A tarefa de implementação das principais práticas de segurança da informação na corporação não é uma tarefa fácil, mesmo quando falamos de uma empresa de pequeno porte. Envolve fatores objetivos e subjetivos que, ao se somarem, representam um caso diferenciado, impossível de se extrair uma fórmula.

Porém, o ato de se conscientizar da necessidade da adoção das práticas de segurança para o sucesso do negócio já é, em si, um grande passo tomado pela organização. Sempre lembrando que o melhor caminho não é a implantação compulsória, e sim a disseminação da cultura entre cada um dos ambientes da empresa. Afinal, nem todos os colaboradores e funcionários entendem a necessidade de mecanismos de controle e de gerenciamento da segurança da informação.

1. Gerindo Práticas de Segurança da Informação

A aderência da segurança da informação como característica essencial para o sucesso do negócio acabou gerando uma série de dúvidas nas práticas tradicionais de gerenciamento da informação e sua interatividade com o ambiente corporativo.

Um dos problemas e o principal dilema do “security officer” é a introdução das práticas de segurança da informação, que precisam abruptamente fazer parte do dia-a-dia da empresa, rompendo, em muito dos casos, a relação tradicional entre funcionários e o sistema corporativo de informações.

O melhor remédio para que o período de transição seja transparente, preservando a estabilidade do corpo de funcionários da empresa é a introdução da cultura de segurança da informação.

Nem sempre um plano diretor de segurança da informação tem por objetivo imediatista implantar mecanismos de auditoria e controle para evitar a má utilização de recursos. E aqueles que buscam esses resultados a curto prazo, sempre irão falhar ao justificar o custo/benefício do projeto.

A cultura de segurança da informação é essencial para o bem-estar e a produtividade da massa intelectual da empresa. Saber a diferença entre proteção, monitoração e o “policy enforcement” (aplicação compulsória da política), é o primeiro passo para uma implantação bem-sucedida.

1.1. Classificando a Informação

A prática de classificar a informação produzida ou processada pelos diversos ambientes da organização auxilia no desenvolvimento de uma política efetiva de controle de acesso e de provimento de controles de segurança.

A idéia é “etiquetar” os diversos tipos de informação, elaborando níveis distintos de classificação em relação a sua sensibilidade – tanto quanto à sua destruição quanto à sua revelação pública.

A tarefa da classificação cabe sempre ao proprietário da informação, pois ele é quem sabe o seu valor e qual o risco do seu comprometimento para o negócio da empresa.

1.2. Principais Classificações da Informação

• Sensível - Esta classificação se aplica à informação que requer precauções especiais para assegurar sua integridade, incluindo controle de acesso para restringir a sua modificação ou remoção. Estes dados exigem muito senso de precisão (ex: informações sobre transações financeiras da empresa);
• Confidencial - Esta classificação se aplica à informação mais sensível ao negócio da empresa, direcionada estritamente ao uso interno na organização. Sua revelação não autorizada pode comprometer seriamente a empresa, incluindo seus investimentos, parceiros comerciais e clientes;
• Não-classificada (ou sem classificação) - São dados não sensíveis ou passíveis de classificação. Um bom exemplo são informações públicas distribuídas pelo sistema de informação da empresa (press-releases, informativos). Apesar disto, estes dados comportam controle de acesso para evitar modificações ou remoções não autorizadas.

1.3. Gerenciamento de Funcionários

Um dos principais problemas envolvendo a segurança do ambiente corporativo é o fator humano. A forma como os usuários interagem com os diversos ambientes e sistemas da empresa representam a grande maioria dos incidentes relacionados à segurança da informação.

Em outras palavras, podemos dizer que os problemas relacionados com a interação de funcionários estão diretamente ligados a controles de acesso lógico.

O grande desafio da corporação é aplicar práticas de segurança para a utilização efetiva de cada um de seus profissionais, adequando-os à metodologia de proteção das informações e recursos da empresa.

O processo de colocação envolve quatro fases que podem ser aplicadas igualmente em todas as camadas da empresa:

• Definição da posição - Desenvolver uma descrição das tarefas e das responsabilidades atribuídas ao profissional;
• Sensibilidade da vaga - Classificar a posição quanto a sua sensibilidade para o sistema de informações da empresa;
• Seleção de candidatos - Procedimento de contratação que envolve a seleção do melhor profissional para a vaga disponível (em casos de novas contratações);
• Treinamento - Uma das fases mais importantes do processo, envolve a adequação e o “aculturamento” do profissional às metodologias de trabalho da empresa, incluindo o plano geral de segurança da informação; Dentre cada um destes processos, dois princípios da gestão da segurança da informação devem estar bem claros na metodologia da empresa:
  • Separação de tarefas - Dividindo as atribuições e privilégios de cada profissional, assegurando que nenhum indivíduo consiga causar uma interrupção nos processos de negócio da empresa. A separação de privilégios é fator irredutível na elaboração de uma política de controle de acessos (ex: separar a função e privilégios do administrador do sistema com a do administrador da informação);
  • Princípio do menor privilégio - É aquele que preza por delegar somente os privilégios necessários para que o usuário possa realizar sua função na organização. Administradores de sistema, por exemplo, não precisam ter acesso à informação que “povoa” o sistema administrado.

1.4. Manutenção da Confiabilidade do Ambiente

Uma vez integrado o profissional ao ambiente corporativo, a empresa não deve se esquecer das práticas de segurança para a administração do usuário, que prezam por gerenciar a utilização de seus recursos e da sua informação dentro do âmbito do negócio.

A administração efetiva do acesso de usuários aos sistemas de informação da empresa é essencial para manter a segurança do ambiente. O gerenciamento do acesso é focado na identificação, autenticação e autorização de acesso. Soma-se a tudo isso o procedimento constante de verificação de legitimidade de todas as contas de acesso dos sistemas em geral, removendo ou alterando o acesso de novos funcionários, funcionários em transição ou aqueles que foram desligados da organização.

Dentre as práticas destacamos:

• Gerenciamento das contas de acesso - Que envolve o processo de requisição, aprovação, criação e remoção do acesso de funcionários; e trilhas de auditoria para monitorar a utilização e os privilégios de cada um.
• Revisão e auditoria da metodologia - Auditar e revisar a efetividade dos procedimentos de gerenciamento das contas de acesso.
• Detectar atividades não-autorizadas - Criar e manter procedimentos para detecção de atividades ilegais no sistema de informação da empresa. Incluindo verificação periódica das atividades dos cargos mais sensíveis da empresa (expostos a informações mais críticas), além da monitoração de utilização dos recursos da empresa.
• Cuidados no desligamento de funcionários - Procedimentos para o desligamento de funcionários incluem a remoção de todos os privilégios concedidos e a consolidação do termo de confidencialidade; muito cuidado com os desligamentos contenciosos – a insatisfação sempre é um risco para a empresa.
• Cuidados com o acesso de terceiros - Terceiros geralmente não possuem comprometimento com o negócio da empresa e estão trabalhando para desempenhar um determinado objetivo em um curto espaço de tempo. É importante criar uma política de controle de acesso distinta dos funcionários da empresa, restringindo o acesso a informações sensíveis.

2. A Solução na Medida Certa para um Sistema Seguro

Somente nestes últimos dois meses, dois grandes sites, um de segurança e ambos ligados ao movimento do software livre foram "pixados" pelos famosos e conhecidos grupos defaced´s.

Apesar da grande maioria saber que esses tipos de invasões são apenas usadas para "pichar" as páginas iniciais dos sites e que os mesmos, na grande maioria dos ataques com certeza não conseguem adentrar no sistema e acessar ou danificar dados essenciais ao funcionamento do mesmo, isso repercutiu de uma maneira onde presenciei várias pessoas comentando sobre como um site com tamanho nível técnico e qualidade e ainda por cima relacionado a segurança foi invadido.

É justamente esse aspecto que conta, ou seja, a informação. Sem dúvida alguma a informação nunca foi tão importante como nos dias atuais e isso faz tornar-se cada vez mais necessário uma completa reciclagem no profissional de segurança atual para que "erros bobos" não sejam cometidos. O inglês também deve ser um grande aliado para uma boa atualização, afinal de contas, as correções, artigos e os primeiros avisos sobre segurança são lançados primeiramente em inglês.

Também é de extrema importância que o profissional de segurança dedique-se somente a segurança. Aquela velha história do analista de segurança que também é do suporte técnico não combina. Todos sabem que todo tempo do mundo ainda é pouco para analisar log´s, verificar a estrutura de segurança, simular invasões, cuidar da segurança interna como por exemplo, educar usuário ou até mesmo difundir as regras do conceituado BS7799 entre os funcionários de uma empresa.

No Brasil existem diversos sites com uma grande quantidade de materiais e dados relacionados a segurança e que sem dúvida alguma é de grande auxílio às pessoas que trabalham com a segurança da informação, neles é possível encontra desde dados sobre ferramentas IDS, artigos, até trabalhos sobre segurança.

Uma ótima dica é assinar listas de discussões que o deixam informado sobre os atuais acontecimentos do mundo da segurança, a BOS (Best of Security) pode ser assinada via site Securenet e o deixará informado com notícias freqüentes, a Unicamp também está fazendo um grande trabalho e a linuxsecurity quem além de um excelente site, tem uma grande quantidade de materiais sobre segurança e por fim, uma novidade no mercado de segurança é o site da N-Stalker, que é composto por dois dos mais conceituados profissionais de segurança do Brasil e que além de constantes e atualizados boletins sobre segurança, serviços e consultoria, conta também com ferramentas que vão desde utilitários para remoção de banners de sistemas operacionais até ferramentas para detectar e remover o nimda, code red e code blue. Ataques teóricos contra o algoritmo de criptografia padrão AES (Advanced Encryption Standard), o Rijndael e o segundo colocado, o Serpent, foram publicados por especialistas. A descoberta foi trazida à luz pelos pesquisadores Nicolas Courtois e Josef Pieprzyk no documento entitulado "Cryptanalysis of Block Ciphers with Overdefined Systems of Equations".

3. Segurança da Informação

O assunto de Segurança da Informação, para quem trabalha com tecnologia da informação em uma instituição financeira, verifica sempre que dentro do planejamento semestral de investimentos, as necessidades para a proteção da informação concorrem com projetos de novos produtos que, com alto grau de certeza, trazem lucro para a organização.

Salvo projetos relacionados a fraudes, na prática, é muito difícil um projeto de segurança da informação concorrer com projetos ligados ao negócio. A quantificação do retorno do investimento para projetos de segurança não é uma tarefa fácil, principalmente porque habitualmente não há dados suficientes, além do que, trata-se de parâmetros não muito concretos do tipo: grau de má fé dos usuários ou previsão de acontecimento de situações que nunca aconteceram ou, pior ainda, situações e problemas que ainda não conhecemos.

Apesar de se conseguir criar e manter um bom processo de segurança em uma organização, o fato de tratar os recursos apenas como investimento, é uma tarefa muito árdua. Contudo, a importância relativa da Segurança da Informação, vem crescendo à medida que as organizações percebem a relação direta com o risco do negócio e passam a tratar esta questão de forma mais ampla, dentro do conceito de gerenciamento de riscos operacionais. Atualmente, algumas ações e conceitos devem ser implementados para facilitar a definição da alocação de recursos para os projetos e atividades de Segurança da Informação.

Segurança da Informação deve ser custo operacional e, algumas vezes, investimento.

Da mesma forma como a organização inclui os impostos, os seguros e a infra-estrutura na composição do seu custo, a Segurança da Informação deve ser considerada. É difícil generalizar, mas 10% do valor dedicado à informática é um percentual já praticado por muitas organizações que consideram a proteção da informação de maneira profissional. Despesas extras ou mudanças de patamar que exijam grande soma de recursos, podem ser consideradas como investimento e "brigar" com os demais projetos.

3.1. O Objetivo é a Proteção do Negócio da Empresa

Deve ficar claro para toda a organização que o objetivo principal da Segurança da Informação é a proteção do negócio da empresa. A área de informática ou o CPD serão contemplados porque possuem recursos críticos para a realização do negócio. Em relação à indisponibilidade de recursos (ocorrência de desastres) uma Análise de Impacto no Negócio (BCP-Business Continuity Planning) ajudará a empresa a estimar (e na maioria das vezes se assustar) qual será o prejuízo a partir de uma indisponibilidade dos recursos.

3.2. Gestor da Informação

O Gestor da Informação é a pessoa responsável pela liberação (ou não) da informação para toda a empresa e também deve ser responsável pela continuidade do negócio no que depende daquela informação. Um Gestor consciente da sua função será um aliado para a obtenção e manutenção de recursos para a proteção da informação. E esse Gestor deve estar definido na Política de Segurança.

3.3. Conhecimento do Nível de Proteção da Informação da Empresa

O nível de proteção da informação da empresa não deve ser dado pela simples média dos aspectos analisados. Corremos o risco de cair na armadilha das estatísticas onde na média, está tudo bem, mas a realidade é bem mais cruel. Um diagnóstico deve ser feito periodicamente informando como está o nível de proteção da informação de cada aspecto analisado. Uma visão gerencial deve ser passada para a direção de modo que a mesma sinta a necessidade de investir (ou gastar) na Segurança da Informação do seu negócio. Essa análise periódica deve ser feita por pessoas/empresas que possuam experiência e competência no assunto.

3.4. Proteger a Informação Exige Recursos

É preciso acreditar na nossa capacidade de raciocinar e tomar decisões para fazermos a organização, gerar lucro e conseqüentemente alocar recursos para a proteção da informação. A segurança só acontece se forem destinados recursos (dinheiro, tempo, pessoas, ...) para o Processo de Segurança. Não acontece por milagre.

3.5. Área de Segurança Estruturada

A área de segurança deve ser um elemento formal no organograma da empresa. Não é algo passageiro e nem deve ser algo informal. A informalidade não ajuda em nada quando se trata de dedicar recursos. A existência da Segurança da Informação como um elemento da estrutura organizacional, compatível com o porte e negócio da empresa, demonstra a seriedade do assunto para a organização.

3.6. Gerenciamento de Riscos

A Segurança da Informação deve ser um elemento chave dentro do conceito de gerenciamento de risco da organização, através do qual, pode-se obter vantagens competitivas.

3.7. Auditoria Forte

A atuação efetiva de uma auditoria (interna ou externa) reforça a necessidade de dedicação de recursos para a proteção da informação. A independência da auditoria e o seu compromisso com os acionistas, serão aliados do processo de segurança da informação.

Gastar recursos com segurança não é o primeiro desejo de uma organização; mas pode significar a sua continuidade no negócio. Pode significar, também, a proteção contra o concorrente que está acessando as informações confidenciais da empresa.

É necessário dedicar recursos para a proteção da informação. Seja na forma de investimento, seja na forma de custo operacional. Cada empresa deve buscar honestamente qual a melhor forma se ajustar à sua maneira de ser, à lucratividade esperada pelos acionistas e à sua continuação no mercado. Para uma proteção efetiva, a maioria dos recursos devem ser considerados como custo operacional e alguns gastos específicos podem ser planejados como investimentos.

4. Criptografia

Essa ciência milenar, chave dos segredos da antiga Roma, peça fundamental na 2a Grande Guerra, hoje passa a ser a estrela do mundo da Computação. Diversos sistemas operacionais, bancos de dados, protocolos de comunicação ou simples sistemas de armazenamento de arquivos chegam ao consumidor providos desta função de embaralhar os dados.

Através do uso de um algoritmo (seqüência de passos para o embaralhamento), dos dados a serem protegidos e de uma chave (conjunto de bits), transforma-se textos ou dados abertos em códigos ilegíveis. A chave existe para embaralhar o texto e, através do conhecimento dela, conseguir recuperar o texto original. Isso é Criptografia no mundo computacional, e isso era Criptografia há mil anos.

Porém, se hoje temos computadores para criptografar dados e processar informações que antes eram impossíveis, os mesmos computadores são usados para quebrar algoritmos e descobrir a chave que foi usada. Uma chave com poucos caracteres é fácil de ser adivinhada. Pode-se tentar algumas possibilidades até que se consiga chegar na chave certa. Portanto, quanto maior o número de caracteres (ou bytes – 1 byte = 8 bits) mais segura será uma chave.

Além disso, deve existir uma preocupação muito grande com a chamada "chave da porta dos fundos" ou backdoor key. Na verdade isso significa a existência de uma chave mestra através da qual se consiga obter o texto ou os dados originais sem maiores dificuldades e não importando o tamanho da chave. Essa polêmica existiu e foi muito forte nos anos 60 e 70 quando começaram a aparecer os primeiros algoritmos considerados padrão de criptografia, desenvolvidos e comercializados pela NSA (Agência de Segurança Nacional – órgão do governo americano regulamentador de normas e procedimentos a respeito de segurança eletrônica e criptografia).

A criptografia embutida hoje na maioria dos produtos vendidos no Brasil é americana e isso significa estar sob a Lei de Exportação de Criptografia. Para os Estados Unidos, criptografia é tão séria quanto a exportação de armas e é regulamentada sob a bandeira da Segurança Nacional. Hoje só é permitida a exportação de algoritmos criptográficos com chaves de até 40 bits (5 bytes ou 5 caracteres). Isso, pelos padrões atuais da chamada Criptoanálise (ciência que estuda a quebra dos sistemas de criptografia), é ridículo de ser quebrado e, de fato, no ano passado houve um esforço conjunto através da Internet que quebrou o DES (algoritmo padrão americano) com chaves de 40 bits e 56 bits. Hoje, cientistas e especialistas do mundo todo concordam que não devem ser adquiridos sistemas criptográficos com chaves inferiores a 128 bits (16 bytes).

Essa lei americana já sofreu uma modificação e está sendo analisada para sofrer outras modificações. O novo acerto entre as empresas prevê a venda de algoritmos com 128 bits de chave para instituições financeiras e governamentais de outros países, desde que, seja depositada a "chave da porta dos fundos" nos cofres da NSA. Atualmente as empresas americanas estão praticamente vencendo e conseguindo que essa regra valha para todo o tipo de empresa cliente.

Se tudo o que trafega na Internet estivesse funcionando com criptografia 40 bits ou 128 bits com chave depositada, o governo americano teria as comunicações do mundo inteiro ao seu dispor. As empresas que dominam Sistemas Operacionais, Browsers, Banco de Dados, Linguagens de Programação, Sistemas de Firewall e Sistemas de Segurança, Roteadores e Servidores de Rede são americanas. O caso é tão grave que, na última Condex SP, um especialista em segurança americano, durante uma palestra, quando perguntado por uma pessoa da platéia sobre como funcionava determinado algoritmo de criptografia respondeu que não poderia entrar em detalhes sobre aquele assunto porque era americano e estava sob as leis do seu país.

A saída desse problema é o fato das empresas brasileiras estarem desenvolvendo soluções de segurança tão boas ou melhores do que as americanas. Algoritmos criptográficos, firewall, sistemas de segurança e gerenciamento de redes e até banco de dados. Os produtos nacionais são extremamente bons e com segurança, inclusive sendo exportados para diversos países do mundo. O mercado brasileiro de segurança em informações cresce violentamente aproveitando uma brecha mundial deixada pelos americanos devido às leis de exportação de criptografia que vigoram naquele país. Porém, é mais difícil vender uma solução nacional de segurança para empresas brasileiras do que exportar. O brasileiro precisa começar a acreditar que existe espionagem empresarial e internacional.

É necessária uma maior conscientização dos nossos empresários na questão segurança de informações. Esse tema irá certamente fazer a diferença entre as empresas líderes de mercado. A informação é poder, porém, sem segurança esse poder poderá virar-se contra você.

5. Segurança da Informação (Automatização)

Existem vários produtos no mercado, que automatizam as tarefas de monitorar e hierarquizar a avalanche diária de e-mails enfrentada pelas empresas. O programa WorldSecure, por exemplo, age como um filtro que analisa o conteúdo dos arquivos anexado, restringe acessos e barra spams, gifs, applets Java ou ActiveX. O BorderManager, da Novell, baseia-se no serviço de diretório NDS (Novell Directory Services) para controlar os diferentes tipos e arquivos que chegam por e-mail. Para as empresas que vêem no gerenciamento de banda a solução para domar a montanha de mensagens que recebe por dia existe o Packet Sahper, da americana Packeteer. O programa permite classificar e priorizar banda de acordo com a importância das aplicações e a posição do funcionário.

Para monitorar o aceso à Internet também existem várias opções de software, como, por exemplo, o Cyber Patrol Corporate, sistema que gerencia e filtra acesso www, FTP, newsgroups e chats. O programa lista os sites que podem contribuir para a perda de produtividade e breca o acesso.

A velha impressão digital ensaia novos vôos no mundo hightech como solução de segurança nas transações pela Internet. Em projetos piloto em andamento no país, a impressão digital capturada por sensores ópticos funciona como senha única na web, passaporte para dados sigilosos nas redes corporativas, inibidor de fraudes no e-commerce e facilitador do controle de recursos humanos, entre outras aplicações. Suas características dão ao recado: não pode ser clonada, roubada ou emprestada e muito menos esquecida no banco de trás do táxi.

O polegar – ou qualquer outro dedo cadastrado – vale como senha a partir de uma página segura e, daí em diante, o usuário entra no site que quiser sem precisar se identificar de novo. Como? Basta cadastrar suas senhas convencionais no serviço de reconhecimento de digitais do provedor.

Outra solução pode vir de uma empresa estreante camada EZLogin.com, que pretende ser um tipo de serviço de assinatura única para a Web inteira. A EZLogin armazena todos os nomes do usuário e todas as senhas em seu servidor seguro e emprega tecnologia agente para preencher formulários de login pra você automaticamente.

A beleza da abordagem EZLogin é não exigir que os lojistas ou os cientes instalem software. A solução não se limita a sites de comércio eletrônico. Você pode empregá-la para acessar praticamente qualquer site protegido por senha ao qual tenha direito. Ela fornece outros benefícios, como o gerenciamento on-line de endereços favoritos e a capacidade de permitir o acesso de outra pessoa a uma das suas contas on-line como convidada sem que seja necessário fornecer a senha.

A solução EZLogin é difícil de configurar e usar. A interface não é fácil para usuário iniciante e fornece poucas indicações sobre a maneira de começar a trabalhar.

Além de bugs, vírus e spams, uma das palavras mais ditas ultimamente no cenário de tecnologia é hacker. Apenas o termo em si já é capaz de gerar muita controvérsia, por ser aplicada nas mais diversas situações, muitas vezes até antagônicas. As dúvidas e confusões existem, sobretudo, entre hacker e cracker. Entretanto, dos dois, hacker é o termo mais usual e genericamente empregado quando se fala de invasores de sistemas.

Porém, uma pesquisa mais detalhada sobre o jargão técnico revela que os termos mantêm diferenças básicas. As explicações usadas com mais freqüência definem o hacker como aquele especialista em programação que tenta descobrir falhas em sistemas e programas, sm intenção de gerar danos para as empresas ou itens invadidos. Já o cracker faz uso do seu conhecimento para atacar, destruir ou mesmo roubar informações, sendo considerado um criminoso.

Se considerarmos, porém, que uma noticia de invasão de um sistema de segurança de uma empresa, mesmo que a ação em si não traga prejuízos financeiros diretos, ou que uma simples pichação em um site podem trazer danos morais às companhias envolvidas, todo e qualquer tipo de invasão deveria ser considerada crime.

Mesmo em diferentes níveis, hackers, que apenas encaram a invasão ou a descoberta de falhas como um desafio, é crackers, que procuram tirar vantagens de sua habilidade, estão do mesmo lado nessa guerra. E, sem dúvida alguma, a ação desses personagens foi responsável pela criação, ou incremento, de uma nova categoria profissional: os analistas de segurança; especialistas na identificação de vulnerabilidade de sistemas ou na análise de intrusão.

Esses profissionais vêm ganhando espaço no mercado, principalmente depois do advento da Internet, que abriu a porta para muitos novos recurso e negócios, mas também para muitos invasores e fontes de preocupação relacionadas à segurança.

Porém, os profissionais precisam ter conhecimentos profundos de protocolo TCP/IP, redes e sistemas operacionais. Pós-graduação e cursos específicos da área de segurança também são bem-vindos.

As empresas são unânimes em afirmar, contudo, que o ponto fundamental na contratação do analista de segurança é a aprovação do perfil geral do profissional. Não se analisa apenas as capacitações técnicas é preciso avaliar o caráter, fazer uma checagem de como a pessoa viveu seus últimos anos.

Curiosamente, o profissional que deve descobrir pontos vulneráveis em sistemas será o mais monitorado da empresa. Como esse profissional estará constantemente em contato com informações sigilosas, é importante avaliar como ele poderá se sentir nessa situação.

De modo resumido, os analistas de segurança devem identificar as vulnerabilidades dos sistemas, encontrar brechas de segurança e prevenir a empresa em relação a um possível ataque de hackers.

O que nossos heróis não sabem exatamente onde e quando seus inimigos atacarão é fato conhecido. Porém, nem sempre a força do mal está tão distante com se poderia imaginar. Estudo mundial feito pelo Computer Security Institute avalia que 80% dos problemas de segurança (fraudes, vírus, invasões e outros tipos de atitudes maliciosas) têm envolvimento de pessoal interno da organização. São funcionários insatisfeitos ou que percebem que podem vender alguma informação ao concorrente.

6. Gestão da Segurança da Informação

Depois de muitos anos de “insegurança da informação”, temos presenciado algumas vitórias importantes. Desta vez, com força de Norma, a gestão de segurança da informação poderá tornar-se marca de distinção entre as empresas, com o mesmo impacto e diferencial causados pelas ISO 9001, 9002 e outras, que muitas empresas enfatizam com orgulho e vantagem competitiva no mercado. Finalmente isto poderá atingir, em curto prazo, os aspectos de segurança da informação das empresas, como autenticação da sua qualidade em segurança. No mês de agosto de 2001, a norma britânica BS 7799 - Gestão de Segurança da Informação, teve seu conteúdo aprovado pela ISO, para passar a ser ISO 17799, cujo anúncio oficial aconteceu no início de 2002.

Para nós brasileiros, a boa notícia é que também a ABNT já está se organizando para editar uma norma que adapte este padrão para adoção do mesmo em nosso país.

Para as empresas em geral, a adoção deste futuro padrão dar-se-á, em primeiro lugar, para que as mesmas mostrem ao mercado que existe efetivamente uma estrutura adequada e que garante a segurança da informação em função das suas necessidades de negócio e, em segundo lugar, para assegurar e demonstrar que o padrão existente é o melhor possível - definido em norma. Assim como as normas ISO voltadas à qualidade, esta tende a ser também um diferencial de competição para as empresas que estiverem aderentes a ela. A atual norma inglesa BS7799 não se limita a aspectos meramente técnicos de processamento, IT e redes, mas abrange todos os aspectos de segurança da organização. Os itens são: Política de Segurança; Organização da Segurança; Gestão de Ativos; Segurança de Pessoal; Gestão da Segurança Física; Procedimentos de Operação de Processamento de Dados e de Rede; Controle de Acesso; Procedimentos de Desenvolvimento e Manutenção de Sistemas; Gestão da Continuidade de Negócios Aderência à Legislação. Ora, evidentemente a maioria das grandes empresas certamente já se preocupou em algum momento com alguns destes itens e, provavelmente já até os tenha implantado, no todo ou em parte. A questão que vem a seguir é que se o que existe atualmente está compatível com o conteúdo, ou o que preconiza a norma.

Embora a empresa tenha despendido esforços para implantar alguns itens, estes não estejam de acordo, far-se-á necessária uma revisão total dos processos, contando com um diagnóstico inicial, um projeto de adequação e com o desenvolvimento de mecanismos de controle. De qualquer forma, esteja ou não implantada a segurança de forma adequada, estas normas trarão uma oportunidade de uma revisão abrangente no âmbito empresarial. Além disso, podemos concluir que esta análise consumirá recursos e exigirá pessoas experientes neste trabalho, o que tende a causar uma grande procura pelo mercado de profissionais gabaritados e conhecedores das normas mencionadas.