Segurança informática: não guarde para amanhã o que pode fazer hoje - in "Semanário Económico" nº 521, 31 de Janeiro de 1997
- Detalhes
- Categoria: Semanário Económico
- Atualizado em 17 novembro 2013
- Escrito por José Maria Pedro
A segurança informática é uma das grandes preocupações da actualidade. Mesmo para um cidadão comum sem actividade económica relevante ou possuidor de um simples computador pessoal, a segurança deve constituir uma preocupação.
A finalidade da segurança é a protecção dos bens da empresa, garantir e assegurar a continuidade do negócio, qualquer que ele seja, reduzindo o efeito das possíveis agressões através da minimização dos impactos decorrentes dos incidentes de segurança. No que diz respeito à segurança das tecnologias da informação é absolutamente indispensável utilizar a maior prudência na sua gestão, dado que se trata de um recurso estrategicamente determinante.
A informação existe de variadíssimas formas: guardada em computadores, transmitida em redes, impressa através de impressoras, escrita manualmente sobre papel, transmitida por via oral directa ou telefonicamente, etc.
Todos os elementos constitutivos de uma organização são interligados por informação, os sistemas que a transportam e transformam são igualmente da maior importância. Alguém disse um dia que a informação é o sangue da organização e os sistemas que a transportam, processam e armazenam - infra-estrutura de comunicações, discos, computadores, etc - são como o sistema circulatório do corpo humano. Uma ruptura de tecidos no sistema de transporte pode provocar a perda irreparável de dados na empresa. Um atraso maior na entrega de uma informação pode fazer perder um bom negócio. Uma informação crítica, nas mãos de um concorrente, pode fazer perder as vantagens na negociação de um contrato.
Não é difícil encontrar argumentos que defendam a necessidade dos investimentos em segurança informática. O que é difícil é avaliar quais são os custos associados à segurança e aos riscos que ela pretende cobrir. A criação de mecanismos de segurança informática constitui seguramente um custo, mas a não criação desses mecanismos de segurança informática também é um custo. Embora se desconheça quando vai ocorrer um mau incidente, é prudente esperar que ele aconteça na pior das ocasiões possíveis.
A prioridade número um deve ser minimizar estes dois tipos de custos. O processo da sua avaliação é simples de enunciar mas difícil de quantificar. É preciso identificar os riscos reais para a empresa. Por exemplo, se perdermos toda a informação de um disco no sistema central, qual é o custo financeiro de reposição de toda essa informação exactamente como estava no momento da falha do disco, a partir dos sistemas de segurança existentes?
Por outro lado, supondo que a informação não vai ser reposta, podemos perguntar: Quanto custa a perda daquela informação contida no disco? A empresa pode continuar a funcionar tranquilamente como se nada tivesse acontecido? Ou vai sofrer sérios problemas associados a este incidente? Se for um banco, será capaz de continuar a controlar a conta corrente dos seus clientes, ou estes vão dizer que o saldo disponível era de 25000 contos em vez de 25?
Alguns acidentes de segurança são minimizados pela não divulgação da sua ocorrência. Esta atitude também é uma prática de segurança interessante que aparentemente, não tendo custos elevados, pode conduzir à redução dos efeitos.
QUE PROCESSO DEVERÁ SER ADOPTADO PARA A GESTÃO DA SEGURANÇA?
Que procedimentos devemos usar para prevenir e reduzir os riscos? Que processo deverá ser adoptado para a gestão da segurança? Os especialistas em segurança informática defendem que neste domínio nada é linear. Só uma aproximação sistémica às questões de segurança, onde se assume que cada elemento associado à informação está sempre interrelacionado com os restantes componentes, pode conduzir a bons resultados.
A definição da política de segurança deve nascer na alta direcção, deve ser preventiva e realista.
O melhor caminho consiste em seguir quatro passos sucessivos: definir uma política de segurança, planear, concretizar as medidas e rever todo o processo, retomando-o a partir do início, redefinindo as políticas, o plano e a sua concretização, até obter um nível de segurança adequado à organização em causa e às mudanças que o negócio vai sofrendo.
IDENTIFIQUE OS BENS A PROTEGER
Este processo parece difícil, mas não é assim tanto. Podemos facilmente identificar todos os bens a proteger, designadamente: A informação (bases de dados, ficheiros dispersos, documentação de sistema, de treino, operacional, etc); O software (programas de aplicações, de sistema, utilitários diversos); Bens físicos (mobílias, computadores, discos, cassetes); Serviços (comunicação e computação). [1]
CLASSIFIQUE OS BENS QUANTO À SUA RELEVÂNCIA PARA A SEGURANÇA
Uma vez identificados os bens a proteger, vamos classificar cada um quanto à sua relevância para a segurança. É indispensável avaliar, entre outras características, a confidencialidade, a integridade e a disponibilidade. A necessidade da confidencialidade deve-se à separação que interessa manter relativamente à concorrência e às diferenças de funções dos recursos humanos na organização. Cada elemento deve ter acesso apenas à informação de que necessita para o exercício adequado das suas funções. O excesso de informação, além de ter sempre custos desnecessários associados, pode prejudicar a eficiência. Quanto à integridade, deve ter em conta as alterações da informação, o seu rigor e a globalidade. A disponibilidade refere-se à capacidade dos componentes do sistema de informação responderem com pontualidade quando são solicitados. [1]
IDENTIFIQUE E AVALIE AS VULNERABILIDADES E AMEAÇAS
Conhecidos os bens a proteger e a sua relevância para a segurança, estamos em condições de identificar as suas vulnerabilidades e ameaças. A importância de conhecer as vulnerabilidades é muito grande pelas vantagens que oferece na determinação e avaliação dos riscos. Por exemplo, uma rede a utilizar protocolo TCP/IP, com o respectivo server ligado directamente à Internet, pode constituir uma vulnerabilidade séria face às ameaças de intrusão, quando a confidencialidade da informação é elevada. Por outro lado, pode não ter importância nenhuma se a informação se destinar à divulgação externa, como é o caso da publicidade que se coloca em Home Page. As vulnerabilidades são relativas e as ameaças também. Um risco não é igual em todas as situações para um determinado bem que se protege, depende da relevância para a segurança, medida pelo nível de confidencialidade, integridade, disponibilidade e outros factores.
DEFINA AS MEDIDAS DE SEGURANÇA ADEQUADAS E APLIQUE-AS
Uma correcta e exaustiva identificação das ameaças convenientemente avaliadas face às vulnerabilidades, permitirão determinar os riscos de uma forma objectiva. Só com a identificação dos riscos podemos definir e aplicar as medidas adequadas à obtenção de um nível conveniente de segurança informática.
Refira-se ainda que não basta manifestar a intenção de garantir a segurança informática até um nível conveniente para ficar estabelecida e em vigor uma adequada política de segurança de tecnologias de informação. É indispensável aplicar as medidas resultantes deste processo e reinicia-lo periodicamente, revendo a lista de bens a proteger, a sua relevância, as vulnerabilidades e ameaças possíveis e as medidas.
Por último, acrescenta-se que execução das políticas de segurança informática conduzirão inevitavelmente a um desvio de recursos financeiros de outras áreas, por isso devem ser estabelecidas com objectividade de modo a permitirem, no futuro, o adequado acompanhamento, controlo e avaliação da sua eficácia.
[1] Adaptado de Code of Pratice for Information Security Management - BS 7799:1995