O
termo Segurança Computacional e seus correlatos, comoSegurança da In- formação, Segurança de TI, ou Segurança em Redes de Computadores, sãomuito utilizados atualmente, mas sem uma consciência exata a que se refe- rem. Isso ocorre principalmente porque existe uma consciência da necessi- dade de Segurança Computacional, mas sem uma real avaliação do que isso implica. Assim, é preciso estar atento a qual significado os termos estão sendo utilizados. Dada a relatividade dos termos, é preciso refletir sobre quais ítens devem ser levados em conta ao abordar essa questão. Em geral, é possível destacar os seguintes elementos de um ambiente computacional, sob o ponto de vista da segurança:
Confiança: É possível confiar na disponibilidade do sistema? Os dados arma- zenados vão estar acessíveis quando forem necessários? Os mecanismos de backups são suficientes para garantir que as informações armazena- das possam ser recuperadas com facilidade em caso de problemas? Integridade: Os dados recuperados são confiáveis? Como garantir que as
informações não foram alteradas na fonte ou no tráfego de dados? Como garantir que o que foi acessado é idêntico ao que foi armazenado?
Confidencialidade: Como certificar que os dados só podem ser acessados por quem de direito? Como garantir a privacidade dos usuários e dos dados? Como impedir a espionagem de informações?
Custo/Benefício: Qual o custo das soluções de segurança adequadas ao am- biente? Qual abordagem possibilita melhor aproveitamento dos recur- sos? Qual solução otimiza os investimentos?
Essas questões irão chamar o administrador para a necessidade de refle- tir a respeito: “o que é segurança computacional em meu ambiente?”. Dessa maneira, o elemento inicial mais importante para garantir segurança em uma rede de computadores é o estabelecimento de uma política de segurança. En- quanto a instituição não define o que é mais importante para o estabeleci- mento da segurança computacional em seu ambiente, as atitudes são tomadas sem a devida consciência e sem garantir um mínimo desejável de segurança:
Uma Política de Segurança incorpora os resultados de uma análise de risco em um plano que providencia procedimentos para gerenciar um ambiente computacional. Em particular, ela fornece ao administrador do sistema li- nhas operacionais para o ambiente, tais como regras para o gerenciamento de contas de usuários, procedimentos de instalação de sistemas ...
(MANN; MITCHELL,2000, p.14)
Uma política de segurança é um conjunto de leis, regras e práticas que regulam como uma organização gerencia, protege e distribui suas infor- mações e recursos. Um dado sistema é considerado seguro em relação a uma política de segurança, caso garanta o cumprimento das leis, regras e práticas definidas nessa política.
É a política de segurança que vai deixar claro o que deve ter acesso restrito e o que pode ser liberado sem problemas. É ela que define quais são os ítens que precisam ser preservados, bem como quais são as pessoas que têm acesso a determinados recursos. Sem uma política de segurança clara, não se sabe o que vai se proteger, nem porque ou qual a melhor forma.
Uma boa política de segurança irá definir, por exemplo, como será estabe- lecida a política de uso. Essa política de uso é responsável por deixar claro o que o usuário pode e não pode fazer com determinados recursos. Em geral, tal política é um documento a ser assinado pelo usuário em questão. Uma política de segurança deve possuir as seguintes características:
• ser implementável através de procedimentos de administração de sis- tema, regras de uso, ou outros métodos apropriados;
• ser reforçada com ferramentas de segurança e sanções;
• definir claramente as áreas de responsabilidade para usuários e admi- nistradores do sistema.
Dessa maneira, atentando-se para essas diretrizes, é possível elaborar uma política de segurança válida para o ambiente em questão. Além disso, é im- prescindível que a política de segurança atente-se para os seguintes ítens: Segurança física: Como os equipamentos da instituição em questão serão
protegidos? Como garantir a integridade física dos dados? Como garan- tir que não haverá acesso físico a dados que deveriam estar protegidos? Esse ítem é mais importante do que se imagina: de nada adianta senhas no hardware ou bem elaboradas, se qualquer funcionário recém demitido pode roubar o disco rígido do servidor para vender ao concorrente.
Segurança lógica: Como garantir integridade lógica dos dados? Como os da- dos da instituição em questão serão protegidos? Como garantir que não haverá acesso lógico indevido a dados? Quais são os dados mais impor- tantes? Os casos de invasões tem-se tornado cada vez mais freqüentes e é imprescindível estar atento a isso.
Privacidade: O que fazer para proteger a privacidade dos usuários? A ins- tituição irá proteger essa privacidade? Observe que a instituição deve estar atenta aos aspectos legais dessa questão.
Legalidade de Software: Como garantir um bom uso dos recursos, impe- dindo a pirataria? A responsabilidade pelos aplicativos instalados é de quem? da empresa? do usuário? Isso precisa estar claro em algum documento da política de segurança.
Além disso, é imprescindível que o administrador pratique vigilância e per- severança, assumindo sempre que os mal-intencionados sabem mais que ele. A adoção de uma política de segurança irá, na maioria das vezes, implicar em perda de performance ou conveniência do usuário. Alguns serviços devem ser evitados e isso gera problemas para usuários mais inexperientes. Além disso, o tráfego criptografado ocupa maior largura de banda, diminuindo a velocidade de transmissão de dados. Assim, deve-se pesar os prós e contras de qualquer atitude envolvendo segurança antes de implementá-la.
Em geral, a política de segurança da maior parte das instituições consiste das normas de uso dos recursos e uma política de uso. A política de uso é um documento que deixa claro o que o usuário pode e não pode fazer com os recursos dentro da instituição. Para garantir validade jurídica desse do- cumento, é recomendável a sua validação pela assinatura do usuário ou em contrato coletivo de trabalho. Obviamente, dependendo do tamanho da em- presa em questão, a política de segurança será baseada em normas formais, como a NBR ISO/IEC 27002 (ABNT,2005).
É importante destacar que uma política de segurança deve estipular uma série de práticas para sua adequada implementação, incluindo uma série de diretrizes técnicas. Por exemplo, a política de segurança deve definir como serão efetuadas as cópias de segurança e com qual periodicidade. Além disso, qual estratégia a ser adotada no controle de acesso aos dados e serviços, destacando-se o uso de firewalls para filtrar o acesso aos recursos. A política também deve apontar quais mecanismos adotar para a transferência segura de dados em trânsito, o que é feito geralmente com o uso de criptografia.