Contexto da Segurança

A Informação é um recurso que, como outros importantes recursos de negócio, tem valor para a organização e consequentemente necessita de ser devidamente protegida. Existe em diversas formas e formatos e pode ser impressa ou escrita em papel, guardada electronicamente,

Ambiente

Domínio

Organização

Actividades

36

transmitida por correio ou por meios electrónicos, apresentada em filme, ou transmitida por diálogos. Qualquer peça de informação pode ser perdida ou danificada através de inúmeras quebras de segurança. De acordo com Pfleeger [10], algumas das quebras da segurança surgem quando a Informação está exposta e sujeita a qualquer tipo de ameaça. Demasiada exposição pode sujeitar a revelação não autorizada de dados ou a modificação destes num ambiente sensível se, durante um ataque, forem encontradas vulnerabilidades - fraquezas encontradas num sistema de segurança e que podem ser exploradas.

2.2.1. A Segurança da Informação

Tal como outros recursos, a segurança da informação pode ser caracterizada por ter características únicas. O objectivo em promover a Segurança da Informação é para reforçar que se mantenham as características de máxima Confidencialidade, Integridade e Disponibilidade, qualquer que seja a forma e a pertinência que a informação possua e o meio na qual é partilhada [9] (figura 2).

Figura 2: dimensões da segurança da informação

Confidencialidade: Assegurar que a informação é acedida somente por quem está autorizado a aceder (figura 3).

37

Integridade: Salvaguarda da veracidade e complementaridade da informação tal como dos métodos no qual deve ser processada (figura 4).

Figura 4: Integridade dos dados

Disponibilidade: Garantir que só devidamente autorizados, sempre que necessitam, têm acesso à informação e recursos associados (figura 5).

Figura 5: Disponibilidade dos dados

Existem outras propriedades da segurança que podem complementar as anteriores tais como a autenticidade, utilidade e posse que não substituem a confidencialidade, integridade e disponibilidade mas podem complementa-las [11]. Neste contexto também a ISO possui algumas normas que caracterizam a segurança da informação. Por exemplo a ISO7498/215 no qual a definição da Segurança da Informação se identifica por ter cinco características principais:

15

ISO7498, parte 2 : Information processing systems -- Open Systems Interconnection -- Basic Reference Model -- Part 2: Security Architecture

38

identificação, autenticação, confidencialidade, integridade e não repudiação. Para a ISO/IEC

27002 a definição de Segurança da Informação é a “preservação da confidencialidade, integridade e disponibilidade da informação através da implementação de um conjunto de controlos ajustados, que podem ser políticas, práticas, procedimentos ou até mesmo funções de software”. O caminho para a Segurança da Informação pode ser realizado através da implementação de um conjunto de controlos tais como as políticas, práticas, procedimentos, mudança nas estruturas organizacionais com a ajuda de funções de software e hardware. No entanto a forma de tratamento das actividades direccionadas à Segurança da Informação devem ser assumidas como actividades de gestão.

2.2.2. A Gestão da Segurança da Informação

A gestão da Segurança da Informação é uma actividade em crescimento em todas as áreas de negócio afectando a todos os níveis todas as posições na gestão das empresas desde o utilizador final até às administrações. Todos os funcionários numa organização deveriam compreender a importância da Segurança da Informação bem como que actos de negligência ou má conduta o podem penalizar. Para isso é importante que sejam conhecidos os riscos, ameaças e vulnerabilidades da organização quando sujeitas a ataques. De forma a gerir os riscos a gestão da Segurança da Informação dever ser proactiva no terreno, especialmente no inicio de desenvolvimento e/ou implementação de processos de negócio.

Quando uma organização está sensível em investir num modelo de segurança para proteger a sua informação, existe falta de informação estruturada sobre de que métodos dispõe e que métricas devem ser utilizadas. Normalmente, estas medidas podem ser adoptadas fazendo uso de frameworks com características de segurança. No entanto, com base nas respostas para as próximas para questões, e que se pretendem ver apuradas durante este estudo, será mais claro compreender os benefícios e estruturar os conceitos que estão subjacentes à utilização de modelos de gestão da segurança da informação.

 Quais serão as melhores práticas para implementar a Gestão da Segurança na minha organização?

39

 Quais as melhores práticas de protecção dos recursos de informação da empresa?

 Como podemos comparar os esforços de protecção da informação na organização com o melhor que a indústria tem para oferecer?

 Como se pode extrair visibilidade dos investimentos introduzidos na segurança e qual o retorno para a minha organização?

Estas e outras questões são esclarecidas nos próximos capítulos. É no entanto importante ter em conta que o estudo foi baseado nos pressupostos de que a gestão da segurança da informação é um problema de negócio e não de tecnologias e que a ISO/IEC 27001 é a única norma de certificação de gestão de Segurança da Informação para as organizações (figura 6).

Segurança das Tecnologias

Firewall

Vírus, worms Intrusão Detecção Gestão S.O. (hardening)

Encriptação Segurança da Informação Propriedade intelectual Integridade no negócio Integridade financeira Aspectos legais Abuso por infiltração

Privacidade Confidencialidade

Figura 6: A Segurança da Informação como um problema de negócio

2.2.3. Segurança na Informação de Saúde

Proteger a privacidade da informação é o princípio básico a ter-se em conta para a troca de informação clínica. O controlo de acessos é normalmente considerado como o coração da segurança dos acessos aos computadores. O tipo de controlo de acesso mais utilizado na indústria e também na preservação da informação clínica é o acesso restrito ou controlado ao espaço físico e mediante credenciais com níveis de confiança aceitável, ou evidências de que por direito o utilizador pode ter acesso à informação. No que respeita à informação em formato electrónico um dos mecanismos mais utilizados para o controlo de acessos é o MAC -

40

Mandatory Access Control que obriga a que todos os profissionais, que tenham privilégios de

acesso e manipulem informação de saúde, sigam um conjunto de regras, definidas numa ACL16, pelo gestor interno da informação clínica. O MAC permite um controlo dos recursos, e a que nível, podem ou devem ser acedidos por utilizadores ou processos [12]. O acesso à informação clínica seja em que formato esteja, deve seguir rigorosas regras estabelecidas e sobre um principal responsável pela gestão da informação clínica. No caso de um processo clínico electrónico o nível de acesso mais importante é o que regula o acesso a aplicações baseado nas funções dos utilizadores mediante um perfil [13]. Segundo um estudo do CINTESIS17 [14], foram realizados alguns testes de análise que comprovaram uma grande tendência para a partilha de credenciais de acesso entre os profissionais de saúde. Este estudo apresenta o conjunto de vulnerabilidades existentes através da má utilização das credenciais de acesso. Para assegurar a privacidade, o mínimo de controlos que devem ser implementados devem iniciar-se logo na concepção do recurso que vai permitir o acesso à informação (seja físico ou lógico) sempre baseados no conceito de minimum need to know ou Access18 e de preferência baseados num RBAC (Role-Based Access Control) que é análogo ao MAC, mas em vez de ter as permissões associadas aos níveis de segurança de cada utilizador, as permissões estão associadas às funções que desempenha.