DevSecOps

10 jun, 2009

Segurança da Informação: necessidades e mudanças de paradigma com o avanço da civilização

Publicidade

Atualmente temos assistido a um grande avanço na área da tecnologia da informação, incluindo as telecomunicações. Esse avanço nos traz uma maior rapidez na troca de informações e, consequentemente, maior exigência das pessoas. Nesse momento histórico, o ser humano nunca desempenhou um papel tão importante no processo de manipulação de riquezas, mesmo que dividindo seu papel com a tecnologia, mais especificamente os computadores.

Há milênios atrás, os seres humanos deixaram de ser coletores para virarem agricultores. Nesse momento da história da civilização humana, começaram a surgir as primeiras aldeias e grupos gregários; e, assim, os seres humanos começam a deixar de serem nômades para fixarem raízes nos locais escolhidos para habitar.

Esse modelo social persistiu com pequenas alterações, pois os seres humanos aprenderam a criar regras de conduta e convivência para regulamentar o convívio social, até o século XVII, no final da Idade Média. E mesmo nesse período, já vemos que a importância da informação aumenta cada vez mais, pois nas guerras alguns generais mais astuciosos empregam meios de camuflá-la, protegê-la ou apropriar-se da mesma. Foi nesse período, que compreende milênios, que vemos surgir a espionagem, como meio de apropriar-se de informações sigilosas, e a criptografia, como forma de proteger a informação das mãos dos inimigos.

Durante esse longo espaço de tempo, o bem maior que uma pessoa poderia possui eram as terras. Quanto mais terras, mais riquezas! Podemos perceber isso mais especificamente na Idade Média, onde senhores de terras dividiam seus feudos em pedaços e tinha centenas de camponeses trabalhando para ele durante a vida inteira. Então, junto com a terra, outro grande bem dos detentores do poder nessa época da história da humanidade era a mão de obra.

Mas como tudo muda…

Depois desse período de grandes mudanças, mas ao longo de um grande período de tempo, surge a Revolução Industrial.

A Revolução Industrial iniciou-se no século XVIII na Inglaterra e, a partir do século XIX, começou a espalhar-se pelo mundo. Esse movimento marcou o fim da era agrícola.

A Revolução Industrial fez com que as máquinas superassem o trabalho humano e facilitou a interação entre as nações, surgindo o fenômeno da cultura em massa.

Nesse período de nossa história, o ativo mais importante e de maior circulação era o capital. Mas como nenhuma mudança é brusca, a importância da mão de obra permanece, mas as terras deixam de ser tão importantes quanto o capital, esse último tomando a supremacia no grau de importância entre aqueles que detinham o poder em suas mãos e controlavam o destino da humanidade.

O Iluminismo, a partir do século XVIII, permeando a Revolução Industrial, prepara o terreno para a mudança de paradigma que está por vir. Os grandes intelectuais desse movimento tinham como ideal a extensão dos princípios do conhecimento crítico a todos os campos do mundo humano. Supunham poder contribuir para o progresso da humanidade e para a superação dos resíduos de tirania e superstição que creditavam ao legado da Idade Média. A maior parte dos iluministas associava ainda o ideal de conhecimento crítico à tarefa do melhoramento do estado e da sociedade.

E, com isso, começamos a ver, através de uma grande mudança de paradigma, que a detenção de informações ou conhecimentos, que tinham algum valor, é que define quem tem o poder nas mãos ou não. E surge, então, a era da informação!

A partir da década de 70 (1970) fortalece-se o movimento onde o poder está nas mãos de quem detém o conhecimento. Nessa década, esse fortalecimento ocorre com o surgimento de microprocessadores, possibilitando a criação dos computadores pessoais, que começam a ser comercializados na década de 80.

Com esse acontecimento, inicia-se o surgimento da internet e a globalização, possibilitando o compartilhamento em massa da informação. Nesse momento não é mais a mão de obra, terras, máquinas ou capital que regem a economia e ditam quem tem o poder, mas sim a informação, que torna-se o principal ativo dessa era. Esse movimento nos leva mais a uma transformação social do que econômica, e não sabemos ainda aonde isso tudo nos levará. Mas certamente culminará, já que a transformação e passagem de eras é algo cíclico, numa nova era ainda mais avançada.

Com toda essa digressão, quero mostrar apenas o quanto lutamos para chegar onde chegamos, no ponto onde a informação é o bem mais importante, o ativo mais bem protegido das empresas e dos que detêm o poder nas mãos. Estamos na era da informação, e nada mais lógico que um corpo de conhecimento fosse criado para dar a devida atenção às anomalias e proteger esse ativo tão importante. Essa área de atuação, que já existia há muitos anos, mas agora com tarefas bem mais definidas, com regras e normas a serem seguidas, é a Segurança da Informação, ou SI.

A Segurança da Informação está fundamentada especificamente sobre três pilares:

  • Disponibilidade – informação, processos ou sistemas acessíveis quando solicitados;
  • Integridade – proteger a informação, processo ou sistema de alterações não autorizadas;
  • Confidencialidade – é a garantia de que uma informação só poderá ser conhecida por aqueles que tiverem tal direito.

Quando ocorre alguma anomalia ou ataque sobre um ou mais desses três pilares da segurança, podemos dizer que houve um distúrbio em determinado pilar da tríade. E como isso deve ser evitado ao máximo, para não expor a informação a quem não é de direito, para que permaneça disponível, ou que não ocorram alterações indevidas, a segurança da informação precisa atuar constantemente assegurando o bom funcionamento das políticas de segurança e dos processos envolvidos na manipulação da informação.

Podemos ver na figura a seguir alguns dos distúrbios mais comuns à tríade, vinculados a ataques que visam a área de TIC:

Se prestarmos atenção e analisarmos o ambiente que nos cerca, perceberemos que esses ataques ocorrem frequentemente e que todos correm o risco de serem vítimas de pessoas maliciosas, visando a obtenção de informações sigilosas, sejam informações pessoais ou corporativas.

Meu objetivo, nessa seção de segurança, será de abordar os princípios básicos da SI, perfazendo todo o caminho que engloba desde políticas, normas e padronizações, até análise de vulnerabilidades, testes de intrusão e auditoria em redes e sistemas. Procuraremos sempre indicar os softwares livres que utilizamos para cada passo e procedimento, pois tudo o que se faz com softwares proprietários, somos capazes de fazer com software livre, e na maioria das vezes de forma bem melhor, pois temos a liberdade de adaptar a ferramenta às nossas necessidades. Veremos isso também em alguns futuros artigos.

Artigo publicado pelo autor na Revista Espírito Livre nº3 – http://www.revista.espiritolivre.org/wp-content/plugins/download-monitor/download.php?id=3