Escolar Documentos
Profissional Documentos
Cultura Documentos
ArtigoCientifico PDF
ArtigoCientifico PDF
Faculdade de Cincias
Campus de Bauru
Artigo Cientfico:
Segurana da Informao
OBJETIVO
PALAVRAS CHAVES:
Segurana
Informao
Normas
Legislao Pontual
RESUMO
Analisando nosso presente momento histrico, nos encontramos com um complexo e, de certo
modo, eficiente mundo da informao. Entretanto como sendo complexo e quantitativo mostra-se ,
tambm com o decorrer do tempo e a evoluo das tecnologias, altamente inseguro. As preocupaes
com segurana da informao torna-se cada vez mais primordiais, levando empresas, executivos e
inclusive pessoas fsicas a obterem conhecimentos no mnimo de conceitos bsicos de segurana da
informao.
Com o decorrer do tempo foram criados textos modelos e referncias gerais para instrues e
precaues bsicas no ambiente tecnolgico, com a evoluo dessas atitudes criaram-se, atravs de
rgos e instituies pblicas normas mais especifcas, afim de padronizar o sistema de informao em
geral.
Esse artigo vem elucidar de forma clara e objetiva os aspectos gerais da segurana da
informao. Nortear-se-a por quatro tpicos principais, os quais esto intrinsecamente ligados:
consideraes histricas da necessidade de proteo de informaes trocadas; conceitos fundamentais e
evoluo da concientizao da proteo de informaes; surgimento e evoluo de textos modelos e
normas principais; e surgimento, evoluo e explanao da legislao competente a esse segmento.
Histrico e Normas
A questo da segurana no mbito dos computadores ganhou fora com o surgimento das
mquinas de tempo compartilhado (time-sharing), as quais permitiam que mais de uma pessoa, ou
usurio, fizesse uso do computador ao mesmo tempo.
O time-sharing permitiu que vrios usurios pudessem acessar as mesmas informaes, contudo
este acesso no gerenciado poderia gerar efeitos indesejveis. Logo, nasce a necessidade da
implementao de ferramentas que minimizem problemas de compartilhamento de recursos e
informaes de forma insegura.
Em outubro de 1967, nasceu nos Estados Unidos o primeiro esforo para solucionar tal situao.
Isto se deu com a criao de uma "fora tarefa", que resultou em um documento entitulado "Security
Control for Computer System: Report of Defense Science Boad Task Force on computer Security".
Representou o incio do processo oficial de criao de um conjunto de regras para segurana de
computadores, que mais tarde chegaria ao seu cume com a publicao da uma norma internacional de
segurana da informao no ano de 2000.
Porm, este esforo no se deu somente por parte do Departamento de Defesa dos Estados
Unidos (United States Department of Defese DoD), tendo o apoio da Agncia Central de Inteligncia
(Central Inteligency Agency) que iniciou o desenvolvimento do primeiro Sistema Operacional que
implementasse as polticas de segurana do DoD, que foi o ADEPT-50.
Este documento, combinado com os materiais produzidos por D.E. Bell e por L. J. La Padula, e
denominados "Secure Computer Systems: Mathematical Fundations", "Mathemathical Model" e
"Refinament of Mathematical Model", deram origem ao que ficou conhecido como "Doctrine", esta por
sua vez seria a base de vrios trabalhos posteriores na rea de segurana.
Paralelamente o Coronel Roger R. Schell, da Fora Area americana, que na poca trabalhava
na Diviso de Sistemas Eletrnicos - EDS (Eletronic System Division - Air Force Systems Command)
iniciou o desenvolvimento de vrias tcnicas e experimentaes que levariam ao surgimento do que
ficou conhecido como "Security Kernels", que nada mais do que os componentes principais para o
desenvolvimento de um Sistema Operacional "Seguro".
Em 1977, o Departamento de Defesa dos Estados Unidos formulou um plano sistemtico para
tratar do Problema Clssico de Segurana, o qual daria origem ao "DoD Computer Security Initiative",
que, por sua vez, desenvolveria a um "centro" para avaliar o quo seguro eram as solues
disponibilizadas.
Outro fator a ser lembrado que o "Orange Book", dentro de sua formalidade, permite, de uma
maneira simples e coesa, especificar o que deve ser implementado e fornecido por um software, para
que ele seja classificado em um dos nveis de segurana pr-estipulados, permitindo assim que este
tambm seja utilizado como fonte de referncia para o desenvolvimento de novas aplicaes e para o
processo de atualizao ou refinamento de aplicaes j existentes e em uso.
A existncia de uma norma permite o usurio tomar conhecimento do quo protegidas e seguras
estaro as suas informaes, possibilitando ao mesmo uma ferramenta que ir auxiliar a escolha de uma
soluo. Do ponto de vista dos profissionais tcnicos, eles passaro a possuir uma ferramenta comum
de trabalho, evitando assim que cada equipe tenha para si um padro desconexo das demais equipes,
dificultando aos clientes a melhor escolha.
O "The Orange Book" representou o marco "zero", do qual nasceram vrios padres de
segurana, cada qual com a sua filosofia e mtodos proprietrios, contudo visando uma padronizao
mundial. Houve um esforo para a construo de uma nova norma, mais atual e que no se detivesse
somente na questo da segurana de computadores, mas sim na segurana de toda e qualquer forma de
informao.
Este esforo foi liderado pela "International Organization for Standardization (ISO). No final do
ano de 2000, o primeiro resultado desse esforo foi apresentado, que a norma internacional de
Segurana da Informao "ISO/IEC-17799:2000", a qual j possui uma verso aplicada aos pases de
lngua portuguesa, denominada "NBR ISO/IEC-17799".
Caractersticas Pontuais
Vulnerabilidade: Ponto pelo qual algum pode ser atacado, molestado ou ter suas
informaes corrompidas.
Ameaa: Algo que possa provocar danos segurana da informao, prejudicar as aes da
empresa e sua sustentao no negcio, mediante a explorao de uma determinada
vulnerabilidade.
Risco: medido pela probabilidade de uma ameaa acontecer e o dano potencial empresa.
Existem algumas maneiras de se classificar o grau de risco no mercado de segurana, mas de
uma forma simples, poderamos tratar como alto, mdio e baixo risco.
Integridade: Diferente do que pode parecer, o conceito de integridade est ligado ao estado
da informao no momento de sua gerao e resgate. Ela estar ntegra se em tempo de
resgate, estiver fiel ao estado original. A Integridade no se prende ao contedo, que pode
estar errado, mas a variaes e alteraes entre o processo de gerao e resgate.
Disponibilidade: Este conceito tem despertado maior interesse depois que os negcios
passaram a depender mais da informao para serem geridos. Afinal, de nada adiantar uma
completa infra-estrutura tecnolgica, com recursos que garantam a integridade e
confidencialidade das informaes, se quando por preciso acess-la, a mesma no estiver
disponvel.
A Internet trouxe uma novo pensamento, um novo comportamento no cenrio mundial. o que
segundo alguns juristas denominam de sociedade da informao, na qual existe reflexo da necessidade
da existncia de um marco jurdico que permita a livre circulao de bens e servios, alm de garantir a
liberdade dos cidados.
Na Unio Europia (UE) vrias batalhas esto sendo travadas para se atingir um denominador
comum nas polticas de novas tecnologias de informao, a qual s pode ser assegurada por leis que
permitam a regulamentao de cada pas, a regulamentao entre empresas privadas e pblicas e
inclusive a regulamentao entre as pessoas fsicas. Como a ttulo de exemplo o Conselho da Europa
apresentou a ltima verso de um documento sobre crimes virtuais, trata-se de um inventrio com
sanses penais e um dispositivo inspirado na legislao francesa.
Existe uma diretiva europia sobre o comrcio eletrnico, a qual reconhece a assinatura digital,
alm da proteo de dados pessoais, est ganhando dimenso internacional num esforo para proteger o
indivduo.
Foi criada uma certificao digital comprovando que o usurio estava realmente praticando
determinado ato com sua prpria identidade. Trata-se de uma verificao feita em um banco de dados
especifco, com a aplicao da Public Key Infrastructure (PKI). Teve incio em 1997 com conferncias
e iniciativas no comrcio eletrnico atravs da Organization for Economic Co-operation and
Development (OECD Organizao para Cooperao e Desenvolvimento Econmico e da General
Usage for International Digitally Ensured Commerce (GUIDEC).
A utilizao da chave pblica obedece aos seguintes padres internacionais: ISO 9796, ANSI
X9.31, ITU-T x509, PACS, SWIFT.
Pases que ainda esto criando as normatizaes e legislaes tendem a exigir tipos especficos
de tecnologias para seguirem padres j existente, desta maneira alcanam uma homogeneidade e
compatibilidade com os demais pases. Tomando-se tais atititudes, cria-se um ambiente propicio a
eliminao de obstculos para que os certificados sejam reconhecidos em outras naes e as
negociaes possam ter realmente amparo judicial legal perante o comrcio internacional.
Desta forma mostra-se extremamente complexo em um simples artigo conseguir abranger tudo,
sendo assim, mostramos alguns tpicos e incitamos o leitor a buscar maiores informaes para saciar
sua sede de conhecimento neste assunto to intrigante e interessante como a Segurana da Informao.
SOBRE O AUTOR:
Gustavo Dobkowski Longo Diretor de Suporte e Hardware da empresa Firewalls, sendo
conhecedor de Linux h dois anos e especialista em cabeamento estruturado, sendo integrador oficial
dos produtos 3M (VIP Volition Integrator Professional).
Para dvidas, crticas e sugestes, contacte-o atravs do email: gustavo@firewalls.com.br.
Informaes sobre a empresa Firewalls podem ser obtidas atravs do site:
http://www.firewalls.com.br.
REFERNCIA BIBLIOGRFICA
http://www.modulo.com.br
http:/www.firewalls.com.br