Leitores, quanto tempo, eu sei, estou meio ocupado, porém prometo que não vou parar de postar, mesmo que sejam menos posts.
Hoje vou falar sobre segurança da informação, tentando fazer uma abordagem mais ampla do assunto e seus pilares. Não pretendo esgotar o assunto que é sem sombra de dúvidas extenso, mas provocar uma reflexão.
Introdução
Atualmente a segurança da informação não é só uma coisa de paranoicos e de malucos, ela está (ou deveria) estar presente em nosso dia a dia. Ela não é só preocupação de empresas mas sim de pessoas como eu e você, afinal como diz uma frase: "Um incidente de segurança está diretamente relacionado com prejuízos financeiros, sejam eles devidos à parada de um sistema por conta de um vírus, ao furto de uma informação confidencial ou à perda de uma informação importante.", a essa frase acrescento que os prejuízos podem sim ser morais e de imagem, pois incidentes envolvendo informações pessoais podem e levam a problemas do tipo.
Quem já passou por isso sabe como é, se você (felizmente) não passou por isso, imagine uma pessoa mal intencionada em poder de seu cartão de crédito e a respectiva senha, o estrago vai ser grande, pior, agora imagine que todos os seus dados como nome completo, CPF, identidade, cartões de crédito, endereços, e-mails e tudo mais que for possível pegar, com as senhas estiverem em poder de ladrões, com certeza coisa boa não vão fazer com eles, ai que a segurança entra.
Mudança de abordagem
Geralmente a imagem que se tem é que adjetivos como reativa, corretiva, individual, isolada, dispendiosa (em relação à dinheiro e tempo) podem definir o setor de SI (Segurança da Informação), porém isso deve mudar para proativa, preventiva, colaborativa, integrada, ser investimento (em relação à dinheiro e tempo), pois essas últimas são as que realente definem um setor de SI de forma correta.
A SI sempre tem de estar um passo a frente de todos, pois ela não é só tecnologia é um negócio, logo, prevenir é melhor que remediar, investir em SI é poder ficar mais tranquilo e logicamente seguro. Porém não é simples o trabalho que as pessoas envolvidas com a SI tem de realizar, pois metas e pressão fazem parte do dia a dia. Para que tudo fique mais fácil é possível trabalhar com as ferramentas certas, que ajudarão pessoas a realizar processos corretos e então todos poderem contribuir.
Em outras palavras, as pessoas precisam de capacitação, cultura e conscientização para operar as ferramentas que são recursos físicos e lógicos, com a finalidade de estar em harmonia com os processos, suas metodologias, normas e procedimentos.
O elo fraco do sistema
Entre os processos, as ferramentas e as pessoas, muitos apontarão as pessoas como elo fraco do sistema pois os processos são facilmente definidos e as ferramentas somente necessitam de ser bem empregadas, já as pessoas são uma parte peculiar do sistema da SI, pois de nada adiantam os melhores equipamentos, com os melhores processos se uma pessoa falhou em executar uma tarefa.
Exemplo: Uma sala de segurança ("safe room") com um cofre. O cofre é o melhor dentro de sua categoria no mercado, existem câmeras na entrada da sala, um alarme com sensores de movimento e um funcionário que observa tudo da sala da segurança. Porém, esqueceram de configurar as câmeras para gravar (ou seja, só estão a exibir imagens ao vivo), o alarme foi desligado para que houvesse uma limpeza na sala e esqueceram de ligá-lo novamente, o segurança cochilou por 30 minutos e então o cofre sumiu com a grana que estava dentro. Nesse caso, as ferramentas eram as melhores, porém pessoas deixaram de realizar corretamente os processos que culminou no sumiço do dinheiro. O exemplo é fictício, porém podem ser encontrados casos bem parecidos como se vê
clicando aqui.
Então como pode-se perceber, tudo deve estar em harmonia, pessoas, processos e ferramentas para que a SI tenha seu trabalho facilitado.
Como fazer
Aqui existe um programa genérico para que a maior parte das questões relativas à SI possam ser resolvidas, são quatro etapas: Planejar, implementar, monitorar e manter.
- Planejar
Planeje o que fazer e como fazer, defina objetivos e metas.
- Implementar
Parta para a ação, usando o planejamento do passo anterior execute as ações necessárias para que os objetivos possam ser concluídos com êxito.
- Monitorar
Monitore se as mudanças foram efetivas e ajuste o que possa ter ficado para trás.
- Manter
Mantenhas as mudanças, aprimore-as e continue a criar metas (o que leva ao primeiro passo).
Isso se torna um ciclo que não deve ter fim e é muito simples de ser feito.
Caso ainda não tenha entendido completamente o que disse acima vou tentar esclarecer um pouco mais com exemplos.
- Planejar
Visite as seções "Privacidade" ou "Segurança" das suas redes sociais, ou então vá ao Google e procure pelos termos "configurações privacidade x", sem aspas e substituindo x pelo nome da rede social desejada. Certamente serão mostradas as opções disponíveis para a mesma e após uma rápida leitura da página em questão você determinará o que deve ser alterado.
Veja se há atualizações para seu sistema operacional ou outros programas do computador.
- Implementar
Simplesmente faça as alterações que foram planejadas anteriormente.
Vá ao site oficial do desenvolvedor do programa ou execute o programa que atualiza o sistema (ex: Windows Update).
- Monitorar
Veja se houve efeito, no Facebook por exemplo tem o recurso "Ver como...".
Verifique as versões das novas instalações e possíveis erros/falhas no processo anterior.
- Manter
Continue o processo de forma constante, vigie as mudanças e atualizações da rede social (um blog oficial pode ser interessante).
Verifique qual a versão final dos programas e do sistema operacional e veja se já as possui.
Bem é isso, espero que possa ajudar e aguardo dúvidas no nosso
grupo no Facebook.
Até a próxima!
Referência
Segurança da Informação: Um diferencial determinante na competitividade das corporações - Promon - Ed. 2005