MEDIDAS DE SEGURANÇA

Segundo Caruso(1999) a finalidade da análise do risco econômico para a seguraça é obter a medida da segurança existente em determinado ambiente. A etapa final da análise de risco é a geração do plano de segurança da organização. Qualquer plano de segurança deve ser montado, sob medida, em função da organização para qual se aplica. O enfoque de segurança para cada caso deve ter como preocupações básicas os ítens listados na figura abaixo, relaciona-se as preocupações básicas com as medidas necessárias para evitar ou impedir as ocorrências:

Evitar a ocorrência ou sinistro

Detectar e/ou combater os danos provocados por sinistros. Minimizar os danos, recompondo a função original.

Plano de Segurança (1)

Medidas de Segurança (2)

Plano de Contingência (3)

FIGURA 10 - Preocupações básicas de segurança. Fonte: Caruso(1999)

O Plano de Segurança (1) deve preocupar-se com medidas e procedimentos para que falhas ou sinistros não ocorram e já prover a forma de detecção e combate através das medidas de segurança(2). O plano de contingência(3) deve servir para minimizar os efeitos ou danos ocorridos se o plano de segurança e as medidas de segurança não conseguirem evitá-los.

Caruso(1999) apresenta algumas considerações relacionadas a segurança de ativos de informações, a primeira é a relação custo/benefício. Não se despendem recursos em segurança

Evitar a ocorrência ou sinistro

Detectar ou combater os danos ou sinistros

Minimizar o dano, recompondo a função original

que não tenham retorno à altura, isto é, não se gasta mais dinheiro em proteção do que o valor do ativo a ser protegido. Ainda que existam exceções a essa regra, ela é válida em praticamente todos os casos.

O segundo ponto a ser considerado é que, ainda que o principal fator deva ser a análise da relação custo/benefício, a mesma envolve bom senso. Mesmo nos casos em que não é possível uma análise direta da relação custo/benefício, há meios indiretos de se obterem valores bem próximos dos reais.

Com frequência é difícil identificar, segurança sempre segue parâmetros lógicos, mesmo quando reage a situações de risco criadas por seres humanos; os investimentos relacionados com segurança podem facilmente chegar à casa de milhões de dólares com o consequente custo indireto relacionado. A forma mais eficiente de se efetuar a análise custo/benefício é fazer com que os usuários finais de cada sistema de informações avaliem o valor das mesmas para a organização; quem trabalha com as informações no seu dia-a-dia é o mais indicado para fazer a análise de risco.

FIGURA 11 - Fluxo de análise das ameaças e riscos. Fonte: Caruso(1999)

Ameaças Probabilidade do risco

Peso dado ao risco Avaliação do risco Prioridades da Proteção

Segundo Moreira(2001), medidas de segurança são esforços como procedimentos, software, configurações, hardware e técnicas empregadas para atenuar as vulnerabilidades com o intuito de reduzir a probabilidade de ocorrência da ação de ameaças e, por conseguinte, os incidentes de segurança.

Sêmola(2003) define medidas de segurança como as práticas, procedimentos e os mecanismos usados para a proteção da informação e seus ativos, que podem impedir que ameaças explorem vulnerabilidades, a redução das vulnerabilidades, a limitação do impacto ou minimização do risco de qualquer outra forma. As medidas de segurança são consideradas controles que podem ter as seguintes características:

Preventivas – Medidas de segurança que tem como objetivo evitar que incidentes venham ocorrer. Visam manter a segurança já implementada por meio de mecanismos que estabeleçam a conduta e a ética da segurança na instituição. Como exemplo podemos citar as políticas de segurança, instruções e procedimentos de trabalho, especificação de segurança, campanhas e palestras de conscientização de usuários; ferramentas para implementação da política de segurança (firewall, antivírus, configurações adequadas de roteadores e dos sistemas operacionais). Este tipo de estratégia possui como foco a prevenção da ocorrência de incidentes de segurança. Todos os esforços estão baseados na preocupação e, por esta razão, o conjunto de ferramentas e/ou treinamentos estão voltados para esta necessidade.

Detectáveis – Medidas de segurança que visam identificar condições ou indivíduos causadores de ameaças, a fim de evitar que as mesmas explorem vulnerabilidades. Alguns exemplos são: análise de risco, sistema de detecção de instrução, alertas de segurança, câmeras de vigilância, alarmes. É a estratégia utilizada quando se tem a necessidade de obter auditabilidade, monitoramento e detecção em tempo real de tentativas de invasão. Alguns exemplos segundo Moreira(2001): monitoramento de ataques; controle sobre os recursos; controle das atividades de usuários; auditoria em logs, documentação.

FIGURA 12 - Medidas de Detecção Fonte: Moreira(2001)

Corretivas – Ações voltadas à correção de uma estrutura tecnológica e humana para que as mesmas se adaptem às condições de segurança estabelecidas pela instituição, ou voltadas à redução dos impactos: equipes para emergências, restauração de backup, plano de continuidade operacional, plano de recuperação de desastres.

Muitas das medidas de segurança podem possuir mais uma característica, isto é, um plano de continuidade de negócios, é tanto um ação preventiva (quando da sua criação) quanto uma corretiva (quando da sua aplicação). Logo, esta categorização serve apenas para identificação do foco que o trabalho de segurança está se propondo, quando o mesmo está sendo realizado.

Medidas corretivas segundo Moreira(2001) suplementam uma estratégia de correção/ continuidade, ou seja, propõem mecanismos e procedimentos necessários para a recuperação e a continuidade das operações de uma empresa.

FIGURA 13 – Medidas de Segurança Corretiva Fonte: Moreira(2001)