As camadas da Segurança da Informação

Foto ilustrativa, analogia as Camadas da Segurança da Informação.

Se você pensa que Segurança da Informação contempla somente softwares e métodos de programação para proteger seus dados, você está muito enganado. A segurança da informação é formada basicamente por três camadas e cada uma dessas camadas tem um papel fundamental na proteção do seus dados, se alguma delas for afetada, há um prejuízo direto nas demais camadas. Iremos discorrer um pouco sobre essas três camadas e entendê-las melhor, desvinculando um pouco a ideia de que um simples antivírus ou firewall configurado garante a segurança dos seus dados.

Essas três camadas são: Física, Lógica e Humana. Cada uma está relacionada a um fator específico dentro de um núcleo, seja esse pessoal, industrial ou empresarial. A seguir vamos entender esses fatores, exemplificá-los e também pontuar algumas vulnerabilidades encontradas em cada camada. É importante ressaltar que não existe camada mais importante que outra, ou de mais fácil acesso, como já foi dito e agora reforçando, elas estão interligadas, conectadas num mesmo ambiente. Sua casa possui essas três camadas (supondo que exista um sistema lógico, computador, celular, quaisquer dispositivos eletrônicos), e ela é passível de invasão, podendo ser explorada qualquer camada.

A primeira camada é a Física. Ligada diretamente à infraestrutura do local. Ela se preocupa em como garantir a proteção através dos materiais e recursos físicos disponíveis. Por exemplo, como organizar o Hardware, posição de câmeras, disposição dos computadores, controle de acesso, enfim, qualquer coisa relacionada ao ambiente em que estão seus dados e informações. Imaginemos uma empresa de grande porte, obviamente ela precisa controlar as pessoas que entram no local, restringir locais confidencias (para garantir que os pilares da segurança da informação permaneçam intactos), precisa de ambientes propícios e seguros para seus Servidores, recursos para prevenção de incêndio e outras catástrofes naturais. Desde a elaboração da planta física, onde e quem vai ficar em tal sala começa a Segurança da Informação atrelada ao nível físico. Um exemplo bem simples de vulnerabilidade é a respeito dos Servidores, qual o sentido em colocar o Servidor Principal e o do de Backup lado a lado numa mesma sala? E se ocorrer um incêndio ou um desmoronamento de forma a afetar os servidores, você vai perder tudo e o Backup estava armazenado de forma incoerente. Ou sobre as câmeras, se elas estão viradas para parede, perde totalmente o sentido de vigilância.

A segunda camada, intermediando a primeira e terceira é a Lógica. Provavelmente a mais conhecida, faz referência ao meio computacional, aquela que está rodando dentro de um dispositivo eletrônico. Utiliza de softwares e metodologias computacionais para garantir a segurança dos dados sobre sua responsabilidade. Os exemplos são variados, antivírus, antispams, firewalls, VPNs, etc. Qualquer programa para garantir a proteção remete a camada lógica. Quanto às metodologias podemos citar a Criptografia, bem resumidamente, embaralhar algum texto para que ninguém sem a determinada chave possa descobrir o conteúdo do mesmo. Assim como a quantidade de proteções é vasta, as vulnerabilidades seguem na mesma linha. Utilizar uma rede pública desconhecida é uma grande exemplo de vulnerabilidade, visto que, pode ter alguém monitorando o tráfego dessa rede para obter dados. Não fazer backup, utilizar senhas fracas, não aplicar criptografia em informações sensíveis, e várias outros exemplos nesse sentido representa como fragilizar essa camada.

Por último e não menos importante está a camada Humana, talvez a mais passível de explorações. A famigerada Engenharia Social se enquadra nessa camada. Quem está a frente dos sistemas, da montagem das estruturas físicas é o ser humano e este também pode ser usado para a obtenção de dados. Hoje as empresas investem muito nessa camada, em treinar e certificar seu funcionário, para que o mesmo esteja precavido contra as formas de infiltrações. Saber identificar uma ligação e/ou e-mail é confiável ou não, saber dar permissão de acesso para as pessoas certas, não enviar nenhum dado sem a devida autorização após confirmação de identidade, o cuidado com as informações pessoais do próprio funcionário, são formas de garantir a integridade desta camada. Esses casos de trotes que vemos todo dia, de uma pessoa se passando por outra para tentar adquirir alguma vantagem ou valor monetário é um exemplo de tentativa de Engenharia Social, você não precisa passa por nenhum sistema, seja físico ou lógico, basta o número de telefone da pessoa certa e ter uma boa lábia.

Finalizando, não basta você ter o melhor antivírus do mundo, se o seu funcionário recebe um Pendrive de um desconhecido e pluga na sua máquina do trabalho, assim como não basta funcionários treinados e alinhados com as normas de segurança se o seu sistema é ultrapassado e possui inúmeras vulnerabilidades conhecidas e de fácil exploração. Não basta investir num super servidor se você não tem o espaço físico, com climatização adequada para suportar esse servidor. Esses exemplos são para ilustrar o quão as camadas estão conectadas e dependem uma da outra. Um sistema seguro, passa por essas três camadas.