Políticas de Backup Corporativo

Atualmente os sistemas corporativos requerem soluções de backup cada vez mais velozes, flexíveis e confiáveis, preparadas para atender uma multiplicidade igualmente maior de plataformas.
Essa necessidade de garantir a inte

gridade e a segurança da informação é tão grande que os profissionais de redes não podem contar apenas com simples sistemas de armazenamento, necessitando utilizar recursos mais eficientes como os sistemas de backup corporativo, por exemplo.
A adoção dessas soluções depende de um correto planejamento tecnológico que deve ser adaptado ao foco do negócio, integrando de forma inteligente a tecnologia utilizada aos novos hardwares e softwares e que ofereçam meios para gerenciar constantemente esses componentes.


Gerenciamento
O gerenciamento é um fator importante na arquitetura da rede, pois apenas um conjunto de soluções de hardware e software por si só nada pode garantir em termos de eficiência e segurança no tráfego de informações.


Para que o sistema de uma empresa possa prover segurança e velocidade para os dados dos seus usuários é imprescindível um perfeito gerenciamento desses dados. Identificar onde e como cada dado deve ser armazenado, qual o volume de informações críticas existentes, quantos dados desprezíveis são armazenados, são questões importantes para se definirem regras de armazenamento e a necessidade ou não de expansão dos componentes de armazenamento. O maior desafio, porém, é desenvolver uma infra-estrutura capaz de operar sobre os padrões abertos e independentes de plataformas de hardware de armazenamento.


Uma das soluções utilizadas para solucionar o problema do gerenciamento é a consolidação de "storage", onde diversos ambientes de armazenamento são centralizados em um único local, facilitando a administração e o gerenciamento dos dados armazenados. Dessa forma, o gerenciamento permite que toda a configuração e monitoração dos processos de backup e recovery seja centralizada em um único ponto, independente de localização física do mesmo.


Estão disponíveis no mercado soluções completas e abrangentes, contando com uma infra-estrutura de hardware e software para maximizar a disponibilidade de níveis de serviço (SLA) visando operações de ambiente de missão crítica. A existência de mecanismos para atender às necessidades de janela de tempo de backup, sem a interrupção da operação normal e para situações de recuperação de desastres complementa a arquitetura de backup corporativo.

É necessário realizar também um levantamento relacionando todos os servidores que serão os clientes do backup/restore e todos os sistemas operacionais, bancos de dados e aplicativos envolvidos e da rede de interligação dos mesmos, objetivando garantir a confiabilidade da operação, mesmo em situações de falha de alguns dos componentes. O dimensionamento e configuração dos servidores de backup e dos dispositivos de backup (incluindo número de unidade de fitas para cada dispositivo) devem ser indicados, assim como a arquitetura de rede e política de compartilhamento de unidades de fita (uso ou não de Storage Area Network / Fibre Channel).


Falhas de projeto
Diversos são os casos de implementações de backup que não conseguem suportar o alto crescimento do volume de dados e que, após um curto intervalo de tempo, requerem um novo projeto de storage. Nessas situações, normalmente cometem-se erros básicos que vão desde um dimensionamento equivocado dos dispositivos de backup, a utilização de softwares com insuficiência de funcionalidades e a falta de planejamento na utilização da rede, incluindo aí uma má implementação de redes SAN (Storage Area Netwoks).


As restrições de compatibilidade são observadas principalmente em softwares dependentes de plataformas de hardware de armazenamento, implicando em uma implementação de backup com características proprietárias e que simplesmente não funcionam ou funcionam mal quando da inclusão de outras plataformas de hardware de armazenamento no ambiente de backup.


Uma infra-estrutura de hardware e software de backup deve ser flexível para suportar o maior número possível de sistemas operacionais, além de utilizar as interfaces e utilitários nativos das principais aplicações do mercado.


Erros em procedimentos de backup
O termo backup está diretamente associado à segurança de dados e deve receber uma atenção especial do administrador de rede.
Qualquer descuido pode ser fatal para os dados mais importantes de uma empresa. Manter mídias de backup em locais inadequados e sujeitos à umidade, influência de campos magnéticos e alta temperatura pode danificá-las. Utilizar um mesmo local de armazenamento tanto para pastas e arquivos de backup quanto para todos os dados em uso é outro fator de risco de perda de dados se algum simples problema acontecer. Um deles poderia ser, por exemplo, um dano físico no disco rígido, em que estão guardados os dados e o backup, juntos.


Outra falha está em deixar as rotinas de backup acontecerem sem qualquer tipo de gerenciamento e sem observar procedimentos específicos de segurança. É necessária uma atenção especial para essa questão, evitando-se que o backup seja esquecido ou que a mídia não seja trocada e até mesmo que a política de segurança da empresa seja ignorada.


Torna-se imprescindível elaborar um conjunto de procedimentos chamados de política de backup (ou backup off site), que consiste na retirada periódica da mídia de armazenamento do local onde o backup é gerado. Essa mídia é levada geralmente para fora do local por uma pessoa de confiança e que se envolva no processo, mesmo que indiretamente. Com isso, mesmo no caso de um acidente (incêndio, explosão, etc), os dados estarão resguardados em local seguro.


Produtos de backup corporativo
Os produtos de backup corporativo que estão disponíveis no mercado são diversificados e projetados para uso ótimo com uma biblioteca de fita, atendendo as necessidades do administrador de rede de maneiras diferentes. Porém, considerando que a demanda por backup de dados é universal, é importante oferecer funcionalidade e confiabilidade juntamente com uma interface apropriada para administradores com variados níveis de experiência. Flexibilidade também é necessária, pois os administradores de rede devem editar tarefas existentes e reconfigurar parâmetros com rapidez e facilidade quando as circunstâncias assim o exigirem.
Por fim, um bom produto deve ser capaz de lidar com a diversidade de marcas e padrões normalmente encontrados em um ambiente de rede heterogêneo.


Conclusão
Gerenciar informações de forma eficiente é um desafio encontrado por empresas de todos os portes e segmentos. Um mau gerenciamento dos dados pode ocasionar prejuízos muitas vezes ocultos, como baixa velocidade de acesso, má utilização dos componentes de armazenamento e um alto custo total de propriedade (TCO).


Nenhum sistema de armazenamento está completo sem uma solução adequada de cópias de segurança. Assegurar a integridade dos dados é um dos maiores desafios da área de Tecnologia da Informação de uma empresa, principalmente porque soluções como espelhamento remoto e cópia de dados não conseguem garantir essa integridade em situações de erros humanos, sabotagens ou mesmo desastres de proporções não previstas. Em muitos destes casos, somente uma cópia tipo backup pode resolver a situação.


Fonte: Prof. Especialista José Mauricio Santos Pinheiro em 02/02/2005
Disponível em: http://www.projetoderedes.com.br/artigos/artigo_politicas_de_backup_corporativo.php 

 

Soluções de Segurança no Ambiente Corporativo

É cada vez maior o número de corporações que desenvolvem seus negócios baseados em novas tecnologias de informação, como E-Commerce, ERP e CRM. Porém, na mesma proporção, estão aumentando os custos operacionais para a manutenção da infra-estrutura de Tecnologia da Informação (TI) protegida contra vírus, invasões pela Internet e atos de espionagem e sabotagem, fazendo com que muitos investimentos não atinjam o retorno esperado. Este artigo pretende apresentar a importância das soluções integradas de segurança no ambiente das redes corporativas.


Soluções Integradas
Os investimentos na área da segurança computacional têm se mostrado um fator decisivo para a redução dos custos operacionais e para a garantia da qualidade dos serviços e produtos nas corporações onde o negócio é fortemente dependente do desempenho da Tecnologia da Informação (TI).
Falhas na rede de comunicação, perda de informações por motivos diversos, disseminação de vírus e roubo de informações pela Internet, sabotagem, espionagem industrial, entre outros, são fatores que os profissionais da área de segurança corporativa precisam observar, definindo estratégias de atuação e implantando medidas de recuperação eficazes.


Soluções de segurança devem ser combinadas para permitir a criação de um fluxo de informações entre os diversos níveis funcionais, possibilitando a integração dos recursos computacionais de forma mais eficiente e segura, o que poderá possibilitar aumento na produtividade, melhorias da qualidade dos serviços internos, agilização nas transações e aumento da competitividade de um modo geral.


Neste contexto, devem ser escolhidas ferramentas eficazes e sintonizadas com o negócio, buscando sempre a maximização dos investimentos na área de TI. Tais ferramentas devem prover condições que permitam uma abordagem ampla dos problemas e oferecer soluções que vão desde o planejamento estratégico até a implantação e gestão dos sistemas computacionais.


As soluções devem ser eficazes, preferencialmente de baixo custo e de rápida implantação, abordando as seguintes áreas principais:

Implantação de redes de comunicação

  • Configuração de equipamentos de rede;
  • Configuração e controle de acessos;
  • Definição de topologias de rede;
  • Balanceamento de carga;
  • Instalação de infra-estrutura;
  • Certificação de rede.

Configuração de serviços de rede

  • Servidor de correio eletrônico;
  • Servidor www;
  • Servidor de domínio;
  • Servidor de arquivos;
  • Servidor de back-up;
  • Outros.

Acesso a Banco de Dados

  • Aplicações cliente/servidor;
  • Interfaces com banco de dados;
  • Intercâmbio Eletrônico de Dados (EDI);
  • Auditoria de segurança de banco de dados.

Terceirização de Serviços de Rede

  • Administração e suporte;
  • Segurança física e lógica;
  • Controle de disponibilidade.

Planejamento estratégico

  • Planos de contingências;
  • Auditoria;
  • Análise de impacto;
  • Suporte à tomada de decisões.


Programa de Planejamento e Gestão em Segurança
Um programa de planejamento e gestão em segurança deve ser considerado, objetivando a análise das necessidades da corporação como um todo (Empresa e profissionais) e utilizando como metodologia o estudo intensivo das normas e padrões para a integração do conhecimento relativo aos diferentes segmentos envolvidos.


Um dos objetivos do programa é desenvolver junto aos profissionais envolvidos habilidades em planejamento, implantação, análise e gestão da segurança, para que estes possam identificar e solucionar os problemas relacionados com a infra-estrutura de TI, bem como a inserção de questões tecnológicas e administrativas de segurança no processo de tomada de decisões estratégicas da corporação.


Outro objetivo do programa deve ser o de garantir um compromisso permanente com soluções de custo acessível e alta qualidade, sempre focando a melhoria da competitividade através da redução de riscos de invasão, roubos e perdas de informação, redução de custos operacionais, aumento de eficiência dos procedimentos internos e otimização da infra-estrutura computacional e de comunicação de dados.


Plano Diretor de Segurança Corporativa
A definição de um Plano Diretor de Segurança Corporativa - PDSC - (Enterprise Security Planning) é essencial para a integração do esforço de proteção da infra-estrutura de TI no âmbito gerencial e financeiro da corporação. Ele resume todas as decisões tecnológicas, administrativas e operacionais, representadas através da descrição de políticas de segurança, análise de riscos e vulnerabilidades, investimentos, definição de prazos e objetivos, considerando os diferentes cenários tecnológicos e comerciais.


Um Plano Diretor de Segurança Corporativa deve incluir os seguintes elementos principais:

  • Plano de Investimentos em Segurança;
  • Política de Segurança;
  • Arquitetura do Sistema de Segurança;
  • Organização do Conselho de Segurança;
  • Catálogo de Procedimentos;
  • Manual de Segurança Corporativa;
  • Plano de Reação a Incidentes de Segurança;
  • Plano de Capacitação de Segurança;
  • Plano de Auditoria de Segurança

Pode-se concluir, portanto, que o PDSC é o ponto de partida para a aprovação do Programa em Segurança e uma referência para todas as ações que interferem na segurança na organização.


Planejamento e Visão de Conjunto
Planejamento e visão de conjunto são imprescindíveis para se atingir o sucesso quando a solução envolve segurança, pois possibilitam uma abordagem ampla das questões de segurança corporativa e a integração das soluções propostas em ambientes computacionais heterogêneos, envolvendo redes, protocolos de comunicação, gerenciadores de banco de dados e desenvolvimento de soluções de middleware.


Um programa de segurança deve apresentar uma abordagem ampla das questões, envolvendo planejamento estratégico, análise e gestão da segurança no ambiente corporativo e também focar a aplicação efetiva das tecnologias de controle, visando desenvolver a capacidade dos profissionais para atuarem como especialistas na aplicação dos recursos tecnológicos disponíveis para suas redes de comunicação. É importante ressaltar que estes profissionais devem estar aptos para proceder a uma análise crítica do ambiente corporativo, propondo alternativas factíveis que reduzam efetivamente os riscos operacionais e seus custos associados, melhorando desta forma a competitividade e a qualidade dos produtos e serviços nas corporações.


Conclusão
Uma solução eficiente em segurança corporativa envolve conhecimento do negócio do cliente, tecnologia e, principalmente, conscientização e capacitação dos profissionais. O mais importante é que se reconheça a importância do elemento humano nos ambientes computacionais, uma vez que o ser humano é invariavelmente o elo mais fraco da cadeia de segurança e sobre ele devem recair os principais cuidados durante as fases de especificação, implantação e gestão de sistemas de segurança. Tal cuidado poderá possibilitar o desenvolvimento de uma cultura de prevenção sistemática dos problemas, valorização dos princípios éticos e de responsabilidade no trabalho, além da própria disseminação da importância do conhecimento sobre o tema segurança.


Fonte: Prof. Especialista José Mauricio Santos Pinheiro em 19/02/2007
Disponível em: http://www.projetoderedes.com.br/artigos/artigo_solucoes_seguranca_corporativa.php 

 

Forense Computacional

“A forense computacional é o equivalente ao levantamento na cena de um crime ou a autópsia da vítima ”. - James Borek.

Atualmente, a maioria dos documentos existentes possuem seu equivalente no formato digital, e daqui há algum tempo, os documentos digitais dominarão qualquer tipo de negociação, autenticação, permissão ou qualquer outra ação legal.

Sem contar, que muito do que manipulamos de informação atualmente, está em formato virtual, sem equivalência do mundo físico. Por conta disso, em 4 ou 5 anos, todos os casos judiciais envolverão a análise forense computacional.

A forense computacional também pode atuar nas seguintes situações:

  • Buscar e identificar dados em um computador;
  • Recuperação de arquivos deletados, encriptados ou corrompidos em um sistema;
  • Fundamentar demissões de funcionários que desreiptam normas organizacionais;
  • Auxiliar na quebra de contratos que não são respeitados;
  • Provar fatos;
  • Fazer cumprir as leis de privacidade.                        

E como as evidências digitais são delicadas por natureza, é necessário um profissional qualificado e que tenha conhecimento suficiente para realizar a análise forense deum sistema comprometido, ou que possua evidências necessárias ara a comprovação de determinados fato.

E o principal objetivo do investigador forense computacional é determinar a natureza e os eventos relacionados a um crime ou ato malicioso, e localizar quem o perpetrou, seguindo um procedimento de investigação estruturado. Esse procedimento de investigação estruturado esta baseado em metodologias que defininem os passos básicos para o rumo de uma análise, permitindo que o profissional, inclusive, possa organizar seu kit personalizado de ferramentas para facilitar todo o processo.

 

Crime Cibernético

Um crime cibernético é definido como qualquer ato ilegal envolvendo um computador, seu sistema ou suas aplicações. E para ser tipificado como crime, o ato deve ser intencional, e não acidental.

E um crime cibernético possui três diferentes aspectos a serem analisados:

  • Ferramentas do crime;
  • Alvo do crime;
  • Tangente do crime;

E o mesmo deve ser de duas categorias diferentes:

  • Ataque interno;
  • Ataque externo.
     

Exemplos de crimes cibernéticos

Alguns exemplos de crimes cibernéticos incluem:

  • Roubo de propriedade intelectual;
  • Avaria na rede de serviço das empresas;
  • Fraude financeira;
  • Invasão de crackers;
  • Distribuição e execução de vírus ou worm.

Essa pequena lista, obviamente, não é exaustiva, mas leva em consideração as ocorrências de maior incidência.

E a motivação dos ataques podem ser as mais variadas possíveis, como as seguintes:

  • Testes, ou tentivas de aprender na prática, por script kiddies;
  • Necessidade psicológica;
  • Vingança ou outras razões maliciosas;
  • Desejo de causar problemas para o alvo;
  • Espionagem – corporativa ou governamental.

 

Papel do Investigador

O principal objetivo do investigador forense computacional é determinar a natureza e os eventos relacionados a um crime ou ato malicioso e localizar quem o perpetrou, seguindo um procedimento de investigação estruturado.

O conhecimento necessário para realizar a investigação, atualmente está mais baseado em um conhecimento empírico do que teórico. Isso acaba sendo uma faca de dois gumes, pois para atuar como profissional, o mesmo precisa ter experiência na área; no entanto, esse mesmo profissional, apesar do conhecimento prático, muitas vezes não tem o embasamento teórico necessário para desenvolver ou seguir uma metodologia válida.

O investigador, precisa respeitar uma metodologia confiável e válida, para que o processo não sofra qualquer tipo de invalidação por conta de algum passo ou fase mal coordenada, pois isso pode colocar toda uma investigação a perder, posto que suas evidência podem ser tornar provas sem fundamentação legal, e seu relatório não será levado em consideração caso esteja envolvido em um processo judicial.

Daí a importância do investigador, participar de eventos, treinamentos e procurar pesquisar os fundamentos e técnicas dessa área de atuação para realizar os procedimentos de investigação da maneira mais correta possível.

É importante que o profissional mantenha uma conduta correta ao longo da investigação, para que todo o processo também não seja invalidado.

 

Alguns dos aspectos que tem correlação com sua conduta, são os seguintes:

A conduta profissional determina a credibilidade de uma investigação forense
O profissional deve demonstrar o mais alto nível de integridade ética e moral
Confidencialidade é uma característica essencial que todo investigador deve possuir
Discutir o caso investigado apenas com as pessoas que possuem permissão para tomar conhecimento do processo.

 

Fonte: Luiz Vieira em 06/03/2011

Disponível em: http://segurancalinux.com/artigo/Forense-Computacional-Conceitos-Iniciais-Parte-3-Final/

Fatores Facilitadores e Inibidores da Segurança Computacional Corporativa

1. Compreendendo Segurança
Poucas coisas podem parecer tão improváveis quanto uma corporação estar absolutamente segura no contexto de um mercado global, onde a concorrência e a rivalidade internacionais se intensificam. Resta-nos uma pergunta: O que significa exatamente segurança corporativa? A resposta para esta pergunta é muito relativa, uma vez que dependerá principalmente da cultura organizacional estabelecida em cada empresa e do modelo de Política de Segurança adotado por seus colaboradores. Não obstante a dificuldade de precisão na resposta é fundamental destacar que a empresa que não se preocupa com a segurança dos seus ativos computacionais está fadada a ser superada muito rapidamente.


Segundo Wadlow (2000):
A segurança deverá ser proporcional ao valor do que se está protegendo. Parte desse valor é realmente um valor; outra parte é o trabalho necessário para restabelecê-lo; uma outra parte mais sutil é o trabalho que permitirá confiar em sua rede novamente.
A segurança da informação é um tema bastante amplo e uma preocupação muito discutida na atualidade. Entretanto, mesmo com a constante divulgação dos problemas e perigos referentes à segurança dos sistemas, principalmente relativos às conexões com a Internet, não são todas as organizações que estão preparadas adequadamente para enfrentar os problemas oriundos de ameaças e tentativas de invasão sobre suas redes de comunicação.
Outra função, talvez não tão aparente, mas não menos importante do que a que surge em função do negócio da empresa, é a aplicação das estratégias de segurança nas áreas da empresa que dão suporte operacional. Uma das funções mais importantes da segurança computacional atualmente é ampliar a compreensão geral de segurança, seus usos e abusos. Compreendendo-se como funcionam os procedimentos de segurança e como todos são vulneráveis a falhas internas e à agressão externa é possível analisar de forma objetiva os impactos na infra-estrutura organizacional.
Dentre os fatores facilitadores, aqueles que contribuem para a segurança computacional corporativa estão a adoção de um ambiente que observa as normas e padrões de segurança no uso dos recursos computacionais disponibilizados; a disponibilidade de canais de comunicação abertos para melhorias contínuas nos procedimentos de segurança; a correlação entre desempenho e proatividade na empresa.
Os fatores inibidores da segurança mais comuns são atitudes e meios excessivamente autoritários; empresas com pouco ou nenhum controle sobre a utilização dos recursos computacionais; pressão para conformar-se, do tipo "isto sempre foi assim"; falta de tempo para a melhoria dos procedimentos de segurança e a prisão do organograma, também conhecida como rigidez organizacional.


2. Política de Segurança da Informação
A segurança das informações, como um todo, depende do esquema de segurança dos sistemas onde as mesmas estão armazenadas. Quando esta segurança é quebrada, seja acidentalmente, ou propositadamente, os resultados se mostram altamente prejudiciais e, por isso, a segurança dos sistemas de informação é uma questão muito importante quando se desenvolve uma política de segurança da informação.
A política de segurança da informação é um mecanismo preventivo de proteção dos dados e processos de uma organização que define também padrões de segurança a serem seguidos pelo pessoal técnico, gerência e os demais usuários (internos e externos) do sistema de informação. Pode ser usada ainda para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas atuais. Uma de suas preocupações é estabelecer os métodos de proteção, controle e monitoramento dos recursos de informação. É importante que a política de segurança defina as responsabilidades das funções relacionadas à segurança e discrimine as principais ameaças, riscos e impactos envolvidos.
A política de segurança é um recurso importante que se pode criar para tornar uma rede segura. Ela deve integrar-se às metas de negócio da organização e ao plano das políticas de informatização, influenciando todos os projetos de informatização da empresa tais como o desenvolvimento de novos sistemas, planos de contingências, planejamento de capacidade, dentre outros. É importante lembrar que a política não envolve apenas a área de Tecnologia da Informação (TI), mas a organização como um todo. Como toda política institucional, deve ser aprovada pela alta gerência e divulgada a todos os funcionários e usuários de serviços de informática. A partir de então, todos os controles devem se basear nessa política.


3. Técnicas de Segurança
O perfeito funcionamento de uma Política de Segurança depende muito do conhecimento do seu conteúdo e da cooperação dos usuários nos seus diversos níveis. Ele deve ser incentivado a sentir que as medidas de segurança foram adotadas visando o seu próprio benefício. Entretanto, a maioria das pessoas e empresas só lembra-se da segurança quando acontece algum problema grave. Na maioria das vezes gastam-se horas tentando recuperar as informações, enquanto a simples implantação de uma política de segurança poderia evitar esses transtornos. De qualquer forma, existem diversas ferramentas e procedimentos que podem ser usados para aumentar o nível de segurança do computador em casa, para quem acessa a Internet por uma linha telefônica comum ou outro serviço dedicado e principalmente para aqueles que utilizam as redes como ferramentas no seu trabalho diário.
As técnicas de segurança têm evoluído com o objetivo de minimizar essa vulnerabilidade dos sistemas em rede frente às novas ameaças que surgem diariamente e políticas de segurança têm sido adotadas abrangendo questões do tipo: O que proteger? Do que proteger? Quais os mecanismos serão usados para controle? Uma política de segurança depende de respostas a perguntas desse tipo. Cada um deve decidir quais precauções deve adotar segundo suas prioridades e disponibilidades.


3.1. O que proteger?
A segurança não é tecnologia e tampouco soluciona todos os problemas de uma corporação. Segurança é um processo e como tal, pode-se aplicar seguidamente e, dessa maneira, melhorar a segurança da corporação. Se não for aplicada ou é interrrompida a aplicação do processo, a segurança tende a ser cada vez pior, à medida que surgem novas formas de ameaças e técnicas de ataques.
Medidas de segurança nada representam se não se conhecer o que deve ser protegido. Antes de tratar da segurança das tecnologias que compreendem uma rede corporativa, é necessário que se avalie, detalhadamente, a amplitude daquilo que se pretende proteger. O primeiro passo consiste em realizar um levantamento e a classificação dos ativos da empresa. É preciso avaliar o grau de risco e de vulnerabilidade destes ativos, fazer a avaliação das suas falhas e definir o que pode ser feito para aperfeiçoar sua segurança.
O segundo passo diz respeito à formalização de uma política de segurança que basicamente estabelece a elaboração de normas e procedimentos dentro da organização. Este trabalho normalmente é monitorado por um grupo especialmente criado para esse fim. A infra-estrutura de tecnologias é a terceira fase deste planejamento, envolvendo desde aquisição de ferramentas, até configuração e instalação de soluções, criação de projetos específicos e recomendações de uso.
Ao delimitar estes processos, o profissional deve partir para a fase de gerenciamento, passando pela análise de infra-estrutura da empresa, auditoria de processos, testes regulares de ataques a vulnerabilidades, revisões e acompanhamento de políticas e tratamento de incidentes.


4. Segurança Física e Segurança Lógica
As redes de computadores se desenvolveram a partir da necessidade de se compartilhar informações e dispositivos. Um sistema absolutamente seguro ainda está longe de existir, porém, o nível de segurança que devemos buscar deve ser o mais alto possível. A grande dificuldade encontrada está no fato de que, na mesma proporção, ou até mesmo com maior intensidade com que buscamos assegurar as nossas comunicações e os nossos dados, existem indivíduos buscando a todo o momento burlar esta segurança.
A escolha adequada do software e hardware específicos de segurança da informação eleva o nível de segurança e resguarda a rede de imprevistos cujas conseqüências são críticas. Contudo, nada irá suprir as perdas ocasionadas pela não observação das fragilidades, pois elas serão na maioria das vezes irrecuperáveis. Uma política de segurança bem definida, o uso adequado das senhas, as divisões dos usuários em grupos e a administração dos recursos computacionais de forma adequada são medidas que se complementam e devem ser adotadas.
Um dos maiores problemas e certamente um dos mais difíceis de ser resolvido é o da segurança dos dados. A segurança dos dados pode ser definida como a proteção dos mesmos contra revelações de seus conteúdos, quer acidentalmente, quer intencionalmente a pessoas não autorizadas, contra violações e possíveis alterações sem que para isso esteja autorizado. O problema tem muitas facetas e envolve diversos fatores tais como: instalações físicas, procedimentos operacionais, características do hardware, especificações de software, entre outras. Seu universo se divide em duas visões: Segurança Física e Segurança Lógica.


4.1. Segurança Física
A segurança física está diretamente relacionada aos aspectos associados ao acesso físico a recursos de informações, tais como disponibilidade física ou o próprio acesso físico, sejam esses recursos às próprias informações, seus meios de suporte e armazenamento ou os mecanismos de controle de acesso às informações. Além disso, está também relacionada com as técnicas de preservação e recuperação das informações e seus meios de suporte e armazenamento. Wadlow (2000) enfatiza, "A segurança física é uma parte importante da segurança global da rede, mas é um dos aspectos mais malcompreendidos da segurança de rede".
Uma boa infra-estrutura não garante por si só a segurança física, mas componentes de má qualidade certamente propiciarão danos bem elevados. Por esse motivo devem-se observar as ameaças sempre presentes e que às vezes passam despercebidas, tais como: riscos de incêndios, desabamentos, inundações e alagamentos, falhas na rede elétrica, acesso indevido em ambientes restritos e que medidas de proteção como serviços de vigilância, sistemas de fornecimento de energia ininterrupto, sistemas de alarmes, circuitos internos de televisão, monitoramento e controle de acesso às áreas de caráter privativo dentre outras, devem ser adotadas utilizando-se componentes adequados.


4.2. Segurança Lógica
A Segurança Lógica é aspecto abrangente e complexo, requerendo, conseqüentemente, um estudo muito mais apurado e detalhado. Devemos estar atentos aos mínimos detalhes que compõem este tipo de segurança. Considerando que a informação é a principal ferramenta do processo decisório das empresas, não podemos arriscar e levar empresas ao fracasso pelo simples fato de não possuir as informações necessárias e em tempo hábil.


5. Governança Corporativa e Governança de TI
Governança é segundo os dicionários o ato de governar-se. O conceito de Governança Corporativa surgiu nos Estados Unidos e na Inglaterra no final dos anos 1990 e está relacionado à forma como as empresas são dirigidas e controladas. A governança surgiu visando garantir o componente ético da organização, representado por seus diretores e outros funcionários, na criação e proteção dos benefícios para todos os acionistas. Isto significa dizer que as empresas precisam saber quem toma as decisões e quais os processos pelas quais essas decisões são tomadas. Não vale para qualquer atitude adotada na empresa, deliberações sem grande relevância. Vale para decisões importantes, de grande valor para a organização.


5.1. Governança em TI
Governança em TI (Tecnologia da Informação) é uma derivação de Governança Corporativa, termo que tem hoje grandes aplicações no mundo empresarial. A Governança em TI inclui estruturas de relacionamentos e processos que tem como objetivos dirigir e controlar a organização para que ela alcance seus objetivos, mas que, simultaneamente, devem equilibrar os riscos em relação ao retorno da tecnologia de informação e a seus processos. São estruturas e processos que permitem controlar a execução e a qualidade dos serviços, viabilizando o acompanhamento de contratos internos e externos, ou seja, a Governança em TI define as condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade.


5.2. Desenvolvendo uma estrutura de Governança em TI
A Governança em TI visa designar os direitos de decisão nas questões relevantes com o propósito de atingir os objetivos de negócio da organização. Em muitas organizações este processo se inicia pela demonstração dos riscos envolvidos na falta de controle sobre o ambiente de TI.
Internamente a governança deve desenvolver competências e designar os direitos de decisão nas questões de real valor tendo por fim atingir os objetivos de negócio. Neste aspecto, a governança em TI se apresenta como uma estrutura bem definida de relações e processos que controlam e dirigem uma organização dentro de um cenário de extrema competitividade. O foco é permitir que as perspectivas de negócios, de infra-estrutura, de pessoas e de operações sejam levadas em consideração no momento de definição do que mais interessa à empresa, alinhando a tecnologia da informação a essa estratégia.


5.3. Dificuldades na adoção da Governança em TI
A adoção acelerada de processos de gestão de infra-estrutura nas empresas, dentro do conceito de Governança em TI, tem como principal motivação, internamente, a cobrança sobre os responsáveis pelas operações de tecnologia da informação quanto à maximização do uso dos investimentos já realizados. Por trás desta iniciativa está a preocupação das empresas com melhorias nos seus processos operacionais, redução de custos, aumento da eficiência de seus colaboradores, aperfeiçoamento de relações com fornecedores, parceiros e clientes.
Entretanto, com a contínua evolução da infra-estrutura de TI, incluindo a tarefa de gerenciar soluções heterogêneas de diferentes fornecedores, as organizações têm hoje uma grande dificuldade em manter os custos operacionais sob controle. A elevada complexidade de gerenciamento é uma das principais razões pelas quais as organizações têm sido forçadas a incrementar seus orçamentos e equipes de TI, dedicando entre 70% a 80% dos recursos disponíveis somente para a manutenção dos sistemas e aplicações existentes.


6. Conclusões
Segurança é um processo dinâmico e não um estado ou uma meta. É muito importante considerar que o espaço de tempo entre o desenvolvimento de novas técnicas de invasão e sua aplicação hoje em dia diminuiu tão rapidamente que se torna necessário prever as implicações éticas, funcionais e econômicas de cada novo cenário que se apresenta. Por esse motivo torna-se primordial que as empresas canalizem investimentos e utilizem a capacidade dos seus colaboradores em prol de melhorias contínuas dos requisitos de segurança computacional e que adotem uma postura de empresa na vanguarda de soluções de segurança.
O primeiro passo é dar vazão ao conhecimento e livrar-se dos fatores inibidores que dificultam a criatividade frente aos novos desafios que surgem. O maior bloqueio à criatividade ocorre quando em face de um problema e obrigado a apresentar soluções com agilidade, o indivíduo tende a utilizar-se ao mesmo tempo da função de criação e de julgamento.


7. Referências Bibliográficas
WADLOW, Thomas A. Segurança de redes: projeto e gerenciamento de redes seguras. Tradução: Fábio Freitas da Silva. Rio de Janeiro: Campus, 2000.

Fonte: Prof. Especialista José Mauricio Santos Pinheiro em 28/02/2008
Disponível em: http://www.projetoderedes.com.br/artigos/artigo_fatores_facilitadores_e_inibidores_de_seguranca_.php 

 

A Importância de uma senha segura

Em computação, uma senha faz parte do processo de autenticidade de um usuário para acessar determinada informação. Se analisarmos as propriedades de segurança da informação (Confidencialidade/Integridade/Disponibilidade), uma senha se enquadra no quesito confidencialidade.
O processo de confidencialidade consiste em que a informação só pode ser acessada por usuários autorizados.