4.4 SW Phase
4.4.5 Comparison of Spin and Helicity Basis Results
A San Francisco State University (1991, p. 2) define o propósito da Segurança de Computadores como sendo a proteção do local onde está o computador, seu hardware, software e dados nele armazenados. A responsabilidade desta tarefa deve ser compartilhada por todos os usuários que utilizam a rede de computadores. Segundo esta universidade, a segurança perfeita é algo inatingível. Assim sendo, a meta da segurança de informação é prevenir ou reduzir a probabilidade de dano ao hardware, software e aos dados. Esses danos podem ser provenientes de mau uso, dano acidental ou proposital, vandalismo, invasão intencional, fraude e sabotagem, bem como desastres por fogo, água, terremotos e furacões.
Para o CIT (2000, p. 3), a segurança de computadores serve para “proteger contra invasores externos que estejam com a intenção de penetrar nos sistemas para roubar informações sensíveis, e que existem inúmeros outros perigos imediatos – tais como partilhar com amigos a password ou deixar de fazer back-up de um disco importante – que são mais prováveis de causar problemas no dia-a-dia”.
Segundo a NBR ISO/IEC 17799 (2001, p. 2), a segurança da informação é caracterizada pela preservação de:
y
confidencialidade: garantia de que a informação é acessível somente por pessoasautorizadas a terem acesso;
y
integridade: salvaguarda da exatidão e completeza da informação e dos métodos dey
disponibilidade: garantia de que os usuários autorizados obtenham acesso àinformação e aos ativos correspondentes sempre que necessário.
Em consonância com a NBR ISO/IEC 17799, MOREIRA (2001, p. 9) cita que o objetivo da segurança da informação é a busca da disponibilidade, confidencialidade e integridade dos seus recursos e da própria informação. A disponibilidade dos recursos consiste em disponibilizar os sistemas e informações para a pessoa certa e no momento certo em que ela precisar. A integridade consiste em proteger a informação contra qualquer tipo de alteração sem a autorização explícita do autor da mesma.
Em relação à integridade, o mesmo autor cita que a perda de integridade pode ser intencional ou não. Quando uma empresa perde uma informação, além do valor desta, a empresa deverá levar em conta o custo de sua recriação, substituição ou até mesmo de sua restauração. Independente da forma ou motivo surge a questão: qual o custo financeiro para recuperar ou reconstruir os dados alterados?
Em relação a confidencialidade, ainda MOREIRA (2001, p. 10) define como sendo “a propriedade que visa manter o sigilo, o segredo ou a privacidade das informações evitando que pessoas, entidades ou programas não-autorizados tenham acesso às mesmas”. A perda de confidencialidade existe quando pessoas não-autorizadas obtém acessos às informações confidenciais e passam a revelar a terceiros.
COX (2001, p. 1) salienta que, a despeito da segurança de dados ser um campo bastante complexo com inúmeros componentes, os aspectos gerais listados no quadro 2.3 são válidos para qualquer tipo da função de segurança de dados.
Função Características
prevenção
(evitar intrusões e danos correlatos)
y
proteção de hardware: normalmente chamado de segurança física, é de vitalimportância. Negando acessos físicos não-autorizados a infra-estrutura da rede, previne-se de possíveis roubos de dados, desligamento de equipamentos e demais danos possíveis quando se está fisicamente no local.
y
proteção de arquivos e dados: providenciado por autenticação, controle de acesso e software antivírus atualizado. No processo de autenticação, é verificado se quem está pedindo acesso é realmente quem diz ser. No processo de controle de acesso, só são disponibilizadas as transações realmente pertinentes a essa pessoa.y
proteção do perímetro da rede: ferramentas firewall cuidam desse aspecto,detecção (ter o sistema em condições de tentar evitar as invasões quando elas ocorrem)
y
alertas: sistemas de detecção de intrusos (IDS - Intrusion Detection System) podemavisar os administradores e responsáveis pela segurança da rede a qualquer sinal de invasão ou mudança suspeita no comportamento da rede que pareça um padrão de ataque ou mude o comportamento normal da rede.
y
auditoria: periodicamente deve-se analisar os componentes críticos do sistema aprocura de mudanças suspeitas. Esse processo pode ser realizado por ferramentas que procuram, por exemplo, modificações no tamanho nos arquivos de senhas, usuários com inatividade longa, etc.
recuperação
(ter a habilidade de recuperar qualquer prejuízo
causado por uma invasão)
y
cópia de segurança dos dados (back-up): manter completo, atualizado e testado, back-up dos dados em meio diferente e separado dos servidores.y
aplicação para realizar o back-up: ferramentas que proporcionem recuperação rápidados dados do back-up.
y
back-up do hardware: a compra ou utilização de back-up de hardware podem ser justificados levando-se em conta o custo de uma parada do sistema e a importância da informática para a organização.Quadro 2.3 - Aspectos gerais da função segurança de dados Fonte: COX, 2003, p. 1-4.
GIL (1995, p. 33) cita ser sempre importante destacar os seguintes aspectos de segurança:
y
a segurança da informação é responsabilidade de todos os profissionais da empresa;y
a análise de segurança em informática implica correlacionar as medidas de segurança com as ameaças e situações de insegurança em cada local físico que compõe o ambiente de informática;y
é imprescindível se obter a participação e a cumplicidade de todas as áreas, para a busca de consenso quanto à autenticidade do Plano de Segurança e Contingência, garantindo desta forma o comprometimento de todos;y
a insegurança ocorrida em uma área produtiva pode ocorrer em outras áreas empresariais.SZUBA (1998, p. 7) alerta:
“... a finalidade da segurança de sistemas não é colocar todos os dados confidenciais da organização em um sistema impenetrável, de tal forma que até mesmo os usuários autorizados tenham dificuldade de acessá-los. A real finalidade da segurança da informação é proteger as informações e os sistemas sem desnecessariamente limitar sua utilidade. Os sistemas não devem ser tão seguros de tal forma que os usuários autorizados não possam acessar os dados necessários para a execução de suas tarefas: afinal de contas, o único propósito para manter as informações em ambientes seguros, é a plena utilização pelos
Finalizando, a empresa BR DATA Network Security (2003, p. 2) detalha os objetivos da segurança da informação como a seguir:
y
manter a confiança de clientes, parceiros e acionistas da organização;y
proteger a confidencialidade, integridade e a disponibilidade das informações da organização;y
evitar responsabilizações por ações ilegais ou maliciosas cometidas através dos sistemas da organização;y
evitar fraudes;y
evitar incidentes custosos ou que causem interrupção nos negócios da empresa;• evitar abusos na utilização dos recursos de informação disponibilizados pela organização.