sábado, 16 de junho de 2012

Falhas em Segurança da Informação


Segundo a norma ABNT NBR ISO/IEC 27002:2005, Segurança da Informação é a proteção da informação, ativo essencial para os negócios de uma organização, de vários tipos de ameaças para garantir a continuidade do negócio, minimizar riscos e maximizar os retornos sobre os investimentos. Porém, nem sempre uma organização consegue chegar a ter suas informações 100% seguras. O ideal é que se busque sempre chegar ao máximo de segurança das informações possível.

Apesar do avanço nas técnicas para manter seguras as informações das organizações, ainda há muitas falhas nessas tentativas de segurança. A principal falha é a falta de conhecimento dos usuários que tratam dessas informações. Funcionários sem um devido treinamento representam uma falha na segurança da informação, pois por meio de práticas como Engenharia Social, pode-se conseguir informações sigilosas somente enganando ou explorando a confiança das pessoas. Esses funcionários devem ser capacitados e treinados para passar por essas situações e saber tratar das informações da organização. Quem trabalha com informações como logins e senhas de banco de dados sigilosos, como do governo, por exemplo, não pode deixar esses dados em local pouco seguro e visível a todos os transeuntes.

Mas não basta treinar o pessoal se na sua empresa não possui uma política com normas e procedimentos a serem seguidos para garantir a Segurança da Informação. No exemplo dos dados sigilosos do governo, deve haver uma política de segurança da informação, de preferência que siga algumas normas já internacionalmente difundidas, como as normas ABNT ISO série 27000, e que seja seguida a risca desde o chefe até o funcionário mais simples. Como no caso das senhas, deve haver senhas diferentes para cada funcionário, e que somente dê acesso às informações de suas respectivas funções, sendo trocadas periodicamente, principalmente se o funcionário sair ou for demitido. Por exemplo, um funcionário do Ministério da Saúde não pode ter acesso às informações do Ministério da Fazenda.

A Internet, por mais importante e informativa que seja, também abriga um dos principais perigos para a Segurança da Informação. Além de atrapalhar o andamento do trabalho, funcionários e chefes não devem ter acesso as redes sociais no local de trabalho e realizar downloads de softwares desconhecidos; isso pode ser uma forma de proliferação de informações sigilosas, que vai desde o uso da engenharia social, até a instalação de programas maliciosos que roubam informações sem que sejam percebidos, como os vírus, worms, malwares, etc. Para a instalação de softwares, deve ser requerido ao setor técnico que compre os programas e não ser liberado instalar qualquer coisa por qualquer pessoa. Para evitar malwares e outros programas maliciosos, deve haver antivírus atualizados e firewalls potentes, entre outros meios, que torne possível proteger as informações e a rede. Tudo isso deve constar na Política de Segurança.

Outra falha de segurança está também na segurança física. Deve haver cópias atualizadas dos dados; refrigeração adequada; estrutura de redes adequada; câmeras de segurança; acesso restrito; descarte de informações adequado, etc. Por exemplo, no caso do Governo, quando se descartam papéis e dispositivos de armazenamento contendo dados sigilosos, não se pode simplesmente jogar no lixo. Uma forma de evitar saída de informação sigilosa é haver um descarte apropriado, como incineração desses meios, por exemplo.

Existem mais outras falhas de segurança, como falta de registros de históricos, falta de profissionais qualificados, não existência de gestor de informações, falta de teste de vulnerabilidade, etc. Por fim, para buscar uma melhor forma de proteger as informações de uma organização, deve ser assegurado a Confidencialidade, Integridade e Disponibilidade das informações, de forma adequada. 

3 comentários: