Material retirado do trabalho de conclusão de curso de Redes de Computadores da Faculdade Módulo Paulista, da turma de formandos de 2010. Capitulo 11.
Autor do Post: Eduardo Popovici
Material de Pesquisa: Trabalho completo
Nível: Técnico (Foco em redes / Segurança)
O conceito básico da Segurança da Informação está relacionado à proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização.
São características básicas da segurança da informação os atributos de confidencialidade, integridade e disponibilidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos
sistemas em si.
Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos.
De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.
As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na seqüência de ataques.
O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido.
Algumas normas definem aspectos que devem ser levados em consideração ao elaborar
políticas de segurança.
Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e, por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.
Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).
Apesar dos sistemas operacionais trabalharem com formas diferentes de lidar com a segurança da Informação, o conceito em si deve ser estudado a fundo, visto que o impacto causado pela aplicação ou ausência da aplicação dessas regras, causará repercussão em todo o trabalho no decorrer dos dias.
Os elementos da política de segurança devem ser considerados:
A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar possa usar. Dados críticos devem estar disponíveis ininterruptamente.
A Utilização: o sistema deve ser utilizado apenas para os determinados objetivos.
A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este terem condições de analisar a identidade do sistema.
A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.
Quando implantamos a segurança da informação em uma empresa, devemos causar o mínimo de impacto direto aos funcionários, com uma maior proteção possível a toda estrutura do
sistema