Segurança da Informação

Tomou-se como referencial teórico em Políticas de Segurança da Informação os autores Nakamura e Geus (2007), ABNT, Fontes (2011), Sêmola (2003), Ferreira e Araújo (2008).

Informação, conforme Sêmola (2003) demanda um conjunto de dados utilizados para a troca de mensagens em procedimentos comunicativos ou de negócios. Assim são dados que podem ser manipulados ou adulterados por inúmeros fatores deste processo. Ou seja, alvos da segurança da informação.

Já a segurança da informação, de acordo com Sêmola (2003), tem como objetivo manter as premissas: a confidencialidade, integridade e disponibilidade. A confidencialidade é toda a informação que deve ser preservada de acordo com seu grau de importância, limitando o acesso somente a quem destina-se; a integridade é toda a informação que deve manter a condição original disponibilizada pelo proprietário, visando protegê-la contra alterações e modificações sendo que a disponibilidade provê toda a informação produzida ou obtida por um usuário ou organização que deva estar disponível no momento em que os mesmos necessitem para qualquer aplicação.

Na visão de Fontes (2011), para que as políticas e normas da segurança da informação tenham eficácia na organização necessita-se

que sejam divulgadas e informadas a todos os envolvidos no processo, com treinamento e capacitação dos mesmos. O gestor da segurança deve levantar as necessidades, indicar os controles, indicar os riscos referentes a segurança e integridade da informação, determinando junto à administração da organização o tipo de armazenamento, tempo de retenção das informações e a acessibilidade.

2.1. Backups e suas variações

São métodos de prevenção de desastre na perda de informações (Nemeth e Snyder e Hein, 2007). As ferramentas nativas dos sistemas operacionais possuem suas funcionalidades reduzidas, dificultando ou impossibilitando a realização de cópias de segurança de diversos servidores, clientes em apenas um ou mais “storage” de acordo com Faria (2010). De tal forma o emprego de uma ferramenta proprietária angaria custos de licenciamento e custo da implementação. Outra opção são ferramentas gratuitas.

Segundo Valle (2010), cabe ao administrador/gestor da rede através da análise das necessidades da organização, definir o tipo de cópia a ser adotado. Ferreira e Araújo (2008) corroboram que a escolha do tipo de backup é acompanhada de algumas indagações: qual o tempo de armazenamento; o que deve ser guardado; que dados devem ser copiados; a velocidade da informação; qual o impacto e a relevância para organização ocasionada pela perca das informações. Lembra que estas ações devem ser incorporadas na rotina de funcionamento da organização e recomenda também que as mídias de armazenamento, as cópias para restaurações futuras devam ser armazenadas em local físico diferente dos equipamentos geradores originais. Os três tipos de backups principais são: total, incremental e diferencial.

Relata Valle (2010) os backups totais efetuam a captura total das informações, incluindo todas as unidades do disco rígido. Os backups incrementais capturam todas as informações que foram alteradas a partir do último backup total ou incremental, utiliza uma fita de backup total, não importando o tempo em que foi criada. Terminando nas definições de Valle (2010), backups diferenciais capturam as informações alteradas após o último backup total. O Quadro 1 descreve a vantagem e desvantagem de cada tipo de backup.

Quadro 1. Vantagem e Desvantagem

Tipo de Backup Vantagem Desvantagem

Total

Cópia total dos dados escolhidos ou da mídia inteira.

Dados redundantes.

Incremental

Uso eficiente do tempo, pois cópia apenas os dados alterados no último

backup.

A restauração complexa, pois necessita do conjunto de fitas para completa restauração.

Diferencial Rápida restauração.

Necessita sempre de dois

Backups (Um Total e o

ultimo diferencial)

Fonte: Os autores (2015).

Assim, os tipos de backups citados, selecionam-se em total e o diferencial. O total na afirmação de Faria (2010) é o primeiro padrão a ser adotado no início do ciclo de backup, pois nele são copiados todos os arquivos definidos pelo administrador. O diferencial se dá na menor capacidade de armazenamento e backups mais rápidos, tendo como vantagem as restaurações menos complexas que com o tipo incremental, pois exige um backup total e o último diferencial.

2.2. Políticas de Segurança da Informação

A ABNT NBR ISO 27001 determina normas e procedimentos da segurança da informação à serem seguidos, abordando processos para estabelecer, implementar, monitorar, operar os SGSI. Os requisitos da norma são generalizados e propostos de aplicação em todas as organizações, independente do tipo, tamanho ou natureza com escalabilidade.

As regras, os responsáveis, os envolvidos no processo de implementação da Política de Segurança da organização devem estar todos descritos e documentados no projeto, para garantir a integridade e a continuação do negócio, caso ocorra a substituição de um dos integrantes ou responsáveis pelos projetos, segundo descreve Nakamura e Geus (2007). Na visão de Fontes (2011), para que as políticas e normas tenham eficácia na organização necessita-se que

sejam divulgadas e informadas a todos os envolvidos no processo, com treinamento e capacitação. O gestor da segurança deve levantar as necessidades, indicar os controles, indicar os riscos referentes a segurança e integridade da informação, determinando junto a administração da organização o tipo de armazenamento, a guarda das informações e a acessibilidade.

A ISO 27001 na abordagem de processo da Segurança da Informação enfatiza a importância de etapas dirigidas no referendo cópias de segurança ditando que o objetivo é garantir a integridade, disponibilidade dos dados e dos recursos de processamento. As cópias devem ser efetuadas dentro das normas e testadas regularmente. De acordo com Fontes (2011), toda a informação necessária para o funcionamento da organização deve possuir ao menos uma cópia de segurança atualizada e estar armazenada em local seguro, capaz de garantir a continuidade do negócio no caso de pane do original, mantendo os aspectos legais. As medidas de prevenção e recuperação de dados para desastres e contingência devem ser permanentes, considerando os recursos de tecnologia, humanos e de infra-instrutura.

2.3. Ferramentas Analisadas

Através de trabalhos relacionados verificou-se as ferramentas: Rsync, BackupPc como softwares gratuitos e softwares pagos como: Arcserve e TSM exemplificando softwares de backups. Porém optou-se por dois softwares: o Bacula e o Amanda por serem os mais difundidos, licenciados gratuitamente e estarem em constante desenvolvimento, entretanto possui suas versões pagas diferenciadas pelo serviço de suporte. O Bacula adquiriu-se no site do projeto http://www.bacula.org, tendo Kern Sibbald como o seu criador e um dos atuais desenvolvedores. E a segunda ferramenta é o software Amanda adquirido no site www.amanda.org. A escolha desta ferramenta intensificou-se pelo fato de possuir funcionalidades comparáveis ao Bacula, tem suas últimas versões clientes e servidor disponíveis para sistemas Linux. No Windows há disponibilidade somente para clientes.

2.3.1. Bacula

Bacula de acordo com o Sibbald (2014) é um sistema de rede voltado a fazer backup de maneira fácil, consistente e a custo zero de licenciamento.

“É um conjunto de programas de computador que permite ao