Implementação da Política de Segurança

Depois de muito planejamento, após muitas definições, chega à hora de implantar a Política de Segurança, o que não é uma tarefa fácil e pode demorar a se concluir. A dificuldade de colocar em prática se dá por conta da não aceitação e da resistência à mudança (DIAS, 2000). Os usuários dos sistemas nas organizações precisam ser convencidos de que a política passará a fazer parte da cultura da empresa. Tal objetivo pode ser conquistado através do uso de e-mails, painéis e páginas na intranet, se houver uma. Também, pode-se fazer a comunicação através de reuniões de divulgação e conscientização, assim como incorporar a política no programa de integração de novos colaboradores.

Há três princípios básicos para que a política de segurança exista, são eles: prevenir o acesso não autorizado; impedir a quebra da integridade da informação, caso o primeiro princípio seja violado, identificar causas da inconformidade, recuperar perdas e modificar controles para que não se repita a violação da política. (DIAS, 2000).

2.3.3.3.1 Política de senhas

Senha do banco, do cartão de crédito, da rede social, do sistema da empresa, do site de compras coletivas, do celular, etc. De fato, os usuários têm muitas senhas para memorizar, por isso, muitas vezes, acabam utilizando a mesma.

Além das senhas, há também as datas importantes, como aniversário de amigos e parentes, aniversário de namoro ou casamento e tantas outras datas, que misturadas na cabeça das pessoas acabam fazendo parte de suas senhas.

Quando o usuário não utiliza uma senha óbvia e fácil de memorizar, acaba por escrevê-la em algum lugar, um papelzinho que fica em baixo do teclado, uma mensagem de texto salva em seu dispositivo móvel, às vezes, até colada no monitor da estação de trabalho.

Nakamura (2007) afirma que a existência de uma política, que auxilie na escolha de uma senha segura, é de suma importância para garantir que as informações secretas de uma organização não sejam descobertas.

Uma boa política de senhas pode reduzir custos, não somente prevenindo o descobrimento de segredos, mas também na não diminuição da produtividade dos usuários. (NAKAMURA, 2007).

A baixa na produtividade dos usuários pode ser ocasionada pelo esquecimento de uma senha. Se o usuário esquece sua senha de conexão no sistema em que atua para trabalhar, deve haver algum jeito de recuperá-la, o tempo necessário para recuperar a senha esquecida é um tempo perdido de trabalho.

2.3.3.3.2 Ataques que envolvem senhas

Na construção de uma política de senha, devem ser considerados alguns tipos de ataques, que utilizam o descobrimento de senhas para invadir um sistema. Um ataque, neste contexto, é uma tentativa de burlar as regras do sistema (STREBE E PERKINS (2002).

Um ataque já conhecido é o ataque do dicionário, ele é bastante utilizado para descobrir senhas que envolvem apenas letras. Para entender este tipo de ataque, é necessário esclarecer que, em um sistema de computador, um dos modos de armazenar as senhas do usuário é gravá-las em um arquivo.

Um software realiza a codificação de todas as palavras do dicionário e, depois, compara com as senhas do arquivo de senhas, até que a comparação satisfaça uma igualdade. Uma das maneiras de evitar ou minimizar a eficiência deste ataque é utilizar senhas, envolvendo números e caracteres especiais, além de letras. Outra maneira seria o uso de criptografia, que é estudado mais adiante.

Outra forma de descobrir senhas é através da adivinhação, essa técnica é empregada, com sucesso, na descoberta de senhas fracas, isto é, que envolvem nome do cônjuge, nome da empresa, nome do animal doméstico, do time preferido ou datas de aniversário.

Observa-se que, com o aumento do uso de redes sociais, este ataque pode se tornar muito fácil de empregar, pois as pessoas colocam em seus perfis a data de nascimento. Postam fotos com seus animais, amigos e parentes, outras fotos no estádio de futebol do time preferido, em fim, informações relevantes que podem estar empregadas em suas senhas.

Apesar de serem bastante comuns os ataques de adivinhação de senhas, Strebe e Perkins (2002) dizem que é possível defender-se contra eles facilmente.

Um ataque eficiente, porém demorado, é o ataque de força bruta, que consiste em testar todas as possibilidades. Este ataque só é empregado com o auxílio de um software, pois seria inviável alguém tentar todas as combinações possíveis de uma senha apenas digitando. Mesmo com o uso de software, essa técnica pode demorar bastante até obter sucesso.

2.3.3.3.3 Boas práticas na política de senhas

A literatura especifica algumas práticas para serem seguidas, sugestões que auxiliam o usuário a escolher, ou melhor, criar uma senha segura e que ele não esqueça. (NAKAMURA, 2007).

Dentre elas estão:

 redefinir a senha periodicamente;  não utilizar informações pessoais;

 misturar letras, números, caracteres maiúsculos e minúsculos nas senhas;  nunca escrever a senha em lugar algum ou contá-la a alguém;

 não utilizar nomes próprios ou de terceiros;  não utilizar repetição do mesmo dígito ou letra;  utilizar senhas que possam ser digitadas rapidamente;

Já em relação ao sistema que irá gerenciar o acesso dos usuários a bibliografia recomenda:

 armazenar informações dos últimos acessos;

 bloquear acesso se houver mais de 3 ou 5 tentativas falhas, notificando ao administrador do sistema;

 cifrar a transmissão da senha sempre que possível;

 armazenar tentativas com e sem sucesso de mudança de senha.;

 armazenar senhas e informações relativas ao acesso em local diferente da rede interna da organização;

 manter uma forma de contato rápido com os usuários do sistema;

2.3.3.3.4 Política de backup

Para entender o que é uma política de backup, é interessante saber o que é backup, traduzindo do inglês, quer dizer cópia de segurança, caso o original, seja um dado, programa ou informação tenha se perdido ou danificado, há uma cópia para posterior substituição.

Para Ferreira (2012), em uma política de backup, deve ser levado em consideração quais os dados armazenados, a frequência de armazenamento desses dados, que dispositivos de memória armazenam os dados, qual o volume de dados e por quanto tempo precisam ser armazenados. Tudo isso precisa ser analisado e avaliado para saber se a política está sendo seguida, afinal o backup serve para substituição, portanto, tem que ser confiável.