Segurança da Informação, uma abordagem básica porém necessária

Sidnei Weber
May 21, 2019 · 5 min read
Image for post
Image for post

Hoje falaremos sobre um assunto que a cada dia se torna mais importante no mundo tecnológico e corporativo, a Segurança da Informação.

Com a evolução da internet, as empresas ampliaram o consumo de tecnologia nos negócios, chegando praticamente em todos os segmentos e setores. A informatização das empresas se tornou algo necessário, migrando praticamente todas as informações para o formato digital. Essas informações devem ser protegidas devido aos riscos as quais elas podem estar expostas. Segundo a SonicWall nos primeiros dois meses de 2018 foram registrados 5,99 bilhões de ataques de malware em todo o mundo, e esse número só cresce.

Segundo a ISO 27002, segurança da informação é:

A proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar riscos, maximizar o retorno sobre os investimentos e as oportunidades de negócios.

Mesmo não tendo como foco no momento nos certificarmos junto a ISO, queremos estar o mais alinhado possível com as normas e aproveitar os benefícios que essa estruturação nos concede.

Os pilares da segurança

Image for post
Image for post

A segurança da informação baseia-se em 3 pilares, confidencialidade, integridade e disponibilidade. A confidencialidade nos garante que a informação esteja disponível somente às pessoas autorizadas. A integridade nos garante que a informação esteja íntegra, ou seja, completa e no seu estado original. A disponibilidade nos garante que a informação esteja disponível e utilizável no momento que for necessário.

Com esses três pilares teremos uma garantia que nenhum acesso não autorizado poderá ler nossos e-mails, dados, ou qualquer outra informação sigilosa por exemplo.

Ameaça

A ameaça é definido como: quem ou que, pode explorar acidentalmente ou propositalmente alguma vulnerabilidade, atingindo algum dos pilares citados acima. As ameaças podem ser acidentais ou propositais, segue alguns exemplos:

Ameaças acidentais

– Falha de equipamentos;

– Erro humano;

– Natureza.

Ameaças propositais

– Espionagem;

– Crimes;

– Empregados desonestos ou insatisfeitos;

– Vandalismo;

– Terrorismo.

Os ataques mais comuns realizados pela internet:

Explorar vulnerabilidades

Falsificação de emails

Sniffing

Ataque de Força bruta

Ataque de Negação de serviço (DDos)

O que devemos proteger:

Devemos proteger tudo que é de suma importância para as operações do negócio, informações de clientes, informações de mercado, a disponibilidade dos sistemas, etc. Mesmo essas informações não estando em formato digital elas devem ser protegidas pois, informações confidencias podem ser impressas ou faladas para pessoas não autorizadas por exemplo.

Mas acho importante salientar que mesmo estando com seu ambiente tecnológico em perfeitas condições, sem serviços desatualizados, antivírus em dia, senhas fortes, ainda temos um elo fraco dessa corrente, que são as pessoas.

Engenharia social

É a prática utilizada para obter informações importantes por meio das pessoas envolvidas. O atacante consegue retirar informações ou acessos sem mesmo chegar perto de um computador, somente se valendo da má instrução das pessoas.

Image for post
Image for post

O que um ataque a essas informações pode acarretar:

Caso algum dos pilares seja comprometido as consequências podem ser diversas, dependendo do nível da informação e a quem ela pertence. A quebra da segurança pode negativar a imagem da empresa junto ao mercado, perder clientes para os concorrentes devido a perda de confiança, vazamento de informações sobre o negócio comprometendo a continuidade da mesma e é claro, o prejuízo financeiro.

Como nos proteger:

  • Política de segurança: Documento que contém diretrizes para usuários e para a organização referentes a segurança. Descreve políticas de senha, backups, uso de dispositivos, dentre outras orientações;

Aprendendo com quem já errou:

Um caso interessante ocorreu em 1978 no Pacific Bank, quando os bancos usavam “códigos de transferência” para realizar as transferências para dentro ou fora do banco, com esse código não era necessário ir até a agência, bastando realizar uma ligação. Os códigos eram gerados todos os dias.

Porém um funcionário chamado Stanley Mark Rifkin que não estava autorizado a receber os códigos, percebeu que quem recebia esses códigos o anotavam em um papel e o colavam na parede.

Após conseguir chegar ao papel e memorizar o código, foi até um telefone público para ligar para sala de transferências do banco. Se identificou como sendo do Departamento Internacional e solicitou uma transferência de mais de 10 milhões de dólares para um conta em outro banco. Esse foi o maior assalto a banco da época.

Após essa breve introdução é notável que não podemos dar as costas ou fazer pouco caso sobre a segurança da informação. Ela pode nos garantir privacidade e que continuamos aproveitando as vantagens que os avanços tecnológicos nos proporciona.

Caso tenha interesse em saber mais sobre o assunto ou ficou com alguma dúvida, pode entrar em contato que responderemos com prazer. Recomendo também a leitura da Cartilha de Segurança para Internet elaborada pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br).

Acompanhe o Elliot nas redes sociais (@eusouelliot) ou através do nosso site eusouelliot.com

Facebook
Instagram
Twitter
LinkedIn

Eusouelliot

Criando uma nova geração de investidores

Medium is an open platform where 170 million readers come to find insightful and dynamic thinking. Here, expert and undiscovered voices alike dive into the heart of any topic and bring new ideas to the surface. Learn more

Follow the writers, publications, and topics that matter to you, and you’ll see them on your homepage and in your inbox. Explore

If you have a story to tell, knowledge to share, or a perspective to offer — welcome home. It’s easy and free to post your thinking on any topic. Write on Medium

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store