Você sabe o que é Segurança da Informação e para que ela serve? Quando uma corporação está pensando na proteção das informações confidenciais — das quais têm suma importância e transitam entre todos os departamentos — e no gerenciamento das mesmas, a disciplina de Segurança da Informação vem à tona para garantir a disponibilidade, confidencialidade e integridade dos dados.
Esses três elementos (disponibilidade, confidencialidade e integridade), por sinal, são os fundamentos da disciplina. Por meio desses fundamentos é que tudo acerca da Segurança da Informação, com todos os mecanismos, é desenvolvido. Confira a seguir com mais detalhes.
- Disponibilidade: em suma, essa é a garantia de que todas as informações estarão disponíveis, a todo e qualquer momento, para que usuários autorizados possam acessá-las. É poder contar sempre com a disponibilidade das informações.
- Confidencialidade: a confiabilidade está ligada ao sigilo das informações. Isso significa estabelecer níveis de acesso a determinadas informações, ou seja, restringi-las e disponibilizá-las somente aos usuários devidamente autorizados (seja do ponto de vista hierárquico, seja do ponto que for estabelecido nas políticas de segurança).
- Integridade: a integridade nada mais é que assegurar que as informações estarão disponibilizadas na mesma forma que foram salvas. Mais precisamente, esse fundamento trata da proteção de dados, para que as informações não sejam violadas ou modificadas acidentalmente.
Agora que os fundamentos foram devidamente apresentados, veremos o que é Segurança da Informação na prática, isto é, quais são os mecanismos que promovem essas qualidades e benefícios da Segurança da Informação aos ambientes corporativos.
Mecanismos de segurança
Os mecanismos de segurança são medidas que visam controlar o acesso às informações de forma física e lógica. Enquanto os controles físicos limitam o contato direto que um usuário pode ter com a informação e toda a estrutura que a envolve, os controles lógicos trabalham pela integridade da informação de modo que ela não seja acessada e manipulada.
Por outras palavras, os controles físicos e lógicos tratam da segurança de diversos recursos, como código-fonte de aplicativos; arquivos de senha; base de dados; registros de usuários e, por fim, limita o acesso às ferramentas que permitem editar arquivos e programas.
Alguns exemplos de mecanismos de segurança:
- Criptografia: é um conhecido meio de converter os dados em um formato do qual seja impossível decifrá-lo. Imagine que para assegurar que os dados, em idioma português, não sejam compreendidos por meros falantes da língua, as informações sejam convertidas para o hebraico. O raciocínio é muito similar a isso, porém, criptografar é impedir completamente a interpretação das informações, e elas só voltam ao estado inteligível quando uma chave (senha) é inserida.
- Assinatura digital: com a assinatura digital é garantida a integridade dos dados por meio de criptografia, ou seja, seu acesso pode ser irrestrito e seu conteúdo não pode ser modificado.
- Certificação: uma certificação é como um atestado de autenticidade de um arquivo. Uma garantia de que o mesmo é válido.
- Honeyspot: trata-se de um software que age como um antivírus em tempo real, cuja função é proteger os dados de invasores, aplicações maliciosas e estranhas ao sistema. A diferença é que, em vez de mantê-lo em quarentena, por exemplo, o honeyspot ludibria esse invasor, fazendo-o acreditar que está tendo acesso real às informações.
Tipos de vulnerabilidade em segurança da informação
A Segurança da Informação promove a proteção de dados contra diversos tipos de vulnerabilidade— na verdade, é a vulnerabilidade que coloca as informações em risco. Uma dessas vulnerabilidades que podemos mencionar é a de software, pois não é nada incomum um software apresentar erros e falhas que possibilitem a violação de dados.
Veja a seguir, algumas outras vulnerabilidades das quais a Segurança da Informação é capaz de coibir.
Vulnerabilidades de hardware
Assim como softwares, os hardwares também podem apresentar defeitos de fabricação que comprometam a integridade ou a confidencialidade de dados, como problemas de instalação, drivers que não funcionam adequadamente, dispositivos obsoletos, mau estado de conservação etc.
Vulnerabilidades de comunicação
São aquelas em que os meios de transmissão podem facilitar o acesso não autorizado às informações. Por exemplo: em meio a uma conexão via ondas de rádio, devido a uma vulnerabilidade, um invasor consegue encontrar uma brecha para coletar dados.
Vulnerabilidades de armazenamento
As vulnerabilidades de armazenamento são proporcionadas pelos dispositivos ou mídias, dos quais as informações são gravadas/armazenadas. A Segurança da Informação pode garantir, por exemplo, a proteção dos dados armazenados em um CD — mídia que, em tese, não oferece confiabilidade em questão de segurança.
Vulnerabilidades humanas
Em poucas palavras, são os riscos proporcionados pelas próprias pessoas — tendo ou não más intenções. Quando não há intenção de violar as informações contidas em um documento, os problemas geralmente são causados devido à plena falta de preparo por parte do usuário, que pode cometer equívocos durante uma consulta ou simplesmente não seguir os procedimentos de segurança.
Políticas de Segurança de Informações (PSI)
Estabelecer uma política de segurança é muito importante, pois nela é criada diretrizes a serem seguidas por todos os membros da organização, ou seja, uma política envolvendo uma série de boas práticas de Segurança da Informação, adaptando as normas administrativas para aplicações técnicas.
A tarefa de criar uma PSI pode demandar muito tempo e esforço, e deve ser desenvolvida com a participação de indivíduos responsáveis pelos departamentos mais importantes da empresa, liderados por uma equipe especializada em Segurança da Informação.
Uma equipe qualificada (com profissionais certificados) de segurança se responsabilizará pela elaboração e análise dos termos inseridos na política, porém, para que a mesma seja devidamente exercida, é recomendado que o mais alto dirigente faça a sua aprovação.
Com todos os funcionários informados a respeito das normas de segurança de informações, não há dúvidas de que muitos dos possíveis problemas contra a confidencialidade, disponibilidade e integridade de dados serão evitados!
Neste artigo você aprendeu que Segurança da Informação é um elemento de suma importância, pois, com seus fundamentos e mecanismos que estabelecem completo controle contra vulnerabilidades, as empresas passam a ter seus dados confidenciais protegidos contra ameaças cibernéticas.
Mas como implementar a Segurança da Informação em sua empresa? Confira nosso artigo com valiosas dicas de implementação!