Os princípios básicos da segurança são a confidencialidade, integridade e disponibilidade das informações. Os benefícios evidentes são reduzir os riscos com vazamentos, fraudes, erros, uso indevido, sabotagens, roubo de informações e diversos outros problemas que possam comprometer estes princípios básicos.

A segurança visa também aumentar a produtividade dos usuários através de um ambiente mais organizado, maior controle sobre os recursos de informática e finalmente, viabilizar aplicações críticas das empresas.

Alguns exemplos de aplicações bem sucedidas na Internet são o Internet Banking do Bradesco, as Eleições de 1994 e 1996 e o Projeto Receita Net, que alcançou a expressiva quantidade de quase 500.000 contribuintes que entregaram a declaração de renda via Internet.

Ameaças e Vulnerabilidades

O uso de Internet nas empresas trouxe novas vulnerabilidades na rede interna. Se não bastassem as preocupações existentes com espionagem industrial, fraudes, erros e acidentes, as empresas precisam se preocupar agora com os hackers, invasões, vírus, cavalos de tróia e outras ameaças que penetram através desta nova porta de acesso. Para obter segurança em uma aplicação para Internet ou Intranet, é preciso cuidar de quatro elementos básicos:

1. Segurança na estação (cliente)

2. Segurança no meio de transporte

3. Segurança no servidor

4. Segurança na Rede Interna

Segurança na estação

No uso de Internet e Intranet, um dos elementos mais vulneráveis sem dúvida é a estação, onde normalmente é executado um “browser” ou uma aplicação dedicada por onde o usuário tem acesso aos recursos e serviços da rede.

As estações dos usuários podem armazenar chaves privadas e informações pessoais na maioria das vezes sem proteção ou controle de acesso.

Estações de trabalho estão ainda sujeitas a execução de programas desconhecidos (como Applets Java, ActiveX e Javascripts) sendo expostas a grampos de teclado e outras armadilhas de ganho de acesso.

Existem ainda diversos usuários que fazem uso de modems para conexão com a Internet, muitas vezes contornando os controles e proteções da rede ou de um firewall corporativo.

Segurança no meio de transporte

Para garantir a privacidade e integridade das informações enviadas pela Internet / Intranet, é necessário implementar a segurança no meio de transporte. A criptografia é fundamental para este fim, sendo que os principais produtos que possuem criptografia “embutida” sofrem limitações devido as restrições de exportação dos EUA.

Algumas empresas no Brasil tem optado por soluções proprietárias ou solucoes estrangeiras de outros países como Israel, Suíça e África do Sul. No Brasil, temos ainda empresas nacionais com reconhecidas competências em criptografia como é o caso do CEPESC – Centro de Pesquisa de Segurança nas Comunicações e ACRON, ambas situadas em Brasília e da SCOPUS em São Paulo.

Uma aplicação freqüente do uso da criptografia nas empresas tem sido a segurança para correio eletrônico. Neste caso, a criptografia preserva a privacidade e integridade das informações que transitam via Internet ou Intranet, além de certificar e garantir a validade e autenticidade do conteúdo das mensagens, remetentes e destinatários.

Além de facilitar a comunicação interna e integrar filiais, unidades e escritórios distantes, o correio eletrônico tem sido cada vez mais utilizado como ferramenta para gerenciamento de processos e relacionamento com clientes, parceiros e fornecedores. Diversos sistemas estão sendo construídos de forma integrada com o correio eletrônico e os usuários são avisados sobre eventos ou transações através de mensagens do correio eletrônico. (Na segurança, este recurso é bastante interessante para se implementar auditoria “on-the-fly” que informa sobre um determinado evento no momento que acontece).

Outra aplicação bastante interessante para as empresas é a possibilidade de interligar via Internet as unidades e escritórios distantes. No entanto, se um usuário estiver conectado na mesma infra-estrutura de acesso (seja rede interna ou Internet), pode com um simples programa obtido facilmente na Internet, ter acesso a todos os dados que trafegam no meio.

Uma solução simples e segura para este problema é a VPN – Virtual Private Network, que utiliza encapsulamento e túneis de criptografia para trafegar informações de forma segura através de meio público (Internet).

Com a VPN, os dados são criptografados antes de transitarem por canais inseguros e são apenas decodificados quando chegam a seus destinos. Uma expansão da VPN é o recurso de acesso remoto seguro que permite que um usuário trabalhando em casa, em trânsito ou em viagem, possa acessar a rede interna da empresa de forma segura através da Internet.