1.
Compreendendo Segurança
Poucas
coisas podem parecer tão improváveis quanto uma
corporação estar absolutamente segura no contexto
de um mercado global, onde a concorrência e a rivalidade
internacionais se intensificam. Resta-nos uma pergunta:
O que significa exatamente segurança corporativa?
A resposta para esta pergunta é muito relativa,
uma vez que dependerá principalmente da cultura
organizacional estabelecida em cada empresa e do
modelo de Política de Segurança adotado por seus
colaboradores. Não obstante a dificuldade de precisão
na resposta é fundamental destacar que a empresa
que não se preocupa com a segurança dos seus ativos
computacionais está fadada a ser superada muito
rapidamente.
Segundo
Wadlow (2000):
A
segurança deverá ser proporcional ao valor
do que se está protegendo. Parte desse valor
é realmente um valor; outra parte é o trabalho
necessário para restabelecê-lo; uma outra
parte mais sutil é o trabalho que permitirá
confiar em sua rede novamente.
A segurança
da informação é um tema bastante amplo e uma preocupação
muito discutida na atualidade. Entretanto, mesmo
com a constante divulgação dos problemas e perigos
referentes à segurança dos sistemas, principalmente
relativos às conexões com a Internet, não são todas
as organizações que estão preparadas adequadamente
para enfrentar os problemas oriundos de ameaças
e tentativas de invasão sobre suas redes de comunicação.
Outra
função, talvez não tão aparente, mas não menos importante
do que a que surge em função do negócio da empresa,
é a aplicação das estratégias de segurança nas áreas
da empresa que dão suporte operacional. Uma das
funções mais importantes da segurança computacional
atualmente é ampliar a compreensão geral de segurança,
seus usos e abusos. Compreendendo-se como funcionam
os procedimentos de segurança e como todos são vulneráveis
a falhas internas e à agressão externa é possível
analisar de forma objetiva os impactos na infra-estrutura
organizacional.
Dentre
os fatores facilitadores, aqueles que contribuem
para a segurança computacional corporativa estão
a adoção de um ambiente que observa as normas e
padrões de segurança no uso dos recursos computacionais
disponibilizados; a disponibilidade de canais de
comunicação abertos para melhorias contínuas nos
procedimentos de segurança; a correlação entre desempenho
e proatividade na empresa.
Os
fatores inibidores da segurança mais comuns são
atitudes e meios excessivamente autoritários; empresas
com pouco ou nenhum controle sobre a utilização
dos recursos computacionais; pressão para conformar-se,
do tipo "isto sempre foi assim"; falta
de tempo para a melhoria dos procedimentos de segurança
e a prisão do organograma, também conhecida como
rigidez organizacional.
2.
Política de Segurança da Informação
A segurança
das informações, como um todo, depende do esquema
de segurança dos sistemas onde as mesmas estão armazenadas.
Quando esta segurança é quebrada, seja acidentalmente,
ou propositadamente, os resultados se mostram altamente
prejudiciais e, por isso, a segurança dos sistemas
de informação é uma questão muito importante quando
se desenvolve uma política de segurança da informação.
A política
de segurança da informação é um mecanismo preventivo
de proteção dos dados e processos de uma organização
que define também padrões de segurança a serem seguidos
pelo pessoal técnico, gerência e os demais usuários
(internos e externos) do sistema de informação.
Pode ser usada ainda para definir as interfaces
entre usuários, fornecedores e parceiros e para
medir a qualidade e a segurança dos sistemas atuais.
Uma de suas preocupações é estabelecer os métodos
de proteção, controle e monitoramento dos recursos
de informação. É importante que a política de segurança
defina as responsabilidades das funções relacionadas
à segurança e discrimine as principais ameaças,
riscos e impactos envolvidos.
A política
de segurança é um recurso importante que se pode
criar para tornar uma rede segura. Ela deve integrar-se
às metas de negócio da organização e ao plano das
políticas de informatização, influenciando todos
os projetos de informatização da empresa tais como
o desenvolvimento de novos sistemas, planos de contingências,
planejamento de capacidade, dentre outros. É importante
lembrar que a política não envolve apenas a área
de Tecnologia da Informação (TI), mas a organização
como um todo. Como toda política institucional,
deve ser aprovada pela alta gerência e divulgada
a todos os funcionários e usuários de serviços de
informática. A partir de então, todos os controles
devem se basear nessa política.
3.
Técnicas de Segurança
O perfeito
funcionamento de uma Política de Segurança depende
muito do conhecimento do seu conteúdo e da cooperação
dos usuários nos seus diversos níveis. Ele deve
ser incentivado a sentir que as medidas de segurança
foram adotadas visando o seu próprio benefício.
Entretanto, a maioria das pessoas e empresas só
lembra-se da segurança quando acontece algum problema
grave. Na maioria das vezes gastam-se horas tentando
recuperar as informações, enquanto a simples implantação
de uma política de segurança poderia evitar esses
transtornos. De qualquer forma, existem diversas
ferramentas e procedimentos que podem ser usados
para aumentar o nível de segurança do computador
em casa, para quem acessa a Internet por uma linha
telefônica comum ou outro serviço dedicado e principalmente
para aqueles que utilizam as redes como ferramentas
no seu trabalho diário.
As
técnicas de segurança têm evoluído com o objetivo
de minimizar essa vulnerabilidade dos sistemas em
rede frente às novas ameaças que surgem diariamente
e políticas de segurança têm sido adotadas abrangendo
questões do tipo: O que proteger? Do que proteger?
Quais os mecanismos serão usados para controle?
Uma política de segurança depende de respostas a
perguntas desse tipo. Cada um deve decidir quais
precauções deve adotar segundo suas prioridades
e disponibilidades.
3.1.
O que proteger?
A segurança
não é tecnologia e tampouco soluciona todos os problemas
de uma corporação. Segurança é um processo e como
tal, pode-se aplicar seguidamente e, dessa maneira,
melhorar a segurança da corporação. Se não for aplicada
ou é interrrompida a aplicação do processo, a segurança
tende a ser cada vez pior, à medida que surgem novas
formas de ameaças e técnicas de ataques.
Medidas
de segurança nada representam se não se conhecer
o que deve ser protegido. Antes de tratar da segurança
das tecnologias que compreendem uma rede corporativa,
é necessário que se avalie, detalhadamente, a amplitude
daquilo que se pretende proteger. O primeiro passo
consiste em realizar um levantamento e a classificação
dos ativos da empresa. É preciso avaliar o grau
de risco e de vulnerabilidade destes ativos, fazer
a avaliação das suas falhas e definir o que pode
ser feito para aperfeiçoar sua segurança.
O segundo
passo diz respeito à formalização de uma política
de segurança que basicamente estabelece a elaboração
de normas e procedimentos dentro da organização.
Este trabalho normalmente é monitorado por um grupo
especialmente criado para esse fim. A infra-estrutura
de tecnologias é a terceira fase deste planejamento,
envolvendo desde aquisição de ferramentas, até configuração
e instalação de soluções, criação de projetos específicos
e recomendações de uso.
Ao
delimitar estes processos, o profissional deve partir
para a fase de gerenciamento, passando pela análise
de infra-estrutura da empresa, auditoria de processos,
testes regulares de ataques a vulnerabilidades,
revisões e acompanhamento de políticas e tratamento
de incidentes.
4.
Segurança Física e Segurança Lógica
As
redes de computadores se desenvolveram a partir
da necessidade de se compartilhar informações e
dispositivos. Um sistema absolutamente seguro ainda
está longe de existir, porém, o nível de segurança
que devemos buscar deve ser o mais alto possível.
A grande dificuldade encontrada está no fato de
que, na mesma proporção, ou até mesmo com maior
intensidade com que buscamos assegurar as nossas
comunicações e os nossos dados, existem indivíduos
buscando a todo o momento burlar esta segurança.
A escolha
adequada do software e hardware específicos de segurança
da informação eleva o nível de segurança e resguarda
a rede de imprevistos cujas conseqüências são críticas.
Contudo, nada irá suprir as perdas ocasionadas pela
não observação das fragilidades, pois elas serão
na maioria das vezes irrecuperáveis. Uma política
de segurança bem definida, o uso adequado das senhas,
as divisões dos usuários em grupos e a administração
dos recursos computacionais de forma adequada são
medidas que se complementam e devem ser adotadas.
Um
dos maiores problemas e certamente um dos mais difíceis
de ser resolvido é o da segurança dos dados. A segurança
dos dados pode ser definida como a proteção dos
mesmos contra revelações de seus conteúdos, quer
acidentalmente, quer intencionalmente a pessoas
não autorizadas, contra violações e possíveis alterações
sem que para isso esteja autorizado. O problema
tem muitas facetas e envolve diversos fatores tais
como: instalações físicas, procedimentos operacionais,
características do hardware, especificações de software,
entre outras. Seu universo se divide em duas visões:
Segurança Física e Segurança Lógica.
4.1.
Segurança Física
A segurança
física está diretamente relacionada aos aspectos
associados ao acesso físico a recursos de informações,
tais como disponibilidade física ou o próprio acesso
físico, sejam esses recursos às próprias informações,
seus meios de suporte e armazenamento ou os mecanismos
de controle de acesso às informações. Além disso,
está também relacionada com as técnicas de preservação
e recuperação das informações e seus meios de suporte
e armazenamento. Wadlow (2000) enfatiza, "A
segurança física é uma parte importante da segurança
global da rede, mas é um dos aspectos mais malcompreendidos
da segurança de rede".
Uma
boa infra-estrutura não garante por si só a segurança
física, mas componentes de má qualidade certamente
propiciarão danos bem elevados. Por esse motivo
devem-se observar as ameaças sempre presentes e
que às vezes passam despercebidas, tais como: riscos
de incêndios, desabamentos, inundações e alagamentos,
falhas na rede elétrica, acesso indevido em ambientes
restritos e que medidas de proteção como serviços
de vigilância, sistemas de fornecimento de energia
ininterrupto, sistemas de alarmes, circuitos internos
de televisão, monitoramento e controle de acesso
às áreas de caráter privativo dentre outras, devem
ser adotadas utilizando-se componentes adequados.
4.2.
Segurança Lógica
A Segurança
Lógica é aspecto abrangente e complexo, requerendo,
conseqüentemente, um estudo muito mais apurado e
detalhado. Devemos estar atentos aos mínimos detalhes
que compõem este tipo de segurança. Considerando
que a informação é a principal ferramenta do processo
decisório das empresas, não podemos arriscar e levar
empresas ao fracasso pelo simples fato de não possuir
as informações necessárias e em tempo hábil.
5.
Governança Corporativa e Governança de TI
Governança
é segundo os dicionários o ato de governar-se. O
conceito de Governança Corporativa surgiu nos Estados
Unidos e na Inglaterra no final dos anos 1990 e
está relacionado à forma como as empresas são dirigidas
e controladas. A governança surgiu visando garantir
o componente ético da organização, representado
por seus diretores e outros funcionários, na criação
e proteção dos benefícios para todos os acionistas.
Isto significa dizer que as empresas precisam saber
quem toma as decisões e quais os processos pelas
quais essas decisões são tomadas. Não vale para
qualquer atitude adotada na empresa, deliberações
sem grande relevância. Vale para decisões importantes,
de grande valor para a organização.
5.1.
Governança em TI
Governança
em TI (Tecnologia da Informação) é uma derivação
de Governança Corporativa, termo que tem hoje grandes
aplicações no mundo empresarial. A Governança em
TI inclui estruturas de relacionamentos e processos
que tem como objetivos dirigir e controlar a organização
para que ela alcance seus objetivos, mas que, simultaneamente,
devem equilibrar os riscos em relação ao retorno
da tecnologia de informação e a seus processos.
São estruturas e processos que permitem controlar
a execução e a qualidade dos serviços, viabilizando
o acompanhamento de contratos internos e externos,
ou seja, a Governança em TI define as condições
para o exercício eficaz da gestão com base em conceitos
consolidados de qualidade.
5.2.
Desenvolvendo uma estrutura de Governança em
TI
A Governança
em TI visa designar os direitos de decisão nas questões
relevantes com o propósito de atingir os objetivos
de negócio da organização. Em muitas organizações
este processo se inicia pela demonstração dos riscos
envolvidos na falta de controle sobre o ambiente
de TI.
Internamente
a governança deve desenvolver competências e designar
os direitos de decisão nas questões de real valor
tendo por fim atingir os objetivos de negócio. Neste
aspecto, a governança em TI se apresenta como uma
estrutura bem definida de relações e processos que
controlam e dirigem uma organização dentro de um
cenário de extrema competitividade. O foco é permitir
que as perspectivas de negócios, de infra-estrutura,
de pessoas e de operações sejam levadas em consideração
no momento de definição do que mais interessa à
empresa, alinhando a tecnologia da informação a
essa estratégia.
5.3.
Dificuldades na adoção da Governança em TI
A adoção
acelerada de processos de gestão de infra-estrutura
nas empresas, dentro do conceito de Governança em
TI, tem como principal motivação, internamente,
a cobrança sobre os responsáveis pelas operações
de tecnologia da informação quanto à maximização
do uso dos investimentos já realizados. Por trás
desta iniciativa está a preocupação das empresas
com melhorias nos seus processos operacionais, redução
de custos, aumento da eficiência de seus colaboradores,
aperfeiçoamento de relações com fornecedores, parceiros
e clientes.
Entretanto,
com a contínua evolução da infra-estrutura de TI,
incluindo a tarefa de gerenciar soluções heterogêneas
de diferentes fornecedores, as organizações têm
hoje uma grande dificuldade em manter os custos
operacionais sob controle. A elevada complexidade
de gerenciamento é uma das principais razões pelas
quais as organizações têm sido forçadas a incrementar
seus orçamentos e equipes de TI, dedicando entre
70% a 80% dos recursos disponíveis somente para
a manutenção dos sistemas e aplicações existentes.
6.
Conclusões
Segurança
é um processo dinâmico e não um estado ou uma meta.
É muito importante considerar que o espaço de tempo
entre o desenvolvimento de novas técnicas de invasão
e sua aplicação hoje em dia diminuiu tão rapidamente
que se torna necessário prever as implicações éticas,
funcionais e econômicas de cada novo cenário que
se apresenta. Por esse motivo torna-se primordial
que as empresas canalizem investimentos e utilizem
a capacidade dos seus colaboradores em prol de melhorias
contínuas dos requisitos de segurança computacional
e que adotem uma postura de empresa na vanguarda
de soluções de segurança.
O primeiro
passo é dar vazão ao conhecimento e livrar-se dos
fatores inibidores que dificultam a criatividade
frente aos novos desafios que surgem. O maior bloqueio
à criatividade ocorre quando em face de um problema
e obrigado a apresentar soluções com agilidade,
o indivíduo tende a utilizar-se ao mesmo tempo da
função de criação e de julgamento.
7.
Referências Bibliográficas
WADLOW,
Thomas A. Segurança de redes: projeto e gerenciamento
de redes seguras. Tradução: Fábio Freitas da Silva.
Rio de Janeiro: Campus, 2000.
|