Artigos > Segurança da Informação
 Alex Coletta

Segurança da Informação

O termo segurança da informação muitas vezes vem associado ao uso de técnicas complexas de computação para proteger o acesso à informação. No entanto, vemos que ultimamente, os riscos que corremos, se dão em função de meios muito mais acessíveis que códigos extensos de programas para invasão.

Ouvi de um professor quando fazia a disciplina Segurança da Informação na pós-graduação, que há um ladrão de carros muito famoso que certa vez numa entrevista disse que para ganhar tempo, primeiro ele verifica se a porta do carro já está aberta, ao invés de arrombá-la. Se não houver nenhum carro com a porta aberta, ele então estuda cautelosamente, qual é o automóvel mais fácil de ser invadido, isso é, qual não possui alarme, insulfilm ou qualquer outro acessório que dificulte a entrada. Enfim, resumindo, há meios mais fáceis que estão na nossa vista.

Informação

Informação é um “dado” útil, proveitoso. A informação, não está necessariamente associada ao uso de tecnologia. Podemos ter informações importantíssimas em anotações de caderno, por exemplo. Qual é o meio mais fácil de obter uma senha: tentar quebrar o algoritmo de criptografia, obter um papel onde ela está anotada ou até mesmo “persuadir” uma secretária (sem que esta perceba) a fornecer uma senha?

Ciclo de vida da informação

A proteção ao acesso da informação deve ocorrer em todo seu ciclo de vida: do surgimento ao descarte.  Em todas as fases abaixo, devem ser tomadas medidas para evitar o acesso da informação por pessoas não autorizadas:

  • Criação - criar a informação
  • Processamento - usar a informação
  • Disseminação - distribuir a informação a quem interessar
  • Armazenamento - guardar a informação, por exemplo, numa mídia pendrive ou CD
  • Descarte - uso de fragmentadora de papel para destruir documentos impressos que não serão mais utilizados

Note que muitas vezes nos preocupamos apenas com a proteção na fase de Armazenamento do documento e esquemos que o invasor pode “entrar pela porta da frente” e obter a informação sem o uso de tecnologia avançada. O acesso físico na sua empresa é controlado? Todos conseguem gravar informações em um pendrive ou CD?

Para termos uma informação segura e confiável devemos nos atentar aos seguintes aspectos:

  • Autenticidade – garantia da procedência
  • Integridade – garantia do conteúdo
  • Confidencialidade – garantia de acesso apenas aos autorizados
  • Disponibilidade – informação disponível quando necessária

Risco e Dano

O risco se define pela probabilidade de ocorrer uma perda e o dano é a concretização do risco.

PKIPublic Key Infrastructure

Para assegurar autenticidade, confidencialidade e integridade, podemos utilizar o PKI, que é uma infraestrutura de segurança que faz a gestão de pares de chaves públicas e privadas criptográficas para sistemas que exigem alto nível de segurança.

Autoridade Certificadora

A Autoridade Certificadora emite um certificado atribuindo pares de chaves públicas/privadas criptografadas ao titular. O certificado é como se fosse um RG e a Autoridade Certificadora como se fosse a entidade que vai comprovar que você realmente é quem diz ser e emitir seu RG, através de verificação de documentos, como por exemplo, a certidão de nascimento.

Autoridade de Registro

A Autoridade de Registro verifica se os registros dos documentos são legítimos. Funciona como pedir para autenticar uma cópia no cartório.