Por que a educação em segurança da informação é importante

Tradicionalmente, os analistas de segurança tentaram ocultar informações de segurança do usuário final. Como tal, especialistas em segurança ocupam posições de prestígio no mundo da computação atual. Eles são considerados como sacerdotes de conhecimentos que são indispensáveis para pessoas normais.

Houve um momento em que esta abordagem teve mérito. Afinal de contas, os usuários devem ter essas informações apenas com base na necessidade de ter ou saber da informação. No entanto, o usuário final alcançou o status de desejo de conhecimento, ou simplesmente a curiosidade.

Então, eu coloco a questão novamente: Quem precisa ser educado sobre segurança da informação? A resposta é: Todos.

A resposta à pergunta sobre a importância da educação de segurança depende de sua posição na vida atual. Se você é uma pessoa de negócios, a resposta é simples e direta: A fim de conduzir o comércio na internet, você deve ter certeza de alguns níveis razoáveis de segurança de dados. Esta razão é também partilhada pelos consumidores. Se determinados usuários com certos conhecimentos em tecnologia, são capazes de capturar o tráfego de rede contendo dados financeiros confidenciais, por que comprar na Internet?

É claro que entre o consumidor e o comerciante fica outra classe de indivíduo em questão com dados de segurança: o fornecedor de software que fornece as ferramentas para facilitar esse comércio. Estas partes (e suas razões de segurança) são óbvias. No entanto, existem algumas razões não tão óbvias. A privacidade é uma preocupação desse tipo. A Internet representa a primeira evidência real de que uma sociedade pode ser estabelecida. Cada usuário deve estar ciente de que comunicação através da Internet , muitas vezes não criptografadas, são totalmente inseguras.

Da mesma forma, cada usuário deve ser ciente de que órgãos do governo representam a maior ameaça. Embora a Internet seja um recurso maravilhoso para a pesquisa ou lazer, não é seu amigo (pelo menos,se você não tem nada a esconder).

Existem outras razões mais concretas para promover a educação de segurança. Vou me concentrar neste, por um momento. A Internet está se tornando cada vez mais popular. Cada dia mais está em desenvolvimento. Empresas introduzem novas e inovadoras formas de usar a rede. É provável que dentro de cinco anos, a Internet vai se tornar uma parte importante e funcional de nossas vidas.

Setor Corporativo

Por enquanto, deixando de lado cenários dramáticos, como a espionagem corporativa. Estes assuntos são emocionantes para fins de discussão, mas sua real incidência é rara. Em vez disso, eu gostaria, para nos concentrarmos em um problema muito real: o custo da segurança da informação.

Bancos de dados corporativos são projetados utilizando software proprietário. Taxas de licenciamento para estes pacotes de banco de dados podem chegar a dezenas de milhares de Reais. Custos fixos destas bases de dados incluem a programação, manutenção e taxas de atualização. Em suma, o desenvolvimento e uso sustentado de um banco de dados de grandes empresas são caros e de trabalho pesado.

Quando uma empresa mantém um banco de dados como local, sem ligá-lo à Internet, a segurança é uma preocupação limitada. Para ser justo e correto, um administrador de dados deve compreender os conceitos básicos de rede de segurança para impedir que hackers novatos, ou curiosos do departamento tenham acesso não autorizado aos dados.

No entanto, o número de agressores potenciais é limitado e o acesso é normalmente restrito a poucos, bem conhecidos protocolos. Agora, pegue este banco de dados e conecte a rede. De repente, a imagem é drasticamente diferente. Primeiro, o número de potenciais invasores é desconhecido e ilimitado. Um ataque poderia originar a partir de qualquer lugar, aqui ou no exterior. Além disso, o acesso não é mais limitado a um ou dois protocolos.

A operação, que parece ser muito simples, de conectar esse banco de dados para a Internet abre muitos canais de entrada. Por exemplo, a arquitetura de acesso de banco de dados pode exigir o uso de uma ou mais línguas para obter os dados do banco de dados para a página HTML. Eu tenho visto que cenários incrivelmente complexos. Em um cenário, pude observar uma parte de seis processos. A partir do momento que o usuário clicar em um botão Enviar, uma série de operações foi empreendida:

1. Os termos de pesquisa variável enviada pelo usuário foram extraídos e analisados ​​por um script de programação.
2. O script de programação alimentados nessas variáveis ​​para um programa intermediário projetado para fazer interface com um pacote de banco de dados proprietários.
3. O pacote de banco de dados proprietário retornou o resultado, passando-o de volta para um script de programação que formatou os dados em HTML.

Qualquer pessoa legitimamente alocada em segurança da informação, pode ver que este cenário foi um desastre esperando para acontecer. Cada etapa da operação ostentava uma falha de segurança em potencial. Exatamente por esta razão, o desenvolvimento de técnicas de segurança de banco de dados é agora um assunto comum.

Usuários comuns, gerentes não ligados à tecnologia, são em geral,  rápidos em negar (ou restringir) o financiamento para a segurança dentro de sua corporação. Eles vêem esse custo como desnecessário, principalmente porque eles não compreendem a natureza extrema da realidade de fato. Outro ponto que os gestores ignoram, ou mesmo os usuários não entendem é a tentiva de não auditar, catalogar, administrar, e segurar as regras e politicas de segurança da informação.

A realidade é esta: Um ou mais talentosos analistas, poderiam em alguns minutos ou horas, destruir vários anos de dados da empresa. Antes de viabilizar a inserção de qualquer negócio na Internet, e podermos ter confiança, algum nível aceitável de segurança deve ser alcançado.

Para as empresas, a educação é uma maneira econômica de atingir pelo menos o mínimo de segurança. O que gastar agora pode salvar muitas vezes essa quantia mais tarde.