Segurança da Informação, uma abordagem básica porém necessária
Hoje falaremos sobre um assunto que a cada dia se torna mais importante no mundo tecnológico e corporativo, a Segurança da Informação.
Com a evolução da internet, as empresas ampliaram o consumo de tecnologia nos negócios, chegando praticamente em todos os segmentos e setores. A informatização das empresas se tornou algo necessário, migrando praticamente todas as informações para o formato digital. Essas informações devem ser protegidas devido aos riscos as quais elas podem estar expostas. Segundo a SonicWall nos primeiros dois meses de 2018 foram registrados 5,99 bilhões de ataques de malware em todo o mundo, e esse número só cresce.
Segundo a ISO 27002, segurança da informação é:
A proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar riscos, maximizar o retorno sobre os investimentos e as oportunidades de negócios.
Mesmo não tendo como foco no momento nos certificarmos junto a ISO, queremos estar o mais alinhado possível com as normas e aproveitar os benefícios que essa estruturação nos concede.
Os pilares da segurança
A segurança da informação baseia-se em 3 pilares, confidencialidade, integridade e disponibilidade. A confidencialidade nos garante que a informação esteja disponível somente às pessoas autorizadas. A integridade nos garante que a informação esteja íntegra, ou seja, completa e no seu estado original. A disponibilidade nos garante que a informação esteja disponível e utilizável no momento que for necessário.
Com esses três pilares teremos uma garantia que nenhum acesso não autorizado poderá ler nossos e-mails, dados, ou qualquer outra informação sigilosa por exemplo.
Ameaça
A ameaça é definido como: quem ou que, pode explorar acidentalmente ou propositalmente alguma vulnerabilidade, atingindo algum dos pilares citados acima. As ameaças podem ser acidentais ou propositais, segue alguns exemplos:
Ameaças acidentais
– Falha de equipamentos;
– Erro humano;
– Natureza.
Ameaças propositais
– Espionagem;
– Crimes;
– Empregados desonestos ou insatisfeitos;
– Vandalismo;
– Terrorismo.
Os ataques mais comuns realizados pela internet:
Explorar vulnerabilidades
Falsificação de emails
Ataque de Negação de serviço (DDos)
O que devemos proteger:
Devemos proteger tudo que é de suma importância para as operações do negócio, informações de clientes, informações de mercado, a disponibilidade dos sistemas, etc. Mesmo essas informações não estando em formato digital elas devem ser protegidas pois, informações confidencias podem ser impressas ou faladas para pessoas não autorizadas por exemplo.
Mas acho importante salientar que mesmo estando com seu ambiente tecnológico em perfeitas condições, sem serviços desatualizados, antivírus em dia, senhas fortes, ainda temos um elo fraco dessa corrente, que são as pessoas.
Engenharia social
É a prática utilizada para obter informações importantes por meio das pessoas envolvidas. O atacante consegue retirar informações ou acessos sem mesmo chegar perto de um computador, somente se valendo da má instrução das pessoas.
O que um ataque a essas informações pode acarretar:
Caso algum dos pilares seja comprometido as consequências podem ser diversas, dependendo do nível da informação e a quem ela pertence. A quebra da segurança pode negativar a imagem da empresa junto ao mercado, perder clientes para os concorrentes devido a perda de confiança, vazamento de informações sobre o negócio comprometendo a continuidade da mesma e é claro, o prejuízo financeiro.
Como nos proteger:
- Política de segurança: Documento que contém diretrizes para usuários e para a organização referentes a segurança. Descreve políticas de senha, backups, uso de dispositivos, dentre outras orientações;
- Estabelecer controle de acessos: Realizar controles de usuários e senhas, exigir senhas fortes e com atualização frequente e que o usuário só tenha acesso aquilo que é necessário para o seu trabalho;
- Criptografia: É um sistema matemático que codifica os dados, dificultando o acesso não autorizado. Deve ser usado principalmente em notebooks que saem da empresa por exemplo, que em caso de roubo o acesso é dificultado;
- Backup: O backup é uma cópia de segurança das informações da empresa. Ocorrendo uma perda de algum dado o mesmo pode ser recuperado posteriormente;
- Logs: É interessante registrar tudo que ocorre no ambiente, quando um usuário loga, quando altera um arquivo, quando deleta, registro do comportamento dos sistemas, enfim. Esse registro pode ser extremamente importante na hora de identificar uma ameaça ou até mesmo preveni-la;
- Orientação para os colaboradores: Se comentamos anteriormente que o elo mais fraco são as pessoas, nada mais justo que essas pessoas recebam treinamento e orientação para diminuir ao máximo os riscos. Palestras, cartilhas, conversas, todos os métodos são válidos.
Aprendendo com quem já errou:
Um caso interessante ocorreu em 1978 no Pacific Bank, quando os bancos usavam “códigos de transferência” para realizar as transferências para dentro ou fora do banco, com esse código não era necessário ir até a agência, bastando realizar uma ligação. Os códigos eram gerados todos os dias.
Porém um funcionário chamado Stanley Mark Rifkin que não estava autorizado a receber os códigos, percebeu que quem recebia esses códigos o anotavam em um papel e o colavam na parede.
Após conseguir chegar ao papel e memorizar o código, foi até um telefone público para ligar para sala de transferências do banco. Se identificou como sendo do Departamento Internacional e solicitou uma transferência de mais de 10 milhões de dólares para um conta em outro banco. Esse foi o maior assalto a banco da época.
Após essa breve introdução é notável que não podemos dar as costas ou fazer pouco caso sobre a segurança da informação. Ela pode nos garantir privacidade e que continuamos aproveitando as vantagens que os avanços tecnológicos nos proporciona.
Caso tenha interesse em saber mais sobre o assunto ou ficou com alguma dúvida, pode entrar em contato que responderemos com prazer. Recomendo também a leitura da Cartilha de Segurança para Internet elaborada pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br).
Acompanhe o Elliot nas redes sociais (@eusouelliot) ou através do nosso site eusouelliot.com
