A amea¡¦ prim¡¦ia aos sistemas de informação n¡¦ ?o super-hacker mal¡¦ico, diz Lingerfelt, um perito em tecnologia e planejamento estrat¡¦ico na execução da lei. "Na verdade, os maiores perigos para os sistemas de computação e os bancos de dados s¡¦ as fontes `confi¡¦eis'". O autor ressalta que "uma avaliação realista das necessidades e amea¡¦s em termos de seguran¡¦, seguida de uma formulação que fa¡¦ sentido e da implementação de um plano de seguran¡¦, pode proporcionar proteção eficaz contra a grande maioria das amea¡¦s, e a um custo razo¡¦el." Ele identifica as ¡¦eas que s¡¦ as mais freq¡¦ntes fontes de amea¡¦s reais e apresenta sete estrat¡¦ias b¡¦icas para o planejamento da seguran¡¦ na ¡¦ea de inform¡¦ica...

Os ¡¦g¡¦s de seguran¡¦ e de justi¡¦ criminal est¡¦ tendo uma oportunidade in¡¦ita de usar a inform¡¦ica para transformar as suas operações e para prestar um servi¡¦ melhor, mais eficaz. No entanto, muitos ¡¦g¡¦s de seguran¡¦ est¡¦ relutantes no que diz respeito a essa oportunidade, porque receiam que, substituindo ou complementando os seus sistemas mainframe, fechados, com a utilização de PCs em rede, e implementando relat¡¦ios automatizados e redes de computadores, eles se exporiam a ataques de hackers. Os altos custos estimados para se proteger todo um sistema de inform¡¦ica contra a penetração de super-hackers, combinados aos danos que poderiam resultar da perda de informações extremamente sens¡¦eis, fazem com que pare¡¦ razo¡¦el evitar o risco (percebido) como um todo, apesar dos ganhos a serem obtidos com o uso da tecnologia de informação.

?verdade que devido aos aumentos exponenciais no uso da tecnologia de informação, aumenta tamb¡¦ a exposição a ataques aos sistemas de informação, ativos, e bancos de dados. No entanto, o temido hacker de computador, dono de vastos conhecimentos de inform¡¦ica, raramente ?a maior amea¡¦. Na verdade, os maiores perigos para os sistemas de computação e bancos de dados s¡¦ as fontes "confi¡¦eis" que freq¡¦ntemente operam sem receber nenhuma atenção da pol¡¦ia e dos ¡¦g¡¦s da justi¡¦ criminal no que se refere ?seguran¡¦ b¡¦ica na ¡¦ea de inform¡¦ica. Uma avaliação realista das necessidades e amea¡¦s ?seguran¡¦, seguida de uma formulação que fa¡¦ sentido e da implementação de um plano de seguran¡¦, pode proporcionar proteção eficaz contra a grande maioria das amea¡¦s, e a um custo razo¡¦el.

Percepção Versus Fatos

Muitos departamentos t¡¦ se comprometido financeiramente, de maneira significativa, com a inform¡¦ica. Isso tem sido acompanhado por um aumento no n¡¦ero de relatos de ataques de hackers contra sistemas de inform¡¦ica da pol¡¦ia.

Tem ocorrido, tamb¡¦, um aumento no n¡¦ero de relatos de uso ilegal de informações dos bancos de dados policiais, roubos de informações da pol¡¦ia, e roubos de ativos de inform¡¦ica pertencentes a ¡¦g¡¦s de seguran¡¦. A freqüência desses relatos fez com que muitas organizações policiais se sentissem desestimuladas quanto a se aventurar al¡¦ dos limites dos seus sistemas existentes, fechados. No entanto, novos requisitos comerciais que recaem sobre as ag¡¦cias de justi¡¦ criminal exigem que elas mudem os m¡¦odos pelos quais adquirem, compartilham, e divulgam informações.

Mudan¡¦s operacionais foram iniciadas como resultado da necessidade de distribuir sistemas de inform¡¦ica no campo, simplificar processos de trabalho, distribuir informações al¡¦ dos limites organizacionais, ou trocar informações com outros ¡¦g¡¦s e indiv¡¦uos.

Alguns ¡¦g¡¦s t¡¦ respondido a essas solicitações usando o seu pessoal para executar as novas tarefas, e portanto, retirando pessoas da for¡¦ dispon¡¦el no campo. Outros implementaram sistemas "isolados" que somente proporcionam os novos servi¡¦s, mas n¡¦ s¡¦ integrados aos sistemas anteriores da organização e nem os complementam. Isso s?serve para aumentar a complexidade e os custos -- sob a forma de m¡¦-de-obra, tempo e dinheiro -- para se suportar os sistemas de inform¡¦ica.

Como j?observamos, as amea¡¦s internas de fontes de dentro do dom¡¦io no qual se confia causam mais danos do que intrusos. V¡¦ios incidentes causados por fontes internas foram documentados:

A rede de um departamento inteiro foi nocauteada por um v¡¦us transmitido por meio de disquetes que a divis¡¦ de planejamento do departamento distribuiu para colher informações para uma pesquisa.

O chefe de intelig¡¦cia que estava supervisionando um sistema hier¡¦quico de intelig¡¦cia fixou um bilhete no seu monitor, com uma fita, contendo a sua identidade de usu¡¦io, sua senha e instruções detalhadas para se entrar no sistema.

Um alto funcion¡¦io de um departamento de pol¡¦ia vendeu, para elementos do crime organizado, um arquivo contendo a descrição e os n¡¦eros das placas de todos os carros "disfar¡¦dos" usados pelos policiais.

Um administrador de rede inexperiente, que estava instalando uma rede em um departamento de pol¡¦ia, deu privil¡¦ios de administrador a todos os usu¡¦ios.

Os programadores de aplicativos em um grande departamento de pol¡¦ia tiveram permiss¡¦ de colocar um novo c¡¦igo de programa diretamente em produção, sem antes test?lo e analis?lo metodicamente, e o sistema ficou totalmente inoperante durante 24 horas porque o c¡¦igo era inadequado.

Um governo estadual criou um site na web sem paredes de fogo. Dentro de 24 horas, a sua identificação de usu¡¦io e arquivo de senha foram colocados em uma confer¡¦cia de hackers. O estado, pelo menos, fez uma coisa certa: compartilhou a sua experi¡¦cia com outros estados e assim ajudou a impedir que eles cometessem o mesmo erro.

Resumindo, existe uma amea¡¦ crescente de ataque externo como resultado do uso, cada vez mais intenso, da inform¡¦ica, mas a proporção da amea¡¦ em relação ao tamanho do bolo n¡¦ mudou. A ¡¦ica diferen¡¦ ?que agora o bolo ?maior. Amea¡¦ maior? Sim. Amea¡¦ diferente? N¡¦.

A maior exposição a amea¡¦s ?seguran¡¦ na computação se deve a v¡¦ios motivos:

Novos modelos de neg¡¦ios. O setor p¡¦lico est?seguindo o exemplo do setor privado, com uns cinco anos de atraso.

Crescimento exponencial do uso da inform¡¦ica: os computadores e redes se insinuaram em quase todas as ¡¦eas das nossas vidas.

Custos reduzidos: A tecnologia atual ?barata. N¡¦ importa qual seja a medida usada, os custos da inform¡¦ica b¡¦ica est¡¦ muito mais baixos do que em qualquer ¡¦oca passada, e o custo das novas tecnologias est?descrescendo mais rapidamente do que decrescia poucos anos atr¡¦, por causa do r¡¦ido progresso e da maior concorr¡¦cia.

Na transição das operações centralizadas para operações dispersas, o escrit¡¦io central, como centro do universo de tomada de decis¡¦s e informações, foi substitu¡¦o por unidades de neg¡¦ios independentes e remotas apoiadas pela inform¡¦ica, que est?presente em todas as unidades.

Na inform¡¦ica, essa mudan¡¦ significou a transição das arquiteturas fechadas para as redes -- intranets e extranets. A distribuição das informações significa maior dificuldade para a proteção de ativos, para a monitoração de operações, e para a reação aos problemas. H?um n¡¦ero maior de pontos de exposição. A boa not¡¦ia ?que a distribuição da inform¡¦ica est?fazendo com que seja poss¡¦el obter enormes ganhos em produtividade -- freq¡¦ntemente o retorno do investimento ocorre em menos de um ano.

As organizações do setor privado come¡¦ram a se fixar nas compet¡¦cias b¡¦icas em vez de tentar proporcionar todas as coisas para todas as pessoas. As empresas est¡¦ mantendo um n¡¦ero de funcion¡¦ios muito mais reduzido. Isso lhes permite evitar problemas trabalhistas e problemas log¡¦ticos associados ¡¦ mudan¡¦s. Somente h?vagas para pessoas que contribuem diretamente para o atingimento das metas do neg¡¦io. As empresas resultantes de uni¡¦s e aquisições freq¡¦ntemente apelam para a terceirização para lidar com as funções de suporte e administração, especialmente a inform¡¦ica. Os ¡¦g¡¦s da justi¡¦ criminal (e o governo como um todo) come¡¦ram a avan¡¦r na mesma direção, para simplificar as operações, reduzir os custos e aperfei¡¦ar os servi¡¦s.

Al¡¦ disso, est?ficando cada vez mais dif¡¦il conservar os bons empregados da ¡¦ea de inform¡¦ica. Os governos n¡¦ t¡¦ conseguido competir com os sal¡¦ios do setor privado para substituir os empregados que est¡¦ perdendo. Isso tamb¡¦ tem causado um aumento no uso da terceirização na ¡¦ea governamental.

A maior rotatividade dos executivos e gerentes ?uma realidade nas organizações, atualmente. As empresas se tornam melhores, e como elas "roubam" os empregados mais talentosos umas das outras, existe a amea¡¦ de que os executivos ou gerentes de n¡¦el m¡¦io possam levar propriedade intelectual importante consigo. Um desse casos foi motivo de um processo bem sucedido quando se descobriu que a estrutura de diret¡¦ios dos arquivos do computador de um gerente era id¡¦tica ¡¦uela da sua unidade de neg¡¦ios anterior. Um fato raramente reconhecido ou publicado ?que as empresas que reduzem o seu quadro de funcion¡¦ios, freq¡¦ntemente perdem milh¡¦s de d¡¦ares devido ao roubo de hardware, software, suprimentos e mob¡¦ia, quando os empregados recebem aviso pr¡¦io.

Apesar dos benef¡¦ios, a terceirização da inform¡¦ica pode comprometer a seguran¡¦. Um plano de seguran¡¦ ?particularmente importante quando responsabilidades na ¡¦ea de inform¡¦ica, que s¡¦ cr¡¦icas para a miss¡¦ da empresa, s¡¦ atribu¡¦as a empregados contratados ou a pessoas que n¡¦ pertencem ao ¡¦g¡¦ em quest¡¦. O ¡¦g¡¦ governamental pode exigir que certos requisitos de investigação de hist¡¦ico pessoal sejam cumpridos por todos os empregados contratados.

Crescimento Exponencial No Uso da Inform¡¦ica

Os computadores e as redes se insinuaram em quase todas as ¡¦eas das nossas vidas. Os computadores, redes e a Internet que todos n¡¦ usamos tornam poss¡¦el a ocorr¡¦cia de fraudes, roubos e disseminação de informação e materiais ilegais. Novos tipos de crimes s¡¦ criados e velhas t¡¦icas ressurgem.

Felizmente esse crescimento no uso dos computadores resultou em avan¡¦s na tecnologia, normas e na identificação das melhores pr¡¦icas. Todas as lições aprendidas com os erros t¡¦ contribu¡¦o para o aperfei¡¦amento da tecnologia. Todos n¡¦ nos beneficiamos. As pr¡¦icas de seguran¡¦ tamb¡¦ t¡¦ apresentado melhorias como resultado direto das lições aprendidas, e um s¡¦ido conjunto de melhores pr¡¦icas surgiu. O setor privado preparou o terreno. A maior parte dos novos produtos (hardware e software) possui caracter¡¦ticas funcionais de seguran¡¦ incorporadas. Se essas caracter¡¦ticas s¡¦ usadas ou n¡¦ ?uma outra quest¡¦.

Custos Reduzidos

Qualquer que seja o par¡¦etro usado, os custos da inform¡¦ica nunca foram t¡¦ baixos. Praticamente qualquer pessoa pode comprar um computador.

Al¡¦ de a inform¡¦ica ter ficado mais barata, h?mais dinheiro dispon¡¦el para investimento em inform¡¦ica no setor p¡¦lico do que em qualquer ¡¦oca desde os ¡¦timos anos da d¡¦ada de sessenta e os primeiros da d¡¦ada de setenta. Por exemplo, as iniciativas relacionadas com o problema dos computadores no ano 2000 e com o crime na computação est¡¦ disponibilizando bilh¡¦s de d¡¦ares com a finalidade expressa de atualizar ou substituir os sistemas de inform¡¦ica do setor p¡¦lico. Isso cria uma oportunidade perfeita para que os ¡¦g¡¦s de justi¡¦ criminal incluam a seguran¡¦ no desenvolvimento e na implementação de novos processos de neg¡¦ios e novos sistemas de inform¡¦ica. A tentativa de implementar a seguran¡¦ em sistemas antigos ?muito cara e geralmente n¡¦ funciona.

Planejamento na ¡¦ea da Inform¡¦ica

O livro de ficção cient¡¦ica Hitchhikers Guide to the Galaxy tem como primeira regra:

N¡¦ ENTRE EM P¡¦ICO. Este ?um bom conselho para a o planejamento na seguran¡¦ da inform¡¦ica, tamb¡¦. Muitas organizações resistiram ?id¡¦a de investir em inform¡¦ica por causa da cren¡¦ persistente e exagerada de que elas imediatamente ser¡¦ assediadas pelos hackers e invasores.

Apesar da maior exposição e do maior n¡¦ero de invasores em potencial, a experi¡¦cia e as ferramentas para construir defesas eficazes j?se encontram dispon¡¦eis e est¡¦ sendo constantemente aperfei¡¦adas. Com um planejamento eficaz e em tempo h¡¦il, ?poss¡¦el responder rapidamente e de maneira adequada a qualquer ataque, evitando a maior parte dos ataques e amenizando o impacto dos demais.

O planejamento geral de inform¡¦ica deve ser feito com uma vis¡¦ bem ampla: o plano de inform¡¦ica deve fluir diretamente dos planos operacionais da organização. O plano deve descrever os requisitos de neg¡¦ios que dever¡¦ possibilitar o atingimento das metas operacionais: ele n¡¦ ?uma lista de desejos de inform¡¦ica. Enfatize o que precisa ser feito e n¡¦ como vai ser feito. Geralmente existem muitas maneiras de preencher um requisito com grandes diferen¡¦s de custo. Deve haver uma justificativa clara para cada d¡¦ar gasto. E a seguran¡¦ deve ser parte do plano de inform¡¦ica desde o in¡¦io.

As arquiteturas devem ser simples e devem continuar assim. Isso proporciona uma vantagem em termos de seguran¡¦. Os sistemas m¡¦tiplos, n¡¦ importa o qu¡¦ proximamente integrados forem, sempre oferecem muitos pontos de acesso e requerem sistemas de administração e suporte com n¡¦eis m¡¦tiplos de seguran¡¦, o que significa custos mais elevados.

Sete Estrat¡¦ias para Assegurar a Seguran¡¦ na ¡¦ea de Inform¡¦ica

1. Antes de Mais Nada -- Mantenha Tudo Muito Simples. Se o sistema for complicado demais, os usu¡¦ios o evitar¡¦ ou tentar¡¦ contorn?lo; isso compromete a seguran¡¦ e reduz a sua utilidade. As medidas de seguran¡¦ modernas podem ser eficazes e discretas.

2. Desenvolva Pol¡¦icas, Procedimentos, e Penalidades (P3) Antecipadamente. Projete P3 de seguran¡¦ baseados nas necessidades dos usu¡¦ios, na natureza dos aplicativos, e nas informações que est¡¦ sendo protegidas. CUMPRA-OS de maneira consistente. Ter P3 "mansos" ?pior do que n¡¦ ter nenhum.

3. Proporcione Treinamento no Uso do Sistema e Enfatize o P3. Reafirme o treinamento, revendo e distribuindo not¡¦ias relevantes -- por exemplo, hist¡¦ias referentes a ataques cibern¡¦icos ou abusos de sistemas.

4. Use Produtos de Seguran¡¦ Dispon¡¦eis, "Comuns", em vez de Desenvolver Aplicativos de Seguran¡¦ Internamente. Isso ?aconselh¡¦el por v¡¦ios motivos, porque as necessidades de neg¡¦ios s¡¦ relativamente simples. Os ¡¦g¡¦s de justi¡¦ criminal associam pessoas a outras pessoas, e pessoas a eventos, colhendo e compartilhando informações. Os produtos comuns baseados em padr¡¦s abertos foram testados e provados; seus usu¡¦ios podem ser entrevistados e voc?pode aprender alguma coisa com eles. Mesmo no caso de os produtos serem novos, as metodologias usadas nos testes podem ser avaliadas e os resultados, revistos. E o que ?mais importante, os produtos padr¡¦ da ind¡¦tria geralmente s¡¦ bem documentados, para o usu¡¦io e para o pessoal t¡¦nico da ¡¦ea t¡¦nica de inform¡¦ica. A documentação e os testes quanto ?seguran¡¦ s¡¦ freq¡¦ntemente relegados ao segundo plano quando se desenvolve aplicativos internamente.

5. Compartimentalize as Informações, Ativos e Usu¡¦ios. Proteja as Informações e Ativos Adequadamente de Acordo com o Seu Valor. Os relat¡¦ios de intelig¡¦cia de natureza confidencial devem ser muito bem guardados. As informações que forem p¡¦licas e/ou que possam ser facilmente substitu¡¦as, no entanto, n¡¦ requerem uma seguran¡¦ muito sofisticada. Uma avaliação objetiva dos ativos de informação revelar?que os itens p¡¦licos ocorrem com muito mais freqüência do que os confidenciais.

Da mesma fora, os ativos de inform¡¦ica (PCs, cabos, hubs, etc.) e suprimentos (software, disquetes, etc.) devem ser adequadamente inventariados e protegidos. Freq¡¦ntemente, os ¡¦g¡¦s p¡¦licos recebem grandes quantidades de hardware e software (PCs, monitores, placas de rede, hubs, roteadores, etc.) sem lan¡¦r os itens em um banco de dados de controle de ativos, e sem verific?los cuidadosamente para se assegurar de que eles s¡¦ o que foi encomendado e que os itens est¡¦ configurados adequadamente e funcionando perfeitamente. Quando os itens s¡¦ perdidos ou n¡¦ funcionam adequadamente, n¡¦ existe um registro para provar que a perda ocorreu ou que o sistema n¡¦ est?apresentando o desempenho que dele se espera. O gerenciamento de invent¡¦io ?a primeira provid¡¦cia a ser tomada. A segunda ?o controle de configuração.

Por ocasi¡¦ da entrega, a configuração de cada item de hardware deve ser ajustada e cada item de software deve ser adequadamente inventariado. O invent¡¦io, portanto, conter?uma descrição detalhada de todos os componentes do sistema, hardware, e software, e onde eles est¡¦ localizados (incluindo o n¡¦ero da sala e a mesa). Essas informações s¡¦ de valor inestim¡¦el na proteção dos ativos, na identificação de roubo e adulteração, e na realização de investigações eficazes quando forem detectados problemas. Existem programas de computador dispon¡¦eis no mercado que verificam a configuração e informam a ocorr¡¦cia de problemas aos administradores de seguran¡¦ automaticamente. Esses programas tamb¡¦ mant¡¦ um registro das modificações e da manutenção do sistema. ?medida que os reparos ou atualizações s¡¦ feitos nos sistemas e que a manutenção ?realizada, ?importante que haja um registro de tais atividades. Finalmente, travas e parafusos especiais para selar as estações de trabalho podem reduzir o n¡¦ero de ocorr¡¦cias de roubo ou adulteração. A pol¡¦ica da organização deve exigir que todos os problemas dos quais se suspeite sejam relatados para que possam ser investigados.

A compartimentalização de suprimentos e ativos significa trat?los mais adequadamente de acordo com o seu custo ou a sua import¡¦cia para a miss¡¦. Essa ¡¦ea freq¡¦ntemente ?negligenciada. Por exemplo, os ¡¦g¡¦s governamentais mant¡¦ suprimentos baratos como disquetes em arm¡¦ios trancados, enquanto ativos cr¡¦icos como um servidor ficam desprotegidos em uma ¡¦ea aberta do escrit¡¦io, e cabos e hubs de rede passam por paredes abertas em vez de serem protegidos por condutos e ocultos no teto.

Compartimentalize os usu¡¦ios tamb¡¦. Controle os aplicativos e as informações aos quais os usu¡¦ios t¡¦ acesso e a maneira pela qual esse acesso ?feito. (Por exemplo, um usu¡¦io pode ter permiss¡¦ para acessar um arquivo restrito somente de uma certa estação de trabalho, em certas ocasi¡¦s). Controle as pessoas que podem criar contas ou identificações de usu¡¦ios em um sistema. Conduza auditorias freq¡¦ntemente para ver se h?identificações ou contas sem dono.

Tenha uma boa capacidade instalada para a realização de auditorias.

Uma das amea¡¦s ?seguran¡¦ que ?ignorada com a maior frequ¡¦cia ?a documentação dos sistemas. Documentos de todos os tipos freq¡¦ntemente s¡¦ tratados de forma demasiadamente casual e podem ser encontrados abertos em escrit¡¦ios que n¡¦ apresentam nenhuma seguran¡¦. As informações detalhadas de conte¡¦o t¡¦nico, ou que se destinem aos usu¡¦ios, devem ser protegidas. Pode parecer conveniente e mais barato preparar e publicar um ¡¦ico tipo de documentação que sirva para todos, mas isso pode ser perigoso para a seguran¡¦ do sistema. Manuais para os usu¡¦ios finais, que s¡¦ distribu¡¦os em grandes quantidades freq¡¦ntemente cont¡¦ muitas informações t¡¦nicas que s¡¦ in¡¦eis para o usu¡¦io, mas que s¡¦ muito valiosas para um hacker. Um hacker armado com informações detalhadas sobre o sistema pode atacar um sistema com precis¡¦ cir¡¦gica em vez de apelar para os ataques de for¡¦ bruta, cuja detecção ?mais f¡¦il. Distribua a documentação de acordo com a necessidade de cada um. Quem n¡¦ precisa saber o conte¡¦o da documentação n¡¦ deve receb?la.

Proteja a documentação, controle o acesso a ela, e treine os usu¡¦ios sobre a maneira de proteg?la. A publicação de documentos na rede em vez de faz?lo na forma de documentos impressos ?recomendada para reduzir os custos, simplificar as atualizações, e proporcionar maior proteção.

6. Seja Realista Quanto ?Administração da Seguran¡¦. ?pouco prov¡¦el que os ¡¦g¡¦s de justi¡¦ criminal, por exemplo, possam estabelecer ou administrar um programa de seguran¡¦ de inform¡¦ica que seja impenetr¡¦el. Estabele¡¦ um equil¡¦rio entre as reais necessidades de seguran¡¦ e os custos da seguran¡¦. Talvez seja poss¡¦el contratar o n¡¦el desejado de suporte para atingir os mesmos objetivos. Use os funcion¡¦ios da organização para fazer o que eles realmente podem fazer de maneira mais eficaz, e terceirize ou "redistribua" o resto. A principal coisa a ser feita ?obter os resultados definidos pelo plano de seguran¡¦ de informação.

Muitos recursos se encontram dispon¡¦eis para atender ¡¦ necessidades de seguran¡¦. Eles podem ser terceirizados para uma empresa privada a custos competitivos. ?medida que a depend¡¦cia da inform¡¦ica aumenta e a seguran¡¦ passa a assumir uma import¡¦cia maior, as empresas est¡¦ respondendo, oferecendo servi¡¦s de seguran¡¦ em inform¡¦ica de alta qualidade.

Al¡¦ disso, vale a pena "redistribuir" servi¡¦s. A redistribuição descreve o que os ¡¦g¡¦s de justi¡¦ criminal e membros da comunidade de seguran¡¦ podem fazer uns pelos outros. A partilha de recursos, as aquisições conjuntas feitas com dinheiro recolhido de v¡¦ios ¡¦g¡¦s, os servi¡¦s prestados gratuitamente por universidades ou pela comunidade -- todas essas coisas s¡¦ maneiras pelas quais se pode eliminar os hiatos no plano de seguran¡¦.

7. Teste, Audite, Inspecione Sites e Investigue De Maneira Cont¡¦ua e Aleat¡¦ia. Use uma metodologia para analisar e testar c¡¦igo para bloquear as "portas dos fundos" dos sistemas. Use programas automatizados de auditoria e monitoração. Use programas que verifiquem as mudan¡¦s ocorridas em um arquivo. Desenvolva e use programas de "dicas" como uma forma de identificar atacantes existentes ou poss¡¦eis dos sistemas. Divulgue amea¡¦s e respostas a eles. Sempre tome medidas rapidamente, de maneira consistente e apropriada quando as violações forem detectadas ou relatadas. Anuncie amplamente as punições ocorridas nos casos de seguran¡¦ de inform¡¦ica.

Tecnologias Emergentes

A seguran¡¦ na ¡¦ea de inform¡¦ica tem progredido t¡¦ rapidamente quanto todos os outros aspectos da inform¡¦ica, mas ela n¡¦ pode ser eficaz se n¡¦ for adequadamente aplicada. Caracter¡¦ticas de seguran¡¦ se encontram dispon¡¦eis em quase todos os aplicativos comerciais de uso comum. Atualmente, as paredes de proteção (firewalls) est¡¦ mais poderosas e adapt¡¦eis do que nunca e se encontram dispon¡¦eis a pre¡¦s realistas. Os programas de criptografia est¡¦ se tornando muito mais poderosos e mais f¡¦eis de implementar e manter. A capacidade de administrar e monitorar sistemas distribu¡¦os, de um ¡¦ico ponto na rede, est?sendo constantemente aperfei¡¦ada. Os programas automatizados de monitoramento e auditoria, para controlar o uso do sistema e alertar os administradores de seguran¡¦ em caso de tentativas de abusos, est¡¦ se tornando mais amadurecidos rapidamente.

Uma das ¡¦eas mais promissoras no que se refere ao progresso t¡¦nico ?a biometria -- a capacidade de identificar algu¡¦ tendo com base uma caracter¡¦tica exclusiva (por exemplo, impress¡¦ digital, voz, geometria das m¡¦s, padr¡¦ de retina, etc.). Os dispositivos biom¡¦ricos fazem com que seja poss¡¦el autenticar usu¡¦ios com uma efic¡¦ia sem precedentes e impedem as pessoas n¡¦ autorizadas de acessar um sistema, mesmo se elas possu¡¦em uma senha.

A IBM, em colaboração com o Banco Barclays, na Europa, est?testando teclados de estações de trabalho com uma leitora de impress¡¦s digitais embutida. Os usu¡¦ios precisam ser biometricamente autenticados antes de poderem ter acesso a qualquer parte do sistema. A tecnologia de "flash" (um algoritmo de busca de imagens) ?r¡¦ida e precisa. Ela pode fazer uma busca em um banco de dados de milh¡¦s de registros (incluindo imagens de impress¡¦s digitais) para determinar se os registros coincidem. Essa capacidade, combinada com redes de alta velocidade, tem um grande potencial para uso em ATMs (caixas autom¡¦icas de bancos) e outros dispositivos usados para transações eletr¡¦icas. A tecnologia de flash est?sendo usada em um sistema, baseado em impress¡¦s digitais, de verificação de registros de eleitores no Peru. O projeto tem apresentado excelentes resultados e ajudar?a impedir as fraudes eleitorais.

?medida que essas tecnologias continuam a evoluir, a seguran¡¦ na inform¡¦ica continuar?a melhorar em termos de efic¡¦ia e facilidade de uso.