Segurança da informação vai muito além de configurar firewalls. O objetivo central é proteger a informação como um ativo valioso da organização, garantindo a continuidade dos negócios. Na prática, boa parte disso segue normas estabelecidas como a ISO/IEC 27002.

Abaixo estão os conceitos que considero fundamentais para entender a área antes de mergulhar nas ferramentas.

Os pilares da segurança

A base da segurança da informação é conhecida pela sigla CID:

  • Confidencialidade: a informação deve estar disponível apenas para quem tem autorização.
  • Integridade: os dados não podem ter sido alterados de forma indevida.
  • Disponibilidade: o acesso precisa estar garantido no momento em que for necessário.

A ISO 27001 acrescenta mais três princípios a essa tríade:

  • Autenticidade: garantir que a entidade que acessa o sistema é realmente quem diz ser.
  • Não repúdio: por meio de logs e registros, impedir que um usuário negue a autoria de uma ação.
  • Legalidade: operar em conformidade com a legislação vigente, como a LGPD no Brasil.

O ciclo de vida da segurança (NIST)

O framework do NIST define cinco etapas para lidar com incidentes e manter um ambiente seguro:

Identificação > Proteção > Detecção > Resposta > Recuperação

A lógica é simples: primeiro você mapeia o que precisa proteger, implementa controles, monitora ativamente, reage quando algo acontece e, por fim, restaura o ambiente. Esse ciclo nunca termina.

Gestão de riscos

Todo ativo de uma organização, seja pessoa, infraestrutura ou informação, carrega riscos. A análise geralmente segue a fórmula:

Risco = Probabilidade x Impacto

Esse resultado costuma ser mapeado em uma matriz. Uma escala comum é: até 3 é baixo, de 4 a 6 é médio, de 8 a 9 é alto, e 12 ou mais é risco extremo.

Depois de identificar e classificar os riscos, há quatro formas de tratá-los:

  1. Mitigação: implementar controles para reduzir o risco.
  2. Aceitação: quando o risco é baixo o suficiente para ser mantido sob monitoramento.
  3. Eliminação: alterar o processo ou remover o ativo que origina o risco.
  4. Transferência: repassar a responsabilidade para terceiros, como contratar um seguro ou um serviço especializado.

Vale lembrar que mesmo após o tratamento existem os riscos residuais, que permanecem depois de aplicados os controles, e os riscos emergentes, que surgem com a evolução tecnológica.

Controles de segurança

Os controles existem para prevenir, detectar ou responder a incidentes. Eles se dividem em quatro categorias:

  • Físicos: câmeras de segurança, catracas, controle de acesso a salas.
  • Tecnológicos (lógicos): biometria, firewalls, IDS/IPS.
  • Processuais: políticas internas e normas da organização.
  • Regulatórios: adequação às leis de proteção de dados.

Redes e ameaças comuns

As redes são a principal origem de ataques contra infraestruturas. Portas abertas representam serviços disponíveis e, consequentemente, superfícies de ataque. Alguns conceitos e vetores que aparecem com frequência:

  • Nmap: ferramenta de scan de rede usada tanto para auditoria quanto para mapear vulnerabilidades. Ferramenta básica na caixa de qualquer profissional de infraestrutura.
  • Sniffing: captura de pacotes na rede, comumente feita com Wireshark. A principal mitigação é o uso de protocolos criptografados.
  • DoS/DDoS: ataques que visam exaurir os recursos do sistema, comprometendo diretamente o pilar da Disponibilidade.
  • Spoofing e Phishing: spoofing falsifica credenciais ou origens para enganar sistemas; phishing foca na engenharia social, enviando mensagens em lote para capturar dados de usuários desatentos.

Proteger o ambiente contra essas ameaças exige um conjunto de práticas contínuas: firewall bem configurado, sistemas atualizados, autenticação forte, segmentação de rede, criptografia, controle de acesso, monitoramento ativo de tráfego, backups regulares e políticas de segurança bem definidas.

Nenhuma dessas práticas isolada resolve. A segurança funciona em camadas.