1.
Compreendendo Segurança
Poucas
coisas podem parecer tão improváveis quanto uma
corporação estar absolutamente segura no contexto
de um mercado global, onde a concorrência e a rivalidade
internacionais se intensificam. Resta-nos uma pergunta:
O que significa exatamente segurança corporativa?
A resposta para esta pergunta é muito relativa,
uma vez que dependerá principalmente da cultura
organizacional estabelecida em cada empresa e do
modelo de Política de Segurança adotado por seus
colaboradores. Não obstante a dificuldade de precisão
na resposta é fundamental destacar que a empresa
que não se preocupa com a segurança dos seus ativos
computacionais está fadada a ser superada muito
rapidamente.
Segundo
Wadlow (2000):
A
segurança deverá ser proporcional ao valor
do que se está protegendo. Parte desse valor
é realmente um valor; outra parte é o trabalho
necessário para restabelecê-lo; uma outra
parte mais sutil é o trabalho que permitirá
confiar em sua rede novamente.
A segurança
da informação é um tema bastante amplo e uma preocupação
muito discutida na atualidade. Entretanto, mesmo
com a constante divulgação dos problemas e perigos
referentes à segurança dos sistemas, principalmente
relativos às conexões com a Internet, não são todas
as organizações que estão preparadas adequadamente
para enfrentar os problemas oriundos de ameaças
e tentativas de invasão sobre suas redes de comunicação.
Outra
função, talvez não tão aparente, mas não menos importante
do que a que surge em função do negócio da empresa,
é a aplicação das estratégias de segurança nas áreas
da empresa que dão suporte operacional. Uma das
funções mais importantes da segurança computacional
atualmente é ampliar a compreensão geral de segurança,
seus usos e abusos. Compreendendo-se como funcionam
os procedimentos de segurança e como todos são vulneráveis
a falhas internas e à agressão externa é possível
analisar de forma objetiva os impactos na infra-estrutura
organizacional.
Dentre
os fatores facilitadores, aqueles que contribuem
para a segurança computacional corporativa estão
a adoção de um ambiente que observa as normas e
padrões de segurança no uso dos recursos computacionais
disponibilizados; a disponibilidade de canais de
comunicação abertos para melhorias contínuas nos
procedimentos de segurança; a correlação entre desempenho
e proatividade na empresa.
Os
fatores inibidores da segurança mais comuns são
atitudes e meios excessivamente autoritários; empresas
com pouco ou nenhum controle sobre a utilização
dos recursos computacionais; pressão para conformar-se,
do tipo "isto sempre foi assim"; falta
de tempo para a melhoria dos procedimentos de segurança
e a prisão do organograma, também conhecida como
rigidez organizacional.
2.
Política de Segurança da Informação
A segurança
das informações, como um todo, depende do esquema
de segurança dos sistemas onde as mesmas estão armazenadas.
Quando esta segurança é quebrada, seja acidentalmente,
ou propositadamente, os resultados se mostram altamente
prejudiciais e, por isso, a segurança dos sistemas
de informação é uma questão muito importante quando
se desenvolve uma política de segurança da informação.
A política
de segurança da informação é um mecanismo preventivo
de proteção dos dados e processos de uma organização
que define também padrões de segurança a serem seguidos
pelo pessoal técnico, gerência e os demais usuários
(internos e externos) do sistema de informação.
Pode ser usada ainda para definir as interfaces
entre usuários, fornecedores e parceiros e para
medir a qualidade e a segurança dos sistemas atuais.
Uma de suas preocupações é estabelecer os métodos
de proteção, controle e monitoramento dos recursos
de informação. � importante que a política de segurança
defina as responsabilidades das funções relacionadas
à segurança e discrimine as principais ameaças,
riscos e impactos envolvidos.
A política
de segurança é um recurso importante que se pode
criar para tornar uma rede segura. Ela deve integrar-se
às metas de negócio da organização e ao plano das
políticas de informatização, influenciando todos
os projetos de informatização da empresa tais como
o desenvolvimento de novos sistemas, planos de contingências,
planejamento de capacidade, dentre outros. � importante
lembrar que a política não envolve apenas a área
de Tecnologia da Informação (TI), mas a organização
como um todo. Como toda política institucional,
deve ser aprovada pela alta gerência e divulgada
a todos os funcionários e usuários de serviços de
informática. A partir de então, todos os controles
devem se basear nessa política.
3.
Técnicas de Segurança
O perfeito
funcionamento de uma Política de Segurança depende
muito do conhecimento do seu conte�do e da cooperação
dos usuários nos seus diversos níveis. Ele deve
ser incentivado a sentir que as medidas de segurança
foram adotadas visando o seu próprio benefício.
Entretanto, a maioria das pessoas e empresas só
lembra-se da segurança quando acontece algum problema
grave. Na maioria das vezes gastam-se horas tentando
recuperar as informações, enquanto a simples implantação
de uma política de segurança poderia evitar esses
transtornos. De qualquer forma, existem diversas
ferramentas e procedimentos que podem ser usados
para aumentar o nível de segurança do computador
em casa, para quem acessa a Internet por uma linha
telef�nica comum ou outro serviço dedicado e principalmente
para aqueles que utilizam as redes como ferramentas
no seu trabalho diário.
As
técnicas de segurança têm evoluído com o objetivo
de minimizar essa vulnerabilidade dos sistemas em
rede frente às novas ameaças que surgem diariamente
e políticas de segurança têm sido adotadas abrangendo
questões do tipo: O que proteger? Do que proteger?
Quais os mecanismos serão usados para controle?
Uma política de segurança depende de respostas a
perguntas desse tipo. Cada um deve decidir quais
precauções deve adotar segundo suas prioridades
e disponibilidades.
3.1.
O que proteger?
A segurança
não é tecnologia e tampouco soluciona todos os problemas
de uma corporação. Segurança é um processo e como
tal, pode-se aplicar seguidamente e, dessa maneira,
melhorar a segurança da corporação. Se não for aplicada
ou é interrrompida a aplicação do processo, a segurança
tende a ser cada vez pior, à medida que surgem novas
formas de ameaças e técnicas de ataques.
Medidas
de segurança nada representam se não se conhecer
o que deve ser protegido. Antes de tratar da segurança
das tecnologias que compreendem uma rede corporativa,
é necessário que se avalie, detalhadamente, a amplitude
daquilo que se pretende proteger. O primeiro passo
consiste em realizar um levantamento e a classificação
dos ativos da empresa. � preciso avaliar o grau
de risco e de vulnerabilidade destes ativos, fazer
a avaliação das suas falhas e definir o que pode
ser feito para aperfeiçoar sua segurança.
O segundo
passo diz respeito à formalização de uma política
de segurança que basicamente estabelece a elaboração
de normas e procedimentos dentro da organização.
Este trabalho normalmente é monitorado por um grupo
especialmente criado para esse fim. A infra-estrutura
de tecnologias é a terceira fase deste planejamento,
envolvendo desde aquisição de ferramentas, até configuração
e instalação de soluções, criação de projetos específicos
e recomendações de uso.
Ao
delimitar estes processos, o profissional deve partir
para a fase de gerenciamento, passando pela análise
de infra-estrutura da empresa, auditoria de processos,
testes regulares de ataques a vulnerabilidades,
revisões e acompanhamento de políticas e tratamento
de incidentes.
4.
Segurança Física e Segurança Lógica
As
redes de computadores se desenvolveram a partir
da necessidade de se compartilhar informações e
dispositivos. Um sistema absolutamente seguro ainda
está longe de existir, porém, o nível de segurança
que devemos buscar deve ser o mais alto possível.
A grande dificuldade encontrada está no fato de
que, na mesma proporção, ou até mesmo com maior
intensidade com que buscamos assegurar as nossas
comunicações e os nossos dados, existem indivíduos
buscando a todo o momento burlar esta segurança.
A escolha
adequada do software e hardware específicos de segurança
da informação eleva o nível de segurança e resguarda
a rede de imprevistos cujas conseq�ências são críticas.
Contudo, nada irá suprir as perdas ocasionadas pela
não observação das fragilidades, pois elas serão
na maioria das vezes irrecuperáveis. Uma política
de segurança bem definida, o uso adequado das senhas,
as divisões dos usuários em grupos e a administração
dos recursos computacionais de forma adequada são
medidas que se complementam e devem ser adotadas.
Um
dos maiores problemas e certamente um dos mais difíceis
de ser resolvido é o da segurança dos dados. A segurança
dos dados pode ser definida como a proteção dos
mesmos contra revelações de seus conte�dos, quer
acidentalmente, quer intencionalmente a pessoas
não autorizadas, contra violações e possíveis alterações
sem que para isso esteja autorizado. O problema
tem muitas facetas e envolve diversos fatores tais
como: instalações físicas, procedimentos operacionais,
características do hardware, especificações de software,
entre outras. Seu universo se divide em duas visões:
Segurança Física e Segurança Lógica.
4.1.
Segurança Física
A segurança
física está diretamente relacionada aos aspectos
associados ao acesso físico a recursos de informações,
tais como disponibilidade física ou o próprio acesso
físico, sejam esses recursos às próprias informações,
seus meios de suporte e armazenamento ou os mecanismos
de controle de acesso às informações. Além disso,
está também relacionada com as técnicas de preservação
e recuperação das informações e seus meios de suporte
e armazenamento. Wadlow (2000) enfatiza, "A
segurança física é uma parte importante da segurança
global da rede, mas é um dos aspectos mais malcompreendidos
da segurança de rede".
Uma
boa infra-estrutura não garante por si só a segurança
física, mas componentes de má qualidade certamente
propiciarão danos bem elevados. Por esse motivo
devem-se observar as ameaças sempre presentes e
que às vezes passam despercebidas, tais como: riscos
de incêndios, desabamentos, inundações e alagamentos,
falhas na rede elétrica, acesso indevido em ambientes
restritos e que medidas de proteção como serviços
de vigil�ncia, sistemas de fornecimento de energia
ininterrupto, sistemas de alarmes, circuitos internos
de televisão, monitoramento e controle de acesso
às áreas de caráter privativo dentre outras, devem
ser adotadas utilizando-se componentes adequados.
4.2.
Segurança Lógica
A Segurança
Lógica é aspecto abrangente e complexo, requerendo,
conseq�entemente, um estudo muito mais apurado e
detalhado. Devemos estar atentos aos mínimos detalhes
que compõem este tipo de segurança. Considerando
que a informação é a principal ferramenta do processo
decisório das empresas, não podemos arriscar e levar
empresas ao fracasso pelo simples fato de não possuir
as informações necessárias e em tempo hábil.
5.
Governança Corporativa e Governança de TI
Governança
é segundo os dicionários o ato de governar-se. O
conceito de Governança Corporativa surgiu nos Estados
Unidos e na Inglaterra no final dos anos 1990 e
está relacionado à forma como as empresas são dirigidas
e controladas. A governança surgiu visando garantir
o componente ético da organização, representado
por seus diretores e outros funcionários, na criação
e proteção dos benefícios para todos os acionistas.
Isto significa dizer que as empresas precisam saber
quem toma as decisões e quais os processos pelas
quais essas decisões são tomadas. Não vale para
qualquer atitude adotada na empresa, deliberações
sem grande relev�ncia. Vale para decisões importantes,
de grande valor para a organização.
5.1.
Governança em TI
Governança
em TI (Tecnologia da Informação) é uma derivação
de Governança Corporativa, termo que tem hoje grandes
aplicações no mundo empresarial. A Governança em
TI inclui estruturas de relacionamentos e processos
que tem como objetivos dirigir e controlar a organização
para que ela alcance seus objetivos, mas que, simultaneamente,
devem equilibrar os riscos em relação ao retorno
da tecnologia de informação e a seus processos.
São estruturas e processos que permitem controlar
a execução e a qualidade dos serviços, viabilizando
o acompanhamento de contratos internos e externos,
ou seja, a Governança em TI define as condições
para o exercício eficaz da gestão com base em conceitos
consolidados de qualidade.
5.2.
Desenvolvendo uma estrutura de Governança em
TI
A Governança
em TI visa designar os direitos de decisão nas questões
relevantes com o propósito de atingir os objetivos
de negócio da organização. Em muitas organizações
este processo se inicia pela demonstração dos riscos
envolvidos na falta de controle sobre o ambiente
de TI.
Internamente
a governança deve desenvolver competências e designar
os direitos de decisão nas questões de real valor
tendo por fim atingir os objetivos de negócio. Neste
aspecto, a governança em TI se apresenta como uma
estrutura bem definida de relações e processos que
controlam e dirigem uma organização dentro de um
cenário de extrema competitividade. O foco é permitir
que as perspectivas de negócios, de infra-estrutura,
de pessoas e de operações sejam levadas em consideração
no momento de definição do que mais interessa à
empresa, alinhando a tecnologia da informação a
essa estratégia.
5.3.
Dificuldades na adoção da Governança em TI
A adoção
acelerada de processos de gestão de infra-estrutura
nas empresas, dentro do conceito de Governança em
TI, tem como principal motivação, internamente,
a cobrança sobre os responsáveis pelas operações
de tecnologia da informação quanto à maximização
do uso dos investimentos já realizados. Por trás
desta iniciativa está a preocupação das empresas
com melhorias nos seus processos operacionais, redução
de custos, aumento da eficiência de seus colaboradores,
aperfeiçoamento de relações com fornecedores, parceiros
e clientes.
Entretanto,
com a contínua evolução da infra-estrutura de TI,
incluindo a tarefa de gerenciar soluções heterogêneas
de diferentes fornecedores, as organizações têm
hoje uma grande dificuldade em manter os custos
operacionais sob controle. A elevada complexidade
de gerenciamento é uma das principais razões pelas
quais as organizações têm sido forçadas a incrementar
seus orçamentos e equipes de TI, dedicando entre
70% a 80% dos recursos disponíveis somente para
a manutenção dos sistemas e aplicações existentes.
6.
Conclusões
Segurança
é um processo din�mico e não um estado ou uma meta.
� muito importante considerar que o espaço de tempo
entre o desenvolvimento de novas técnicas de invasão
e sua aplicação hoje em dia diminuiu tão rapidamente
que se torna necessário prever as implicações éticas,
funcionais e econ�micas de cada novo cenário que
se apresenta. Por esse motivo torna-se primordial
que as empresas canalizem investimentos e utilizem
a capacidade dos seus colaboradores em prol de melhorias
contínuas dos requisitos de segurança computacional
e que adotem uma postura de empresa na vanguarda
de soluções de segurança.
O primeiro
passo é dar vazão ao conhecimento e livrar-se dos
fatores inibidores que dificultam a criatividade
frente aos novos desafios que surgem. O maior bloqueio
à criatividade ocorre quando em face de um problema
e obrigado a apresentar soluções com agilidade,
o indivíduo tende a utilizar-se ao mesmo tempo da
função de criação e de julgamento.
7.
Referências Bibliográficas
WADLOW,
Thomas A. Segurança de redes: projeto e gerenciamento
de redes seguras. Tradução: Fábio Freitas da Silva.
Rio de Janeiro: Campus, 2000.
|