IGTI Blog
Arquitetura da Informação

Arquitetura da Informação na Segurança em T.I

Melhores práticas de segurança da informação para os usuários de e-commerce.

Com a crescente demanda de integração de sistemas e a elevada inserção de pessoas ao mundo tecnológico, os dados, que antes eram extremamente restritos a cada indivíduo, transitam através de plataformas que podem envolver as redes sociais, transações bancárias e o e-commerce. Em um universo de Big Data e visualizando a segurança dos dados dos usuários, as empresas responsáveis por estas plataformas de interação, possuem procedimentos e ferramentas que, pela Arquitetura da Informação coercitiva, podem camuflar fraudes e viabilizar o roubo de dados.

As empresas, por mais bem-intencionadas que possam parecer, preocupam-se mais em se manterem seguras do que proteger a individualidade de seus clientes. Com ênfase em usuários de e-commerce, este artigo apresenta as melhores práticas de segurança da informação compreendendo os hábitos de compradores online e os motivos que afastam alguns compradores no universo da internet.

Com a difusão global da internet e de tecnologias que permitem o dinamismo em sites e portais por meio de interfaces gráficas, foi provida a inserção de novos mercados. De forma que novos meios em segurança de dados para compras on-line foram criados, por volta de 1994, formando as bases para o surgimento do e-commerce. Em 2002, 9 milhões de contas correntes possuíam acesso aos serviços de Internet Banking, atualmente, o número ultrapassa 42 milhões, indicando a proporção exponencial de utilização das plataformas online.

Atualmente, novos produtos especializados em sistemas antifraude são desenvolvidos, implantados e atualizados frequentemente para o melhor desempenho nos sistemas de e-commerce, que, na maioria dos casos, são criados em um ambiente protegido em mais de uma camada de segurança. E sua gestão exige questões não apenas técnicas como também organizacionais, estruturais, comportamentais e aspectos sociais.

Entretanto, tais medidas não garantem total segurança uma vez que o fator humano é suscetível a falhas. Para Furnell e Thompson (2009), os usuários são um dos problemas e uma das ameaças relatadas na implementação de práticas e procedimentos de segurança. Eles precisam ser devidamente instruídos em questões que envolvam a Segurança de Informação (SI), deste modo, estarão cientes dos efeitos negativos que uma falha ou quebra de segurança pode causar.

No ambiente corporativo, há a constante cobrança no desenvolvimento de ações e na adaptação da sua estrutura para evitar atitudes fraudulentas, corrupção, dano e distorção de informação por parte dos usuários. Desta forma será possível a criação de políticas de segurança e de gerenciamento que permitam maior credibilidade e aumente a usabilidade dos sistemas virtuais.

Existe um exponencial crescimento na utilização de sistemas integrados e os ambientes corporativos buscam, de forma contínua, sistemas que realizem todas as funcionalidades exigidas por seu negócio. Não obstante, pessoas físicas procuram usufruir das facilidades que a internet dispõe, seja através das redes sociais, dos correios eletrônicos ou, até mesmo, transações bancárias. Neste cenário, no contexto de aplicação da arquitetura da informação no universo do Big Data, sua composição e relevância, envolve a segurança da informação e todos os periféricos de interações entre os usuários.

Dados e Informações na Arquitetura da Informação

O valor da informação diverge de acordo com o indivíduo, a necessidade e o contexto em que é produzida e compartilhada. Atualmente, os dados de uma pessoa transitam livremente pela internet através de plataformas e isto significa que, a informação é importante para que o indivíduo interaja com os ambientes virtuais provando sua autenticidade.

Definimos arquitetura de informação como a arte e a ciência de organizar e catalogar websites, intranet’s, comunidades online e software de modo que a usabilidade seja garantida. Uma boa aplicação da arquitetura da informação, estabelece as fundações necessárias para que um sistema de informação faça sentido para seus usuários e evite interpretações que possam dificultar um entendimento claro.

Segurança da Informação

A Segurança da Informação tem como princípio a mitigação e prevenção contra incidentes, protegendo a informação de uma determinada empresa ou pessoa. Ela é garantida através da Confiabilidade, que é determinada através da tríade: Confidencialidade, Integridade e Disponibilidade (CID). A prevenção de incidentes pode ser realizada aplicando estratégias de segurança, gerada a partir da análise de riscos, que se estabelece por meio da identificação das vulnerabilidades, ameaças e riscos que envolvem a informação.

Vulnerabilidade

A Vulnerabilidade ocorre quando ativos podem ser explorados por uma ou mais ameaças. Efetivamente, a ausência de medidas preventivas ou a existência de um ponto fraco a ser explorado caracterizam esse processo. As vulnerabilidades são classificadas como físicas, tecnológicas e humanas.

Ameaças Humanas e Não Humanas

Ameaça é a causa de um possível incidente de segurança, podendo ser classificada como ameaça humana ou ameaça não humana. A pessoa que se aproveita ou propicia uma vulnerabilidade é conhecida como agente de ameaça. Estes agentes têm interações com o ambiente, podendo ser desde funcionários sem treinamento adequado, a pessoas mal-intencionadas voltadas ao crime realizado pela internet. Ameaças humanas são consideradas como intencionais que ocorrem por meio da ação de agentes como hackers e crackers, por ações terroristas ou por usuários insatisfeitos.

Hacker’s são pessoas com grande instrução em informática e que aplicam a maior parte de seu tempo a entender, alterar software, hardware e redes de computadores utilizando seus conhecimentos para obter soluções de segurança e criar aplicações. Não são criminosos como difundido pela mídia, mas podem ser considerados profissionais éticos e em alguns casos agem como ativistas a fim de defender algum ideal. Já os Cracker’s também possuem grande conhecimento tecnológico, no entanto, utilizam de forma perversa.

Hackers e crackers podem agir de forma ativa, quebrando a segurança de um ambiente por meio de falhas encontradas desmontando, diretamente, camada por camada inclusive pela aplicação despyware’s, trojan’s ou malware’s, que infectam milhares de computadores em todo o mundo.

Outra forma utilizada por crackers para obter informação é através da engenharia social, categorizada como uma ameaça não intencional. Ela é uma técnica considerada a maior ameaça aos sistemas de informação nas organizações, uma vez que por meio de persuasão, manipulação e influência das pessoas, o engenheiro social (profissional da “arte de enganar”) consegue informações sigilosas.

Riscos e Estratégias de Riscos

Risco é a probabilidade de que um agente de ameaça explore uma vulnerabilidade e cause impacto aos ativos de negócios. O risco vincula a vulnerabilidade, a ameaça e calcula a probabilidade de impactar o negócio e o seu prejuízo médio esperado durante um período. O gerenciamento de risco é um processo contínuo que utiliza a análise de risco como subsídio para diminuir os problemas relacionados, elevando as medidas de segurança para um nível aceitável.

A atividade de estratégias de risco é a última atividade do processo de gerenciamento de riscos, e independente da estratégia adotada por uma organização, a gestão deve tomar uma decisão consciente e arcar com as consequências.

Controles e medidas de segurança

Controles de Segurança são medidas para proteger um sistema de informação em relação ao CID. Porém, antes de ser definido o tratamento de um risco, as organizações decidem os critérios de aceitação do risco, sempre registrando a decisão final. Os controles garantem a mitigação dos riscos para um nível aceitável, levando em consideração:

  •         Requisitos e restrições da legislação nacional e internacional e de regulamentos;
  •         Objetivos organizacionais;
  •         Requisitos e restrições operacionais;
  •         A necessidade de equilibrar o investimento na implantação e a operação de controles contra os danos suscetíveis de falhas de segurança.

As Medidas de Segurança devem ser sempre baseadas em resultados de uma análise de risco, com base nos aspectos de confiabilidade e das características da informação. Têm por objetivo reduzir a chance de ocorrência do evento, minimizar suas consequências e aumentar a credibilidade dos sistemas e redes associadas. As medidas de segurança podem ser categorizadas como:

  • Prevenção – Evita que um incidente de segurança ocorra;
  • Redução – Reduz a probabilidade de uma ameaça ocorrer, mitigando a probabilidade de impacto;
  • Detecção – Garantem que os incidentes sejam detectados rapidamente com a finalidade de reduzir os danos esperados e comunicar a todos os envolvidos;
  • Repressão – Detectar que algo está em curso não é suficiente, é necessário, minimizar e neutralizar as consequências e os danos causados;
  • Recuperação – Recuperar e/ou reparar danos provocados pelo incidente;
  • Garantia – Em situações em que os incidentes não possuem prevenção completa e suas consequências não são aceitáveis, deve-se procurar métodos que reduzam as consequências, como a utilização de seguros;
  • Aceitação – Aceita-se o risco quando as medidas necessárias possuem um custo maior do que o dano envolvido.

Interação entre Sistemas e Usuários

Para proteger essas vulnerabilidades de possíveis ameaças, podem ser definidas políticas de segurança, adaptadas aos usuários de e-commerce, que reforça os procedimentos já disponíveis em ambientes online. Para garantir a segurança nesses ambientes online, é importante ter atenção às seguintes recomendações:

Possuir várias conta de e-mail. O aconselhável é que sejam no mínimo 3 contas com senhas diferentes: uma para receber as informações privadas; outra para gerenciar suas redes sociais, jogos, entre outros; e, a terceira, para gerenciar suas páginas de e-commerce. Desta forma, mesmo que a pessoa seja vítima de ataques ou fraudes, não comprometerá toda sua vida on-line;

  1. Alterar as senhas com frequência. O procedimento padrão para expiração de senhas no caso do ambiente Microsoft é de 42 dias, o que indica ser recomendável estipular um período adequado para alteração, podendo ser no mínimo uma vez ao ano. Para qualquer interação com sistemas deve-se eleger senhas fáceis de lembrar, mas que tenham complexidade para não serem facilmente deduzidas. A qualquer suspeita de invasão ou vazamento de dados recomenda-se alterar as senhas;
  2. Utilizar páginas de compras conhecidas e recomendadas. Utilizar sites desconhecidos pode causar prejuízos, mesmo que pareçam vantajosos em relação ao produto e custo associado. Verificar se os sites utilizados permitem a validação de identidade, seja como a verificação em duas etapas disponíveis pelas contas do Google, envio de SMS, ou aplicativos de autenticação;
  3. Preferir a utilização de cartões virtuais. Em procedimentos de compras, optar por utilizar os cartões virtuais disponibilizados que diminuem as possibilidades de ações criminosas.

Conclusão

Em um ambiente de e-commerce onde há o envolvimento de atores que podem comprometer a credibilidade das interações comerciais, é importante utilizar as possibilidades da arquitetura e Segurança da Informação, para compor cenários éticos e positivos entre clientes e empresas.

A utilização das recomendações indicadas aos usuários de e-commerce, contendo as melhores práticas de segurança da informação, poderão apoiar os consumidores nas compras em ambiente online, que necessitam de uma maior atenção quanto aos procedimentos de segurança.

Diante da facilidade das redes em prover acessos de alta velocidade e estabelecer a sensível ligação entre as instituições de crédito, o ambiente se torna alvo de pessoas que podem tornar o ambiente hostil e desequilibrado.  Surge então as interações entre a arquitetura e a segurança da informação e o universo da ciência da dados (Big Data), que abre grandes oportunidades para os profissionais, que desejam exercer uma administração eficiente de ambientes corporativos.

Professor autor: Ricardo Antônio B. Ribeiro

REFERÊNCIAS:

RÉGIS, Victor. A História do E-Commerce. Cartola Comunicação. Disponível em: http://www.cartolacomunicacao.com.br/blog/10-e-commerce/48-a-historia-do-ecommerce. Acesso em: 09 mar. 2018.

DHILLON, G. (2004). Realizing benefits on an information security program. Business Process Management Journal, 10 (3), 260-261.

FURNELL, S., & THOMSON, K.-L. (2009). From Culture to disobedience: recognizing the varying user acceptance of IT security. Computer Fraud & Security, 2009 (2), 5-10.

LE COADIC, Yves-François. A ciência da informação. 2 ed. Brasília: Briquet de Lemos, 2004.

OFICINA, Redação. Segurança da informação, conceitos e mecanismos. Oficina da Net. Disponível em: https://www.oficinadanet.com.br/artigo/1307/seguranca_da_informacao_conceitos_e_mecanismos.

MAIA, Marco Aurélio. O que é Segurança da informação. Blog Segurança da Informação. Disponível em: http://segurancadainformacao.modulo.com.br/seguranca-da-informacao. Acesso em: 17 fev. 2018.  

SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva São Paulo: Campus Elsevier, 2002.

ROCHA, Thiago. Qual a diferença entre Hacker e Cracker?Oficina da Net. Disponível em: https://www.oficinadanet.com.br/post/12907-qual-e-a-diferenca-entre-hacker-e-cracker.

SECURITY, Alerta. Entenda o que é Segurança da Informação e reduza riscos na empresa. Alerta Security. Disponível em: https://www.alertasecurity.com.br/blog/117-entenda-o-que-e-seguranca-da-informacao-e-reduza-riscos-na-empresa.