Segurança da Informação, muito além de Proxy, Firewall, e: computadores.

Muita das vezes, associamos a área da "Segurança da Informação" apenas como mais um departamento que cuida de itens de segurança da rede de computadores de alguma empresa, ou de várias empresas, instalando alguns dispositivos, e "pronto".

Mas a segurança da informação, é muito mais além do que apenas um firewall, um proxy interceptador de conteúdo, um e-mail que coleta e filtra dados para análise, e qualquer tipo de controle de rede, ou de computadores.

Conheça a segurança da informação mais elementar, necessária para qualquer empresa, fora dos computadores.

Segurança da Informação fora da rede

Há vários controles de segurança, e todos eles são direcionados para a segurança da informação, porém, a segurança da informação é uma área que estuda uma forma de proteger dados e informações de serem acessíveis e limitadas somente para quem pode ter acesso.

Atualmente, os dados e informações em geral estão em computadores, mas nem sempre foi assim; e, há informações que são protegidas com controles um tanto inusitadas, que é simplesmente na base de dizer que há um determinado controle, definir punições relacionadas a mesma, mesmo que este controle de fato não exista.

A maioria dos problemas começam aqui dentro

A maioria das empresas sabem que pessoas com informações privilegiadas, são as que são mais propensas a vazar, ou mesmo se aproveitar destas para obter vantagens, e o trabalho de fraude começa dentro das empresas, observando funcionários; mesmo que o endereço IP originário da ação seja da China, registrado no log do incrível "Bluecoat" que loga qualquer transação.

É muito mais provável que seja um funcionário, ou alguém que já trabalhou na empresa, para conseguir fraudar registros, dados, desviando recursos por qualquer motivo que seja, dentre eles emocional, ganância, ou até mesmo vingança.

Os controles que te podem demitir por justa causa, mesmo sem existirem

Algumas abordagens adotadas, é a divulgação e a difusão de que há controles de segurança e auditoria nos sistemas, que verificam a integridade dos dados para evitar fraudes pelos funcionários, analisando as matrículas, e ações realizadas; a famosa câmera de segurança "fake", que está ali visível, mas ela é oca, não tem nada dentro; mesmo assim, ninguém sabe de fato se é uma câmera ou não, e na dúvida, todos se comportam como sendo de fato uma câmera.

Geralmente estes controles são tratados de forma extremamente sigilosa, como por exemplo: "pela norma de segurança da informação da empresa, as informações deste controle não podem ser divulgadas".

Nem mesmo altos cargos podem ter estas informações, pois a segurança da informação de fato, é um porte da alta direção de uma empresa, e não tem, e não pode ter, nenhum elo de ligação com os funcionários.

Com base na existência ou não de algum controle físico de fato, só o fato de todos os funcionários terem o conhecimento de "tal auditoria" e de suas punições referentes, isto torna-se um controle de segurança, e é considerado por alguns psicólogos, um dos mais eficientes; pois todos que trabalham sabem que podem um dia serem pegos, e poderão ser demitidos por justa causa.

Proteger informações, sem computadores

Vamos pensar em uma hipótese de que você possui uma determinada informação que é extremamente confidencial, e você está no ano de 1450, não existem computadores, tablets, redes, nem mesmo celular. Esta informação é extremamente confidencial e você precisa guardá-la em segurança máxima, pois afinal, é um "mapa do tesouro", algo que possui extremo valor.

Para que esta informação não venha cair em mãos erradas, você tem baús, chaves, pode enterrar, ou separar e dividir e espalhar por vários lugares. Mas, se a informação é tão confidencial, temos que pensar no seguinte princípio da segurança da informação:

- Confidencialidade

- Integridade

- Disponibilidade

Vamos verificar se a nossa informação estará bem segura.

Confidencialidade, Integridade e Disponibilidade.

Como manter esta informação tão importante, confidencial, que é a garantia que somente pessoas específicas consigam ter acesso a isto? Talvez em 1450, a escrita garantia em parte a confidencialidade, já que muitas pessoas não sabiam ler e escrever; mas não impedia que outros com o conhecimento pudessem ter acesso.

Passar a informação apenas entre entes queridos da família, pode ser uma opção, sempre educando os filhos a jamais falarem determinada informação. Supondo que seja um baú enterrado dentro de casa, mas para abrir o mesmo, precisaria das chaves, que estão espalhadas pela casa.

Se tiver vários filhos, e não consegue confiar em todos eles ao mesmo tempo, o ideal é passar para cada um, a localização de uma das chaves, informando que ele jamais pode revelar aos outros onde a chave se encontra.

Supondo que sejam 3 irmãos, se um falar para os outros a localização da chave, e os outros falarem a localização das chaves, em algum momento que houver uma traição na família, alguém pode pegar todas as chaves, e deter a informação sozinho e fugir.

Qual a punição caso fale da chave? Ficar trancado na "masmorra", apenas em ousar falar a localização da chave que lhe foi confiada; e a troca imediata da localização da chave que foi divulgada.

A punição e a divisão dos conteúdos, e esta troca de lugar da chave quando revelada, garante também não só a confidencialidade, como a integridade. Um dos controles de segurança é "se ficar sabido que falou para outro onde está a chave, será punido ficando preso". O controle de segurança então é algo que pode ter ou não, mas que garante por si só que o fato ocorra.

O fato de "ouvir alguém falando da chave, e não falar do que viu, torna-se cúmplice do ato", e também terá sua punição. Pronto, fecha-se um elo mais seguro, com o segundo controle de segurança.

E se alguém dos irmãos forem presos, e morto, como fará para encontrar a chave? O pai detém a informação de todas as chaves; mas precisará criar algum controle de integridade e disponibilidade para a informação. Passar parte da informação onde está uma das chaves para um terceiro que ninguém conhece, e esta informação não valha nada para este terceiro, pode ser uma opção.

Segurança da informação além dos controles de rede

Quando alguém te falar: Você fala em segurança da informação, mas não ensina nada sobre McAfee, Squid Proxy, Linux, permissões NTFS, Bluecoat, IPS e IDS, Snort, Microsoft Exchange, Google G-Suite, e configuração de políticas para e-mails, e demais controles de segurança, só pense consigo que isto tudo são apenas controles que garantem talvez um mínimo de segurança, irrisório para o contexto global do que é realmente de fato o princípio da "Segurança da Informação", que é garantir a confidencialidade, integridade e disponibilidade, não importa como.

Não importa se seja em pergaminho espalhados em garrafas pelo mar, em baús com chaves espalhados em algum lugar, ou um mapa do tesouro, ou na era da computação quântica, no futuro, onde o uso da "falta de conhecimento" ser um tipo de controle de segurança, como o elo entrelaçado de átomos, que ninguém sabe exatamente como funciona, mas sabe-se que se for interceptado de qualquer tipo de forma, os resultados ficarão embaralhados e inacessíveis, rompendo o elo.

Segurança da informação está em alta, com inúmeros escândalos de vazamento de dados de grandes empresas, como Google, Facebook, e etc, se atentar aos princípios é mais do que primordial, é essencial para conseguir proteger de fato informações valiosas. Olhe fora do comum para ser um especialista de verdade.