A bit of information – by Lucas Rocha
“É espantosamente óbvio que nossa tecnologia excede nossa humanidade.” #Albert Einstein

Para começar, uma breve definição de segurança da informação: trata-se de forças e processos empregados para garantir 4 princípios básicos na comunicação e armazenamento de informação, o famoso CIDA:
- Confidencialidade -> Os dados só devem estar disponíveis ou serem decodificáveis para quem tem permissão de acesso aos mesmos.

- Integridade -> Garantia de que a informação seja armazenada ou transferida intacta ao seu destino.

- Disponibilidade -> É necessário que os dados estejam lá, disponiveis quando precisamos deles, mas somente para quem tem autorização para acessar os mesmos.

- Autenticidade -> Deve-se garantir a autoria de cada informação gerada (alguns incluem esse conceito em “Integridade”, considerando somente 3 principios: “CID”).

O processo de implementação de segurança da informação é caro e demorado. E sempre faz-se necessário o apoio de todos, principalmente da alta direção.

As normas mais conhecidas para a gestão de segurança da informação são: ISO 27001, ISO 17799 e BS7799.

Ao começar o planejamento das defesas de um sistema, o primeiro requisito é analisar o risco. Essa análise consiste em cinco etapas:

- Identificação e classificação dos processos de negócio.

- Identificação e classificação dos ativos de rede.

- Análise de ameças e danos.

- Análise de vulnerabilidade.

- Análise de risco (há a necessidade de obtenção de dados nas etapas anteriores para a avaliação do risco, porque o RISCO =  (ameaçasXvulnerabilidades/contra-medidas)Ximpacto).

Para uma melhor organização na análise e implementação, dividimos a segurança da informação em 5 camadas, a saber:

- Segurança do perímetro -> Cerca todos os acessos aos dados, sejam acessos físicos ou lógicos (Firewall, VPN, Segurança nos AP’s, tráfego VoIP, Continuidade dos negócios).

- Segurança da rede -> Cuida do acesso físico e lógico dos ativos e estrutura de rede.

- Segurança de servidores -> Garante o funcionamento inabalável do coração da empresa, cuidando de todos os aspectos CIDA dos dados armazenados pelos databases.

- Segurança de desktops -> Como o mais indicado para uma segurança efetiva é o armazenamento de dados confidenciais e essenciais somente nos servidores. O ideal é que essa parte da segurança seja apenas voltada a restrições, de acesso a conteúdo e dispositivos “plug and play” além de autenticação dos usuários.

- Segurança de aplicação -> Garante que somente usuários autorizados terão acesso às aplicações críticas, além de garantir que códigos inseguros ou maliciosos não sejam executados na empresa.

A ISO 27001 implementa o conceito de ISMS (Information Security Management System) ou SGSI. Trata-se de um sistema que define, age e monitora todas as medidas tomadas para a redução constante dos riscos. Este sistema consiste de um ciclo infinito com 4 etapas, o PDCA:

Os mecanismos de autenticação devem ser baseados em três principios:

- O que se sabe: Uso de senhas e perguntas particulares randomicas.

- O que se tem: Uso de dispositivos físicos como chaves e tokens.

- O que se é: Uso de biometria.

Outros mecanismos aplicados num SGSI:

- Estenografia (informação escondida em imagens).

- Detecção e alerta.

- Gravação de logs.

- Message Digests (hash)

- BackUps.

Nunca se esqueça, segurança nunca é demais.