Princípios de Segurança em Sistemas da Informação
Um sistema de informações é composto de três elementos que são:
- Dado;
- Informação, e;
- Conhecimento;
O dado é a unidade elementar da informação. Sozinho o dado não constituí informação, ou mesmo conhecimento. Por exemplo, ao dizermos 39 graus Celsius, por si só, não constituí informação ou conhecimento já que não há contexto para esse dado. Diante disso, 39 graus pode ser uma alta temperatura para um ser humano, mas para um microprocessador de um computador em operação é uma temperatura baixa já que esse opera em temperaturas entre 60 e 80 graus.
O dado quando é trabalhado por meio, por exemplo, da identificação do contexto em que foi obtido o dado podemos dizer que o dado tornou-se uma informação. A informação, portanto, é um ato claro de identificar dados e contextualizá-los.
O conhecimento constitui-se em interpretar as informações obtidas por meio da contextualização dos dados. O conhecimento como é uma decorrência da análise das informações possui uma carga subjetiva já que a interpretação varia conforme o sujeito que a realiza.
Conforme o CESPE em 2012 na prova de PAPILOSCOPISTA da polícia Federal “os processos de informação fundamentam-se em dado, informação e conhecimento, sendo este último o mais valorado dos três, por ser composto por experiências tácitas, ideias e valores, além de ser dinâmico e acessível por meio da colaboração direta e comunicação entre as pessoas detentoras de conhecimento”.
Diante desses fatos podemos afirmar que que há uma hierarquia entre dado – informação – conhecimento. Há uma carga subjetiva muito grande no conhecimento o que não ocorre com o dado que é totalmente objetivo. Podemos afirmar com certeza que o dado, informação e conhecimento não são sinônimos e muito menos iguais.
Na hierarquia da segurança da informação o conhecimento é o item mais precioso.
Voltamos a ressaltar que há dois tipos de sistemas de informação: o sistema de informação informatizado e sistema de informação não informatizados como arquivologia, administração de recursos, entre outros.
Norma ISO 27002 – Norma de Gestão de Segurança.
A Norma ISO 27002 trata da segurança da informação e ela diz para as empresas quais são as melhores práticas para a segurança da informação. As recomendações contidas na ISO 27002 fala especificamente sobre as recomendações de segurança para tratamento de informações que aplica-se à empresas privadas, à órgãos e à entidades públicas.
A ISO 27002 possui altas exigências para manter e criar sistemas de informações extremamente seguros como bancos e grandes empresas.
A Norma ISO 27002 conceitua alguns termos que são necessários para o estudo da segurança da informação, vejamos:
- Ativo: Tudo o que tem valor para uma organização;
- Ameaça: a causa potencial de um incidente indesejado e seus resultados.
- Vulnerabilidade: é a fragilidade de um ativo que pode ser explorado por uma ameaça.
Diante desses conceitos podemos afirmar que um hacker é uma ameaça e “um hacker ter atacado seu computador” é uma ameaça. Sendo que o “hacker que ataca o seu computador” o atacou por uma porta aberta, ou seja, a vulnerabilidade por meio do qual a ameaçar (hacker atacar) ter se efetivado foi utilizado. criado um incidente.
Exemplos de ameaça na segurança da informação:
São exemplos de ameaças de segurança da informação são temperatura, incêndio, descargas elétricas, ameaças físicas, ameaças naturais como enchentes, terremos, furacões. Ameaças de hardware que foi mal projetado, ameaças de softwares como vírus, trojan, antivírus desatualizado, ameaças humanas por meio, por exemplo, da engenharia social entre outros.
O que é Segurança da Informação
A segurança da informação é, portanto, a preservação da Confidencia lida, Integridade, Disponibilidade, Autenticidade, Não – Repúdio, Responsabilidade, Legalidade e Confiabilidade.
Para facilitar a memorização há um mnemônico que é usar o termo C.A.D.I.N em que cada letra representa a inicial de um dos princípios:
- Confidencialidade;
- Autenticidade;
- Disponibilidade;
- Integridade;
- Não-repúdio.
Para melhor compreensão e aplicação na hora da prova devemos pegar uma palavra chave para cada princípio. É por meio desses termos para cada princípio é que vamos trabalhar o conceito. Vamos as nossas palavras chaves para memorização dos princípios da segurança da informação:
Confidencialidade – Segredo, privacidade, sigilo, só autorizados, proteger contra acesso não-autorizado, controle de acessos, controle de operações individuais;
Autenticidade –
Técnicas para manter a Confidencialidade
São técnicas para garantir a confidencialidade a Criptografia e a Esteganografia.
A Esteganografia é o armazenamento de informações dentro de outra informação maior. É o disfarce da informação no meio de outra informação como, por exemplo, em uma carta em que no meio dela há informações disfarçadas para um terceiro.
Criptografia é a técnica da escrita oculta, ou seja, esconder a grafia. A criptografia é dividida em simétrica e assimétrica.
Criptografia – cripto (oculto) grafia (escrita) escrita oculta, ou esconder a escrita.
Tipos de Criptografia
Simétrica – é aquela que utiliza uma única chave para criptografar e decifrar (chave secreta ou privada).
Assimétrica – é aquela que utiliza uma chavepara criptografar (chave pública) e outra chave para decifrar (chave privada).
Princípios Básicos da Segurança da Informação
São estes os princípios básicos de segurança em sistemas:
- Confidencialidade: proteção da informação compartilhada contra acessos não autorizados; obtém-se a confidencialidade pelo controle de acesso (senhas) e controle das operações individuais de cada usuário (log). Logo, a confidencialidade efetiva-se quando somente pessoas, entidade se processos autorizados tenham acesso aos dados e informações armazenados ou transmitidos, no momento e na forma autorizada;
- Autenticidade: é o princípio que busca atestar com exatidão o originador do dado ou informação, bem como o conteúdo da mensagem. esse princípio visa, portanto, garantir a identidade dos usuários. Podemos citar como exemplos desse princípio aplicado as formas de autenticação como “Possuir-Documento, Crachá”, “Saber–Senha, letras de acesso”, “Ser–Biometria(digital, íris, voz)”, etc.
- Integridade: Objetiva garantir a veracidade da informação, que não pode ser corrompida (alterações acidentais ou não autorizadas). Ou seja, precaver-se de que o sistema não altere os dados ou informações armazenados ou transmitidos, bem como não permitir que alterações involuntárias ou intencionais ocorram.
- Disponibilidade: significa a prevenção de interrupções na operação de todo o sistema (hardware + software). Ou seja, uma quebra do sistema não deve impedir o acesso aos dados. Garantir que o sistema computacional ou de comunicações (hardware e software) se mantenha operacional de forma eficiente e possua a capacidade de se recuperar rápida e completamente em caso de falhas.
- Não-Repúdio: é a impossibilidade de negar a participação em uma transação eletrônica.
- Assinatura Digital: É um mecanismo que utiliza o mecanismo de chaves públicas para garantir a autenticidade e o não repúdio, e um algoritmo de Hash para garantir a integridade. Ess dispositivo de segurança utiliza uma chave pública de quem envia para sua garantia.
- Certificado Digital: É um documento contendo dados de identificação da pessoa ou instituição que deseja, por meio deste, comprovar, perante terceiros, a sua própria identidade.
MP 2200/2001 trata sobre a validade jurídica dos certificados digitais emitidos pelas autoridades certificadoras.