No artigo anterior foi mencionado o termo contexto. No intuito de esclarecer melhor o contexto proposto estamos escrevendo este artigo.
Comecemos porém, conforme prometido também no artigo anterior, esmiuçando um pouco mais a correlação entre as três vertentes: estados, controles e objetivos. Esta correlação é explicitada por um modelo conhecido como Cubo de McCumber. Apresentado em 1991 por John McCumber da Universidade de Washington, reflete bem as novas complexidades inseridas com a convergência das tecnologias da informação e das comunicações, correlacionando os princípios da segurança da informação com outras vertentes importantes do cenário mais atual.
O cubo representa em suas faces (como mostra a figura abaixo) os aspectos ligados aos objetivos dos sistemas de segurança (confidencialidade, integridade e disponibilidade); os aspectos ligados aos estados da informação (armazenadas, em processamento e em trânsito); e os aspectos ligados aos controles para a proteção (tecnológicos, políticas e práticas e os fatores humanos como consciência, educação e treinamento).
A Tecnologia ganhou impulso no ambiente da Internet. Com o mesmo ímpeto que era empregada para proteger o sigilo e a integridade das informações, atuava para comprometê-las, facilitando ataques às vulnerabilidades identificadas.
CONTEXTO ATUAL DA SEGURANÇA DA INFORMAÇÃO
Devido à complexidade e amplitude do assunto, a modelagem a seguir proposta foi concebida como um recurso integrador para as iniciativas acadêmicas, empresariais e de governo, esta última realçada pelas recentes revelações, amplamente divulgadas, do ex-analista de segurança Edward Snowden.
A modelagem proposta é baseada na experiência pioneira e atuante dos mestres e alunos do Instituto Militar de Engenharia (IME), nas disciplinas Criptografia (desde a década de 1970) no mestrado em Sistemas e Computação e de Segurança da Informação do curso de Engenharia de Computação, iniciado em 1985. Além disso, é consistente com notas de aula do curso à distância “Information Security and Risk Management in Context (ISRM)”, oferecido pela Universidade de Washington, dentro do programa “Coursera – education for everyone” [disponível em www.coursera.org].
O trabalho aqui publicado conta com a parceria da Performance Sistemas e Métodos Ltda, dedicada aos modelos da Engenharia de Sistemas. A estrutura da modelagem concebida se apoia em três pilares principais que sustentam a Segurança da Informação; são três aspectos que procuram enquadrar conceitos e procedimentos: a Tecnologia, a Governança e a Globalização, conforme a figura abaixo:
Em relação à Tecnologia, aspecto fundamental da preocupação com a segurança da informação em ambiente computacional, foram destacados três grandes grupos:
- Segurança de Equipamentos, envolvendo tanto a segurança do hardware como toda a complexidade da segurança do software, que inclui tanto os aplicativos, como também os softwares da camada mais próxima ao hardware, os sistemas operacionais;
- Segurança de Redes, em todas as suas camadas e protocolos relacionados, descendo ainda a níveis de alguns “Malwares”, tais como: Vírus, Worms, Trojans, Phishing e toda “fauna” de incômodos que povoam a vida dos “ciberusuários”;
- Criptografia e sua prima Esteganografia que se propõem a garantir matematicamente a integridade e o sigilo das informações.
Em relação à Governança, baseada nos conceitos de Integridade e Sigilo, herdados dos primórdios da segurança das informações, foi introduzido o conceito de Disponibilidade (Continuidade dos Negócios) para abranger os sistemas suportados por redes de acesso amplo. De nada adiantaria um sistema absolutamente seguro e íntegro se atacantes conseguissem torná-lo indisponível, deixando-o fora de uso quando necessários.
Baseado nesses conceitos, a Governança se desenvolve com o Gerenciamento de Riscos avaliando todas as possíveis vulnerabilidades e ameaças, que permitem a estimativa e quantificação dos riscos. Daí em diante são definidos os procedimentos e ações julgadas cabíveis para implementar a governança da realidade identificada.
A Governança se preocupa em tomar medidas cabíveis para proteger a Propriedade Intelectual e dificultar a Espionagem, uma ameaça sempre presente. A norma ISO 27000:2014 atribui destaque ao termo, definindo governança da segurança da informação como sistema pelo qual as atividades de segurança da informação de uma organização são dirigidas e controladas. Estas atividades, ou de maneira mais prática, as medidas adotadas, precisam estar em Conformidade com Normas e Padrões e facilitar a intervenção de Auditorias e Medidas Forenses posteriores. Apesar de todas as medidas de prevenção, um Plano de Recuperação de Desastres, provocados ou naturais, deve ser meticulosamente elaborado para possibilitar a volta à normalidade, no mais curto prazo possível, caso o sistema seja afetado.
O terceiro aspecto, que tomou impulso nos últimos anos, é a Globalização em função do grau de importância alcançado pela Internet, no nível de segurança dos estados nacionais. Os sistemas de informações que possibilitam a governabilidade de um país, compostos pelas instalações, pessoal, serviços, meios de processamento, armazenamento e transmissão das informações são tratados como Infraestruturas Críticas.
As Infraestruturas Críticas uma vez danificadas podem provocar sério impacto social, econômico ou político à segurança do estado e da sociedade. Daí a enorme importância do papel da Inteligência ao avaliar o comportamento de todos os atores envolvidos. Seu objetivo é analisar os meios para prover a segurança cibernética, para assegurar a existência e a continuidade da sociedade da informação da nação, garantindo e protegendo seus ativos de informação e suas infraestruturas críticas no espaço cibernético
