O que é Segurança da Informação?

Neste artigo iremos abordar os seguintes temas;

  1. Breve História da Segurança da Informação.
  2. Definição de Segurança da Informação.
  3. Frameworks e Documentos de Segurança da Informação.
  4. As principais certificações de Segurança da Informação.
  5. Os 5 Princípios da Segurança da Informação.
  6. Riscos e Ameaças na Segurança da Informação.
  7. Avaliação e Gerenciamento de Riscos e Ameaças.
  8. Hackers x Segurança da Informação.

Breve História da Segurança da Informação.

A história da Segurança da Informação remonta aos primórdios da comunicação humana. Desde que as pessoas começaram a trocar mensagens e informações, houve a necessidade de protegê-las contra interceptação ou manipulação por terceiros. No entanto, a segurança da informação como disciplina e prática formal é relativamente recente.

Até a década de 1960, a segurança da informação era uma preocupação principalmente das forças armadas e dos serviços de inteligência, que desenvolveram técnicas e práticas para proteger suas comunicações e informações confidenciais.

A criptografia foi uma das principais ferramentas utilizadas nessa época, e a invenção do computador acelerou o desenvolvimento de novas técnicas e algoritmos.

Alan Turing, o pai da computação, teve um papel importante na história da computação ao quebrar a criptografia da máquina Enígma usada pelo exercíto alemão na segunda guerra. Leia mais em História dos Computadores.

Com a evolução da tecnologia e a popularização do uso de computadores na década de 1970, a segurança da informação começou a se tornar uma preocupação para outras organizações além das forças armadas. Empresas e governos começaram a adotar medidas de segurança para proteger suas informações contra ataques e vazamentos.

Nos anos 80, a popularização da internet trouxe novos desafios para a segurança da informação, com a disseminação de vírus, worms e outros tipos de malware. A necessidade de proteger as informações de ataques cada vez mais sofisticados impulsionou o desenvolvimento de novas técnicas e ferramentas de segurança, como firewalls, antivírus e sistemas de detecção de intrusão.

A partir dos anos 90, a segurança da informação começou a ser reconhecida como uma disciplina formal, com a criação de normas e padrões internacionais para a gestão da segurança da informação, como a ISO 27001.

A conscientização sobre os riscos associados à segurança da informação também aumentou, e hoje em dia é considerada uma preocupação essencial para empresas e organizações de todos os tamanhos e setores.

A história da segurança da informação é marcada por um constante desenvolvimento e evolução, impulsionado pela necessidade de proteger as informações contra ameaças cada vez mais sofisticadas.

Com a crescente importância da tecnologia na sociedade, a segurança da informação continuará a ser um tema fundamental, e novas técnicas e práticas serão desenvolvidas para enfrentar os desafios do futuro.

Definição de Segurança da Informação.

Segurança da informação é o conjunto de medidas e práticas adotadas para proteger as informações e dados de uma organização, empresa ou indivíduo contra ameaças e riscos diversos, tais como vazamentos, roubo, perda ou danos.

Essas medidas incluem procedimentos, tecnologias, políticas, normas e treinamentos que visam garantir a confidencialidade, integridade e disponibilidade dos dados e informações em todas as etapas de seu ciclo de vida, desde a sua criação, armazenamento, processamento, transmissão e descarte.

Frameworks e Documentos de Segurança da Informação.

Existem vários documentos e frameworks usados na Segurança da Informação, alguns dos principais são:

A ISO 27001 é o documento mais popular no área da Segurança da Informação e oferece diversas recomendações que geram pelo menos 10 benefícios para qualquer organização.
  1. ISO 27001: Este é um padrão internacional para a gestão da segurança da informação. Ele fornece uma estrutura para estabelecer, implementar, manter e melhorar continuamente a segurança da informação em uma organização. A norma inclui requisitos para controles de segurança da informação em várias áreas, incluindo políticas de segurança, gestão de riscos e conformidade.
  2. ISO 31000: Padrão internacional para a gestão de riscos e ameaças em nível estratégico de uma organização. Embora não seja especificamente voltada para área de Tecnologia, mas sim para área de gestão, a ISO 31000 oferece abordagens que sustentam e orientam a gestão de riscos e ameaças da Segurança da Informação.
  3. NIST Cybersecurity Framework: Desenvolvido pelo Instituto Nacional de Padrões e Tecnologia dos Estados Unidos, o NIST Cybersecurity Framework é uma estrutura que ajuda as organizações a gerenciar e reduzir riscos cibernéticos. Ele inclui um conjunto de diretrizes, melhores práticas e normas para gerenciamento de riscos cibernéticos, proteção de ativos, detecção de ameaças, resposta a incidentes e recuperação.
  4. PCI-DSS: O PCI-DSS é o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento. Ele foi criado para ajudar as organizações que processam pagamentos com cartão de crédito a proteger as informações do titular do cartão e evitar fraudes. O padrão inclui requisitos de segurança para proteger as informações do titular do cartão em todas as etapas da transação, desde a coleta até o armazenamento e transmissão.
  5. COBIT: O COBIT (Control Objectives for Information and Related Technology) é um framework que fornece orientação para o gerenciamento e governança de TI. Ele inclui um conjunto de processos e controles que ajudam as organizações a alcançar seus objetivos de negócios enquanto protegem a segurança e a privacidade das informações.
  6. ITIL: A Biblioteca de Infraestrutura de Tecnologia da Informação (ITIL) é uma estrutura para gerenciamento de serviços de TI. Ele fornece orientação para a entrega de serviços de TI de qualidade e gerenciamento de incidentes, problemas e mudanças. A ITIL inclui práticas recomendadas para o gerenciamento de incidentes de segurança e a implementação de controles de segurança.
  7. GDPR: O Regulamento Geral de Proteção de Dados (GDPR) é uma lei de privacidade de dados da União Europeia que entrou em vigor em maio de 2018. Ele estabelece regras sobre como as organizações devem coletar, armazenar e processar dados pessoais de residentes da UE. As empresas que operam na UE ou coletam dados de cidadãos da UE devem estar em conformidade com o GDPR.
  8. LGPD: A versão brasileira da GDPR que rege qualquer pessoa física ou jurídica, pública ou privada, que colete e processe dados pessoais.

Esses documentos e frameworks são usados por empresas e organizações de todo o mundo para ajudá-las a implementar políticas e práticas de segurança da informação eficazes. Eles fornecem orientação e diretrizes para a gestão de riscos, proteção de dados e prevenção de ameaças, ajudando as empresas a proteger seus ativos de informação críticos.

As principais certificações da Segurança da Informação.

Para quem deseja mergulhar no mercado de trabalho de segurança da informação é importante tomar conhecimento das principais certificações.

Existem várias certificações na área de Segurança da Informação, que podem ser obtidas por profissionais que desejam aprimorar suas habilidades e conhecimentos na área. Algumas das principais certificações incluem:

CISSP é uma das mais populares e respeitadas certificações de Segurança da Informação da atualidade.
  1. Certified Information Systems Security Professional (CISSP): é uma certificação reconhecida globalmente e uma das mais prestigiadas na área de Segurança da Informação. O CISSP abrange uma ampla variedade de tópicos, incluindo segurança de rede, criptografia, gestão de riscos, regulamentação, ética e muito mais.
  2. Certified Information Security Manager (CISM): é uma certificação destinada a gerentes de Segurança da Informação e profissionais de TI que desejam assumir funções de liderança em Segurança da Informação. O CISM abrange tópicos como governança de Segurança da Informação, gestão de riscos e conformidade regulatória.
  3. Certified Ethical Hacker (CEH): é uma certificação que ensina habilidades de hacking ético, incluindo testes de penetração, engenharia social, análise de vulnerabilidades e muito mais.
  4. CompTIA Security+: é uma certificação que abrange uma ampla variedade de tópicos de segurança de TI, incluindo redes, dispositivos móveis, criptografia, ameaças e vulnerabilidades.
  5. ISO 27001: é uma certificação que se concentra em sistemas de gestão de Segurança da Informação (SGSI) e é baseada nos padrões internacionais da ISO. A certificação ISO 27001 garante que uma organização esteja seguindo as melhores práticas para proteger suas informações.
  6. Payment Card Industry Data Security Standard (PCI DSS): é uma certificação específica para empresas que processam pagamentos com cartão de crédito ou débito. O PCI DSS define requisitos de segurança para proteger os dados do cartão de crédito e garantir a conformidade com as leis e regulamentações relevantes.
  7. Certified Cloud Security Professional (CCSP): é uma certificação que abrange as melhores práticas para garantir a segurança em ambientes de nuvem, incluindo os serviços de nuvem oferecidos por provedores como Amazon Web Services (AWS), Microsoft Azure e Google Cloud.

Essas são apenas algumas das principais certificações na área de Segurança da Informação. A escolha de qual certificação buscar depende dos objetivos profissionais e das habilidades que o indivíduo deseja adquirir.

Os 5 Princípios da Segurança da Informação.

Existem alguns princípios fundamentais que norteiam a segurança da informação, e que devem ser seguidos para garantir a proteção adequada dos dados e informações. São eles:

  1. Confidencialidade: este princípio estabelece que as informações devem ser mantidas em sigilo, e que apenas pessoas autorizadas devem ter acesso a elas. Para garantir a confidencialidade, podem ser utilizadas técnicas de criptografia, autenticação e controle de acesso.
  2. Integridade: este princípio se refere à garantia de que as informações não foram alteradas ou corrompidas, e que estão íntegras e completas. Para garantir a integridade, são utilizadas técnicas de verificação de integridade, como códigos hash e assinaturas digitais.
  3. Disponibilidade: este princípio se refere à garantia de que as informações estarão disponíveis sempre que forem necessárias, para as pessoas autorizadas. Para garantir a disponibilidade, são utilizadas técnicas de backup e recuperação de dados, redundância e planejamento de continuidade de negócios.
  4. Autenticidade: este princípio se refere à garantia de que as informações são autênticas e verdadeiras, e que foram criadas ou modificadas por pessoas ou sistemas autorizados. Para garantir a autenticidade, são utilizadas técnicas de autenticação, como senhas, certificados digitais e biometria.
  5. Não repúdio: este princípio se refere à garantia de que as informações não possam ser negadas posteriormente por quem as criou ou modificou. Para garantir o não repúdio, são utilizadas técnicas de assinatura digital e registro de transações.

Esses princípios formam a base da segurança da informação, e devem ser aplicados em conjunto, de maneira integrada, para garantir a proteção adequada das informações.

Os três primeiros princípios; Confidencialidade, Disponibilidade e Autenticidade foram o chamado tripé da Segurança da Informação, também conhecido como CID. Os outros princípios complementam o CID.

CID – Confidencialidade, Integridade e Disponibilidade foram o tripé da Segurança da Informação.

A segurança da informação é um processo contínuo, que deve ser revisado e atualizado constantemente, para garantir a sua eficácia frente às novas ameaças e desafios que surgem.

Riscos e Ameaças na Segurança da Informação.

Riscos e ameaças são conceitos fundamentais na segurança da informação, pois representam as possibilidades de perda, dano ou acesso indevido às informações e sistemas.

O Conceito de Risco.

Risco é a probabilidade de que uma ameaça se concretize, causando danos aos ativos de informação. Os riscos são avaliados em função da probabilidade de ocorrência e do impacto que poderiam causar. Essa avaliação permite priorizar ações para reduzir os riscos e proteger as informações e sistemas de forma mais eficiente.

O Conceito de Ameaças.

Ameaças, por sua vez, são eventos ou situações que podem causar danos aos ativos de informação, como sistemas, dados, processos ou pessoas. As ameaças podem ser internas, quando partem de pessoas que têm acesso autorizado aos sistemas e informações, ou externas, quando originadas por agentes externos à organização, como hackers, malware, desastres naturais, entre outros.

Algumas das ameaças mais comuns na segurança da informação incluem:

  • Malware: programas maliciosos, como vírus, cavalos de Troia e worms, que podem infectar sistemas, roubar informações e causar danos aos ativos de informação.
  • Phishing: técnica que busca enganar usuários para obter suas informações pessoais e confidenciais, como senhas e números de cartão de crédito.
  • Ataques de hackers: tentativas de invadir sistemas e redes para roubar informações ou realizar ações maliciosas.
  • Roubo ou perda de dispositivos móveis: laptops, smartphones e tablets que contêm informações confidenciais, e que podem ser perdidos, roubados ou extraviados.
  • Desastres naturais: incêndios, inundações, terremotos, entre outros, que podem destruir ou danificar sistemas e dados.

A avaliação e gerenciamento dos riscos e ameaças são fundamentais para garantir a proteção adequada das informações e sistemas, e devem ser realizados de forma contínua e integrada às práticas de segurança da informação. Isso inclui a implementação de medidas de prevenção, detecção e resposta, bem como a conscientização e treinamento dos usuários para identificar e reportar possíveis ameaças.

Ser Humano, o elo mais fraco da segurança.

Embora no tópico anterior tenha abordado alguns tipos de ameaças mais comuns, existe uma que é crítica, o prório ser humano.

Entendemos que elo mais fraco da segurança é o próprio ser humano, logo, vamos entender melhor.

  • Uma rede elétrica mal feita ou sem aterramento.
  • Um computador desatualizado, suscetível a falhas de segurança.
  • Um funcionário que gosta que baixar vídeos e música no computador da empresa, podendo acidentalmente baixar um malware.
  • Um diretor que usa seu e-mail pessoal para trocar arquivos com outros diretores e ser alvo de um vazamento de dados.
  • Senhas fracas de e-mails, serviços de rede, etc…
  • Um servidor sem backup configurado.
  • Um técnico de TI que não possui uma rotina de restore do backup.
  • Cliques em links maliciosos. Usuários que navegam em sites não institucionais ou dão aquela “pausa’ para checar suas redes sociais e e-mails ficam sujeitos a malwares.
  • Dispositivos pessoais conectados à rede coorporativa da empresa, podendo dissiminar malwares.
  • Acesso não autorizado, sendo este um dos problemas mais críticos desta lista. O acesso autorizado pode ser de vários níveis e em vários cenários diferentes. Por exemplo, uma pasta da diretoria da empresa compartilhada na rede aonde todos os colaboradores possuem acesso não parece ser uma boa ideia, propiciando a edição e exclusão (mesmo que equivocada) de documentos importantes, ou até mesmo vazamento de dados.

As Políticas de Segurança.

Para reduzir o impacto das ameaças causada por qualquer fator, existem as Políticas de Segurança.

As políticas de segurança são um conjunto de diretrizes e orientações que definem as práticas, procedimentos e comportamentos necessários para proteger a informação de uma organização.

As políticas de segurança são compostas por um conjunto de documentos que descrevem as regras e procedimentos de segurança, incluindo a estratégia de segurança geral da organização, política de senhas, controle de acesso, backups / restores, uso de dispositivos móveis, uso da internet e também segurança física.

Avaliação e Gerenciamento de Riscos e Ameaças.

A avaliação e gerenciamento dos riscos e ameaças é um processo fundamental na segurança da informação, que tem como objetivo identificar, analisar, avaliar e gerenciar os riscos associados às informações e sistemas de uma organização.

O processo de avaliação e gerenciamento dos riscos e ameaças envolve as seguintes etapas:

  1. Identificação dos ativos: Chama-se de ativo qualquer bem, tangivel ou não, que possui valor para uma empresa, logo, dados e informações também são considerados ativos. Essa etapa consiste em identificar os ativos de informação da organização, como sistemas, dados, processos e pessoas, que precisam ser protegidos.
  2. Identificação das ameaças: nessa etapa, são identificadas as ameaças que podem afetar os ativos de informação, considerando tanto as ameaças internas como as externas.
  3. Avaliação dos riscos: nessa etapa, é feita uma avaliação dos riscos associados às ameaças identificadas, levando em conta a probabilidade de ocorrência e o impacto que esses riscos podem causar.
  4. Priorização dos riscos: com base na avaliação dos riscos, é feita uma priorização das ameaças mais críticas, que devem ser tratadas com maior urgência.
  5. Definição de medidas de segurança: nessa etapa, são definidas as medidas de segurança necessárias para proteger os ativos de informação, como controles de acesso, criptografia, backups, entre outros.
  6. Implementação das medidas de segurança: após a definição das medidas de segurança, elas devem ser implementadas e testadas para garantir a sua eficácia.
  7. Monitoramento e revisão: o processo de avaliação e gerenciamento dos riscos e ameaças deve ser contínuo, com o monitoramento das ameaças e riscos, a revisão das medidas de segurança e a atualização constante das políticas e procedimentos de segurança da informação.

O objetivo final da avaliação e gerenciamento dos riscos e ameaças é reduzir a probabilidade de ocorrência de incidentes de segurança da informação e minimizar os impactos caso eles ocorram.

Isso garante a proteção adequada das informações e sistemas, preservando a integridade, confidencialidade e disponibilidade das informações, bem como a imagem e reputação da organização.

SGSI – Sistema de Gestão de Segurança da Informação.

Estes processos foram o chamado SGSI – Sistema de Gestão de Segurança da Informação. O SGSI tem como objetivo principal proteger a informação da organização contra ameaças internas e externas, bem como garantir a conformidade com as leis e regulamentações aplicáveis e seguem os princípios da ISO 27001.

O ciclo de um SGSI possui 5 etapas principais, sendo elas; Classificar a informação de modo a definir quais são mais sensíveis, controlar o acesso, gerenciar os ativos de TI, Geris os Riscos de Segurança da Informação, responder e tratar incidentes e conscientizar e treinar os usuários.

Hackers x Segurança da Informação.

Quando abordamos o tema Segurança da Informação é comum muitas pessoas pensarem em hackers, ataques e invasões. Mas a Segurança da Informação não se limita apenas a isso.

A relação entre hacker e segurança da informação é complexa e multifacetada. Na cultura popular, o termo hacker é frequentemente associado a indivíduos mal-intencionados que usam suas habilidades para invadir sistemas e roubar informações. No entanto, a realidade é que nem todos os hackers são criminosos ou agem com intenções maliciosas.

Há muitos hackers éticos, também conhecidos como “hackers do bem”, que usam suas habilidades para ajudar a melhorar a segurança da informação. Esses profissionais trabalham em empresas, organizações governamentais ou de segurança cibernética, realizando testes de penetração em sistemas e redes para identificar vulnerabilidades que possam ser exploradas por atacantes mal-intencionados. Ao detectar essas falhas de segurança, os hackers éticos ajudam a aprimorar as defesas de segurança para proteger as informações confidenciais.

ISO 27001ISO 31000políticas de segurançaPrincípios da Segurança da Informaçãosegurança da informaçãosegurança digitalSGSI