Carregando Pesquisa
Facebook Twitter
Apostilas Artigos Tutoriais Aulas Blog Ferramentas de Rede Fórum Downloads Colabore Fale Conosco
» artigos
:: Fatores Facilitadores e Inibidores da Segurança Computacional Corporativa

Prof. Especialista José Mauricio Santos Pinheiro em 28/02/2008

 

1. Compreendendo Segurança

Poucas coisas podem parecer tão improváveis quanto uma corporação estar absolutamente segura no contexto de um mercado global, onde a concorrência e a rivalidade internacionais se intensificam. Resta-nos uma pergunta: O que significa exatamente segurança corporativa? A resposta para esta pergunta é muito relativa, uma vez que dependerá principalmente da cultura organizacional estabelecida em cada empresa e do modelo de Política de Segurança adotado por seus colaboradores. Não obstante a dificuldade de precisão na resposta é fundamental destacar que a empresa que não se preocupa com a segurança dos seus ativos computacionais está fadada a ser superada muito rapidamente.

Segundo Wadlow (2000):

A segurança deverá ser proporcional ao valor do que se está protegendo. Parte desse valor é realmente um valor; outra parte é o trabalho necessário para restabelecê-lo; uma outra parte mais sutil é o trabalho que permitirá confiar em sua rede novamente.

A segurança da informação é um tema bastante amplo e uma preocupação muito discutida na atualidade. Entretanto, mesmo com a constante divulgação dos problemas e perigos referentes à segurança dos sistemas, principalmente relativos às conexões com a Internet, não são todas as organizações que estão preparadas adequadamente para enfrentar os problemas oriundos de ameaças e tentativas de invasão sobre suas redes de comunicação.

Outra função, talvez não tão aparente, mas não menos importante do que a que surge em função do negócio da empresa, é a aplicação das estratégias de segurança nas áreas da empresa que dão suporte operacional. Uma das funções mais importantes da segurança computacional atualmente é ampliar a compreensão geral de segurança, seus usos e abusos. Compreendendo-se como funcionam os procedimentos de segurança e como todos são vulneráveis a falhas internas e à agressão externa é possível analisar de forma objetiva os impactos na infra-estrutura organizacional.

Dentre os fatores facilitadores, aqueles que contribuem para a segurança computacional corporativa estão a adoção de um ambiente que observa as normas e padrões de segurança no uso dos recursos computacionais disponibilizados; a disponibilidade de canais de comunicação abertos para melhorias contínuas nos procedimentos de segurança; a correlação entre desempenho e proatividade na empresa.

Os fatores inibidores da segurança mais comuns são atitudes e meios excessivamente autoritários; empresas com pouco ou nenhum controle sobre a utilização dos recursos computacionais; pressão para conformar-se, do tipo "isto sempre foi assim"; falta de tempo para a melhoria dos procedimentos de segurança e a prisão do organograma, também conhecida como rigidez organizacional.

2. Política de Segurança da Informação

A segurança das informações, como um todo, depende do esquema de segurança dos sistemas onde as mesmas estão armazenadas. Quando esta segurança é quebrada, seja acidentalmente, ou propositadamente, os resultados se mostram altamente prejudiciais e, por isso, a segurança dos sistemas de informação é uma questão muito importante quando se desenvolve uma política de segurança da informação.

A política de segurança da informação é um mecanismo preventivo de proteção dos dados e processos de uma organização que define também padrões de segurança a serem seguidos pelo pessoal técnico, gerência e os demais usuários (internos e externos) do sistema de informação. Pode ser usada ainda para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas atuais. Uma de suas preocupações é estabelecer os métodos de proteção, controle e monitoramento dos recursos de informação. É importante que a política de segurança defina as responsabilidades das funções relacionadas à segurança e discrimine as principais ameaças, riscos e impactos envolvidos.

A política de segurança é um recurso importante que se pode criar para tornar uma rede segura. Ela deve integrar-se às metas de negócio da organização e ao plano das políticas de informatização, influenciando todos os projetos de informatização da empresa tais como o desenvolvimento de novos sistemas, planos de contingências, planejamento de capacidade, dentre outros. É importante lembrar que a política não envolve apenas a área de Tecnologia da Informação (TI), mas a organização como um todo. Como toda política institucional, deve ser aprovada pela alta gerência e divulgada a todos os funcionários e usuários de serviços de informática. A partir de então, todos os controles devem se basear nessa política.

3. Técnicas de Segurança

O perfeito funcionamento de uma Política de Segurança depende muito do conhecimento do seu conteúdo e da cooperação dos usuários nos seus diversos níveis. Ele deve ser incentivado a sentir que as medidas de segurança foram adotadas visando o seu próprio benefício. Entretanto, a maioria das pessoas e empresas só lembra-se da segurança quando acontece algum problema grave. Na maioria das vezes gastam-se horas tentando recuperar as informações, enquanto a simples implantação de uma política de segurança poderia evitar esses transtornos. De qualquer forma, existem diversas ferramentas e procedimentos que podem ser usados para aumentar o nível de segurança do computador em casa, para quem acessa a Internet por uma linha telefônica comum ou outro serviço dedicado e principalmente para aqueles que utilizam as redes como ferramentas no seu trabalho diário.

As técnicas de segurança têm evoluído com o objetivo de minimizar essa vulnerabilidade dos sistemas em rede frente às novas ameaças que surgem diariamente e políticas de segurança têm sido adotadas abrangendo questões do tipo: O que proteger? Do que proteger? Quais os mecanismos serão usados para controle? Uma política de segurança depende de respostas a perguntas desse tipo. Cada um deve decidir quais precauções deve adotar segundo suas prioridades e disponibilidades.

3.1. O que proteger?

A segurança não é tecnologia e tampouco soluciona todos os problemas de uma corporação. Segurança é um processo e como tal, pode-se aplicar seguidamente e, dessa maneira, melhorar a segurança da corporação. Se não for aplicada ou é interrrompida a aplicação do processo, a segurança tende a ser cada vez pior, à medida que surgem novas formas de ameaças e técnicas de ataques.

Medidas de segurança nada representam se não se conhecer o que deve ser protegido. Antes de tratar da segurança das tecnologias que compreendem uma rede corporativa, é necessário que se avalie, detalhadamente, a amplitude daquilo que se pretende proteger. O primeiro passo consiste em realizar um levantamento e a classificação dos ativos da empresa. É preciso avaliar o grau de risco e de vulnerabilidade destes ativos, fazer a avaliação das suas falhas e definir o que pode ser feito para aperfeiçoar sua segurança.

O segundo passo diz respeito à formalização de uma política de segurança que basicamente estabelece a elaboração de normas e procedimentos dentro da organização. Este trabalho normalmente é monitorado por um grupo especialmente criado para esse fim. A infra-estrutura de tecnologias é a terceira fase deste planejamento, envolvendo desde aquisição de ferramentas, até configuração e instalação de soluções, criação de projetos específicos e recomendações de uso.

Ao delimitar estes processos, o profissional deve partir para a fase de gerenciamento, passando pela análise de infra-estrutura da empresa, auditoria de processos, testes regulares de ataques a vulnerabilidades, revisões e acompanhamento de políticas e tratamento de incidentes.

4. Segurança Física e Segurança Lógica

As redes de computadores se desenvolveram a partir da necessidade de se compartilhar informações e dispositivos. Um sistema absolutamente seguro ainda está longe de existir, porém, o nível de segurança que devemos buscar deve ser o mais alto possível. A grande dificuldade encontrada está no fato de que, na mesma proporção, ou até mesmo com maior intensidade com que buscamos assegurar as nossas comunicações e os nossos dados, existem indivíduos buscando a todo o momento burlar esta segurança.

A escolha adequada do software e hardware específicos de segurança da informação eleva o nível de segurança e resguarda a rede de imprevistos cujas conseqüências são críticas. Contudo, nada irá suprir as perdas ocasionadas pela não observação das fragilidades, pois elas serão na maioria das vezes irrecuperáveis. Uma política de segurança bem definida, o uso adequado das senhas, as divisões dos usuários em grupos e a administração dos recursos computacionais de forma adequada são medidas que se complementam e devem ser adotadas.

Um dos maiores problemas e certamente um dos mais difíceis de ser resolvido é o da segurança dos dados. A segurança dos dados pode ser definida como a proteção dos mesmos contra revelações de seus conteúdos, quer acidentalmente, quer intencionalmente a pessoas não autorizadas, contra violações e possíveis alterações sem que para isso esteja autorizado. O problema tem muitas facetas e envolve diversos fatores tais como: instalações físicas, procedimentos operacionais, características do hardware, especificações de software, entre outras. Seu universo se divide em duas visões: Segurança Física e Segurança Lógica.

4.1. Segurança Física

A segurança física está diretamente relacionada aos aspectos associados ao acesso físico a recursos de informações, tais como disponibilidade física ou o próprio acesso físico, sejam esses recursos às próprias informações, seus meios de suporte e armazenamento ou os mecanismos de controle de acesso às informações. Além disso, está também relacionada com as técnicas de preservação e recuperação das informações e seus meios de suporte e armazenamento. Wadlow (2000) enfatiza, "A segurança física é uma parte importante da segurança global da rede, mas é um dos aspectos mais malcompreendidos da segurança de rede".

Uma boa infra-estrutura não garante por si só a segurança física, mas componentes de má qualidade certamente propiciarão danos bem elevados. Por esse motivo devem-se observar as ameaças sempre presentes e que às vezes passam despercebidas, tais como: riscos de incêndios, desabamentos, inundações e alagamentos, falhas na rede elétrica, acesso indevido em ambientes restritos e que medidas de proteção como serviços de vigilância, sistemas de fornecimento de energia ininterrupto, sistemas de alarmes, circuitos internos de televisão, monitoramento e controle de acesso às áreas de caráter privativo dentre outras, devem ser adotadas utilizando-se componentes adequados.

4.2. Segurança Lógica

A Segurança Lógica é aspecto abrangente e complexo, requerendo, conseqüentemente, um estudo muito mais apurado e detalhado. Devemos estar atentos aos mínimos detalhes que compõem este tipo de segurança. Considerando que a informação é a principal ferramenta do processo decisório das empresas, não podemos arriscar e levar empresas ao fracasso pelo simples fato de não possuir as informações necessárias e em tempo hábil.

5. Governança Corporativa e Governança de TI

Governança é segundo os dicionários o ato de governar-se. O conceito de Governança Corporativa surgiu nos Estados Unidos e na Inglaterra no final dos anos 1990 e está relacionado à forma como as empresas são dirigidas e controladas. A governança surgiu visando garantir o componente ético da organização, representado por seus diretores e outros funcionários, na criação e proteção dos benefícios para todos os acionistas. Isto significa dizer que as empresas precisam saber quem toma as decisões e quais os processos pelas quais essas decisões são tomadas. Não vale para qualquer atitude adotada na empresa, deliberações sem grande relevância. Vale para decisões importantes, de grande valor para a organização.

5.1. Governança em TI

Governança em TI (Tecnologia da Informação) é uma derivação de Governança Corporativa, termo que tem hoje grandes aplicações no mundo empresarial. A Governança em TI inclui estruturas de relacionamentos e processos que tem como objetivos dirigir e controlar a organização para que ela alcance seus objetivos, mas que, simultaneamente, devem equilibrar os riscos em relação ao retorno da tecnologia de informação e a seus processos. São estruturas e processos que permitem controlar a execução e a qualidade dos serviços, viabilizando o acompanhamento de contratos internos e externos, ou seja, a Governança em TI define as condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade.

5.2. Desenvolvendo uma estrutura de Governança em TI

A Governança em TI visa designar os direitos de decisão nas questões relevantes com o propósito de atingir os objetivos de negócio da organização. Em muitas organizações este processo se inicia pela demonstração dos riscos envolvidos na falta de controle sobre o ambiente de TI.

Internamente a governança deve desenvolver competências e designar os direitos de decisão nas questões de real valor tendo por fim atingir os objetivos de negócio. Neste aspecto, a governança em TI se apresenta como uma estrutura bem definida de relações e processos que controlam e dirigem uma organização dentro de um cenário de extrema competitividade. O foco é permitir que as perspectivas de negócios, de infra-estrutura, de pessoas e de operações sejam levadas em consideração no momento de definição do que mais interessa à empresa, alinhando a tecnologia da informação a essa estratégia.

5.3. Dificuldades na adoção da Governança em TI

A adoção acelerada de processos de gestão de infra-estrutura nas empresas, dentro do conceito de Governança em TI, tem como principal motivação, internamente, a cobrança sobre os responsáveis pelas operações de tecnologia da informação quanto à maximização do uso dos investimentos já realizados. Por trás desta iniciativa está a preocupação das empresas com melhorias nos seus processos operacionais, redução de custos, aumento da eficiência de seus colaboradores, aperfeiçoamento de relações com fornecedores, parceiros e clientes.

Entretanto, com a contínua evolução da infra-estrutura de TI, incluindo a tarefa de gerenciar soluções heterogêneas de diferentes fornecedores, as organizações têm hoje uma grande dificuldade em manter os custos operacionais sob controle. A elevada complexidade de gerenciamento é uma das principais razões pelas quais as organizações têm sido forçadas a incrementar seus orçamentos e equipes de TI, dedicando entre 70% a 80% dos recursos disponíveis somente para a manutenção dos sistemas e aplicações existentes.

6. Conclusões

Segurança é um processo dinâmico e não um estado ou uma meta. É muito importante considerar que o espaço de tempo entre o desenvolvimento de novas técnicas de invasão e sua aplicação hoje em dia diminuiu tão rapidamente que se torna necessário prever as implicações éticas, funcionais e econômicas de cada novo cenário que se apresenta. Por esse motivo torna-se primordial que as empresas canalizem investimentos e utilizem a capacidade dos seus colaboradores em prol de melhorias contínuas dos requisitos de segurança computacional e que adotem uma postura de empresa na vanguarda de soluções de segurança.

O primeiro passo é dar vazão ao conhecimento e livrar-se dos fatores inibidores que dificultam a criatividade frente aos novos desafios que surgem. O maior bloqueio à criatividade ocorre quando em face de um problema e obrigado a apresentar soluções com agilidade, o indivíduo tende a utilizar-se ao mesmo tempo da função de criação e de julgamento.

7. Referências Bibliográficas

WADLOW, Thomas A. Segurança de redes: projeto e gerenciamento de redes seguras. Tradução: Fábio Freitas da Silva. Rio de Janeiro: Campus, 2000.


José Maurício Santos Pinheiro
Professor Universitário, Projetista e Gestor de Redes, 
membro da BICSI, Aureside e IEC.

Autor dos livros:
 
· Guia Completo de Cabeamento de Redes ·
· Cabeamento Óptico ·
· Infraestrutura Elétrica para Redes de Computadores
·
· Biometria nos Sistemas Computacionais - Você é a Senha ·

E-mail: jm.pinheiro@projetoderedes.com.br

© www.projetoderedes.com.br - Termos e Condições de Uso