Escolar Documentos
Profissional Documentos
Cultura Documentos
Módulo 6
SEGURANÇA DA INFORMAÇÃO
RESUMO
A segurança da informação (SI) tem se tornado uma preocupação cada vez maior na sociedade
digital. O artigo percorre temas como a gestão da SI nas organizações apresentando as normas
ISO 27001/ISO 27002; a segurança em nível de estado – cibersegurança; o direito à privacidade
dos dados dos cidadãos através da lei geral de proteção dos dados – LGPD e aborda a
confiabilidade de sistemas de informação através do uso dos paradigmas ACID e Base na
construção de banco de dados.
Palavras-chave: Segurança da Informação; ISO 27001; ISO 27002; Cibersegurança; LGPD; ACID
Informações Gerais:
1 INTRODUÇÃO
De acordo com a análise de empresas de mercado, o custo médio de uma única violação
de segurança da informação e proteção de dados aumentou duas vezes durante 2015
(Pricewaterhouse Coopers 2015). As violações de segurança da informação (SI) podem ter
origem externa ou interna á organização. Sendo que os ataques originados por pessoas que
receberam privilégios que autorizam seu acesso e a utilização de sistemas ou instalações na
respectiva organização, um grande risco para os ativos das empresas (Siponen et al., 2014;
Garcia et al, 2018).
Um ativo de SI pode ser entendido como tudo aquilo que tem valor para a organização,
devendo ser inventariado. Os ativos de SI podem ser identificados como informação (base de
dados, arquivos, etc.), software (aplicativos, sistemas, utilitários), físicos (computadores,
mídias, equipamentos), serviços (energia, comunicações, processamento), pessoas (junto a
suas competências) ou intangíveis, como reputação ou imagem da organização (ISO 27001).
A segurança da informação refere-se ao processo de proteção de ativos (ISMAIL, et al.,
2018), tendo como objetivo principal a preservação da confidencialidade, integridade e
disponibilidade da informação. A SI precisa ser gerenciada adequadamente em toda a
organização.
Atualmente, existe um conjunto de padrões de segurança amplamente reconhecidos e
aprovados, entre elas as normas da família ISO 27000. Alguns padrões são desenvolvidos por
governos (Lei Sarbane-Oxley de 2002), Lei de Portabilidade e Responsabilidade de Seguro
Saúde (HIPAA: 2002) e são obrigatórios para organizações que trabalham em áreas específicas
(como setor financeiro ou área de garantia de saúde). Outros padrões de segurança foram
desenvolvidos por organizações comerciais, no entanto, alguns deles também se tornam
obrigatórios para organizações que trabalham em áreas específicas (por exemplo, Padrão de
Segurança de Dados do Setor de Cartões de Pagamento – PCI DSS, 2016).
A proteção da disponibilidade e da privacidade dos dados de clientes em posse de
empresas também tem sido alvo de preocupação da legislação. Em 2018 foi aprovada no Brasil
a Lei Geral de Proteção dos Dados (LGPD).
A questão da segurança cibernética do Estado até o ano 2000 era denominada segurança
da informação. A segurança promovida tanto por entes estatais, como por organizações
autônomas, revelou a vulnerabilidade dos sistemas no âmbito governamental e motivou a
criação de políticas públicas e leis que regulamentaram o Espaço Cibernético Brasileiro (de
SOUZA & ALMEIDA, 2018).
A julgar pela literatura disponível sobre padrões e métodos, a abordagem comum para
lidar com problemas de segurança da informação é a avaliação de riscos (WANGEN et al, 2017).
As normas ISO 27001 e ISO 27002 usadas em conjunto têm sido cada vez mais
consideradas um padrão internacional para lidar com a SI em organizações (DISTERER, 2013). A
norma ISO 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gestão da Segurança da Informação (SGSI), dentro do contexto
da organização. O SGSI busca a preservação da confidencialidade, integridade e disponibilidade
da informação por meio da aplicação de um processo de gestão de riscos que fornece
confiança para as partes interessadas de que os riscos são adequadamente gerenciados. A
especificação e a implementação do SGSI de uma organização são influenciadas pelas suas
necessidades e objetivos, requisitos de segurança, processos organizacionais, funcionários,
tamanho e estrutura da organização.
A norma ISO 27002 foi projetada para as organizações usarem como uma referência
prática na seleção e aplicação de ações dentro do processo de implementação de um SGSI
baseado na norma ISO 27001. A norma possui 14 seções numeradas de cinco a quatorze, onde
é apresentado um conjunto de objetivos genéricos para segurança da informação, compilados
a partir de riscos comumente presentes em organizações. Cada um dos objetivos se desdobra
em vários controles que devem ser implementados para atingir os objetivos propostos.
3 CIBERSEGURANÇA
estruturado com base na Internet, serve também de suporte tecnológico a muitos dos serviços
críticos e infraestruturas de que milhões de pessoas dependem diariamente.
A dependência crescente do ciberespaço expõe a sociedade a novas vulnerabilidades,
aumentando exponencialmente o risco social (NUNES, 2012). Ataques lançados para prejudicar
o funcionamento normal das redes e sistemas de informação têm aumentado em número e
em impacto, tornando as ameaças mais sérias e persistentes (de SOUZA & ALMEIDA, 2018).
Estes ciberataques, devido ao seu poder disruptivo e destrutivo crescente, se tornaram uma
preocupação estratégica prioritária não só para os Estados, mas também para a comunidade
internacional (NUNES, 2012).
Os autores de SOUZA & ALMEIDA (2018) elencam as principais medidas tomadas pelo
Estado Brasileiro para promover a cibersegurança:
A LGDP brasileira foi baseada na General Data Protection Regulation (GDPR) que já está
em vigor na Europa. O GDPR 1 diz que todos os clientes têm direito de acesso teoricamente
imediato aos seus dados pessoais que uma empresa possa possuir deles. Além desse acesso, o
cliente pode pedir uma cópia desses dados e que seja feita a deleção dos dados.
O GDPR estimula as seguintes ações por parte das empresas:
Identificar os sistemas que possam ter dados de clientes e fazer uma verificação se estes
existem (Somente o usuário dono da conta pode efetuar o pedido);
Enviar um arquivo contendo todas as informações existentes do cliente nos sistemas
Informar ao cliente as normas do GDPR, que principalmente são as do artigo 15 e 17
(direito a acessar e direito a ser esquecido);
Confirmar com o cliente se este quer prosseguir com o fechamento/deleção da conta,
para se ter o consentimento registrado;
Excluir a conta e todo e qualquer registro dos usuários nos sistemas, exceto informações
financeiras referentes a pagamentos realizados, visto que estas são necessárias para fins
legais.
O projeto que deu origem à LGPD foi chamado pelos parlamentares brasileiros de “marco
legal de proteção, uso e tratamento” de informações 2. A lei determina que o uso dos dados
exija consentimento do titular, que deve ter acesso às informações mantidas por uma
empresa. O tratamento das informações também será permitido se estiver dentro das
hipóteses previstas na proposta, como obrigações legais, contratuais e proteção do crédito.
1<https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_pt>
2 https://g1.globo.com/politica/noticia/2018/08/14/temer-sanciona-lei-de-protecao-de-dados-pessoais.ghtml
3 http://www.dataversity.net/acid-vs-base-the-shifting-ph-of-database-transaction-processing/
A principal razão para apresentar o teorema é mostrar que, na maioria dos casos, um
sistema distribuído pode garantir apenas dois dos recursos, não todos os três. Ignorar essa
decisão pode ter resultados catastróficos, que incluem a possibilidade de todos os três
elementos desmoronarem simultaneamente. As restrições do teorema CAP sobre a
confiabilidade de banco de dados foram monumentais para novos sistemas não relacionais
distribuídos em larga escala. Esses sistemas geralmente precisam de disponibilidade e
tolerância à partição, de modo que a consistência sofre e o ACID entra em colapso. Sistemas
vastos como o BigTable do Google, o Dynamo da Amazon e o Cassandra do Facebook lidam
com uma perda de consistência e ainda mantêm a confiabilidade do sistema porque aplicam o
princípio BASE (basicamente disponível, estado suave, consistência eventual):
Basicamente disponível: Esta restrição afirma que o sistema garante a
disponibilidade dos dados no que diz respeito ao Teorema da CAP; haverá uma resposta a
qualquer pedido. Mas, essa resposta ainda pode ser "falha" para obter os dados solicitados
ou os dados podem estar em um estado inconsistente ou em mudança, da mesma forma
que esperar que um cheque seja liberado em sua conta bancária.
Estado suave: o estado do sistema pode mudar com o tempo, por isso, mesmo
durante períodos sem entrada, pode haver alterações devido à "consistência eventual",
pelo que o estado do sistema é sempre "suave".
Consistência eventual: o sistema acabará se tornando consistente quando deixar de
receber entrada. Os dados serão propagados para todos os lugares, mais cedo ou mais
tarde, mas o sistema continuará recebendo entrada e não estará verificando a consistência
de todas as transações antes de passar para a próxima.
REFERÊNCIAS
de Souza, E. A. A., & de Almeida, N. N. (2018). A questão da segurança e defesa do espaço cibernético
brasileiro, e o esforço político administrativo do estado. CAPA-REVISTA DA EGN, 22(2), 381-410.
Disterer, G. (2013). ISO/IEC 27000, 27001 and 27002 for information security management. Journal of
Information Security, 4(02), 92.
Garcia, P. S. D., Macadar, M. A., & Luciano, E. M. (2018). The influence of organizational injustice in the
motivation for the practice of cybercrimes. JISTEM-Journal of Information Systems and Technology
Management, 15.
Haerder, T., & Reuter, A. (1983). Principles of transaction-oriented database recovery. ACM Computing
Surveys (CSUR), 15(4), 287-317.
HIPAA:2002. Health Insurance Portability and Accountability Act. US mandatory regulatory
requirements for Health Insurance sector.
Hong, K. S., Chi, Y. P., Chao, L. R., & Tang, J. H. (2003). An integrated system theory of information
security management. Information Management & Computer Security, 11(5), 243-248.
Ismail, W., Alwi, N. H. M., Ismail, R., Bahari, M., & Zakaria, O. (2018). Readiness of Information Security
Management Systems (ISMS) Policy on Hospital Staff Using e-Patuh System. Journal of
Telecommunication, Electronic and Computer Engineering (JTEC), 10(1-11), 47-52.
Nunes, P. (2012). A definição de uma Estratégia Nacional de Cibersegurança. Nação e Defesa-Revista
Quadrimestral n, º, 133, 113-127.
PCI DSS:2016. Payment Card Industry Data Security Standard. International Information Security
standard.
PricewaterhouseCoopers. 2015. Information Security Breaches survey conducted by PwC in association
with InfoSecurity Europe [online], [cited 1 December 2016]. Disponível em Internet: http://www.
pwc.co.uk/assets/pdf/2015-isbs-technical-report-blue-03.pdf.
Sarbane-Oxley act of 2002. US mandatory regulatory requirements.
Wangen, G., Hellesen, N., Torres, H., & Brækken, E. (2017). An Empirical Study of Root-Cause Analysis in
Information Security Management. In SECURWARE 2017-The Eleventh International Conference on
Emerging Security Information, Systems and Technologies. International Academy, Research and
Industry Association (IARIA).
Sobre o Autor