Artigos
Prof Patrícia Quintão - Informática imprimir

(24/01/2010): Dicas de Segurança da Informação


Prezado(a) Concurseiro(a),

Antes de começar, atendendo a pedidos de diversos alunos, aproveito o ensejo para destacar o curso de Informática em Exercícios – TI - do Ponto dos Concursos, destinado àqueles que estão se preparando para o cargo de Analista de Planejamento e Orçamento – APO - do Ministério do Planejamento, Orçamento e Gestão, na área de TI.

Hoje falaremos sobre o conceito de segurança e os princípios básicos relacionados a este tema. Quando falamos em segurança da informação, estamos nos referindo a salvaguardas para manter a confidencialidade, integridade, disponibilidade e demais aspectos da segurança das informações dentro das necessidades do cliente (ALBUQUERQUE e RIBEIRO, 2002).

MAS O QUE É SEGURANÇA? É colocar tranca nas portas de sua casa? É ter as suas informações guardadas de forma suficientemente segura para que pessoas não-autorizadas não tenham acesso a elas? Vamos nos preparar para que a próxima vítima não seja você!!!

A segurança é uma palavra que está presente em nosso cotidiano e refere se a um estado de proteção, em que estamos “livres” de perigos e incertezas. Em uma corporação, a segurança está ligada a tudo o que manipula direta ou indiretamente a informação (inclui-se aí também a própria informação!!!), e que merece proteção. Esses elementos são chamados de ativos. Ramos et al. (2006) destacam que os ativos podem ser divididos em:

• tangíveis: informações impressas, móveis, hardware (Ex.:impressoras, scanners);

• intangíveis: marca de um produto, nome da empresa, confiabilidade de um órgão federal;

• lógicos: informações armazenadas em uma rede, sistema ERP, rede VOIP (Voz sobre IP);

• físicos: galpão, sistema de eletricidade, estação de trabalho;

• humanos: funcionários.

Quanto maior for a organização maior será sua dependência com relação à informação, que pode estar armazenada de várias formas: impressa em papel, em meios digitais (discos, fitas, DVDs, disquetes, pendrives, etc), na mente das pessoas, em imagens armazenadas em fotografias/filmes...

Nesse sentido, é propósito da segurança proteger os elementos que fazem parte da comunicação, são eles:

• as informações;

• os equipamentos e sistemas que oferecem suporte a elas;

• as pessoas que as utilizam.

Princípios da segurança da informação

A segurança da informação busca proteger os ativos de uma empresa ou indivíduo com base na preservação de alguns princípios. Vamos ao estudo de cada um deles!!

Os quatro princípios considerados centrais ou principais, mais comumente cobrados em provas, são a confidencialidade, a integridade, a disponibilidade e a autenticidade (É possível encontrar a sigla CIDA, ou DICA, para fazer menção a estes princípios!).

Confidencialidade (sigilo): é a garantia de que a informação não será conhecida por quem não deve. O acesso às informações deve ser limitado, ou seja, somente as pessoas explicitamente autorizadas podem acessá-las.

Perda de confidencialidade significa perda de segredo. Se uma informação for confidencial, ela será secreta e deverá ser guardada com segurança, e não divulgada para pessoas não-autorizadas.

Exemplo: o número do seu cartão de crédito só poderá ser conhecido por você e pela loja onde é usado. Se esse número for descoberto por alguém mal-intencionado, o prejuízo causado pela perda de confidencialidade poderá ser elevado, já que poderão se fazer passar por você para realizar compras pela Internet, proporcionando-lhe prejuízos financeiros e uma grande dor de cabeça!

Integridade: esse princípio destaca que a informação deve ser mantida na condição em que foi liberada pelo seu proprietário, garantindo a sua proteção contra mudanças intencionais, indevidas ou acidentais (SÊMOLA, 2003). Em outras palavras, é a garantia de que a informação que foi armazenada é a que será recuperada!!!

A quebra de integridade pode ser considerada sob 2 aspectos:

1. alterações nos elementos que suportam a informação - são feitas alterações na estrutura física e lógica em que uma informação está armazenada. Por exemplo quando são alteradas as configurações de um sistema para ter acesso a informações restritas;

2. alterações do conteúdo dos documentos:

ex1.: imagine que alguém invada o notebook que está sendo utilizado para realizar a sua declaração do Imposto de Renda deste ano, e, momentos antes de você enviá-la para a Receita Federal a mesma é alterada sem o seu consentimento! Neste caso, a informação não será transmitida da maneira adequada, o que quebra o princípio da integridade;

ex2: alteração de sites por hackers.


Disponibilidade: é a garantia de que a informação deve estar disponível, sempre que seus usuários (pessoas e empresas autorizadas) necessitarem, não importando o motivo (SÊMOLA, 2003). Em outras palavras, é a garantia que a informação sempre poderá ser acessada!!!

Como exemplo, há quebra do princípio da disponibilidade quando você decidir enviar a sua declaração do Imposto de Renda pela Internet, no último dia possível, e o site da Receita Federal estiver indisponível.

Quanto à essência da aplicação dos três princípios acima, desejamos entregar a informação CORRETA, para a pessoa CERTA, no momento CORRETO!!! Entenderam?? Ainda, cabe destacar que a perda de pelo menos um desses princípios já irá ocasionar impactos ao negócio (aí surgem os incidentes de segurança!!)

Autenticidade: é a capacidade de garantir a identidade de uma pessoa (física ou jurídica) que acessa as informações do sistema ou de um servidor (computador) com quem se estabelece uma transação (de comunicação, como um e-mail, ou comercial, como uma venda on-line).

Outros princípios podem ser também levados em consideração. São eles:

Confiabilidade: pode ser caracterizada como a condição em que um sistema de informação presta seus serviços de forma eficaz e eficiente. Ou melhor, um sistema de informação irá “desempenhar o papel que foi proposto para si” (ANTÔNIO, 2009).

Não-repúdio (irretratabilidade): é a garantia de que um agente não consiga negar (dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação. Antônio (2009) destaca que essa garantia é condição necessária para a validade jurídica de documentos e transações digitais. Só se pode garantir o não-repúdio quando houver autenticidade e integridade (ou seja, quando for possível determinar quem mandou a mensagem e garantir que a mesma não foi alterada).

Legalidade: aderência do sistema à legislação.

Auditoria: é a possibilidade de rastrear o histórico dos eventos de um sistema para determinar quando e onde ocorreu uma violação de segurança, bem como identificar os envolvidos nesse processo.

Privacidade: diz respeito ao direito fundamental de cada indivíduo de decidir quem deve ter acesso aos seus dados pessoais.

A privacidade é a capacidade de um sistema manter incógnito um usuário (capacidade de um usuário realizar operações em um sistema sem que seja identificado), impossibilitando a ligação direta da identidade do usuário com as ações por este realizadas. Privacidade é uma característica de segurança requerida, por exemplo, em eleições secretas.

Uma informação privada deve ser vista, lida ou alterada somente pelo seu dono. Esse princípio difere da confidencialidade, pois uma informação pode ser considerada confidencial, mas não privada.

Vamos verificar como esse assunto vem sendo cobrado em provas!!

1. (ESAF/2008/MPOG-TI) A segurança da informação tem como objetivo a preservação da

a) confidencialidade, interatividade e acessibilidade informações.

b) complexidade, integridade e disponibilidade das informações.

c) confidencialidade, integridade e acessibilidade das informações.

d) universalidade, interatividade e disponibilidade das informações.

e) confidencialidade, integridade e disponibilidade das informações.


Resolução

• Confidencialidade (sigilo): é a garantia de que a informação não será conhecida por quem não deve.

• Integridade: atributo de uma informação que indica que esta não foi alterada ou, se foi, o foi de forma autorizada. Este conceito está ligado ao estado da informação no momento de sua geração e resgate.

A informação estará íntegra se em tempo de resgate, estiver fiel ao estado original.

Exemplo: se no momento da geração da informação obtivermos o texto

“3 + 3 = 7”

isso implica que no resgate deveremos obter o mesmo conjunto de caracteres, a saber:

“3 + 3 = 7”

• Disponibilidade: garante que a informação e toda a estrutura física e tecnológica que permite a sua leitura, tráfego e armazenamento precisam estar disponíveis no momento em que forem necessárias.

GABARITO: letra E.

2. (ESAF/2002/AFPS) Os problemas de segurança e crimes por computador são de especial importância para os projetistas e usuários de sistemas de informação. Com relação à segurança da informação, é correto afirmar que

A)confiabilidade é a garantia de que as informações armazenadas ou transmitidas não sejam alteradas.

B)integridade é a garantia de que os sistemas estarão disponíveis quando necessários.

C)confiabilidade é a capacidade de conhecer as identidades das partes na comunicação.

D)autenticidade é a garantia de que os sistemas desempenharão seu papel com eficácia em um nível de qualidade aceitável.

E)privacidade é a capacidade de controlar quem vê as informações e sob quais condições.

Resolução

Item A. Falso. Descreve a integridade, e não a confiabilidade.

Item B. Falso. Descreve a disponibilidade, e não a integridade.

Itens C e D. Falso. Estão com os conceitos invertidos! Autenticidade é a capacidade de conhecer as identidades das partes na comunicação; e confiabilidade é a garantia de que os sistemas desempenharão seu papel com eficácia em um nível de qualidade aceitável.

Item E. Verdadeiro. A privacidade diz respeito ao direito fundamental de cada indivíduo poder decidir quem deve ter acesso aos seus dados pessoais.

GABARITO: letra E.

Que DEUS os abençoe!!

Profa Patrícia Lima Quintão


Comentários

Todos os campos são obrigatórios

Máximo: 1000 caracteres


O seu comentário só será exibido após ter sido aprovado pelo autor do artigo.



2  Avançar


Ponto dos Concursos

Tels.: (61) 3328-5369, (61) 8426-9549
Edifício Brasília Shopping, 13º andar, sala 1316,
Asa Norte, Brasília, DF

CNPJ: 07.610.468/0001-47
curso@pontodosconcursos.com.br