Mais Sobre Segurança da Informação

Eu já escrevi sobre esse assunto antes, logo no início do meu curso de Pós Graduação em Gestão de TI. Agora, depois de quase três meses a disciplina de segurança da informação está chegando ao fim (e vem prova pela frente) e eu resolvi estudar escrevendo mais um texto sobre o assunto. Esse texto serve apenas de introdução ao assunto, a idéia aqui não é fazer uma abordagem profunda e completa, é mais uma revisão para a minha prova que eu resolvi compartilhar com o mundo.


A Segurança da Informação deve estar impregnada em cada um, o tempo todo e em qualquer lugar, assim como eu já disse antes esse termo não pode ser encarado apenas como segurança da informação digital, ele deve ser expandido para todas as áreas em qualquer situação.


Se você ainda não acredita nisso eu vou dar um exemplo, aliás, acho que já falei isso antes, talvez em alguma apresentação na pós, mas você já parou para medir o tanto de informação que se consegue em uma simples fila de banco? As pessoas precisam se expressar, precisam contar suas mágoas, precisam contar suas vitórias e nada melhor que uma fila de banco para isso. Faça o teste, há dois meios, o primeiro é simplesmente prestar atenção às pessoas na fila, a segunda é escolher um alvo e começar com um "boa tarde, fila grande né?", daí para frente é só continuar a conversa, você pode ficar sabendo de praticamente tudo da vida da pessoa. Ok, nem todos são tão abertos assim, mas todos tem seus pontos fracos e assuntos de interesse, se você realmente quer saber sobre a vida alguém basta tentar os interesses dela e levar a conversas para esses lados.


Bem, agora vamos para o lado corporativo da coisa. Toda empresa precisa ter politicas de segurança bem definidas, não importa se ela tem 1 ou 1 milhão de funcionários, todos precisam ter consciência do valor das informações que são tratadas diariamente. Tenha uma boa cultura de segurança, certifique-se de dificultar a saída de dados da empresa, mantenha sistemas seguros e atualizados (segurança de TI), enfim, não deixe brechas ou as reduza o máximo possível.



Certo, todo mundo precisa se autenticar, passar por proxy, ter logs de mensagens, usar senha até para pegar cafezinho, mas o chefe não precisa de nada disso, afinal ele é chefe. ERRADO! Se é para ter uma política de segurança eficaz todos devem segui-la, todos, sem exceções.



Deixar o chefinho de fora das regras é deixar uma bela e grande porta aberta na frente da empresa durante a noite (quando a empresa está vazia).

Mantenha as regras da empresa dentro da empresa. No caso das micro e pequenas empresas é mais barato ter um profissional free-lancer para esse tipo de serviço, mas é, com certeza, menos seguro, afinal ele é alguém fora da empresa que pode, facilmente, deixar essas informações vazarem. Imagine o seu arquivo de configuração de firewall ou senhas de usuários ou o mapa da sua rede interna navegando pela internet... Gostou da idéia? Eu também não! Por isso invista em segurança! Se não puder contratar um profissional para isso faça bons contratos com prestadores de serviço certificando-se de colocar cláusulas que tratem do assunto 'vazamento de informação'.


Quem pode acessar o que? Essa questão é fundamental para se ter uma boa política de segurança. A informação deve ser acessada apenas por que está autorizado a acessá-la. Não deixe a folha de pagamentos aberta para qualquer um da empresa acessar, imagine os conflitos por causa disso. Esse exemplo foi pequeno, mas serve para mostrar a importância de classificar bem a informação e definir os níveis de acesso dentro e fora da empresa.


A classificação da informação é outro fator fundamental para uma boa política de segurança. A informação precisa ter um dono e precisa 'rótulos' dizendo quem pode fazer o que com ela. Esses rótulos devem partir do 'acesso total' e chegar até o 'negação total'.


Identifique os fatores de risco e verifique se existem vulnerabilidades (softwares antigos, antivírus sem atualização, programas piratas). Identifique as possíveis ameaças à segurança e integridade dos dados. Com esses três itens é possível elaborar bons planos emergenciais para situações críticas. Veja esses exemplos:


O servidor deu problema! Existe um substituto?


Os dados foram corrompidos! Existe um sistema de backup?


É importante identificar os fatores críticos da segurança da empresa e trabalhar para que se tenha sempre um plano B.


Uma outra coisa que eu já tida dito no texto anterior é que nunca se deve pensar que não existem riscos, que ninguém tem interesse nas suas informações, alguém tem esse interesse sim, imagina se o seu concorrente tem acesso ao seu banco de clientes? Creio que isso não seria muito bom (para você, pois para o seu concorrente seria ótimo). Lembre-se qualquer informação tem seu valor, nunca pense que isso não é verdade.


Lendo esse texto você pode pensar "nossa, mas eu tenho que ter muito para investir em segurança", o que não necessariamente é verdade. É necessário qualificar o que realmente precisa ser protegido, e quanto vale essa proteção. Um exemplo que o professor usou algumas vezes durantes as aulas foi o de uma padaria que tem o melhor pão da cidade. Nesse caso o que é melhor fazer? Montar um datacenter para proteger a receita do pão? Ou simplesmente pedir para o padeiro decorar a receita e destruí-la depois? Pois é, existem casos e mais casos e somente uma boa avaliação pode dizer quais são os melhores caminhos para se ter seus dados protegidos.


Segurança da informação é isso, boas práticas, politicas adequadas e sistemas de contingência. Claro que cada um desses assuntos se estende muito, e ainda tem a temida engenharia social, mas vou deixá-la para um próximo texto.


InFog


Evaldo Junior

Desenvolvedor web, palestrante, escritor e usuário e contribuidor do Software Livre.

comments powered by Disqus