Por ANTONIO MENDES DA SILVA FILHO

Professor do DIN/UEM. Doutor em Ciência da Computação

 

Segurança da Informação: Sobre a Necessidade de Proteção de Sistemas de Informações

 

Informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilidade ao ser humano. Trata-se de tudo aquilo que permite a aquisição de conhecimento. Nesse sentido, a informação digital é um dos principais, senão o mais importante, produto da era atual. Ela pode ser manipulada e visualizada de diversas maneiras. Assim, à medida que a informação digital circula pelos mais variados ambientes, percorrendo diversos fluxos de trabalho, ela pode ser armazenada para os mais variados fins, possibilitando ela ser lida, modificada ou até mesmo apagada.

Desde a inserção do computador, na década de 40, como dispositivo auxiliar nas mais variadas atividades, até os dias atuais, temos observado uma evolução nos modelos computacionais e tecnologias usadas para manipular, armazenar e apresentar informações. Temos testemunhado uma migração de grandes centros de processamento de dados para ambientes de computação distribuída.

Figura 1: Evolução de tecnologias.

 

Considerando o cenário apresentado acima, há uma necessidade de oferecer suporte à colaboração de múltiplas organizações e comunidades que muitas vezes têm interesses sobrepostos. Em tal situação, o controle de acesso às informações é um requisito fundamental nos sistemas atuais. Vale ressaltar que, atualmente, a grande maioria das informações disponíveis nas organizações encontra-se armazenadas e são trocadas entre os mais variados sistemas automatizados. Dessa forma, inúmeras vezes decisões e ações tomadas decorrem das informações manipuladas por esses sistemas. Dentro deste contexto, toda e qualquer informação deve ser correta, precisa e estar disponível, a fim de ser armazenada, recuperada, manipulada ou processada, além de poder ser trocada de forma segura e confiável. É oportuno salientar que, nos dias atuais, a informação constitui uma mercadoria, ou até mesmo uma commodity, de suma importância para as organizações dos diversos segmentos. Por esta razão, segurança da informação tem sido uma questão de elevada prioridade nas organizações.

Segurança da informação compreende um conjunto de medidas que visam proteger e preservar informações e sistemas de informações, assegurando-lhes integridade, disponibilidade, não repúdio, autenticidade e confidencialidade. Esses elementos constituem os cinco pilares da segurança da informação e, portanto, são essenciais para assegurar a integridade e confiabilidade em sistemas de informações. Nesse sentido, esses pilares, juntamente com mecanismos de proteção têm por objetivo prover suporte a restauração de sistemas informações, adicionando-lhes capacidades detecção, reação e proteção. Os componentes criptográficos da segurança da informação tratam da confidencialidade, integridade, não repúdio e autenticidade. Vale, no entanto, ressaltar que o uso desses pilares é feito em conformidade com as necessidades específicas de cada organização. Assim, o uso desses pilares pode ser determinado pela suscetibilidade das informações ou sistemas de informações, pelo nível de ameaças ou por quaisquer outras decisões de gestão de riscos. Perceba que esses pilares são essenciais no mundo atual, onde se tem ambientes de natureza pública e privada conectados a nível global. Dessa forma, torna-se necessário dispor de uma estratégia, levando em conta os pilares acima mencionados, a fim de compor uma arquitetura de segurança que venha unificar os propósitos dos cinco pilares. Neste contexto, as organizações e, mais amplamente, os países incluem em suas metas:

  • Forte uso de criptografia;

  • Incentivo a educação em questões de segurança;

  • Disponibilidade de tecnologia da informação com suporte a segurança;

  • Infra-estrutura de gestão de segurança;

  • Disponibilidade de mecanismos de monitoramento de ataques, capacidade de alerta e ações coordenadas.

Atualmente, numa era onde conhecimento e informação são fatores de suma importância para qualquer organização ou nação, segurança da informação é um pré-requisito para todo e qualquer sistema de informações. Nesse sentido, há uma relação de dependência entre a segurança da informação e seus pilares, como ilustrado na Figura 2.

Dentro desse contexto, a confidencialidade oferece suporte a prevenção de revelação não autorizada de informações, além de manter dados e recursos ocultos a usuários sem privilégio de acesso. Já a integridade previne a modificação não autorizada de informações. Por outro lado, a disponibilidade prover suporte a um acesso confiável e prontamente disponível a informações. Isto implica em dados e sistemas prontamente disponíveis e confiáveis. Adicionalmente, o não repúdio e autenticidade compreendem o que poderia ser denominado de responsabilidade final e, dessa forma, busca-se fazer a verificação da identidade e autenticidade de uma pessoa ou agente externo de um sistema a fim de assegurar a integridade de origem.

 

Figura 2: Pilares da segurança da Informação.

 

Os pilares acima visam prover os sistemas de informações contra os mais variados tipos de ameaças como, por exemplo:

  • Revelação de informações – em casos de espionagem;

  • Fraude – não reconhecimento da origem, modificação de informações ou mesmo caso de espionagem;

  • Interrupção – modificação de informações;

  • Usurpação – modificação de informações, negação de serviços ou espionagem.

Vale ressaltar que as ameaças acima podem ser de diversas naturezas e, nesse sentido, as ameaças são, geralmente, classificadas como passiva, ativa, maliciosa, não maliciosa. Para lidar com essas ameaças, torna-se necessário a definição de políticas e mecanismos de segurança, visando dar suporte a:

  • Prevenção – evitar que invasores violem os mecanismos de segurança;

  • Detecção – habilidade de detectar invasão aos mecanismos de segurança;

  • Recuperação – mecanismo para interromper a ameaça, avaliar e reparar danos, além de manter a operacionalidade do sistema caso ocorra invasão ao sistema.

Algumas questões de natureza operacional surgem em decorrência da necessidade de prover suporte a segurança de sistemas de informações, tais como:

  • É menos dispendioso prevenir ou corrigir danos?

  • Qual o grau de segurança a ser imposto aos sistemas de informações?

  • Qual o nível de legalidade das medidas de segurança desejadas?

Essas e outras questões não abordadas neste texto serão tratadas no próximo texto sobre o assunto. Aos leitores interessados no tópico, recomendo a leitura dos textos abaixo:

E. Amoroso, Fundamentals of Computer Security Technology, Prentice Hall,1994.

M. Bishop, Computer Security: Art and Science, Addison Wesley, 2003.

J. H. Saltzer, The Protection of Information in Computer Systems, http://web.mit.edu/Saltzer/www/publications/protection/index.html

 

 
 

clique e acesse todos os artigos publicados...

http://www.espacoacademico.com.br - Copyright © 2001-2004 - Todos os direitos reservados