Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


ÚLTIMOS TREINAMENTOS DE 2018 SOBRE FRAUDES E FALSIFICAÇÕES
Veja AQUI programação e promoções dos últimos treinamentos de 2018 da DEALL R&I
sobre Fraudes e Falsificações nos dias 14, 22 e 29 de novembro.


AFD SUMMIT
A maior Conferência de Investigação Corporativa & Perícia Forense da América Latina.
São Paulo dias 08-09 de dezembro de 2018


Acompanhe nosso Twitter

14/10/2011 - administradores.com.br Escrever Comentário Enviar Notícia por e-mail Feed RSS

Segurança Da informação em empresas

Por: Anderson Celso

O presente artigo apresenta a forma com que as informações devem ser protegidas dentro do escopo das corporações. Os modos de utilizá-las de maneira a trazer mais benefícios, os riscos de segurança e diversos métodos de prevenção.

RESUMO

O presente artigo apresenta a forma com que as informações devem ser protegidas dentro do escopo das corporações. Os modos de utilizá-las de maneira a trazer mais benefícios, os riscos de segurança e diversos métodos de prevenção. As normas básicas de como garantir que uma informação importante esteja efetivamente segura, são os pilares deste estudo, bem como apresentar formas de administrar o fator humano e tecnológico, suas falhas e desafios, além de analisar as deficiências e aplicar as correções necessárias.

Palavras-Chave: Segurança da informação, gestão da informação, proteção de dados, normas de segurança.

INTRODUÇÃO

Desde o início da era computacional, ainda na época dos grandes Mainframes, as ameaças de segurança aos centros de processamento de informações já existiam, mas de modo diferente aos da atualidade, entretanto da mesma forma que os atuais, eram capazes de causar grandes danos aos sistemas.

Com o aumento do fluxo de dados e com a necessidade de disponibilizar cada vez mais informações na rede mundial, aumentam assim a exposição de tais dados e também os riscos de segurança relacionados a essa atividade. Um número grande de computadores, armazenando grandes quantidades de dados em uma corporação, por exemplo, traz uma maior área de vulnerabilidade, diferentemente de uma pequena rede doméstica que normalmente não guarda informações valiosas.

Os alvos de ataques a segurança de redes não são, porém, exclusividade de redes de empresas, mas são nelas que manteremos o foco, pois nelas, é que se recaem diversas ameaças, como, por exemplo, a ávida concorrência interessados em acessar suas estratégias de mercado, ex-funcionários insatisfeitos, colaboradores destreinados e a falta de mão de obra de qualidade.

A SEGURANÇA COMO UM INVESTIMENTO

É sabido que nos tempos atuais as informações que uma empresa guarda são, na maioria das vezes, mais valiosas que todos seus bens materiais somados. Todas as informações que são armazenadas ao longo dos anos de trabalho são partes importantes de seu patrimônio. Os prejuízos que podem ser causados se essas informações caírem ao conhecimento de pessoas não autorizadas, ou até mesmo a perda dessas informações, são imensuráveis.

Atualmente seja por escolha dos administradores ou por exigência do governo, a maior parte das empresas começa a pensar em processamento computacional e armazenamento de informações importantes com diferentes olhos. Notas fiscais eletrônicas, recebimentos de arquivos XML, e a sua devida armazenagem, são exemplos de ações exigidas pelas autoridades fiscais no Brasil e exigem um grau de segurança mais elevado.

Analisar os ativos da empresa, ou seja, contabilizar os valores de cada informação ou bem é uma tarefa importante para definir qual o nível de segurança que deve ser aplicado para que não haja investimentos desnecessários ou que falte em setores cruciais.

"A crescente necessidade de estar acessível a todos, em todos os lugares, através da Internet, implica em garantir proteção contra os ataques virtuais. O grande desafio agora é saber como se proteger e o quanto investir, para evitar invasões e o roubo de informações." (novomilenio.inf.br/ano01/0104c010.htm acessado em 04/06/2011).

Mas defender essas informações não é uma tarefa simples e exige muito mais que conhecimentos técnicos, mas também vivência, conhecimento de toda a cadeia produtiva, conhecimento administrativo, investimentos suficientes para manter uma infraestrutura alinhada com os objetivos de segurança e talvez o mais importante, treinamento dos usuários para que estejam cientes dos riscos e das atitudes que devem tomar para evitar colocar em risco toda uma cadeia de negócio.

As bases da Segurança da informação

Estabelecer parâmetros para guiar uma correta implantação e análise de um sistema de segurança de dados não é uma tarefa simples, diversos são os pontos a se levar em consideração. Saber dos princípios básicos que sustentam essa modalidade de segurança é o primeiro passo para a execução eficiente do projeto.

Três são os princípios básicos – Integridade, Disponibilidade e Confidencialidade – mas com a evolução do conceito e o surgimento de novas discussões, foram também adicionados outros pontos que são de igual importância, como a Legalidade e a Estratégia. A Integridade visa assegurar que uma informação após ser disponibilizada esteja e se mantenha na sua forma original, ou que ao decorrer do tempo ela não sofra alterações indevidas ou até mesmo que seus dados não sejam corrompidos por nenhum fator que altere o objetivo original daquela informação. A Disponibilidade é a forma de garantir que determinado dado ou informação fique a disposição dos seus usuários por todo o tempo que for necessário, a fim de garantir que possa ser acessada a qualquer momento e de qualquer local previamente definido, pois não haveria funcionalidade efetiva se a informação, mesmo íntegra, não conseguisse chegar ao poder de quem fora destinado. A Confidencialidade, não menos importante que as demais premissas, trata de manter a informação fora do alcance de quem não tem direitos de usá-la, ou seja, que ela possa ser manipulada ou acessada somente pelas pessoas ou pelos sistemas previamente definidos e autorizados, a confidencialidade nos sistemas modernos traz cada vez mais desafios e é o centro das atenções quando pensa em manter os dados protegidos.

A Legalidade como premissa básica surge num momento onde todas as culturas e serviços da sociedade se convergem. O conceito de Legalidade na segurança das informações mostra que, os dados não bastam estar íntegros e acessíveis se não há direito para que esse ativo seja disponibilizado. O ecossistema dos requisitos de segurança é de vero muito complexo e muitos são os fatores que podem interferir na correta execução do projeto.

PROCESSOS DE IMPLANTAÇÃO

Há um paradigma a se quebrar na maioria das empresas que ainda não optaram por seguir uma padronização de segurança ou que ainda não sentiram a necessidade dessa melhoria. A maioria dos administradores vê os investimentos em TI como um custo, e não conseguem ver que de fato é um dos pontos mais importantes da empresa. A segurança como uma ramificação do TI é ainda mais afetada, pois seus benefícios, mais subjetivos, são difíceis de serem expostos e não é comum ouvir um CEO dizendo que não há necessidade de um sistema de segurança porque nunca receberam uma invasão, ou quando, no máximo, pensam que uma solução de aplicativos antivírus é suficiente.

Basicamente os passos a serem seguidos são:

Análise da Infraestrutura – Avaliação detalhada de toda a corporação com objetivos claros de mensurar e avaliar todos os ativos que estarão sobre o escopo da proteção que se irá estabelecer e entender o grau de risco de cada setor individualmente. Esse levantamento é importante para que não haja falhas e que possam ser testadas todas as possibilidades, mesmo que mínimas, de pontos de vulnerabilidade. Terminais que armazenam informações financeiras, cadastros de clientes e dados de faturamento devem ser analisados com mais critério, pois nesses locais normalmente estão dados mais sensíveis financeiramente.

Política de Segurança – Definir um conjunto de regras, e aplicar a todos os setores da empresa a fim de proteger os sistemas de informática e garantir o acesso aos dados. Essas regras devem especificar detalhadamente como devem se portar os usuários perante o sistema que estão utilizando. Normas e proibições podem compor a política, mas todas as obrigações devem ser passadas aos colaboradores com treinamento adequado a fim de mostrar a real necessidade e não trazer a atividade como algo mal visto no ambiente da empresa.

Infraestrutura e suas tecnologias – Nos processos de implantação de um sistema de segurança são comuns empresas que pensam a partir deste nível, esquecem ou ignoram os níveis anteriores, sem saber que de pouco adianta uma tecnologia avançada de proteção sem que as etapas anteriores estejam amadurecidas e concluídas. Infra e suas tecnologias são sim importantes, são elas que darão sustentabilidade ao seu projeto. São feitas nessa etapa toda aquisição de produtos, ferramentas treinamentos técnicos, manuais de uso e recomendações técnicas.

AMEAÇAS DE SEGURANÇA

Todo o sistema instalado e configurado, mesmo que seguindo todas as recomendações, não oferece proteção total completa e ilimitada, pelo contrário, logo após a implantação é que o sistema está mais vulnerável. Inicia-se então, uma verificação geral objetivando encontrar pequenas falhas omitidas durante o processo de implantação.

Como nenhum sistema é perfeito, a qualquer momento uma ameaça de segurança pode ser detectada, ou nos piores dos casos, não ser detectada. Um monitoramento completo e cíclico ajuda na maioria dos casos a identificas as ameaças tão logo elas ataquem sua rede.

Atualmente os ataques a redes corporativas vêm sendo com objetivos definidos, comumente, visando benefícios financeiros com foco em contas bancárias. Não é mais comum ataques diretos e específicos de criminosos virtuais diretamente uma corporação específica, normalmente o software infectado ou malicioso é distribuído na internet e entra na empresa através de vulnerabilidades existentes, sejam elas computacionais ou humanas.

O recurso humano em duas formas pode ser uma grave ameaça a segurança corporativa, e é comprovado que colaboradores mal intencionados ou despreparados são as maiores causas de problemas relacionados a segurança. A falta no mercado de profissionais habilitados e com conhecimento especifico na área de gestão de segurança da informação não pode mais ser tratada com um problema passageiro ou não relacioná-los com a saúde segurança corporativa no Brasil. Profissionais sem os devidos conhecimentos aumentam os riscos de segurança ou até mesmo não tem conhecimento técnico suficiente para analisar uma rede, verificar sua integridade e solucionar seus problemas. Profissionais sem motivação, descontentes ou até mesmo ex-funcionários são ameaças graves, e podem facilmente expor toda uma estrutura de dados.

Malwares são criados e disseminados a todo o momento e em todo o mundo, de diversas formas diferentes quaisquer um deles pode atacar sua rede. Os prejuízos podem ser irrisórios, causando apenas uma lentidão na rede ou até mesmo causar danos incalculáveis, e em alguns casos inviabilizar a continuidade do negócio. O ponto a se analisar é que nem sempre essas ameaças atingem uma rede diretamente, ou com um ataque específico, normalmente utilizam-se da facilitação causada por um colaborador descuidado, desorientado ou mal intencionado para poder infectar um ambiente.

Conscientizar os colaboradores de que ambiente corporativo é focado pra desenvolver as atividades relacionas ao trabalho, e assim, evitar atividades particulares, nem sempre é bem vista pelos colaboradores. Isso facilmente pode ser visto como uma forma de censura, de repressão e não como uma preocupação da empresa em proteger seus interesses e até mesmo o seu emprego.

CLASSIFICAÇÃO DOS TIPOS DE INFORMAÇÕES

Como já explanado, um dos passos importantes para elevar o nível de eficiência de um projeto de segurança corporativa é analisar as informações que a empresa deseja resguardar e classificar de acordo com o nível de importância de cada uma. Essas informações basicamente podem ser seccionadas em três grupos distintos, que abrangem genericamente todos os tipos de informações de uma empresa.

Informações confidenciais – São informações sigilosas ou secretas, normalmente só podem ser distribuídas ou acessadas por pessoas e sistemas previamente especificados, sua perda ou exposição a terceiros pode facilmente trazer inconvenientes. Normalmente são informações de caráter financeiro, jurídico ou estratégico, mas também podem ser encontradas em vários setores da corporação.

Informações corporativas – São informações importantes e só podem ser divulgadas dentro da própria empresa. Podem ser do conhecimento coletivo dos colaboradores, mas nem sempre podem se tornar de conhecimento público. Normas internas, metas, estratégias e novos projetos são alguns exemplos.

Informações públicas – São informações sem caráter sigiloso que podem ser distribuídas amplamente e divulgadas sem nenhum ônus a corporação. Informativos públicos, anúncio de oportunidades de empregos e abertura de capital em bolsa de valores são exemplos de informações publicas.

SISTEMAS USUAIS DE PROTEÇÃO CORPORATIVA

Em empresas de todos os segmentos e tamanhos, mesmo não tendo um sistema completo de gerenciamento de segurança possuem algum tipo de proteção ou ferramenta de segurança em uso. A necessidade ou imposição do mercado, bem como a visão aguçada do administrador, são normalmente os motivos que impulsionam a utilização de algum método de segurança.

Alguns são mais eficazes outros servem apenas para garantir a segurança em determinadas atividades, mas todas as pequenas atividades agregadas em um todo são oque realmente criam um sistema de segurança ideal. São elas:

Gerenciamento centralizado – Facilita a administração de uma rede, armazena logs de maneira a se analisar toda uma rede sem necessidade de deslocar até o terminal físico. Além disso, pode ser também utilizada com acesso remoto e gerenciar os riscos e vulnerabilidades a partir de uma simulação de ataque.

Antivírus – Efetua uma verificação, seja em servidores, dispositivos móveis ou computadores, em busca de infecções já instaladas ou inativas. Fazem verificações de e-mail, dispositivos de transporte de dados e unidades removíveis. Esta solução de segurança é a mais comum e é utilizada na maioria das empresas, não depende de conhecimento técnicos avançados nem de investimentos financeiros elevados pois há soluções de qualidade gratuitas e as versões corporativas de bons produtos são de preços acessíveis, se analisado a relação custo X benefício.

Firewalls – Possuem funções de controle de entrada e saída das portas de comunicação de um terminal ou servidor. Normalmente os sistemas operacionais modernos já vêm com esse serviço instalado nativamente. É uma solução imprescindível a todo computador conectado a uma rede. Soluções pagas de ótima qualidade são oferecidas vias software ou via hardware com variações de preço dependendo das funcionalidades.

VPN – Virtual Private Network ou Rede Virtual Privada são alternativas eficientes para interconectar empresas matrizes com suas filiais. Esse serviço utiliza uma conexão criptografada de alta segurança para trafegar dado entre as empresas, podendo elas estar no mesmo local ou em qualquer outro local do mundo. Nos casos de localidades distantes geograficamente, a sua eficiência é interdependente da infraestrutura e a velocidade da conexão com a internet que a empresa possui.

Criptografia – Do Grego kryptós, "escondido", e gráphein, "escrita". Essa técnica é uma das mais utilizadas para garantir que s informações sejam transferidas de forma confidencial. O seu funcionamento baseia-se no principio de transformar um conjunto de informações ou um arquivo qualquer em outro conjunto de dados "embaralhados" de forma que somente o emissor e o receptor tenham a capacidade de restaurar esse conteúdo ao formato original. Essa restauração do conteúdo é efetivada através de uma chave de descriptografia, que somente deve possuir o original destinatário da informação.

Autenticação forte – Método de acesso a qualquer tipo de informação, serviço ou até mesmo ambiente. Baseados em um conjunto de ações que, combinadas, garantam a concessão o acesso à determinada informação ou meio de armazenamento, são na maioria das vezes compostas pela tríade – sabe, tem, é – ou seja, a autorização só é concedida quando o usuário informar algo que ele sabe (senha, código, palavra secreta), mesclado com algo que ele tenha (tokens, cartões inteligentes, cartões de acesso, chaves magnéticas) adicionado ao que ele é (biometria, íris, retina, leitura facial ou de voz). Essa combinação é usada com bastante frequência por agencias bancárias ao disponibilizar acesso a contas de grandes corporações e cofres.

CONCLUSÃO

Para implantar um sistema de alta segurança efetivo e tolerante a falhas, é necessária grande atenção e investimento. Uma estrutura completa, com alto nível de segurança e confiável é complexa de ser criada, não exige apenas investimentos financeiros, nem somente profissionais capacitados. A simples implantação do sistema é apenas o início de uma série de outras ações que irão a longo prazo trazer muitos benefícios a quem quer que seja o usuário de tal estrutura.

Com o sistema em funcionamento, revisões, monitoramentos e atualizações devem se tornar frequentes a fim de manter o serviço funcional e reduzir a possibilidade de falhas, bem como monitorar se está sofrendo ataques ou se algum módulo está defeituoso.

Muitas são as etapas para se chegar ao objetivo final, a execução pode ser efetuada em módulos independentes para que o nível de complexidade seja atenuado.

Apesar de todos os esforços tecnológicos, nenhuma rede por mais segura que esteja, está imune de alguma ameaça. O bom senso, em muitas vezes, pode ser uma ótima ferramenta de proteção, e entender que a segurança de um meio empresarial traz benefícios a todos os colaboradores é mais um passo em defesa dos interesses corporativos.

REFERÊNCIAS

CAMPOS, Augusto Cesar. Segurança de Rede - O que fazer para evitar ataques e invasões, e como agir se eles ocorrerem. Disponível em: http://www.planetarium.com.br/planetarium/noticias/2001/11/1006795118. Acesso em: 20 de maio de 2011.

PINHEIRO, José Maurício Santos. Biometria na Segurança de Redes de Computadores. Disponível em: http://www.projetoderedes.com.br/artigos/artigo_biometria_na_seguranca_das_redes.php. Acesso em: 20 de maio de 2011.

GERLACH, Gustavo. Técnicas Adotadas pelos Crackers para Entrar em Redes Corporativas. Disponível em: http://www.rnp.br/newsgen/9903/crackcorp.html Acesso em: 25 de maio de 2011.

RODRIGUES, Renato. Estudo mostra desafios da segurança em redes corporativas - Segundo estudo da Ernst & Young, falta de recursos humanos é uma das principais ameaças para as empresas. Disponível em: http://computerworld.uol.com.br/seguranca/2010/09/06/estudo-mostra-desafios-da-seguranca-em-redes-corporativas/. Acesso em: 25 de maio de 2011.

MARTIN, Renato. Como garantir a segurança em rede corporativa. Disponível em: http://www.baguete.com.br/artigos/702/renato-martin/23/09/2009/como-garantir-a-seguranca-em-rede-corporativa. Acesso em: 25 de maio de 2011.

AUTOR DESCONHECIDO. Segurança de rede preocupa as empresas. Disponível em: http://www.novomilenio.inf.br/ano01/0104c010.htm. Aceso em: 25 de maio de 2011.

RAMOS, José Menezes Lopes. Sua Rede Corporativa é segura? Disponível em: http://www2.forumseguranca.org.br/content/sua-rede-corporativa-%C3%A9-segura. Acesso em: 25 de maio de 2011.

RODRIGUES, Alexandre. Política de Segurança e gestão de Informações Redes Corporativas. Disponível em: http://www.orangebox.com.br/portal/pt/blog/11-corporate-networks/12-politica-de-seguranca-e-gestao-de-informacoes-redes-corporativas-portuguese. Acesso em: 25 de maio de 2011.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 830 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Divulgação





NSC / LSI
Copyright © 1999-2018 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal