Prévia do material em texto
Conceitos básicos sobre segurança da informação Com a popularização da internet, o volume dos dados aumentou exponencialmente, necessitando cada vez mais de técnicas de diferentes tipos para o cuidado e a proteção dos fluxos e meios de armazenamento e acesso à informação. Segundo o autor Armando Kolbe Júnior no livro Sistemas de segurança da informação na era do conhecimento, de 2017 (p. 46), “as informações, além de darem suporte à tomada de decisões, atuam como um importante fator de motivação das equipes”. Diante dos benefícios que a informação rápida, correta e disponível pode proporcionar às organizações, é clara a necessidade de garantir que estas estejam protegidas. A computação e a internet foram precursoras deste alto crescimento em menos de 40 anos. A arquitetura de aplicativos mudou de um cenário centralizado, com informações locais, para aplicações acessadas diretamente pelos navegadores, armazenados em servidores com alto poder de processamento e disponibilidade. O aumento de armazenamento e integração de informações de diferentes fontes tem sido o desafio e o objeto de estudo dos profissionais da área. A proteção da informação para um indivíduo ou uma organização exige estratégia, ferramentas e técnicas de controle de forma confiável, consistente e eficaz. Sendo assim, podemos dizer que a informação é o conjunto de dados que agrega valor para um indivíduo ou uma organização, com capacidade de armazenamento ou transferência, podendo ser utilizada pelo usuário para um objetivo específico. Já a segurança da informação trata de medidas que garantem a proteção efetiva, as quais devem estar claramente descritas na política global da organização, delineando as responsabilidades de cada grau da hierarquia e o grau de delegação de autoridade. Segurança da informação, afinal, objetiva proteger os dados, com a finalidade de preservar os valores para uma organização ou um indivíduo. DIMENSÕES DE UM SISTEMA DE INFORMAÇÃO As dimensões de um sistema de informação estão relacionadas ao desenvolvimento de ações, para garantir confidencialidade, integridade e disponibilidade, no intuito de assegurar a proteção das informações. EXPLICANDO Vamos detalhar melhor esses conceitos, que são os alicerces da segurança da informação, segundo Adriana Beal no livro Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações, de 2008 (p. 17): A confidencialidade garante que somente pessoas autorizadas possam acessar as informações. A integridade baseia-se em garantir que a informação não será alterada após o seu armazenamento. E a disponibilidade garante que as informações estarão sempre disponíveis para as pessoas que possuem autorização de acesso a elas. Os sistemas de informação, estão estruturados em três dimensões: pessoas, tecnologia e organização. Veja no Quadro 1 a definição dos elementos que fazem parte de um sistema de informação. É notório que a segurança da informação depende bastante da tecnologia para existir, mas devemos lembrar que esse é um processo que não envolve somente equipamentos. Afinal, as máquinas precisam ser comandadas por pessoas e, além disso, todas as ações e operações são executadas por indivíduos. Ainda assim, alguns autores concordam que as pessoas são o “elo frágil” da segurança da informação, como é o caso de Adriana Beal, autora do livro Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações, de 2008 (p. 71), e Michele da Costa Galvão, em seu livro Fundamentos em segurança da informação, de 2015 (p. 99). Será que podemos concordar com esta afirmação? Bom, não é difícil conhecer alguém que, ao instalar algum programa no computador, acabou deixando-o infectado com algum vírus, ou que caiu em algum golpe e passou informações pessoais, como senhas, por telefone. Enfim, a verdade é que, quando analisamos falhas de segurança em ambientes com alta tecnologia, a falha humana normalmente está envolvida. Portanto, podemos afirmar que a segurança da informação deve se aplicar a todo ativo da organização. EXPLICANDO O conceito de ativo, segundo Michele da Costa Galvão, em 2015, no livro Fundamentos em segurança da informação, compreende qualquer parte que compõe a estrutura da organização ou que possui valor para ela, ou seja, qualquer componente, tecnológico ou humano, que auxilia em um ou mais procedimentos de negócio de uma organização. Assim, um ativo de informação constitui-se pela informação e todas as coisas e seres que o auxiliam. VULNERABILIDADE, AMEAÇA E RISCO À SEGURANÇA DA INFORMAÇÃO Existem diversas vulnerabilidades ou pontos fracos de um ativo de informação que podem prejudicar ou dificultar, intencionalmente ou não, a disponibilidade, a confidencialidade ou a integridade, como, por exemplo, falhas no projeto, na implementação ou na configuração de determinado software ou do sistema operacional, causando ameaças à segurança. Para dar continuidade, precisamos definir alguns conceitos mais detalhadamente. As ameaças são um ataque potencial a um ativo da informação, isto é, um agente externo que, aproveitando a vulnerabilidade, poderá quebrar um ou mais aspectos básicos da segurança da informação. O risco, por sua vez, denota as prováveis perdas, que têm possibilidade de decorrer desse contexto. Veja a seguir, no Quadro 2, uma breve explicação sobre esses termos. A ameaça pode ser definida como “um acontecimento acidental ou proposital causado por um agente, que pode afetar um ambiente, sistema ou ativo de informação”, como afirma Adriana Beal em seu já referido livro de 2008 (p. 14). Podemos pensar em ameaças de duas maneiras: Ameaças acidentais – Nesse tipo, poderíamos incluir as falhas de hardware, desastres naturais, erros de programação; Ameaças propositais – Podem ser entendidas por roubos, invasões, fraudes etc. As vulnerabilidades são pontos nos quais o sistema está susceptível a ataques. Nesse contexto, podemos incluir as fragilidades e erros que o sistema possui. Quando nos referimos a sistema, pode ser um erro no procedimento aplicado e até mesmo a configuração incorreta dos aplicativos de segurança, de maneira proposital ou não, gerando como resultado uma informação não confiável. Segundo o autor Maurício Rocha Lyra no livro Segurança e auditoria em sistemas de informação, de 2008, essas vulnerabilidades poderão ser exploradas ou não, sendo possível que um ativo da informação apresente um ponto fraco que nunca será efetivamente explorado. Alguns tipos de vulnerabilidades conhecidas atualmente são físicas (a falta de recursos para lidar com possíveis incêndios no local, por exemplo), relacionadas a hardware ou software (erros durante a instalação), mídias (perda ou danificação de materiais) ou ainda humanas (compartilhamento de informações confidenciais, falta de treinamento, erros, roubo, vandalismo etc.). A todo momento, o sistema de informação está sujeito a riscos, e o tempo todo nos deparamos com novas vulnerabilidades e ameaças. A análise dos riscos é um importante maneira de realizar o levantamento de ameaças, vulnerabilidades e impactos a que os ativos de informação estão sujeitos. A melhor forma de minimizar os riscos é cercar o ambiente de informação, elaborando e seguindo políticas de segurança. Devemos lembrar que conseguir segurança absoluta é praticamente impossível, e que o investimento em segurança de informação tem um alto custo. Hoje, mais do que nunca, o sistema de informação está conectado a redes de telecomunicações, logo, os sistemas de informação em diferentes lugares podem estar interconectados. Por conseguinte, o risco de acesso não autorizado aumenta, ocorrendo abuso e/ou fraude a qualquer ponto de acesso. O ataque nada mais é do que o acesso ou uso não autorizado de um computador ou programa. É um evento decorrente da exploração de uma vulnerabilidade por uma ameaça, segundo Adriana Beal em seu livro de 2008. Há ataques que não interferem no conteúdo do recurso que foi atingido, o que denominamos ataque passivo – porexemplo, quando o ataque foi realizado apenas para a observação e conhecimento de informações. Contudo, quando esse ataque prejudica o conteúdo, e modifica, elimina ou gera informações falsas, é chamado de ataque ativo. Vamos tomar como exemplo o assunto das senhas. Quanto mais complicadas forem, mais difícil será a descoberta delas. Entretanto, se o responsável cria uma única senha para todos os sistemas, visando a facilitar a memorização, gera também uma vulnerabilidade, que pode afetar todos os sistemas envolvidos. De tal modo, anotar a senha complexa em um papel faz com que a vulnerabilidade continue existindo, já que outras pessoas podem ter acesso a esse papel. Durante o ciclo de vida da informação, ela pode passar por algumas situações de risco e até mesmo ameaças. O não cumprimento de determinados objetivos de segurança pode levar a sérias consequências para a organização. Demonstramos algumas relações entre objetivos de segurança e as respectivas consequências no Quadro 3, a seguir: Identificar os riscos é importante para saber quais ameaças e/ou vulnerabilidades podem ser aplicadas nos sistemas de informação envolvidos, e o impacto que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. A resposta à prática da engenharia social nas empresas é o profissionalismo. De acordo com Edison Fontes no livro Segurança da informação: o usuário faz a diferença, de 2006, quando temos a consciência do valor da informação, temos o dever de protegê-la adequadamente e agir conforme os procedimentos de segurança. Por outro lado, também é uma obrigação da empresa preparar, através de reuniões, conferências e diferentes capacitações, para que seus funcionários se protejam dessa prática que, cada vez mais, conta com pessoas especializadas. CURIOSIDADE A engenharia social é uma das estratégias mais utilizadas por invasores, pois independe de tecnologias ou mecanismos computacionais avançados. A engenharia social é um conjunto de procedimentos e ações utilizados para adquirir informações de uma organização ou de uma pessoa por meio de contatos falsos sem o uso da força, do arrombamento físico ou de qualquer brutalidade, como afirma Edison Fontes no livro Segurança da informação: o usuário faz a diferença, de 2006. Os engenheiros sociais exploram a ingenuidade ou a ignorância de usuários para obter informações confidenciais, como senhas, informações pessoais, tipos de equipamento de segurança utilizados ou outros dados que podem comprometer a segurança da organização. No livro de Edison Fontes, publicado em 2006 (p. 120), é exemplificada a forma como os engenheiros sociais agem e buscam informações da organização usando as pessoas. Veja a seguir alguns comportamentos identificáveis dos engenheiros sociais: Falam com conhecimento – Nestes casos, o invasor demonstra conhecimento sobre informações da empresa ou de atividades dela para tentar enganar e coletar informações sigilosas; Adquirem a confiança do interlocutor – Em alguns casos, o invasor contata a vítima várias vezes, tentando se aproximar e adquirir intimidade para, em seguida, coletar as informações que busca; Prestam favores – Nestes casos, o invasor, quando pretende algo, mostra-se prestativo em situações de dificuldade da vítima ou simula alguma dificuldade para oferecer ajuda. Nesta forma de ameaça, é muito comum o uso do telefone e, nessas situações, uma forma de prevenção é confirmar o interlocutor ou evitar repassar informações sem ter a certeza com quem se está falando. Visão geral dos tipos de softwares de código malicioso Vamos conhecer e entender o funcionamento de alguns códigos maliciosos ou os malwares, isto é, programas criados para executar ações maliciosas em computadores. Para tanto, pode-se fazer uma reflexão sobre a pessoa humana capaz de executar e desenvolver os códigos maliciosos, pois a máquina precisa ser comandada. Nessa linha, essa pessoa é chamada de cracker, termo usado para designar o indivíduo que pratica a quebra de um sistema de segurança de forma ilegal ou sem ética. Os códigos maliciosos podem comprometer o computador e causar ameaças, como, de acordo com a Cartilha de Segurança para Internet, do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), de 2012: · Visualizar as diferentes vulnerabilidades existentes nos programas instalados; · Executar dispositivos removíveis infectados, como mídias removíveis; · Acessar endereços da internet maliciosos, utilizando navegadores vulneráveis; · Executar arquivos infectados, obtidos em anexos de mensagens eletrônicas, mídias removíveis, em páginas Web ou diretamente de outros computadores (através do compartilhamento de recursos). Michele Galvão, em seu já referido livro de 2015 (p. 20), conceitua hacker como qualquer pessoa capaz de acessar, criar ou modificar sistemas, a fim de inserir novas funções ou alterar antigas. Mas, na literatura, o termo denota um programador habilidoso que usa da sua habilidade para proteger e ampliar as barreiras de proteção da segurança da informação nas organizações. Veja no Quadro 4 algumas diferenças entre hacker e cracker. Ao se instalarem, os códigos maliciosos passam a ter acesso aos dados armazenados no computador e podem executar ações em nome dos usuários. Os principais motivos que levam a um ataque estão relacionados à obtenção de vantagens financeiras, à coleta de informações confidenciais, ao desejo de autopromoção e ao vandalismo. Além disso, os códigos maliciosos são muitas vezes usados como intermediários e possibilitam a prática de golpes, a realização de ataques e a disseminação de mensagens que não foram solicitadas pelo usuário, denominadas spam, também segundo a CERT.br na referida cartilha de 2012. O spam é a mensagem enviada em massa para vários destinatários, que o recebem sem desejar. São ataques muito comuns atualmente, evidente pelo frequente recebimento de e-mails falsos que possuem conteúdo idêntico aos sites originais e tentam persuadir o usuário a clicar nos endereços fornecidos. Além dos e-mails, outro meio comum de disseminação são as redes sociais e os aplicativos de mensagens instantâneas que, com o rápido poder de circulação, podem atingir uma grande quantidade de usuários. A propagação de vírus de computador pela rede é outro problema dos dias de hoje. Os vírus, juntamente com os cavalos de troia, worms, hijackers, spywares, ransomwares e demais programas maliciosos são denominados malwares. Note que a maior parte das pessoas pensam que todos esses programas são vírus, no entanto, como dito, o termo mais adequado para se referir genericamente a eles é malware. O cavalo de troia (trojan) é um tipo de malware que abre caminho para outros programas maliciosos, os quais também são usados para capturar dados do usuário, como senhas, e transmiti-los para uma máquina remota. Normalmente, os trojans não se replicam. Eles infectam o hardware hospedeiro através do download de um programa ou arquivo. Os worms (vermes) são vírus dotados de maior capacidade de propagação, pois podem se espalhar automática e rapidamente para outros computadores, pela internet ou por meio de uma rede local, ao contrário do vírus, que necessita que alguém copie o arquivo infectado. Uma vez instalado, um worm pode deletar ou alterar o conteúdo de arquivos e enviar documentos por e-mail. Os hijackers são programas que atrapalham o funcionamento dos navegadores de internet, e conseguiam ter bastante sucesso nas versões mais antigas de navegadores como o Internet Explorer. Os navegadores atuais conseguiram limitar as ações deste malware. Um hijacker pode, por exemplo, modificar a página inicial do navegador, exibir muitas janelas com anúncios, instalar e desinstalar barras de ferramentas e impedir o usuário de acessar determinadas páginas. Os spywares, como a própria nomenclatura indica, são programas espiões, que monitoram as atividades dos usuários e quase sempre capturam informações sobre eles. Os spywares são programas de procedência duvidosa, normalmente oferecidosna forma de freeware ou shareware. Uma vez capturados, os dados sobre hábitos de navegação do usuário, e até senhas, são transmitidos pela internet. O ransomware é um tipo de malware que age como um chantagista. Uma vez ativado, pode bloquear ou limitar o acesso a arquivos, pastas, aplicativos, unidades de armazenamento ou até mesmo todo o sistema operacional, só liberando em troca de pagamento. CRIMES CIBERNÉTICOS Com frequência, vemos notícias de crimes pela internet, como, por exemplo, o vazamento de informações secretas. No Brasil, um caso que repercutiu ao longo da década de 2010, foi o que envolveu a ex-presidente Dilma Rousseff e a Agência Nacional de Segurança (NSA, na sigla em inglês) dos Estados Unidos. Na ocasião, a NSA grampeou diversos números de telefones, entre eles o telefone via satélite Inmarsat, instalado no avião presidencial, com o qual a presidente se comunicava com pessoas do mundo inteiro quando estava a bordo da aeronave. Esse foi um dos 29 números grampeados pela agência. Em relação aos crimes cibernéticos, há uma grande variedade, dentre os quais podemos mencionar: · Falsidade ideológica; · Acesso e uso ilegal de dados; · Alteração e destruição de dados; · Conteúdo criminoso; · Elaboração de programas e sites com finalidade criminosa; · Cópia ilegal de software; · Crime internacional. A falsidade ideológica é um crime que vem se tornando cada vez mais frequente com o avanço da internet. As pessoas criam e-mails e redes sociais com fotos e nomes fictícios ou até mesmo nomes e fotos reais de outra pessoa, pois fica mais fácil cometer crimes sem ser identificado. Na intenção de dificultar o acesso de criminosos às organizações, é importante que os respectivos dados sejam liberados somente ao setor que necessita fazer seu uso. Por exemplo, a área de produção de uma organização deve ter acesso a itens de estoque, como quantidade, composição, peso etc., mas não deve ter acesso aos preços de compra e aos nomes dos fornecedores. Dessas informações, somente o setor de compras poderá ter conhecimento. A alteração de dados consiste na manipulação de saldos em contas bancárias, resultados de provas, concursos, transferências indevidas de quantias de uma conta para outra etc. Um vírus pode também causar a destruição dos dados, inviabilizando o funcionamento de alguns sistemas, ou, às vezes, o funcionamento dos próprios computadores. Um modo de nos precavermos é realizar o que chamamos de backup, isto é, uma cópia desses dados em outra mídia, como um CD/DVD ou HD externo e guardá-los em um local seguro, pois, se houver a destruição do arquivo original, a organização poderá recuperá-los nessas outras fontes. Com a expansão da internet, a criação de sites com conteúdo criminoso se transformou em um dos crimes cibernéticos mais cometidos. Os sites dedicados ao crime podem ser aqueles que vendem produtos e conteúdos ilegais, como drogas, pornografia infantil e armas, e também os que oferecem programas ilegais, como o vírus, que pode destruir ou roubar dados, como vimos anteriormente. Nesse caso, comete crime tanto quem compra quanto quem repassa ou cria o programa. A pirataria do mundo tecnológico consiste em copiar músicas, programas e imagens sem o pagamento dos direitos autorais ao seu criador. O processo de pirataria funciona da seguinte forma: o “pirata” invade o servidor no qual o alvo a ser copiado se encontra, faz a cópia e negocia com terceiros. Essas cópias podem ser de músicas, software, vídeos, livros etc. Esse material é repassado para o mundo todo pela internet, e os compradores finais podem fazer o download. Atualmente, com o avanço da tecnologia e da internet, a distância entre países ficou bem menor. As fronteiras nessas áreas praticamente não existem. Em relação a isso, alguns países são mais tolerantes que outros em alguns aspectos, o que ajuda na ação criminosa, pois eles se aproveitam dessa diferença e distribuem suas atividades ilegais de forma a confundir as autoridades nos processos legais. Os governos estão se ajudando para combater a pedofilia, criando leis em comum e em combate ao ciberterrorismo, isto é, o terrorismo pelo computador. Assim, trabalham para impedir que sites e e-mails disseminem conteúdos maliciosos e ameaças de sequestro e morte. Diante desses acontecimentos, algumas estratégias devem ser tomadas para assegurar e proteger de ameaças a segurança da informação no ambiente interno e externo, seja em uma organização ou em casa. No ambiente interno, devem ser observados aspectos relacionados às vulnerabilidades; já no ambiente externo, devem ser observados os diferentes fatores que geram incidentes de segurança. A ameaça e a vulnerabilidade devem ser medidas e quantificadas para uma prática de prevenção. Existe um conjunto de medidas preventivas que precisam ser adotadas, que incluem manter as versões mais recentes dos programas, aplicando todas as atualizações disponíveis, e usar mecanismos de segurança, como antimalware e firewall pessoal. Há também cuidados a serem tomados na utilização dos computadores, por exemplo, atenção na hora de executar arquivos. INCIDENTES DE SEGURANÇA Os incidentes de segurança são eventos que podem causar uma interrupção no processo de negócio, em consequência da violação de algum dos aspectos de um sistema de informação. Podem também estar relacionados a outro fator, como acidentes naturais, greve ou outro fator. Um incidente de segurança, logo, pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores. No Gráfico 1 são apresentadas as porcentagens relacionadas à quantidade de incidentes, por tipo de ataque, de janeiro a dezembro de 2018, reportados ao CERT – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) e publicados em seu portal oficial em 2019. Junto do Gráfico 1, o CERT.br, detalha algumas informações para melhorar a compreensão e a análise dos dados apresentados em relação à classificação dos tipos de ataque, das quais vale a pena destacar: Worm – Atividades maliciosas relacionadas ao processo automatizado de propagação de códigos maliciosos na rede; DOS (DoS – Denial of Service) – Ataques em que o indivíduo ataca o sistema por um computador ou um conjunto de computadores para prejudicar a operação de um serviço, computador ou rede; Invasão – Um ataque que resulta no acesso não autorizado a um computador ou rede; Web – Visa ao comprometimento de servidores ou à desfiguração de páginas na internet; Scan – Varreduras em redes de computadores com o intuito de identificar quais estão ativos e os serviços disponibilizados, podendo identificar potenciais alvos e explorar as possíveis vulnerabilidades; Fraude – Engloba as tentativas de fraudes, ou seja, incidentes em que ocorre uma tentativa de se obter vantagem; Outros – Incidentes gerais que não se enquadram em nenhuma dessas categorias. Não devemos confundir scan com scam. Scams (com “m”) são quaisquer esquemas para enganar um usuário, geralmente com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude. Já no Gráfico 2 são apresentadas as porcentagens relacionadas à quantidade de incidentes reportados ao CERT.br por tentativas de fraude, de janeiro a dezembro de 2018, e publicadas em seu portal em março de 2019. O Gráfico 3 apresenta o total mensal de incidentes reportados ao CERT.br, de janeiro a dezembro de 2018, e publicadas em seu portal em março de 2019. No Quadro 5 é apresentado um resumo comparativo das principais características que diferenciam códigos maliciosos, como, por exemplo, forma de obtenção e de instalação, meios usados para propagação e ações maliciosas executadas nos equipamentos infectados. Ressalta-se de que esta classificação tem sofrido alterações devido ao aparecimento de novas variantes, que acabam incorporando características de outros códigos maliciosos. Plano de contingência operacional Contingência refere-se à possibilidade de que algo que interfirano andamento de uma organização venha a acontecer. Caso haja um sinistro de qualquer natureza, a organização deve estar preparada. Aplicado ao ambiente operacional, um exemplo comum seria um acidente de trabalho ou mesmo uma doença que acometa algum membro da equipe. O plano de contingência sugere alguns procedimentos alternativos quanto ao funcionamento comum de uma organização, sempre que alguma das suas funções usuais se vê prejudicada por uma eventualidade interna ou externa. Portanto, um plano de contingência é preventivo, previsível e reativo. Apresenta uma estrutura estratégica e operativa, que ajudará a controlar uma emergência e a minimizar suas consequências negativas. Essa condição de plano procura, portanto, garantir o funcionamento da organização frente a quaisquer eventualidades que ocorram, sejam materiais ou pessoais. O plano de contingência pode incluir quatro etapas básicas: avaliação, planejamento, provas de disponibilidade e execução. Mas, também, um plano de contingência deve ser dinâmico e permitir a inclusão de alternativas perante novas ocorrências que possam acontecer com o passar do tempo. Portanto, precisa estar atualizado e revisado periodicamente. Na área da informática, o plano de contingência é um programa alternativo para que uma empresa tenha a possibilidade de se recuperar, caso ocorra um acidente informático, e retomar suas operações rapidamente. Planos de contingência são conhecidos por DRP (Disaster Recovery Plan ou Plano de Recuperação de Desastres). Um programa DRP necessita de um plano de apoio, que deve ser planejado e instruído antes que se realize a ameaça; um plano para emergências, que deve ser aplicado durante a ameaça; e um plano de recuperação, que contenha as medidas que devem ser aplicadas logo que a ameaça tenha sido controlada. O plano de contingência precisa ser documentado, e neste documento deve ser estabelecido o conjunto de medidas para fazer frente a uma possível ameaça. Normalmente, esses planos têm o objetivo de proteger as pessoas que trabalham no mesmo ambiente e assegurar também as infraestruturas relacionadas com a mesma atividade em comum. Um plano de contingência pode ser entendido como uma análise de riscos. Um plano de contingência previamente elaborado é capaz de diminuir os riscos potenciais que podem afetar negativamente uma atividade profissional. Levando em conta que o risco envolve alguma ameaça e vulnerabilidade, ele fica estabelecido pela seguinte fórmula: Risco = Ameaça . Vulnerabilidade (R = A . V) Problemas de arquitetura de software, como falhas e indisponibilidade dos sistemas, problemas na comunicação entre os envolvidos, cortes nos orçamentos, férias de algum integrante-chave da equipe de projeto e até mesmo incidentes e desastres naturais são ameaças que podem atingir a organização, projeto e/ou equipe. Por isso, é necessária a análise de riscos baseada em possíveis ameaças. A IMPORTÂNCIA DO PLANEJAMENTO DE CONTINGÊNCIA Como mencionado, um plano de contingência inclui (pelo menos) quatro fases básicas, que devem ser revistas constantemente para que o plano seja o mais eficiente possível. Normalmente, será necessário que todos os procedimentos acordados estejam acompanhados dos recursos materiais necessários, bem como da preparação profissional apropriada. O plano de contingência inclui uma sequência de sub planos: um backup, em que são incluídas as medidas de prevenção, a fim de evitar o surgimento de novas ameaças; e um plano de emergência, que especifica qual deve ser a ação no caso da ameaça. Outro sub plano seria a recuperação, que atenta às medidas necessárias que devem ser inseridas em seguida, após o controle da ameaça. Frente a qualquer contingência eventual, deve-se colocar em prática os planos de medidas preventivas mencionados. Plano de continuidade operacional Neste plano, o objetivo é manter em funcionamento os serviços e processos críticos na eventualidade da ocorrência de desastres, atentados, falhas e intempéries. Um plano de continuidade do negócio deve estabelecer o tratamento adequado para possíveis eventualidades de segurança, como: · Invasão do sistema e da rede interna da empresa; · Incidentes relacionados à segurança física e lógica; · Indisponibilidade da infraestrutura. Todo pessoal envolvido com o plano de continuidade do negócio deve receber um treinamento específico para enfrentar esses incidentes. Um plano de ação de respostas a incidentes deverá ser preestabelecido e conter, ao menos, um tratamento adequado para os seguintes eventos: · Comprometimento quanto ao controle de segurança em qualquer evento referenciado no plano de continuidade do negócio; · Notificação aos funcionários e usuários, caso necessário; · Procedimentos para interrupção ou suspensão de serviços e investigação; · Análise e monitoramento de caminhos de auditoria. EXPLICANDO Auditoria é um termo utilizado para indicar quando um sistema é capaz de auditar tudo o que foi realizado pelo(s) usuário(s), identificando fraudes ou tentativas de ataque. A IMPORTÂNCIA DO PLANEJAMENTO DE CONTINUIDADE O tempo é um dos principais ativos de uma empresa. Perder uma hora apenas já é o suficiente para provocar prejuízos significativos e problemas de cronograma. Para que o grupo entre em ação o mais rápido possível e de forma objetiva, é necessário que o documento seja feito com dedicação e treinamentos constantes. Um Plano de Continuidade de Negócios (PCN) pode ser o seguro mais barato que uma empresa pode ter, inclusive para as pequenas empresas, pois seu custo é praticamente inexistente. O PCN tem a função de detalhar como os empregados farão para se manter em contato e como deverão continuar seus trabalhos em caso de sinistros ou emergências, como um incêndio no escritório. Infelizmente, poucas empresas optam por desenvolver um plano. Os planos de continuidade de negócios são mencionados ocasionalmente como Planos de Recuperação de Desastres (PRD), pois ambos têm muito em comum. Porém, um PRD tem como foco a recuperação após um desastre, enquanto o PCN mostra como continuar a fazer negócios até que essa recuperação esteja completa. Ambos são muito importantes e normalmente são reunidos, gerando um documento único e extremamente conveniente. Para a preparação dos documentos, faça uma lista contendo os seguintes dados e questões: · Considere quais funções são realmente necessárias no dia a dia. Pense sobre quem preenche essas posições quando o chefe primário está de férias, por exemplo; · esta lista deve conter os dados de envolvidos e ser preenchida com informações de contato, incluindo: telefone comercial e residencial, celular, e-mail comercial e pessoal, e qualquer outro meio possível de contato (caso ocorra alguma emergência). SINTETIZANDO Nesta unidade, falamos sobre a segurança da informação, seu conceito e sua importância para proteger informações em organizações, já que, como aprendemos, a informação é um ativo de grande valia para as organizações do mundo globalizado. Mais adiante, conhecemos alguns exemplos de vírus de computador, que são nada mais do que programas que podem roubar, danificar ou modificar dados. Os crimes pelo computador são muitos, e os programas maliciosos também. Além disso, eles se proliferam diariamente, o que torna mais difícil a proteção total da rede. Nessa conjuntura, resta-nos tomar alguns cuidados para nos precavermos, a fim de evitar que sejamos vítimas desses crimes cibernéticos. Além disso, vimos exemplos de crimes cibernéticos, como falsidade ideológica, acesso e uso ilegal de dados, alteração e destruição de dados, conteúdo criminoso, criação de programas e sites dedicados ao crime, pirataria de software, crime internacional e vírus de computador. Como curiosidade e informações complementares, apresentamos alguns dados estatísticos relacionados aos incidentes de segurança, conforme exemplos disponibilizados pelo CERT – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br). Por fim, foram apresentados alguns critérios básicos para implantação de umapolítica de segurança, envolvendo planejamentos relacionados à contingência e à continuidade. Desse modo, a garantia da segurança da informação se dá a partir da elaboração de um plano com políticas de segurança conforme as necessidades e a rede do cliente.