Segurança da Informação: Guia Essencial de Conceitos
Classificado em Computação
Escrito em em 
português com um tamanho de 6,97 KB
A Importância da Informação e os Riscos Atuais
Cada vez mais as empresas dependem ostensivamente de informação. A informação só tem valor para a empresa quando está circulando.
Os riscos tendem a aumentar, pois é necessário compartilhar informação para que ela tenha valor. O ambiente cada vez mais interconectado é um facilitador para o aumento dos riscos de segurança.
Mitos da Segurança da Informação
Existem falsas crenças que muitas vezes temos a tendência de acreditar, o que leva a certos comportamentos que nos tornam propensos a sofrer ataques. Por exemplo:
- Achar que "nunca acontecerá com você".
- Acreditar que "segurança é um luxo para quem tem dinheiro".
- Pensar que "somente a TI irá cuidar da segurança".
Investimento em Segurança: Humano, Físico e Tecnológico
Investimentos devem acontecer não somente na área tecnológica, mas também nas áreas humana e física. Isso inclui dar treinamentos, conscientizar as pessoas, produzir regras e convencer que são vitais para a empresa, com o intuito de fortalecer a segurança.
Investimento x Despesa
Investimento: Em momentos de crise, não se descarta.
Despesa: Em momentos de crise, é descartada.
A segurança só existe se você olha para todos os lados, com uma visão 360 graus.
Pilares da Segurança da Informação
A segurança da informação é sustentada por princípios fundamentais:
Confidencialidade
Significa que a informação tem um grau de sigilo adequado aos seus participantes. Se outra pessoa entrar no circuito, ela não terá acesso à informação. A informação só deve ser acessível ao destinatário autorizado.
Integridade
Significa que a informação não sofrerá alterações indevidas. Se sofrer alguma alteração, pode causar grande estrago.
Disponibilidade
Refere-se ao acesso à informação pelo usuário. O usuário deve ter acesso à informação no momento em que precisar.
Autenticidade
Implica a integridade: diz respeito à autoria. Você tem certeza de que a informação veio de quem ela diz que veio.
Legalidade
Diz respeito ao fato de que a informação não pode infringir nenhum aspecto legal, regimental ou normativo em vigor.
Ciclo de Vida da Informação
É fundamental entender o que acontece com a informação desde quando ela nasce até quando deixa de ser importante.
Manuseio
Toda a parte de criação da informação, que pode ocorrer em um PC, site, celular, etc.
Armazenamento
A informação em repouso, podendo ser armazenada em vários meios, como cofres, servidores, gavetas.
Transporte
Quando a mensagem é enviada, ela está em trânsito para o destinatário, seja por carta lacrada, e-mail, FTP, etc.
Descarte
Quando a informação perde a utilidade e chega ao fim da vida útil.
O Que São Hackers e Seus Tipos
São especialistas que têm a habilidade de descobrir furos e falhas de sistema. Não se pode definir se são bons ou maus, pois podem usar o conhecimento para ambos os fins.
Cracker
Possui intenções claramente maliciosas (uma instância do hacker).
Engenharia Social
É a arte de usar os sentimentos humanos e artifícios para chegar até as pessoas e persuadi-las a fazer algo que você deseja, que em situações normais elas não fariam. É eficaz porque muitas vezes as pessoas não estão preparadas para isso.
Visão do Iceberg na Segurança
Uma analogia com um iceberg, onde somente 1/5 está visível. Com isso, as pessoas tendem a ver a segurança da informação apenas pelo lado visível (antivírus, firewall) e esquecem de olhar o outro lado, que é muito maior e mais complexo.
Vulnerabilidades x Ameaças
Vulnerabilidade
Uma fraqueza sua, do sistema ou da empresa, um ponto fraco que pode levar a um incidente. É possível controlar.
Ameaça
Elemento externo e malicioso que tentará causar um incidente e, para isso, buscará uma vulnerabilidade.
ROI da Segurança
O Retorno Sobre Investimento (ROI) é uma ferramenta que investidores e empresários utilizam para verificar se terão retorno sobre o investimento. Tratar a segurança como um ROI é uma forma de transformá-la em investimento, não em despesa.
Posicionamento Hierárquico da Segurança
Refere-se a onde a área de segurança se posiciona no organograma da empresa. É um erro colocá-la abaixo da diretoria de TI, pois isso gera a visão de que segurança é TI, e TI é segurança. Isso acarreta problemas como:
- Visão: Apenas se preocupará com a área tecnológica.
- Poder: Autoridade limitada ao seu setor.
- Orçamento: Dependerá apenas do setor onde está alocada.
Risco Tendendo a Zero
Na segurança, não existe risco zero. Não há como chegar totalmente a zero, mas podemos tender a zero ou a um risco que seja suportável.
ISO 17799 (ISO/IEC 27002)
Possui uma série de controles, recomendações e boas práticas de segurança. Não impõe, apenas recomenda.
Parte 1: Equivalente à ISO 17799 (atual ISO/IEC 27002)
Contém as diretrizes e boas práticas.
Parte 2: Processo de Certificação (ISO/IEC 27001)
Estabelece o processo de certificação para implementar um sistema de gestão de segurança da informação.
Ferramentas de Autenticação
São usadas para saber se as pessoas com quem se está em contato são realmente quem se espera que sejam.
Diferença entre Criptografia Simétrica e Chave Pública
Criptografia Simétrica
A mesma chave que cifra é usada na decifração. Ambos os lados devem conhecer a chave, pois possuem a mesma chave.
- Problema: É necessário ter uma forma segura de combinar a chave.
- Não garante: Assinatura.
- Vantagem: O algoritmo é mais rápido.
Criptografia de Chave Pública (Assimétrica)
Mais segura. Cria-se um par de chaves gerado por um algoritmo, e essas duas chaves são relacionadas entre si por uma relação matemática, de tal maneira que o que é criptografado com uma chave, é descriptografado com a outra. Garante autenticidade.
Conceitos Relacionados à Criptografia
Assinatura Digital
Ato de criptografar uma mensagem com sua chave privada.
Certificado Digital
É a sua chave pública assinada por uma autoridade certificadora.
Cria-se uma hierarquia para que uma autoridade confie na outra. Trocam-se certificados para comprovar a confiança mútua.