A conceituação e definição da Segurança digital e da Informação, seus principais requisitos e princípios é muito importante para o entendimento deste trabalho. Um documento ou informação digital tem que cumprir os requisitos de confidencialidade, integridade, disponibilidade, autenticidade, garantia e legalidade, e a privacidade.
Quando se fala em segurança têm que se pensar em tudo que envolve e de acordo com cada um seguir certos princípios. Têm que pensar em segurança sobre todos seus aspectos físicos, operacionais, sistemas, configuração da rede, banco de dados e aplicações, e no armazenamento desses documentos digitais, dados e informação.
Têm que ver tudo isso em todo o ciclo da informação, desde sua identificação e obtenção até o seu descarte, passando pelo tratamento e distribuição e quanto ao uso e armazenamento e de acordo com a classificação dessa informação quanto sensibilidade e juridicidade da informação.
As vantagens e os progressos são inestimáveis quanto ao advento da computação e sua propagação mundial proporcionada pela internet. Trouxe agilidade, facilidades e oportunidades com a difusão maior de informações e da comunicação, mas isso, também, trouxe os problemas característicos do mundo virtual e o que era ruim e mal intencionado também soube usufruir desses avanços tenológicos, como as artimanhas da vida real que se tornaram engenharia social, os problemas de sites falsos (phishing), os malware, vírus, vermes, a coisa não é brincadeira não!!!
Aí! Entram as questões das redes com fio ou sem fio o controle de acesso com senhas, biometria ou íris e todos esses termos e procedimentos do mundo moderno tecnológico que evoluem a cada dia e que têm que se estar sempre aprendendo e reaprendendo. O bom é que também surgem novas oportunidades de profissões ou rótulos que viram profissões. Surge a necessidade de mais e mais invenções de equipamentos e softwares protetores e todo mundo tem que se precaver e muitas vezes pagar por isso (Firewall, Antivírus, IDS, Criptografia, Certificação Digital, etc).
Para piorar surgem, então os CYBERCRIMES, praticados utilizando-se a grande rede e de toda tecnologia dos equipamentos e do poderio da comunicação. As práticas de segurança são outras, pois a rapidez da distribuição de conteúdos é vertiginosa, muitas vezes difícil de identificar a origem.
Surge, então, a necessidade das organizações e mesmo dos indivíduos de implementarem políticas, metodologias e procedimentos para conseguirem se proteger ao máximo dos ataques que, com certeza, sofrerão. A avaliação das vulnerabilidades e dos riscos é constante e regularmente devem estar atentos, como indivíduos e estar sempre se auditando como organizações.
Depois que, não teve jeito, agora é apelar para a Perícia Forense Computacional, para que possa apurar, investigar e mitigar os problemas causados.
No caso da Sony Pictures Hackers invadiram sistemas e vazaram inúmeros documentos sigilosos O prejuízo financeiro altíssimo, estimado em 171 milhões de dólares; o vazamento de produções inéditas, a invasão de privacidade; a indisponibilidade com o bloqueio dos computadores e o travamento de sistemas. Nisso constata-se como é importante um trabalho de prevenção e análise das vulnerabilidades à rede interna e sua conexão com a internet e aos próprios computadores.
No caso das grandes corporações a grande questão da Governança em TI no universo da Governança Corporativa é quando a empresa leva em conta a importância do alinhamento da estratégia de negócios e a estratégia tecnológica e passa a entender o papel representado pela TI na organização, no apoio administrativo, suporte e a própria estruturação do negócio.
A segurança da informação deve ser vista como ponto central nas discussões das empresas, tanto públicas quanto privadas, considerando que cada vez mais os serviços migram para o espaço digital e tudo está conectado e as estruturas e processos de TI devem estar alinhados com os objetivos estratégicos corporativos, balanceando os riscos com o retorno dos investimentos.
Hoje a segurança da informação é um diferencial competitivo e garantia na continuidade do negócio. A implementação vai muito além da instalação de software e deve abranger dispositivos de controles de gestão como: análise de risco, política de segurança, controle de acesso físico e lógico (reduzir custos de indisponibilidades), conscientização e treinamento, plano de contingência ou Continuidade do negócio.
Existem diversos pontos que devem ser considerados e tratados diferentemente na implementação de uma solução de e-Business, como alterações nos Processos e Sistemas. É necessário repensar os processos e o próprio modelo de negócios. A mudança de paradigma sobre os clientes, o mercado, a comunicação, a tomada de decisões, a operacionalização, a gestão e os recursos humanos, relacionada a maneira como as pessoas de uma organização enxergam os desafios e a inovação. O e-Business deve ser utilizado como uma ferramenta de comunicação, principalmente com os clientes.
Os procedimentos e recursos de segurança devem ser vistos como prioridade e consequentemente em constante reavaliação dentro das corporações. Que devem levar em consideração os seguintes aspectos: A estratégia de segurança; a cultura de segurança deve estar disseminada na organização; estrutura, funcionalidade e orçamento dedicados a segurança; implantação de ferramentas e produtos para proteção, saber impacto que as falhas de segurança podem provocar nas relações de confiança (clientes, fornecedores, colaboradores).
Na Tecnologia da Informação (TI) a área de segurança da informação é uma das que mais chama a atenção de leigos e de profissionais de TI. As vulnerabilidades e ameaças sempre existirão, e a combinação destas deixa qualquer ambiente em risco. Por isso uma das funções do profissional de segurança é reduzir ou gerenciar esses riscos.
Um dos objetivos da Perícia Forense Computacional envolve dispositivos de armazenamento e dados interceptados (tráfego em rede) e daí ter que conhecer a Arquitetura da Rede e saber dos procedimentos e os aspectos a serem observados para determinar os vestígios digitais de um crime.
O Perito Forense e a Auditoria vão investigar a aplicação dessas boas práticas definidas nos modelos de sistemas para gerenciamento de processos de TI, aplicação das normas, técnicas de acompanhamento/monitoramento e avaliação dos processos de TI.
Surge, então o profissional de segurança forense computacional, um profissional especialista em TI, que quando convocado a júri, pode atuar como perito forense. E uma graduação, muto bem-vinda, é a de Segurança da Informação, além de redes de computadores e conhecimentos gerais de TI.
A Auditoria de Sistemas tem como finalidade examinar a qualidade do sistema de computação de dados e dos controles existentes no ambiente de Tecnologia da Informação (TI), otimizando a utilização de recursos de computação de dados, adequação das tecnologias e sistemas de informação, desenvolvimento de sistemas, procedimentos de TI, infraestrutura, operação, desempenho, minimizar os riscos que envolvam os processos e garantir a geração de informações e dados confiáveis, em tempo, ao menor custo possível. Atuando em todas as áreas, avaliando se os planos, anteriormente estabelecidos, estão sendo seguidos e sua eficácia e relevância. Todo o sistema de informação da organização, que envolva o processamento de informações críticas para a tomada de decisão.
Os crimes virtuais são aqueles cometidos via internet e podem ser enquadrados no nosso código penal, onde terá punições de acordo com cada caso. São atos ou atividades que se realizam em prejuízo e de maneira ilícita a sistemas de informática ou se utilizando destes: Promoções e furto de dados (Previsto na lei 12.737/2012, Lei Carolina Dickmann, no seu artigo 154º); Difamação, calúnia e injúria (Previsto no código penal em seu artigo 140); Pedofilia (Previsto em jurisprudências que fortalecem a punibilidade de quem comete tal crime).
A segurança na internet é um ponto que deve ser bem estudado. Devemos avaliar bem onde estamos inserindo nossas informações, pois existem muitos sites maliciosos que utilizam nossos dados para outros fins. Mesmo com todas as informações que as mídias passam quase que diariamente, as pessoas parecem ignorar e continuam se expondo aos perigos.
Por fim, devemos destacar as relações jurídicas e o mundo virtual, com enfoque na utilização da Internet. No Direito Eletrônico ocorre que várias são as relações jurídicas que utilizam as Tecnologias e a Internet como Suporte, e, por outro lado, os crimes e outros tipos de problemas e celeumas a serem tratadas pelo Direito, nascidas das relações humanas com essas tecnologias, se tornando um novo ramo do Direito.
Para o Perito Forense Computacional o Planejamento Estratégico em SI/TIC realizado pelas organizações, é um dos principais documentos que devem ser exigidos e que é importantíssimo como ponto de partida e até mesmo como conhecimento essencial para a execução do processo de perícia, principalmente os quesitos ligados à Segurança da Informação.
Vulnerabilidades e ameaças sempre existirão, e a combinação destas deixa qualquer ambiente em risco, por isso, uma das funções do Profissional de Segurança Forense Computacional, é apontar as falhas no gerenciamento desses riscos e depois do acontecido investigar e emitir o relatório pericial apontando os crimes e criminosos e as falhas que podem ser mitigadas, com procedimentos futuros baseados em segurança da informação.
6. REFERÊNCIAS BIBLIOGRÁFICAS
ASSI, Marcos.
Gestão de riscos com controles internos: ferramentas, certificações e métodos para garantir a eficiência dos negócios / Marcos Assi. – São Paulo: Saint Paul Editora, 2012. 165p.
SANTOS, Vanderlei Batista dos.
Gestão de Documentos Eletrônicos: uma visão arquivística / Vanderlei Batista dos Santos – 2a. ed. rev. Amp. – Brasília : ABARQ, 2005. 223p.: II
LYRA, Maurício Rocha.
Segurança e Auditoria em Sistemas de Informação / Maurício Rocha Lyra – 2a. ed. rev. e ampl. – Rio de Janeiro: Editora Ciência Moderna, 2017. 316p.
BURNETT, Steve; PAINE, Sthephen.
Criptografia e Segurança – O Guia Oficial RSA / Steve Burnett; Sthephen Paine – Rio de Janeiro: Editora Campus LTDA., 2002. 367p.
ASSUNÇÃO, Marcos Flávio Araújo.
Segredos do Hacker Ético / Marcos Flávio Araújo Assunção – 3a. ed. atual e ampl.. – Florianópolis: Visual Books, 2010. 276p.
SILVA, Luiz Gustavo Cordeiro da.
Certificação Digital – Conceitos e Aplicações – Modelos Brasileiro e Australiano / Luiz Gustavo Cordeiro da Silva; Paulo Caetano da Silva; Eduardo Mazza Batista; herbert otto Homolka; Ivanildo José de Sousa Aquino Júnior; Marcelo Ferreira de Lima – Rio de Janeiro: Editora Ciência Moderna LTDA, 2011. 201p.
GOODRICH, Michael T.; TAMASSIA, Roberto.
Introdução à Segurança de Computadores / Michael T.; Roberto Tamassia – Porto Alegre: Bookman, 2013. 550p.
RONDINELLI, Rosely Curi.
Gerenciamento Arquivístico de Documentos Eletrônicos: Uma abordagem teórica da diplomática arquivística contemporânea / Rosely Curi Rondinelli – 3a. ed. – Rio de Janeiro: Editora FGV, 2005. 160P.
SOUZA, Paulo Francisco Cruz de. Perícia Forense Computacional: Procedimentos, Ferramentas Disponíveis e Estudo de Caso – TCC. Santa Maria-RS, 2015.
GANDINI, João Agnaldo Donizeti; SALOMÃO, Diana Paola da Silva; JACOB Cristiane. JUS.com.br , fev.2002. A segurança dos documentos digitais. Disponível em: <https://jus.com.br/artigos/2677/a-seguranca-dos-documentos-digitais/1>. Acesso em 18 out. 2017.
PC FÓRUM. 13.09.1997. Princípios Básicos de segurança da Informação. Disponível em: <http://www.pcforum.com.br/cgi/yabb/YaBB.cgi?num=1252888879>. Acesso em: 03 out. 2017.
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012. KOSUTIC, Dejan. 27001 Academy. Classificação da Informação de acordo com a ISO 27001. mai.2014. Disponível em: <https://advisera.com/27001academy/pt-br/blog/2014/05/14/classificacao-da-informacao-de-acordo-com-a-iso-27001/> Acesso em: 13 set. 2017.
SANS Institute – https://www.sans.org/
A SANS (System Administration, Networking and Security) renomado centro de segurança norte-americano e a National Infrastructure Protection Center (NIPC) elaboram anualmente a SANS Top-20 um documento que lista as 20 vulnerabilidades de segurança mais criticas da internet, Como perigos para os sistemas operacionais Windows e Unix. As falhas nos sistemas operacionais e programas em geral permitem invasão e manipulação de computadores por meio de ataques diversos, incluindo vírus, worms e cavalos de Tróia.
