Segurança da informação: Conceitos

Na era da informação (ou era do conhecimento) a informação é um dos bens mais preciosos de uma pessoa ou organização. Assim como é rápido produzir a informação é rápido obtê-la ou transformá-la. Desta forma, a preocupação hoje é proteger estas informações de acessos indevidos ao mesmo tempo em que desejamos disponibilizá-las a todos os interessados, mas apenas aos interessados por direito.

Vamos criar um cenário que ilustre isso: Você é um declarante de imposto de renda, portanto, em sua declaração estão todos os seus bens, dívidas e receitas. Você deseja que estas informações sejam acessíveis por qualquer pessoa? Como por exemplo, empresas de cartão de crédito, empresa de marketing (mala direta), estelionatários, etc…? Você quer apenas você tenha acesso a esta informação, certo? Mas e os técnicos da receita que têm que analisar esta prestação de contas? E o contador, que tem que declará-las? E se alguém que deveria cuidar desta informação fizer mau uso dela repassando-a pessoa que não deveria? Como e quem diz quem tem acesso a estas informações? Onde isso fica descrito?

Estas são algumas das perguntas que nos fazemos quando pensamos em segurança da informação. Não é apenas uma questão de usuário e senha. Isto envolve questões como ferramentas e políticas de segurança, mas também, conscientização das pessoas sobre estas questões de segurança, afinal, adianta termos um sistema de vigilância doméstico com câmeras, trancas, etc… Definirmos e documentarmos como proceder quanto a estas ferramentas e não conscientizarmos nossos filhos, por exemplo, da necessidade de não desligar o sistema de vigilância? Para garantirmos a segurança devemos estar alicerçados sobre este tripé: ferramenta, política e conscientização. Caso prefira chamar assim: ferramentas, processos e pessoas.

Não vamos tratar sobre sistemas de informação são violados ou como evitar que isso ocorra, mas de alguns conceitos sobre segurança de informação para termos um vocabulário comum a ser utilizado em artigos futuros. Também não trataremos dos conceitos de governança quando dizem respeito a segurança da informação.

Conceitos gerais

  1. Confidencialidade (Confidentiality): Só ocorre se uma informação é acessível apenas por pessoas e sistemas que têm o devido direito de acesso. Exemplo: O caso recente onde a imprensa teve acesso a declaração de imposto de renda de um presidenciável caracteriza violação de confidencialidade daquelas informações.
  2. Possessão ou controle (Possession or control): Só ocorre se a informação não estiver disponível a terceiros. Exemplo: Teu banco te envia uma carta com teu cartão e na carta está tua senha, esta carta é extraviada, mesmo que ela não seja aberta você não tem como garantir ser o único a ter a posse desta informação, assim, pode alegar perda da posse da informação (número do cartão e senha).
  3. Integridade (Integrity): Só ocorre se uma mensagem é enviada de um processo ou subprocesso a outro sem que seus dados sejam alterados ou a confidencialidade comprometida. Exemplo: A integridade pode ser violada se uma função (subprocesso) armazena a senha em variável global, tornando-a acessível a outras funções quem teriam direito a esta informação.
  4. Disponibilidade (Availability): Só ocorre se a informação estiver disponível sempre que necessário. Exemplo: Um ataque de negação de serviço (DoS) compromete a disponibilidade.
  5. Autenticidade (Authenticity): Só ocorre se os dados, transações, comunicações, documentos (físicos ou lógicos) e os processos forem verdadeiros (autênticos). Exemplo: Num cadastro na web é usado como chave o email, se o email fornecido não existir então, não há autenticidade nesta informação.
  6. Não-repúdio (Non-repudiation): Só ocorre quando a pessoa não consegue com sucesso invalidar uma transação, comunicação ou documento que originou/assinou. Exemplo: Um estelionatário assina o próprio cheque com uma assinatura que não é sua, depois alega clonagem de cheque, isto foi um repúdio (além de pilantragem).

Conceitos de controle de acesso

  1. Identificação (Identification): Processo pelo qual a pessoa/sistema que tenta ter acesso a determinado recurso (edifício, sistema, documento) identifica-se para demonstrar quem é. Exemplo: preenchimento de formulário de usuário/senha, apresentação de cartão/senha em terminais ATM, etc…
  2. Autenticação (Authentication): Processo pelo qual o sistema autentica os dados informados no momento da identificação. Exemplo: Comparar o usuário/senha com o que está armazenado em banco/LDAP, conferir a assinatura em um cheque com o cartão de assinatura, etc…
  3. Autorização (Authorization): Já que na autenticação eu sei que você é você, agora preciso saber a que você pode ter acesso. Exemplo: Conferir em banco/LDAP quais  funcionalidade do sistema permite você poderá realizar. Para isso, comumente tem que atender ao menos uma das perguntas: 1. O que quer fazer? 2. Onde quer fazer? 3. Quando quer fazer? 4. Como quer fazer?
  4. Auditoria (Audit ou Accounting): O sistema é auditável quando registra os eventos realizados pelo usuário para uma posterior consulta forense. Exemplo: Desaparece R$ 100,00 de sua conta corrente, o sistema de movimentação bancária deve ser capaz de informar: 1. Qual operação fez; 2. Onde fez a operação; 3. Quando fez a operação; 4. Como fez a operação; e 5. Quem fez a operação.
  5. Gestão de identidade (Identity Management ou ID Management ou IdM): A auditoria diz quem fez o quê, a autorização quem pode o que, a autenticação quem é quem, a identificação quem diz ser quem. Tudo isso depende primariamente do processo de gestão de identidade que: 1. armazena, gerencia e disponibiliza a identidade para o processo de autenticação; e 2. atribui permissões para o processo de autorização. É geralmente negligenciado quando projetamos os mecanismos de segurança de nossos sistemas. Não basta um LDAP. Atenção ao IdM no momento de projetar a solução.
  6. Gestão de identidade e acesso (Identity and Access Management ou IAM): Diz respeito às ferramentas, técnicas e procedimentos de IdM, autenticação e autorização de usuários/sistemas ao recursos de um sistema de informação.

Este primeiro artigos sobre segurança da informação apresenta alguns dos conceitos chave sobre o assunto. Nos seguinte trataremos com mais detalhes sobre os conceitos de controle de acesso. Mas desde já, podemos perceber que falta mais atenção ao IdM e aos procedimentos de auditoria.

Share Button

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *

*

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>