeiçoamento de relações com fornecedores, parceiros e clientes.

Entretanto, com a contínua evolução da infra-estrutura de TI, incluindo a tarefa de gerenciar soluções heterogêneas de diferentes fornecedores, as organizações têm hoje uma grande dificuldade em manter os custos operacionais sob controle. A elevada complexidade de gerenciamento é uma das principais razões pelas quais as organizações têm sido forçadas a incrementar seus orçamentos e equipes de TI, dedicando entre 70% a 80% dos recursos disponíveis somente para a manutenção dos sistemas e aplicações existentes.

6. Conclusões

Segurança é um processo din�mico e não um estado ou uma meta. � muito importante considerar que o espaço de tempo entre o desenvolvimento de novas técnicas de invasão e sua aplicação hoje em dia diminuiu tão rapidamente que se torna necessário prever as implicações éticas, funcionais e econ�micas de cada novo cenário que se apresenta. Por esse motivo torna-se primordial que as empresas canalizem investimentos e utilizem a capacidade dos seus colaboradores em prol de melhorias contínuas dos requisitos de segurança computacional e que adotem uma postura de empresa na vanguarda de soluções de segurança.

O primeiro passo é dar vazão ao conhecimento e livrar-se dos fatores inibidores que dificultam a criatividade frente aos novos desafios que surgem. O maior bloqueio à criatividade ocorre quando em face de um problema e obrigado a apresentar soluções com agilidade, o indivíduo tende a utilizar-se ao mesmo tempo da função de criação e de julgamento.

7. Referências Bibliográficas

WADLOW, Thomas A. Segurança de redes: projeto e gerenciamento de redes seguras. Tradução: Fábio Freitas da Silva. Rio de Janeiro: Campus, 2000.


José Maurício Santos Pinheiro
Professor Universitário, Projetista e Gestor de Redes, 
membro da BICSI, Aureside e IEC.

Autor dos livros:
 
· Guia Completo de Cabeamento de Redes ·
· Cabeamento Óptico ·
· Infraestrutura Elétrica para Redes de Computadores
·
· Biometria nos Sistemas Computacionais - Você é a Senha ·

E-mail: jm.pinheiro@projetoderedes.com.br

© www.projetoderedes.com.br - Termos e Condições de Uso