MÓDULO 14 – SEGURANÇA PARA SISTEMAS DE INFORMAÇÃO A segurança dos sistemas de informação é formada por um grupo de elementos que poderão estar ao alcance de um ou vários usuários. Os elementos são:
·
·
·
·
·
·
Segurança de rede;
Segurança física;
Segurança dos computadores;
Segurança da aplicação;
Criptografia; e
Gestão do projeto. Abordaremos alguns conceitos, princípios e modelos que envolvem a segurança dos sistemas de informação, como forma de criar uma referência do que deve ser feito para garantir a proteção e equilíbrio do sistema. 14.1 Preservando a confidencialidade, integridade e disponibilidade do sistema A preservação da integridade, disponibilidade e confidencialidade das informações que são utilizadas pelo sistema de informação requerem que sejam tomadas várias medidas de segurança que também são utilizadas como forma de garantir a autenticidade e a não rejeição. Independente do objetivo, todas essas medidas devem ser implantadas antes que o risco seja concretizado, ou seja, antes de o mesmo chegar a acontecer. Podemos classificar todas as medidas de segurança em duas categorias: Prevenção: formada pelo conjunto de medidas que visam reduzir as probabilidades de acontecimento da ameaça existente. Proteção: formado pelo conjunto de medidas que visam proporcionar ao sistema de informação a capacidade de inspeção, detecção e reação, e com isso permitir a redução do impacto causado pela ameaça quando a mesma se concretizar.
Um programa de segurança da informação bem arquitetado deve reduzir as vulnerabilidades do sistema de informação envolvido fazendo com que suas capacidades de inspeção, detecção e reação sejam evoluídas. Para chegar a esse patamar de evolução, é necessário que os seguintes princípios estejam equilibrados. 14.1.1 Princípios de segurança Relação custo/benefício: informa a necessidade de que seja garantida a relação favorável entre os gastos que estão associados a estruturação das medidas de segurança e o retorno em forma de prevenção e proteção do sistema de informação que está sendo desenvolvido. Concentração: seu principio básico é proporcionar eficiência na gestão das medidas de proteção, reduzindo as duplicações necessárias quando se protege diferentes áreas de armazenamento de informação que possuem requisitos semelhantes. Proteção em profundidade: a proteção requer que os bens e suas respectivas medidas de proteção sejam organizadas de forma distribuídas, onde os bens considerados sensíveis possuam um nível de proteção mais alto e centralizado que os bens menos sensíveis em que a proteção ficaria no perímetro. A aplicação da medida de proteção evita a existência de medidas de proteção distintas. Ex: analisando a proteção física, a área que contém informações que são consideradas sensíveis não devem estar fisicamente expostas em uma área de acesso de usuários sem restrição e controle. Consistência do projeto: segundo o principio da consistência, as medidas que devem ser tomadas para proteção de bens com grau de sensibilidade equivalente, devem também ser equivalentes, implicando em um grau de proteção idêntico em todos os acessos independente da natureza do acesso. Redundância: é no principio da redundância que são ditadas as necessidades de se empregar mais de uma forma de segurança para o mesmo fim, de modo que isso impeça que a segurança de um bem seja comprometida por um único ponto falho. Ex: Clusters, firewalls. 14.2 Modelos de segurança A segurança dos sistemas de informação evoluiu ao longo dos tempos com a crescente utilização dos computadores e redes por todas as áreas empresariais. Ao longo dos anos, foram criados modelos de segurança que evoluem junto com a evolução das tecnologias empregadas. 14.2.1 Modelo de proteção tradicional O modelo de proteção tradicional tem como ponto forte a utilização de barreiras (firewalls). As políticas de segurança que são aplicadas neste modelo seguem os seguintes princípios:
·
·
·
Políticas
Integridades
Particularidades Infelizmente nenhum dos princípios citados são totalmente confiáveis. As políticas deixam de ser executáveis à medida que a complexidade e o número de regras aumentam. A integridade do sistema exige que tudo que seja planejado para proteger o sistema seja feito com perfeição, uma vez que qualquer falha no sistema de firewall pode permitir invasões indesejadas. As particularidades são extremamente difíceis de serem aplicadas e dispendiosas, sendo apenas viável quando aplicadas com a utilização de uma chave criptografada. 14.2.2 Modelo de maturidade O programa de segurança dos sistemas de informação de uma empresa pode passar por vários estágios de desenvolvimento e a sua evolução representa um amadurecimento. O grau de maturidade de um sistema corresponde a:
·
·
·
·
·
·
Definição das políticas e normas de segurança;
Definição da arquitetura e dos processos de segurança;
Implementação dos processos de suporte a inspeção, proteção e detecção.
Realizar ações de sensibilização e de informação sobre a segurança;
Realizar periodicamente auditorias e testes na segurança; e
Validação dos modelos de proteção e de sua implementação. Para que a maturidade de segurança do sistema de informação esteja em um determinado grau, é necessário que os graus anteriores sejam completados. A segurança é um processo complexo, pois envolve tanto componentes de tecnologia como componentes humanos, metodologias e comportamento. Para a implantação do modelo de segurança desejado é necessário conhecer bem os aspectos humanos existentes na organização. Devido a diversidade de usuários existentes na empresa, e suas entradas e saídas com o decorrer do tempo, poderão existir diversas mudanças no que foi proposto no inicio sendo altamente recomendável a existência de flexibilidade na proposta de segurança.