Quanto mais uniformes forem os procedimentos de segurança, mais fácil será o gerenciamento de operações e comunicações. Logo, os procedimentos de segurança relacionados ao uso dos sistemas de informação e às operações de processamento e troca de informações devem estar documentados, atualizados e disponíveis a todos os membros da organização. E alterações nessa documentação só devem ser feitas com autorização da direção.

GERENCIAMENTO DA SEGURANÇA EM REDES

Tão ou mais importante quanto o gerenciamento da segurança de cada nó de uma rede de forma individual, é o gerenciamento da rede como um todo. Para manter a segurança das informações que trafegam em uma rede, ela precisa ser controlada e monitorada regularmente e os acontecimentos devem ser registrados. Sistemas como os de detecção de intrusos, firewall e uma honeypot, desde que bem configurados, são capazes de realizar esse controle e monitoramento.

GERAÇÃO E PROTEÇÃO DE CÓPIAS DE SEGURANÇA

Em sistemas de informação, como já vimos, os dados estão constantemente sujeitos a ameaças e, de forma intencional ou acidental, podem ser corrompidos. Por isso, é conveniente ter sempre cópias de segurança de todas as informações consideradas críticas para a organização.

Dessa forma, caso os dados originais sejam deletados ou alterados indevidamente, será possível utilizar a cópia de segurança para fazer a restauração. Essa cópia é também conhecida como backup.

Tão necessário quanto a proteção dos dados originais, é a proteção das cópias de segurança. As cópias devem estar em um local distante dos dados originais para que, em caso de desastre, a recuperação seja possível. Evidentemente esse local precisa receber uma proteção e um controle de acesso adequados e todo acesso tem que ser monitorado.

Outra medida de precaução é não dar nomes sugestivos às mídias de armazenamento, de forma a dificultar a ação de intrusos. Cópias de dados sigilosos obrigatoriamente devem estar criptografadas.

DESCARTE DE MÍDIAS

Quando uma mídia apresenta defeito ou ainda quando dados críticos lá armazenados não têm mais utilidade, se faz necessário a existência de procedimentos operacionais que estabeleçam o descarte seguro, evitando assim que informações sensíveis acabem divulgadas.

Entende-se por mídia todo dispositivo capaz de armazenar informações. Já descarte seguro é aquele que torna impossível a recuperação dos dados, seja por destruição da mídia (trituração ou incineração) ou por algum tipo de formatação especial, onde todos os dados são sobrescritos. A segunda opção é realizada quando é desejável o reaproveitamento da mídia.

É importante que o porquê das mídias estarem sendo descartadas, a descrição das informações nelas contidas e as formas de destruição dessas informações sejam devidamente registradas.

TROCA DE INFORMAÇÕES

Todo dado que trafega em redes públicas, como a Internet, pode ser facilmente interceptado e capturado por qualquer um. Embora isso não possa ser evitado, a informação original ainda pode ser protegida, desde que as aplicações responsáveis pelo envio e recebimento de mensagens utilizem algum mecanismo de criptografia.

No que diz respeito à troca de informações não eletrônicas, como mídias sendo transportadas fora dos limites físicos da organização, existe a exposição a uma série de outros riscos. Por vezes, é possível que esse transporte seja realizado pelos correios, mas, quando se tratam de informações críticas para a organização, a forma de transporte deve ser especializada.

Dependendo do valor da informação, que obrigatoriamente deve estar criptografada, a mídia a ser transportada deve ser armazenada em um recipiente com lacre e deve estar protegida contra fatores ambientais, como campos eletromagnéticos, umidade e calor. Em casos muito especiais, a mídia em trânsito pode exigir escolta armada, em uma ou mais remessas, por rotas distintas e com monitoração de veículos via satélite.

Antes do repasse da mídia para a empresa responsável pelo transporte, é necessário a assinatura de um contrato e conferir a identidade das pessoas que farão a escolta. A entrega da mídia ao destino final, deve ser feita em mãos.

SERVIÇOS ONLINE

Informações Publicamente Acessíveis

Às vezes, para conseguir as informações que precisa, não é necessário que o hacker faça uso de seus conhecimentos. Uma simples visita ao site da organização pode ser suficiente. Está tudo lá: informações sobre fornecedores, clientes, parceiros, filiais e sobre seus próprios funcionários (nome, ocupação, ramal, e-mail etc).

Além disso, empresas também costumam orgulhosamente colocar em suas páginas as soluções tecnológicas que utilizam, o que facilita muito a ação dos criminosos, pois com todo esse conhecimento à disposição, um ataque de engenharia social tem enormes possibilidades de dar certo.

Por isso, a publicação de uma informação deve ser acompanhada de um processo de aprovação formal, que defina o que pode e o que não pode ser publicado no site.

Integridade dos Dados Publicados

Medidas devem ser tomadas para impedir a modificação não autorizada de informações disponibilizadas para o público em geral, pois incidentes desse tipo poderiam trazer uma série de prejuízos à imagem da organização. Por isso, antes de qualquer informação ser publicada são necessárias validações, principalmente quando o conteúdo é proveniente de fontes externas, e testes que garantam que essas informações não poderão ser alteradas por pessoas não autorizadas.

Uma forma de se garantir que a informação publicada é autêntica e não foi modificada é pelo uso de assinatura digital, que faz uso da criptografia assimétrica e confere à informação valor legal. Além da autenticidade e integridade, assinaturas digitais possuem o fator da irretratabilidade ou não repúdio, que impede o emissor de negar a autenticidade da mensagem.

Transações

Transações realizadas de forma online devem estar primeiramente de acordo com a lei, até para se evitar processos e disputas na justiça. Além disso, há uma série de questões técnicas a se considerar, desde falhas de infraestrutura, que poderiam ocasionar em transações incompletas, até a possibilidade de duplicações e alterações não autorizadas de mensagens, o que acarretaria em fraudes.

Evidentemente, dependendo do tipo de transação, pode haver mais ou menos riscos, que deverão ser levados em conta na escolha dos controles de segurança que farão parte de todo o processo de geração, processamento, conclusão e armazenamento da transação.

De qualquer forma, alguns requisitos de segurança são obrigatórios, como a confidencialidade, privacidade e integridade. Logo, devem ser usados protocolos seguros (como o HTTPS, que faz uso de criptografia), assim como assinaturas e certificados digitais, e tomar cuidado com o armazenamento das informações referentes a essa transação, que não devem ficar expostas nem na Internet, nem na Intranet, isto é, devem ser tratadas como confidenciais.

Comércio Eletrônico

Se tratando de comércio eletrônico, a segurança jamais pode ser vista como um gasto. Muito pelo contrário, ela é pré-requisito para o funcionamento do negócio. Sem ela, o negócio não existe. Logo, não se discute se haverá ou não segurança e sim se o grau de segurança é satisfatório ou não.

A segurança deve ser pensada tanto para a empresa quanto para o cliente, que deve ter suas informações pessoais protegidas com o maior nível de segurança possível. O que não poderia acontecer, por exemplo, se números de cartões de crédito fossem interceptados?

Para a empresa então, quais seriam as consequências se pedidos fossem perdidos ou trocados devido a falhas no sistema? Ou ainda, qual seria o tamanho do prejuízo caso alguém conseguisse alterar os preços dos produtos? Será que o site resistiria a um ataque de negação de serviço?

Percebe-se que a quantidade de riscos que envolve esse tipo de negócio é imensa e a menor falha seria capaz de provocar uma catástrofe financeira e de imagem à organização. Logo, tudo o que puder ser feito para garantir a segurança desse tipo de negócio é válido, pois o que está em jogo é a continuidade das atividades da empresa.

Caso a organização não tenha maturidade suficiente para implementar um e-commerce seguro, deve contratar uma empresa terceirizada que realize o serviço. Não é preciso mencionar que a contratada deve ser bem conceituada e que todos os requisitos de segurança necessários estejam bem detalhados no contrato.

MONITORAMENTO

Praticamente qualquer ação que acontece em um sistema de informação pode ser monitorada. O registro e análise dessas atividades, por meio da geração e análise de logs ou trilhas de auditoria, podem acusar brechas de segurança, indicar a má utilização dos recursos por parte de seus usuários e até mesmo tentativas de ataques.

TRABALHO REMOTO

O trabalho remoto até pode ter suas vantagens, mas não no que diz respeito à segurança da informação. Se já é difícil implementar a segurança em um ambiente interno à organização, controlado, imagine fora desses limites. Por isso deve-se analisar muito bem quais informações estarão envolvidas e se existe mesmo a necessidade de se correr esse risco.

Se não houver outro jeito e o trabalho remoto tiver mesmo que ser exercido, então ele precisará estar de acordo com a política de segurança da informação e, após uma avaliação de riscos, é provável que muitas das medidas de segurança já sugeridas precisem ser implantadas: firewall, cópias de segurança, antivírus, registros de logs, criptografia, plano de continuidade, segurança física e do ambiente, controle de acesso etc.

Até por isso é importante que as atividades sejam feitas sempre utilizando-se de equipamentos fornecidos pela empresa, pois não se pode esperar que o trabalhador remoto, por si próprio, configure o seu computador pessoal de acordo com os requisitos de segurança. Tais equipamentos devem ser devolvidos à organização quando o trabalho remoto não for mais necessário. Convém ainda que a jornada de trabalho esteja bem definida e as operações do usuário sejam monitoradas regularmente.


MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.