Apesar da existência de normas como a série ISO/IEC 27000, que estabelecem “diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização” (ABNT, 2005, p. 1), muitas reconhecidas mundialmente, elas são demasiadamente vagas, imprecisas e flexíveis. Acima de tudo, omissas com relação à tecnologia, que é o que lhes permite serem utilizadas por todo e qualquer tipo de organização.
Essas são características desejáveis para uma norma, mas com certeza não o são para um gestor de segurança da informação, que precisa tomar decisões rápidas, objetivas e concretas, como as descritas nesta monografia. E é nisso em que se baseia a aplicação do aprendizado proporcionado por este trabalho.
A Norma NBR ISO/IEC 27002, por exemplo, trata de gerenciamento de riscos, sem descrever uma metodologia para isso; trata de gestão de ativos, sem exemplificar os principais níveis de classificação da informação; trata de segurança em recursos humanos, sem citar engenharia social; trata de gerenciamento de operações e comunicações, sem detalhar os diferentes tipos de malwares, a importância de se configurar corretamente o firewall e o sistema de detecção de intrusos, as vantagens de se usar uma honeypot, as soluções em segurança proporcionadas pela criptografia e esteganografia e os perigos de um servidor web malconfigurado; trata de controle de acesso, sem mencionar biometria; trata da segurança em sistemas de informação sem especificar buffer overflow, injeção de sql, scanner de vulnerabilidades, patches de correção e exploits; trata de segurança no desenvolvimento de sistemas de informação, sem explicar o funcionamento de um sistema de controle versão; trata de conformidade, sem comentar Sarbanes-Oxley, Resolução 3380 do Banco Central do Brasil ou como fazer um teste de invasão.
Da mesma forma, livros sobre hackers, também não são completos uma vez que se apegam demais a detalhes técnicos e têm seu conteúdo direcionado para ações nocivas e não para a implementação de uma política de segurança da informação.
Portanto, por ter sido baseado em textos voltados tanto para a proteção quanto para a invasão, este trabalho apresenta um diferencial, uma visão mais ampla sobre o assunto, os dois lados da moeda. Como escreveu Sun Tzu em seu livro A Arte da Guerra, “Conhece teu inimigo e conhece-te a ti mesmo: se tiveres cem combates a travar, cem vezes serás vitorioso”.
E ele completa: “Se ignoras teu inimigo e conheces a ti mesmo, tuas chances de perder e de ganhar serão idênticas”. E por fim, “Se ignoras ao mesmo tempo teu inimigo e a ti mesmo, só contarás teus combates por tuas derrotas”.
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.