SEGURANA DA INFORMAO E NECESSIDADE DE CAPACITAO DO PROFISSIONAL DE SEGURANA DA INFORMAO

Jaqueline Oliveira Salles Gonalves jgoncalves@ici.curitiba.org.br

RESUMO A evoluo tecnolgica trouxe uma srie de avanos, inclusive para as pessoas malintencionais, os chamados hackers. A concentrao de informaes e servios com sistemas cada vez mais abertos e integrados aumentou a exposio dos ativos da empresa. Na tentativa de gerir e controlar o acesso a informao, diversas leis e regulamentaes vm sendo propostas ou criadas com o objetivo de agregar valores e capacitar os profissionais especializados em Segurana da Informao.

PALAVRAS-CHAVE: Ativos, segurana da informao, proteo.

1. INTRODUO

Os sistemas de computadores surgiram, na dcada de 60, como ferramentas para a gerncia de informaes e para o processamento de dados corporativos, substituindo os sistemas manuais. Desde essa poca, os avanos tecnolgicos na rea da Tecnologia da Informao TI, vem surpreendendo a todos no mundo dos negcios. Os computadores de grande porte aumentam cada vez mais sua capacidade de armazenamento e processamento, enquanto os microcomputadores e as redes de sistemas distribudos tornam-se mais potentes, ampliando seu espectro de utilizao. At mesmo os usurios, antes pouco exigentes e tmidos na explorao do potencial da informtica, hoje desenvolvem suas prprias aplicaes, com auxlio de uma variedade de ferramentas de software. As organizaes, independentemente de seu porte (pequeno, mdio ou grande), esto cada vez mais dependentes de sistemas e infraestrurura de TI. Hoje em dia, com a necessidade de disponibilizao online de aplicaes, torna-se quase impossvel manter negcios sem o auxlio do computador. Para manter a trade de requisitos bsicos: integridade, confidencialidade e disponibilidade neste ambiente cada vez mais heterogneo e complexo, se faz necessrio profissionais capacitados na rea de segurana da informao, alinhando poltica de segurana, conhecimento tcnico e melhores prticas para uma gesto eficaz da segurana da informao. Pois, os desafios da segurana da informao aumentam a cada dia e com novas vulnerabilidades, necessidades constantes de correo dos sistemas, somando-se a estes elementos, os problemas de roubo de identidade e de informaes.

2. REFERENCIAL TERICO

1.1. Segurana da Informao

Em geral, define-se segurana como um estado no qual se est livre de perigos e incertezas. Em uma organizao, esta segurana se aplica a tudo aquilo que possui valor e, consequentemente, demanda proteo. So os chamados ativos, conforme exemplo mostrado nas tabelas 1 e 2.

1.1.1. Ativos

Segundo Fernando Nery, existem diversos tipos de ativos, que podem ser organizados e classificados por meio de propriedades conforme exemplo das tabelas 1 e 2. Tais propriedades muitas vezes classificam os ativos em grupos com caractersticas semelhantes no que diz respeito s necessidades de especializao (ativos tangveis e intangveis), e a responsabilidade pela segurana de uma organizao (lgico, fsico e humano), o que em geral, acaba sendo normalmente dividida entre uma ou mais reas. Um exemplo so empresas que possuem departamentos de segurana patrimonial, cuidando da segurana fsica, e em outro departamento de segurana lgica, responsvel pela segurana dos sistemas de tecnologia da informao (TI). Essa estratgia traz benefcios em termos de especializao tcnica das equipes envolvidas, por outro lado, cria uma grande dificuldade na implantao da segurana de forma uniforme, focada em propriedades previamente definidas. Tabela 1 Exemplo de classificao de ativos
Categoria de Ativos Exemplo

Informaes impressas ou digitais Tangveis Impressoras Mveis de escritrio Imagem da empresa Intangveis Confiabilidade de um rgo federal Marca de um produto Fonte:Secure Officer Mdulo Education Center.

Tabela 2 Exemplo de classificao de ativos

Categoria de Ativos Exemplo Dados armazenados em um servidor Lgicos Sistemas Rede dados, VoIp Estao de trabalho Fsicos Sistema de ar-condicionado, NoBreak, Gerador Equipamentos Colaboradores Humanos Prestadores de Servio Estagirios Fonte:Secure Officer Mdulo Education Center.

1.1.1.1.

Proteo dos ativos

Da mesma forma que os ativos possuem caractersticas especficas, utilizam-se abordagens especializadas para atender s demandas de segurana. Estas abordagens especializadas so chamadas de medidas de proteo e visam preservar os ativos de situaes que possam trazer prejuzo. Da mesma maneira que os ativos, as medidas de proteo podem ser classificadas de diversas formas. A tabela 3 mostra alguns exemplos da classificao da proteo dos ativos.

Tabela 3 Classificao das protees

Classificao da Proteo Exemplo Permisses em sistemas de arquivos Lgica Firewall (dispositivos de controle de acesso em rede) Perfis de usurios em aplicaes Portas Fsica Fechaduras Guardas Polticas Administrativa Normas Procedimentos Fonte:Secure Officer Mdulo Education Center.

De acordo com a ao e o momento em que ela ocorre, pode-se classificar as protees em diversos grupos, conforme mostra a tabela 4. Uma implementao de segurana eficaz se baseia na utilizao de tipos diferente de protees, variando bastante a sua ao. Desta forma, as protees complementam-se, sobrepem-se e fornecem redundncia entre si, caso alguma delas falhe, ou seja, em caso de violao. Tabela 4 Tipos de protees
Tipo de Proteo Preventiva Desencorajadora Limitadora Monitorada Detectora Reativa Corretiva Recuperadora Descrio Evita que acidentes ocorram Desencoraja a prtica de aes Diminui danos causados Monitora estado e funcionamento Detecta a ocorrncia de incidentes Reage a determinados incidentes Repara falhas existentes Repara danos causados por incidentes Fonte:Secure Officer Mdulo Education Center

1.1.1.2.

Trade ou pirmide da segurana da informao dos ativos de

rede

Existem algumas variaes e discusses acadmicas em torno do assunto, onde a maioria das normas sobre Segurana da Informao, incluindo a NBR ISO/IEC 17799:2005 define como 3 os aspectos relativos segurana de ativo de informao onde, na prtica, todos os outros se encaixam, so eles: a) confidencialidade: refere-se a sigilo. Preservar a confidencialidade de uma informao significa garantir que apenas as pessoas que devem ter conhecimento a seu respeito podero acess-la. Diferentes tipos de informao tero diferentes necessidades em termos de confidencialidade. A frmula da mistura plstica utilizada em um chinelo lder de mercado, por exemplo, tem uma necessidade em termos de sigilo maior que a maioria dos memorandos internos da empresa. b) integridade: preservar a integridade, envolve proteger as informaes contra alteraes em seu estado original. Essas alteraes podem ser tanto intencionais quanto acidentais. Um funcionrio que tenta mudar o valor do seu salrio nos sistemas de RH da empresa est tentando comprometer a integridade desta informao de maneira intencional. J um pacote de comunicao, cujo contedo foi alterado por conta de uma falha de transmisso, teve a sua integridade comprometida de maneira acidental. c) disponibilidade: uma informao disponvel aquela que pode ser acessada por aqueles que dela necessitam, no momento em que precisam. Tambm na disponibilidade pode-se ter situaes acidentais ou intencionais que

comprometeriam este aspecto. Uma pessoa mal intencionada pode inserir um vrus em um servidor apenas para comprometer o seu funcionamento. Um exemplo de ocorrncia acidental uma falha prolongada no fornecimento de energia eltrica podendo impossibilitar o funcionamento de toda a empresa.

1.1.1.3.

Componentes Bsicos da Segurana da Informao

Para se oferecer segurana adequada a uma organizao, sem altos custos financeiros de investimentos, necessrio considerar os seguintes itens com relao aos ativos: a) valor: importncia do ativo para a organizao. Pode ser avaliado atravs de propriedade mensurvel, como o seu valor financeiro, o lucro que ele prov ou o custo de substitu-lo ou um ativo intangvel, como o comprometimento da imagem de uma empresa por causa do vazamento de uma informao sigilosa. b) ameaa: evento que tem potencial em si prprio para comprometer os objetivos da organizao, seja trazendo danos diretos aos ativos ou prejuzos decorrentes de situaes inesperadas. Um incndio ou um roubo so exemplos de ameaas. c) vulnerabilidade: ausncia de um mecanismo de proteo ou falhas em mecanismo de proteo existente. So as vulnerabilidades que permitem que as ameaas se concretizem. Por exemplo, o que determina se um incndio pode ou no afetar os negcios de uma empresa a ausncia/existncia de mecanismos de preveno, deteco e extino, alm do correto funcionamento dos mesmos. d) impacto: tamanho do prejuzo, medido por meio de ativos tangveis ou intangveis, que a concretizao de uma determinada ameaa causar a empresa. Diferentes ameaas possuem impactos diferentes. O impacto de um incndio, por exemplo, maior que de um roubo, na maioria das vezes. Dependendo do ativo afetado, podem-se ter impactos diferentes para uma mesma ameaa. O impacto decorrente do roubo de um servidor , em geral, maior que aquele causado pelo roubo de uma estao de trabalho. e) risco: medida que indica a probabilidade de uma determinada ameaa se

concretizar, combinada com os impactos que ela causar a instituio. a principal mtrica gerencial da Segurana da Informao. Quanto maiores s probabilidades

de uma determinada ameaa ocorrer e o impacto que causar a organizao, maior ser o risco associado a este incidente.

3. DESENVOLVIMENTO

A Internet e a globalizao transformaram completamente o mundo em que vivemos, essas transformaes afetaram diretamente as organizaes, quebrando diversos paradigmas e promovendo uma reavaliao das prioridades do nvel estratgico das instituies. Segundo a imprensa, os principais problemas que as organizaes enfrentaro neste sculo so: a) terrorismo religioso, ideolgico ou criminoso; b) altos ndices de criminalidade nos pases em desenvolvimento; c) exploso dos crimes eletrnicos, d) aprimoramento do direito internacional; e) polmicas em torno da legislao de direitos autorais e patentes; f) crescimento de softwares maliciosos; g) fraudes financeiras e contbeis no meio empresarial; h) pirataria em geral; i) espionagem industrial; j) guerra ciberntica. Todos esses problemas geram transtornos para as empresas, pois so situaes que no foram previstas antecipadamente e que podem trazer prejuzos financeiros, credibilidade, e/ou impedir que essas organizaes atinjam os seus objetivos, em outras palavras, uma srie de problemas de segurana. Uma pesquisa mundial realizada, em 2008, pela empresa - Dimension Data, especializada em infraestrutura de TI, mostra um cenrio desanimador para as

organizaes: 73% das redes corporativas apresentam falhas de segurana (Bruno Ferrari, INFO Online, 4 de junho de 2009) Foram analisadas vulnerabilidades de segurana, status de ciclo de vida e variao em configuraes de dispositivos de rede. Um dos principais resultados que h pouca pratividade no tratamento da gesto de ativos de rede. A falha, segundo a pesquisa, pode expor informaes importantes dos negcios da organizao. Outro item do relatrio mostra que medidas bsicas contra ameaas, como configuraes de acesso e senha, no costumam ser implementadas nas empresas. Houve uma mdia de 30 erros de configurao por dispositivo analisado. No resultado da anlise esto identificados os riscos que so facilmente corrigveis, mas que acabam passando despercebido pelas empresas. De acordo com Henrique Cecci, diretor de Solues da Dimension Data, preciso traar um plano de longo prazo para gerenciar a rede. bom identificar onde ela se localiza, como est configurada e por quanto tempo ela dever operar antes de atingir o ciclo final de vida. Das organizaes avaliadas, 36% esto localizadas na Europa, 22% nas Amricas, 27% sia Pacfico e 15% no Oriente Mdio e frica. Cerca de 60% delas so consideradas de grande porte e possuem acima de 2,5 mil usurios. Para minimizar os impactos e prover a gesto eficaz na segurana da informao necessrio ter na empresa colaboradores especializados nessa rea. Segundo a 10 Pesquisa Nacional feita pela empresa Mdulo, o crescimento dos riscos das empresas frente a ataques, invases e vazamentos de informaes, est incentivando as organizaes a capacitarem suas equipes. Metade das empresas pesquisadas informou que os profissionais que lidam diretamente com a rea se encontram parcialmente capacitados e em boa parte delas (18%) plenamente capacitados. No entanto, a maioria das empresas (45%) informou que os profissionais da equipe de Segurana da Informao no possuem certificao especfica na rea. Quando possuem, a maioria (21%) Mdulo Certified Security Officer (MCSO). O aumento do nvel de conscientizao dos altos executivos das empresas para os problemas de segurana favoreceu o investimento nas capacitaes especficas para os

profissionais da rea. Mais da metade das companhias (53%) investe em capacitao e boa parte (26%) pretende investir. Quanto aos valores orados por funcionrio/ano, algumas organizaes (29%) informaram ser de at R$ 1 mil e outras de acima de R$ 5 mil (28%). Investimento de at R$ 5 mil tambm foi citado por uma parte das companhias (24%). Muita empresas trabalham com a conscientizao com relao a segurana, informando noes bsicas aos colaboradores. Quando consultadas se os colaboradores da sua companhia esto cientes sobre a importncia da Segurana da Informao para a organizao, mais da metade das empresas (55%) disse que sim. A maioria tambm (57%) j realizou campanha de sensibilizao e considerou o resultado satisfatrio (66%). No entanto, grande parte das empresas (37%) no imprime uma regularidade para realizar esta campanha e uma parte realiza semestralmente (22%). Na maioria das empresas, as campanhas so normalmente preparadas pela prpria rea de segurana (54%), mas j h um avano na relao entre o departamento e as reas de RH e Marketing. Em boa parte das empresas (23%) planejar a sensibilizao dos funcionrios tarefa para os trs departamentos. Nos ltimos anos vem crescendo o valor mdio dedicado para a Segurana da Informao tirado do valor total do investimento da rea de TI. Boa parte (27%) dedica de 1 a 5% e algumas (21%) dedicam de 5 a 10%. Justificar e priorizar aes integrando tecnologia com os negcios ainda desafio para algumas empresas, mas est crescendo o nmero de organizaes que j conseguem ter o alinhamento dos investimentos em Segurana da Informao com seus objetivos de negcio. A maioria delas (40%) disse que esto parcialmente alinhados, enquanto uma boa parcela (33%) informou que eles so plenamente alinhados. Acreditando que os problemas com segurana iro aumentar, as empresas planejam providncias para melhorar esta situao. Anlise de riscos no ambiente de TI, adequao s Normas/Regulamentaes/Legislao, anlise de vulnerabilidades, campanha de sensibilizao e poltica de segurana aparecem entre as medidas de segurana que sero adotadas pelas companhias nos prximos 12 meses.

(www.modulo.com.br)

4. CONCLUSO

Lembrando que a comunicao um fator crtico de sucesso para a correta disseminao das polticas corporativas, j que esta provoca alteraes no dia a dia de todos os colaboradores e de todos os nveis hierrquicos. Conseqentemente, obriga a mudanas na forma de trabalho e qualquer mudana gera resistncia, sendo a comunicao a melhor maneira de reduzir os conflitos inerentes a ela. Pois a garantia de que uma organizao possuir um grau de segurana razovel est diretamente ligado ao nvel de conscientizao de seus colaboradores, ou seja, a segurana somente ser eficaz se todos tiverem pleno conhecimento do que esperado deles e de suas responsabilidades. Todos devem saber o por qu so utilizadas diversas medidas de segurana (como portas sempre trancadas e uso de identificadores pessoais A segurana da informao de uma organizao uma tarefa complexa que demanda conhecimentos multidisciplinares, por isso a importncia de uma equipe especializada e capacitada para buscar mtodos de compatibilizar esse desafio com a realidade e os objetivos das organizaes. Somando ao conhecimento tcnico, tambm necessrio que estejam integrados e/ou alinhados ao setor jurdico os quais possuem mecanismos adequados para agir legalmente na proteo dos interesses lesados, com rapidez e eficincia, uma vez que o incidente poder afetar os negcios e relacionamentos futuros da empresa. Neste contexto, para minimizar os riscos e ter sucesso na rea de segurana, recomendado que a organizao tenha profissionais capacitados na rea, implantao de um sistema de segurana da informao buscando conformidade com: melhores prticas e normas de segurana de controle e processos como, por exemplo, a ISO/IEC 27001:2005, ISO/IEC 17799:2005 e ISO/IEC 21827; alinhamento com setor jurdico e, principalmente alinhamento com o nvel estratgico, para definir claramente as metas e objetivos como: alinhar processos, facilitar as decises, facilitar as comunicaes, gerenciar o conhecimento, garantir a inovao, e principalmente, gerir a segurana da informao com confiabilidade, integridade e disponibilidade das informaes.

REFERNCIAS

SECURITY OFFICER, Fernando Nery, empresa Mdulo .

FERREIRA, Fernando Nicolau Freitas e Mrcio Tadeu de ARADO. Poltica de segurana da informao. Rio de Janeiro: Editora Cincia Moderna Ltda, 2006.

DIAS, Claudia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Editora Axcel Books do Brasil, 2001.

DVIR, Avi. Espionagem empresarial. So Paulo: Editora Novatec, 2004.

Sites Pesquisados

http://info.abril.com.br/professional/seguranca/, acessada em 08 de maro de 2010.

http://www.modulo.com.br/, acessada em 10 de maro de 2010.