segurança da informação -...

Segurança da Informação

Conceito

Está cada vez mais difícil manter em segurança as informações referentes a empresas oupessoas. O descuido nessa área pode causar prejuízos significativos, e muitas vezesirreversíveis. Mas felizmente a maior parte das empresas está consciente do perigo eestamos vivendo um momento em que praticamente todas elas mantêm alguma política desegurança.A Segurança da Informação refere-se à proteção requerida para proteger as informações deempresas ou de pessoas, ou seja, o conceito se aplica tanto as informações corporativasquanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenhavalor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ouexposta ao público para consulta ou aquisição.Podem ser estabelecidas métricas para definição do nível de segurança existente erequerido. Dessa forma, são estabelecidas as bases para análise da melhoria da situação desegurança existente. A segurança de uma determinada informação pode ser afetada porfatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estruturaque a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir oumodificar tal informação.PropriedadesAs principais propriedades que orientam a análise, o planejamento e a implementação deuma política de segurança são confidencialidade, integridade e disponibilidade. Na medidaem que se desenvolve o uso de transações comerciais em todo o mundo, por intermédio deredes eletrônicas públicas ou privadas, outras propriedades são acrescentadas às primeiras,como legitimidade e autenticidade.Confidencialidade - Propriedade que limita o acesso à informação tão somente às entidadeslegítimas, ou seja, àquelas autorizadas pelo proprietário da informação.Integridade - Propriedade que garante que a informação manipulada mantenha todas ascaracterísticas originais estabelecidas pelo proprietário da informação, incluindo controle demudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).Disponibilidade - Propriedade que garante que a informação esteja sempre disponível para ouso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. Emtodas as fases da evolução corporativa, é fato que as transações de toda a cadeia deprodução – passando pelos fornecedores, fabricantes, distribuidores e consumidores –sempre tiveram a informação como uma base fundamental de relacionamento e coexistência.O fato é que hoje, quer seja como princípio para troca de mercadorias, segredosestratégicos, regras de mercado, dados operacionais, quer seja simplesmente resultado depesquisas, a informação, aliada à crescente complexidade do mercado, à forte concorrênciae à velocidade imposta pela modernização das relações corporativas, elevou seu posto napirâmide estratégica, tornando-se fator vital para seu sucesso ou fracasso.Proteção da informação

DiálgoTI / NextGenerationCenter Pagina 1

Entre as inúmeras tendências que explodiram em tecnologia, poucas assumiram o status deimprescindível. Ao fazer uma comparação, ainda que os sistemas de ERP e CRM sejam devital importância para a rotina corporativa, ou que soluções de Business Intelligence eBalanced Scorecard permitam aos negócios atingir patamares invejáveis de lucratividade, aSegurança da Informação é a única que não pode faltar em nenhuma hipótese. É ela queprotege o bem maior das companhias, ou seja, a informação estratégica.Para entender a importância da proteção das informações, basta pensar no prejuízo quecausaria para os negócios a posse desses dados pela concorrência ou por alguém mal-intencionado. Atualmente, o período é de revisão de processos e de avaliação de soluçõesque protejam cada vez mais as informações corporativas, sem impactar fortemente naprodutividade. Fato é que hoje a segurança é considerada estratégica e já encabeça a listade preocupações de grandes empresas.A Segurança deixou de ser submetida aos domínios da TI, para se tornar uma nova área queresponde ao vice-presidente ou ao gestor de operações, ganhando orçamento próprio, salasespecíficas e, claro, prazos e demandas a serem atendidas. Um dos maiores dilemas daSegurança da Informação está relacionado com a proteção dos ativos e a compreensão daamplitude desse conceito dentro da empresa. A idéia de ativo corporativo envolve tambémuma questão de difícil medição: a marca da companhia e a percepção que ela desperta nomercado. Um grande escândalo, uma falha latente ou uma brecha negligenciada podemsepultar uma companhia para sempre, ainda que ela tenha tido muito sucesso até então.Outra questão relacionada com a Segurança da Informação, que também causapreocupação, é que se trata de um investimento sem fim. Pois à medida que ela vai sefortalecendo, os ataques cada vez mais vão se sofisticando também.Um caminho sem voltaNão há como voltar atrás. Qualquer companhia, desde a pequena empresa com dois ou trêsPCs, até uma complexa organização com atuação em diversos países, sabe que em maiorou menor grau a tecnologia é essencial para seu negócio. E é justamente por ser vital, queesse bem não palpável traz consigo uma necessidade básica: segurança.O desafio não é tão simples. Pela própria natureza, embora muitas empresas de TI estejamse esforçando para mudar essa realidade, a segurança da informação é reativa. Isso significaque, tradicionalmente, primeiro verifica-se a existência de um problema, como vírus, fraude,invasão, para depois encontrar sua solução, vacina, investigação, correção devulnerabilidade.Para muitos, esse cenário pode causar pânico. Afinal, primeiro eleva-se a informação aopatamar mais crítico da empresa, tornando-a peça principal do jogo. Em seguida, vê-se queesse dado, pela forma e processo com que é disponibilizado, corre o risco de ser corrompido,alterado ou roubado por um garoto de 16 anos, que resolveu testar programas hackersdisponibilizados na própria Internet ou, em casos piores, usurpado por funcionários epassado para a concorrência ou ainda simplesmente causando danos financeiros à empresa.Mas já existem práticas e soluções tecnológicas suficientemente eficientes para comprovarque a digitalização das transações corporativas não transformou os negócios em uma "terrade ninguém". Embora reconheçam que afirmar ser 100% seguro é algo precipitado earriscado, especialistas de segurança apontam que educação profissional, processos e


tecnologia formam um tripé resistente no combate ao crime eletrônico. Pesquisas mostramque aumentam os investimentos na proteção dos dados. A segurança é o maior desafio dassoluções em TI para o sistema financeiro.Nem só de softwareOutro fenômeno que tem sido observado é a concentração dos serviços de segurança pelogrupo dos dez maiores integradores mundiais. Isso reflete a necessidade prioritária dasgrandes corporações e governos de moverem-se em direção a fornecedores sólidos, quepossam atender as demandas com flexibilidade, inteligência e rapidez, elevando aimportância dos fatores de ética profissional, confiabilidade e independência, posicionando-separa o gestor como o "security advisor corporativo".Mas as experiências corporativas demonstraram que não é só de software que se constróiuma muralha resistente à crescente variedade de ameaças, falhas e riscos. É preciso que asações corporativas sejam direcionadas por um Plano Diretor de Segurança, de forma quepossam estar à frente de determinadas situações de emergência e risco, uma postura maispró-ativa que reativa. Esse plano será responsável por verificar se a corporação estádestinando verba suficiente para manter o nível de segurança alinhado com as expectativasde negócios. Também apontará se as vulnerabilidades são de fato corrigidas ou se há umafalsa sensação de segurança. É muito comum haver grande disparidade entre o cenário quese pensa ter e aquilo que realmente ele é.De forma mais ampla, esse plano deve considerar questões estratégicas, táticas eoperacionais de negócios, atrelando-as a três tipos básicos de risco: humano, tecnológico efísico. Ao longo desse curso será abordada cada uma dessas variáveis, desde os tipos maistradicionais de vírus que se disseminam pela rede, até as portas mais vulneráveis daempresa, passando pelo monitoramento de sua rede, seus profissionais, soluções de TI,gestão e políticas de segurança.

Tecnologias

O maior desafio da indústria mundial de software de segurança é prover soluções no espaçode tempo mais curto possível, a partir da descoberta de determinada ameaça ou problema.Mas foi-se o tempo em que tudo se resumia a encontrar um antivírus eficaz, que fosse capazde deter um determinado vírus. Hoje em dia, os vírus de computador não são mais os únicosvilões do crime digital.Não se trata mais de apenas proteger a estação de trabalho do funcionário. A companhiadeve garantir que o correio eletrônico enviado desse mesmo computador passará peloservidor da empresa, seguirá pela Internet (ou, em certos casos, por uma rede privadavirtual), chegará a um outro servidor, que transmitirá a mensagem ao destinatário com agarantia de que se trata de um conteúdo totalmente protegido, sem carregar qualquer truqueou surpresa inesperada.Mas essa ainda é apenas a ponta do iceberg. A Segurança da Informação deve estaratrelada a um amplo Programa de Segurança da Informação, que se constitui de pelo menos


três fases principais:1) O primeiro passo consiste em realizar o levantamento e a classificação dos ativos daempresa.2) Concluída essa fase, é preciso avaliar o grau de risco e de vulnerabilidade desses ativos,testar suas falhas e definir o que pode ser feito para aperfeiçoar a sua segurança.3) A infraestrutura de tecnologias é a terceira fase desse planejamento, envolvendo desdeaquisição de ferramentas, até configuração e instalação de soluções, criação de projetosespecíficos e recomendações de uso.InfraestruturaApresentar um organograma consolidado das ferramentas e soluções que compreendem asegurança de uma rede corporativa é algo, em certo sentido, até arriscado, considerando avelocidade com que se criam novos produtos e com que se descobrem novos tipos deameaças. No entanto, algumas aplicações já fazem parte da rotina e do amadurecimentotecnológico de muitas organizações que, pela natureza de seus negócios, compreenderamquão críticas são suas operações.Algumas dessas aplicações são:– Antivírus: Faz a varredura de arquivos maliciosos disseminados pela Internet ou correioeletrônico. – Balanceamento de carga: Ferramentas relacionadas à capacidade de operar decada servidor da empresa. Vale lembrar que um dos papéis da segurança corporativa égarantir a disponibilidade da informação, algo que pode ser comprometido se não houveracompanhamento preciso da capacidade de processamento da empresa.– Firewall: Atua como uma barreira e cumpre a função de controlar os acessos. Basicamente,o firewall é um software, mas também pode incorporar um hardware especializado. – SistemaDetector de Intrusão (IDS, da sigla em inglês): Como complemento do firewall, o IDS sebaseia em dados dinâmicos para realizar sua varredura, como por exemplo, pacotes dedados com comportamento suspeito, códigos de ataque etc.– Varredura de vulnerabilidades: Produtos que permitem à corporação realizar verificaçõesregulares em determinados componentes de sua rede como, por exemplo, servidores eroteadores.– Rede Virtual Privada (VPN, da sigla em inglês): Uma das alternativas mais adotadas pelasempresas na atualidade, as VPNs são canais em forma de túnel, fechados, utilizados para otráfego de dados criptografados entre divisões de uma mesma companhia, parceiros denegócios.– Criptografia: Utilizada para garantir a confidencialidade das informações.– Autenticação: Processo de identificação de pessoas, para disponibilizar acesso. Baseia-seem algo que o indivíduo saiba (uma senha, por exemplo), com algo que ele tenha(dispositivos como tokens, cartões inteligentes, certificados digitais); e em algo que ele seja(leitura de íris, linhas das mãos). – Integradores: Permitem centralizar o gerenciamento dediferentes tecnologias que protegem as operações da companhia. Mais que uma solução,trata-se de um conceito.– Sistemas antispam: eliminam a maioria dos e-mails não solicitados. – Software de backup:São programas para realizar cópias dos dados para que, em alguma situação de perda,quebra de equipamentos ou incidentes inusitados, a empresa possa recuperá-los.


Pela complexidade de cada uma das etapas compreendidas em um projeto de segurança,especialistas recomendam que a empresa desenvolva a implementação baseando-se emprojetos independentes.Falsa sensação de segurançaO maior perigo para uma empresa, em relação à proteção de seus dados, é a falsa sensaçãode segurança. Pois, pior do que não ter nenhum controle sobre ameaças, invasões e ataquesé confiar cegamente em uma estrutura que não seja capaz de impedir o surgimento deproblemas.Por isso, os especialistas não confiam apenas em uma solução baseada em software.Quando se fala em tecnologia, é necessário considerar três pilares do mesmo tamanho,apoiados uns nos outros para suportar um peso muito maior. Esses três pilares são astecnologias, os processos e as pessoas. Não adianta fortalecer um deles, sem que todos ostrês não estejam equilibrados.Ao se analisar a questão da Segurança da Informação, no entanto, além da importânciarelativa de cada um desses pilares, é preciso levar em conta um outro patamar de relevância,pois estará sendo envolvida uma gama muito grande de soluções de inúmeros fornecedores.Por isso, a Segurança da Informação precisa envolver Tecnologias, Processos e Pessoas emum trabalho que deve ser cíclico, contínuo e persistente, com a consciência de que osresultados estarão consolidados em médio prazo.Uma metáfora comum entre os especialistas dá a dimensão exata de como esses três pilaressão importantes e complementares para uma atuação segura: uma casa. Sua proteção ébaseada em grades e trancas, para representar as tecnologias, que depende dos seusmoradores para que seja feita a rotina diária de cuidar do fechamento das janelas e doscadeados, ou seja, processos. Simploriamente, a analogia dá conta da interdependênciaentre as bases da atuação da segurança e de como cada parte é fundamental para o bomdesempenho da proteção na corporação.Recursos de proteçãoA primeira parte trata do aspecto mais óbvio: as tecnologias. Não há como criar umaestrutura de Segurança da Informação, com política e normas definidas, sem soluçõesmoderníssimas que cuidem da enormidade de pragas que infestam os computadores e aInternet hoje em dia.Os appliances de rede, com soluções de segurança integradas, também precisam seradotados. Dispositivos para o controle de spam, vetor de muitas pragas da Internet edestacado entrave para a produtividade, também podem ser alocados para dentro do chapéuda Segurança da Informação. Programas para controlar o acesso de funcionários,bloqueando as visitas a páginas suspeitas e que evitem sites com conteúdo malicioso,também são destaques. Mas antes da implementação da tecnologia, é necessária arealização de uma consultoria que diagnostique as soluções importantes.Essas inúmeras ferramentas, no entanto, geram outro problema: como gerenciar toda essaestrutura dentro de uma rotina corporativa que demanda urgência e dificilmente estácompletamente dedicada à segurança? A melhor resposta está no gerenciamento unificado.A adoção de novas ferramentas, como sistema operacional, ERP ou CRM, precisa de análisedos pré-requisitos em segurança.


Outro ponto do tripé são os processos, que exigem revisão constante. O grande combaterealizado no dia-a-dia do gestor de segurança, em parceria com o CIO, é equilibrar aflexibilidade dos processos de forma que eles não tornem a companhia frágil, mas que, poroutro lado, não endureça demais a produtividade, em busca do maior nível possível desegurança.A visão da companhia como um emaranhado de processos causou grande revolução ao ir deencontro com os conceitos de gestão clássicos, focados na estrutura. Nesse novo enfoque, aadição de segurança segue a mesma linha turbulenta. Como no novo modelo, todos osprocessos estão integrados, um impacto causado pela segurança pode não apenas causarprejuízos para a rotina da empresa, mas também criar certo mal-estar entre as áreas. Tomaratitudes cautelosas e estudadas, mas sem receio de atritos, precisa ser a prática do gestor.Pessoas: desafio constanteA última parte da trinca é a mais fácil de explicar. Não é preciso raciocinar muito para chegarà conclusão de que as pessoas são pedras fundamentais dentro do ambiente corporativo,sobretudo em Segurança da Informação.Cerca de 70% dos incidentes de segurança contam com o apoio, intencional ou não, doinimigo interno. As pessoas estão em toda a parte da empresa e enxergam como pontofundamental apenas a proteção da máquina. Os cuidados básicos com as atitudes daspessoas, muitas vezes são esquecidos ou ignorados. Encontrar senhas escritas e coladas nomonitor, bem como a troca de informações sigilosas em ambientes sem confidencialidade,como táxi e reuniões informais são situações muito comuns. Assim, contar com acolaboração das pessoas é simplesmente fundamental numa atividade crítica para aempresa e que não tem final em vista. Mas o ponto principal da preocupação com aspessoas é que os fraudadores irão à busca delas para perpetrar seus crimes.Uma exigência cada vez mais importante para o CSO é ser também um gestor de pessoas,uma vez que elas podem causar muitos estragos e provocar sérios prejuízos. Mas ao seanalisar o contexto de formação dos gerentes de segurança, talvez seja esse o ponto maisfraco. Investimento em formação profissional nesse sentido é uma iniciativa muito válida,assim como intercâmbio de informações entre áreas como Recursos Humanos e Marketingpara aumentar o alcance e a eficácia das recomendações. O fato de envolver um dilemacultural também é outro complicador. Segurança da Informação representa um desafio deinédita magnitude para os profissionais do setor e, também, para a companhia como umtodo.

Gestor da Segurança da Informação

Estabelecer procedimentos em transações corporativas, operar por meio de regras de acessoe restrições, criar hierarquias de responsabilidades, métodos de reação a eventuais falhas ouvulnerabilidades e, acima de tudo, manter um padrão no que se refere à segurança dacompanhia. Entre outras, são essas as atribuições que culminaram na criação da função deCSO – Chief Security Officer, ou Gestor da Segurança da Informação.


Todas as mudanças importantes ocorridas em Segurança da Informação demandavam umnovo profissional. O gestor de tecnologia não tinha condições, e muito menos tempo, paraassumir toda essa área que se constituía com velocidade estonteante. A resposta foi acriação de uma nova função dentro da companhia que organizasse e coordenasse asiniciativas em Segurança da Informação em busca da eficiência e eficácia no tema.Apenas alguém com grande conhecimento tanto em negócios quanto em segurança podedesenhar a estratégia de Segurança da Informação de maneira competente, implementandopolíticas e escolhendo as medidas apropriadas para as necessidades de negócios, semimpactar na produtividade. Ainda que a contratação de gestores de segurança esteja sendouma constante no mercado de grandes companhias, não se chegou a um consenso sobre anatureza do seu cargo.Um dos pontos que permanecem sem uma definição precisa é a viabilidade de combinar sobo mesmo chapéu a Segurança lógica e a física. O isolamento entre essas áreas pode serfatal para uma companhia no caso de um desastre natural, como o furacão Katrina em 2005,que atingiu a cidade norte-americana de Nova Orleans, ou o tsunami que afetou a Indonésiaem 2004, ou até mesmo uma pane elétrica ou incêndio.ResponsabilidadesAlgumas metas gerais para os gestores de segurança são:– Desenvolver e implementar políticas, padrões e guias gerais para o pessoal, para asegurança de dados, recuperação de desastre e continuidade de negócios.– Supervisionar o contínuo monitoramento e proteção da infra-estrutura, os recursosnecessários de processos que envolvam pessoas ou dados.– Avaliar possíveis brechas de segurança e recomendar as correções necessárias.– Negociar e gerenciar service-level agreements (SLAs) com fornecedores externos deserviços de proteção ou hospedagem de dados.QualificaçõesPara atender aos requisitos de segurança lógica e física de redes globais cada vez maiscomplexas e vulneráveis, o perfil do CSO evoluiu muito. Por um lado, o cenário apresentaameaças crescentes e cada vez mais fatais, hackers, vírus, ataques terroristas, enchentes,terremotos. Por outro, a vulnerabilidade e a complexidade tecnológica crescem também eaumentam as atribuições e as habilidades necessárias para exercer a função de CSO. Hoje,um CSO tem de entender de segurança, conhecer bem os negócios e participar de todas asações estratégicas da empresa. Mais do que um técnico, ele deve ser definitivamente umgestor de negócios. As qualificações que costumam ser exigidas para o cargo de CSOs são:– Habilidades em questões de segurança física – Familiaridade com a linguagem e osdilemas próprios da TI – Experiência prévia em segurança é um destaque, se acompanhadatambém por conhecimento de negócios– Exigência de lidar com pessoas – Facilidade de comunicação, para ter a desenvolturanecessária para fazer a interface tanto na esfera de decisão quanto nos diversos setores eníveis culturais dentro da companhia– Capacidade de liderança e de gerenciamento de equipes para atingir uma atuação bem-sucedida em qualquer corporação– Ter conhecimentos maduros sobre questões como autenticação, auditoria, preservação da


cena do crime real ou virtual, e gerenciamento de risco – Ter visão estratégica e experiênciano gerenciamento das operaçõesFormaçãoGeralmente, o CSO possui formação em Ciências da Computação, Engenharia ou Auditoriade Sistemas. O grande retorno que o CSO traz para as empresas é diminuir os riscos nasoperações, com todas as conseqüências positivas. Mas a verdade é que um profissionalassim tão completo não é encontrado facilmente no mercado. Por isso, calcula-se que hámais de 20 mil vagas abertas para CSOs naquele país. No Brasil, a demanda não chega aser tão grande, mas esses profissionais já são comuns em instituições financeiras,seguradoras, operadoras de telecomunicação e empresas com operações na Internet.Especialistas em carreira recomendam que o CSO tenha atuação independente e não sereporte ao CIO, mas diretamente à diretoria ou à presidência.Estatísticas recentes apontam para o crescimento dos empregos na área de segurança. Deacordo com estudo anual feito pela IDC e patrocinado pelo International Information SystemsSecurity Certification Consortium, a projeção de profissionais para a região das Américaspassará de 647 mil em 2006 para 787 mil em 2009.O estudo Global Information Security Workforce Study (GISWS) destaca que aresponsabilidade pela segurança da informação cresceu na hierarquia da gestão e acabouchegando ao conselho diretor e ao CEO, CISO ou CSO. Quase 21% dos entrevistados napesquisa disseram que seu CEO agora é o responsável final pela segurança da informação e73% afirmaram que esta tendência se manterá.Cada vez mais é essencial que as organizações sejam pró-ativas na defesa de seus ativosdigitais. E para isso, é preciso contar com profissionais competentes para lidar com soluçõesde segurança complexas, requisitos regulatórios e avanços tecnológicos das ameaças, bemcomo vulnerabilidades onerosas. Dessa forma, o CSO deve proceder a gestão de riscos eestá mais integrado às funções de negócio. Profissionais de segurança precisam aprimorarsuas habilidades técnicas e de negócio para que possam exercer a função.Uma boa dica para quem pretende se profissionalizar na área de Segurança da Informação éprocurar obter certificações de uma associação de segurança profissional, para ajudar aimpulsionar a carreira. Para 90% dos participantes da pesquisa envolvidos com contratação,as certificações são um pouco ou muito importantes na decisão de contratar alguém. Mais de60% pretendem adquirir pelo menos uma certificação de segurança da informação nospróximos 12 meses.A certificação de Segurança da Informação pode ser dependente e/ou independente defabricantes e ambas são úteis para o desenvolvimento da carreira. As “credenciais” atreladasa fabricantes (como as da Cisco e da Microsoft, por exemplo) são meios importantes paraconseguir as habilidades necessárias ao cargo. No entanto, elas precisam vir acompanhadasde certificações que demonstrem uma ampla base de conhecimento e experiência. Ascertificações Certified Information Systems Security Professional (CISSP) e CertifiedInformation Systems Auditor (CISA) são ótimas opções.Ao elaborar o plano de carreira, as associações que oferecem serviços de construção decarreira e educação continuada podem ajudar. No contato com essas associações, ocandidato a CSO pode explorar oportunidades para demonstrar sua experiência na área,


fazer parte de redes de comunicação com colegas, e ter acesso à pesquisa da indústria eoportunidades de trabalho voluntário.Entretanto, certificações e experiência na área são pouco proveitosas isoladamente. Paraevoluir no quadro técnico da empresa e se tornar um CSO, é necessário saber se comunicarem termos de negócios. Para isso, a proficiência técnica deve ser aliada à habilidade detransmitir o valor do negócio. O CSO deve ser capaz de explicar os benefícios da segurançaem termos de retorno do investimento (ROI), seu valor para melhorar a capacidade daempresa em fechar negócios, além de deixar claro quais são as soluções práticas que elapode trazer para a resolução dos problemas.Dicas para se tornar um CSO1) Aprender a colaborar com outros departamentos, para integrar e avaliar outras funções.Pesquisa da IDC indica os entrevistados afirmam que 62% de suas tarefas cotidianasdependem da troca de informação ou da cooperação com outras pessoas.2) Adotar a abordagem do valor agregado, ou seja, alinhar suas atribuições eresponsabilidades com as metas de negócio de cada departamento.3) Desenvolver seu próprio círculo de confiança dentro da organização, com representantesde cada departamento para ajudar a promover a compreensão mútua, a valorização e otrabalho em equipe.4) Manter conversas com executivos para que eles possam conhecê-lo e aprender a confiarem você. Essas conversas devem ser sucintas, porém expressivas, contendo termos denegócio e não vocabulário “geek” ou acrônimos. Determine como você pode agregar valor àssuas metas e demonstre por que você deve ser consultado ou incluído em uma reunião.5) Oferecer treinamento para conscientizar os executivos e usuários sobre ameaças àsegurança que afetam os home offices e apresentar técnicas de prevenção. O objetivo éconquistar confiança dos executivos na sua capacidade de fazer recomendações para asredes da empresa.6) Aprender a equilibrar riscos e oportunidade. Muitos executivos consideram o staff desegurança inflexível e evitam convidá-lo para reuniões de estratégia. Seja flexível aoequilibrar os riscos à segurança com os processos de negócio que ajudam a organização acumprir as metas.

Vulnerabilidades

Em pouco tempo, os computadores se tornaram uma parte intrínseca e essencial da vidacotidiana. O resultado é um enorme potencial de lucros financeiros para os criadores deprogramas mal-intencionados. Com a ascensão de técnicas sofisticadas, está ficando cadavez mais difícil para a base de usuários em geral identificar ou evitar as infecções porprogramas mal-intencionados.A principal ameaça à segurança das transações corporativas são as pessoas. Esta é aprimeira resposta que muitos institutos de pesquisas e especialistas de segurança têmutilizado quando questionados sobre a principal ameaça às transações corporativas.


Soluções tecnológicas sofisticadas, integradas a parceiros, clientes e fornecedores, a últimapalavra em ferramentas de gestão empresarial, relatórios detalhados etc. Nada disso temvalor se não há restrições, políticas e processos que estabeleçam e organizem a conduta doprofissional dentro da corporação.Na maior parte das vezes, já se verifica que os problemas relacionados à interferênciahumana não estão diretamente ligados a ações fraudulentas ou às demais situações em queo funcionário tem o objetivo de prejudicar sua empresa. Pelo contrário. A grande maioria dosincidentes de segurança ocorre por falta de informação, falta de processos e orientação aorecurso humano.Outro fator determinante nessa equação está vinculado à evolução rápida e contínua dastecnologias. Em pouco tempo, até mesmo os computadores domésticos ganham recursos empotência e em capacidade de armazenamento. Ao mesmo tempo em que essa evoluçãoproporciona inúmeros benefícios, também se encarrega de gerar novos riscos e ameaçasvirtuais. Esse cenário, que estará presente em breve em muitas residências, sinaliza o quevirá no ambiente corporativo.Mas as questões de segurança atreladas à gestão de pessoal são apenas parte dos desafiosque as empresas precisam enfrentar na atualidade. Antes desses, e não menos críticas,estão as vulnerabilidades tecnológicas, renovadas a cada instante.Especialistas em identificar e estudar essas brechas vêm se esforçando para alertar sobreaquelas que hoje são consideradas as principais ameaças às transações eletrônicas. OSystem Administration, Networking and Security (SANS) e o National Infrastructure ProtectionCenter (NIPC/FBI) são bons exemplos dessa realidade.A seguir estão mencionadas algumas das falhas mais comumente identificadas,independentemente do porte ou da área de atuação da companhia, bem como dacomplexidade de sua infra-estrutura tecnológica e dos sistemas que utiliza.Senhas fracasMuitas vezes, as senhas de um funcionário podem ser facilmente descobertas, mesclandoitens comuns como nome e sobrenome, data de aniversário, nome de esposa, filho etc. Aadministração desses acessos também se dá de forma desordenada, o usuário geralmentenão tem educação para lidar com seu código de acesso. Atualmente, as empresas contamcom o benefício de estabelecer uma autenticação forte, isto é, mesclar algo que o usuáriosabe (memória), com algo que ele tem (token) e algo que ele é (biometria).Algumas ferramentas possibilitam à corporação verificar o grau de segurança das senhas deseus funcionários. Utilizar um desses recursos para quebra de senhas pode ser um bomcaminho para identificar contas com senhas fracas ou sem senha.Sistemas de backups falhosMuitas empresas afirmam realizar backups diários de suas transações, mas sequer fazemmanutenção para verificar se o trabalho realmente está sendo feito. É preciso manterbackups atualizados e métodos de recuperação dos dados previamente testados. Muitasvezes, uma atualização diária é pouco diante das necessidades da empresa, caso venha asofrer algum dano. Também é recomendável tratar da proteção física desses sistemas, quepor vezes ficam relegados à manutenção precária. Já é comum, depois dos tristes fatosocorridos em 11 de setembro de 2001, sites de backup onde os dados são replicados e, em


caso de uma catástrofe, os sistemas são utilizados para a continuidade dos negócios.Portas abertasPortas abertas são convites para invasões. Boas ferramentas de auditoria de servidores oude scan podem auxiliar a empresa a identificar quais são suas brechas nos sistemas. Paranão ser surpreendido, é recomendado fazer uma auditoria regular dessas portas.Independentemente da ferramenta utilizada para realizar essa operação, é preciso que elavarra todas as portas UDP e TCP do sistema, nas quais se encontram os alvos atacados porinvasores. Além disso, essas ferramentas verificam outras falhas nos sistemas operacionaistais como serviços desnecessários e aplicações de patches de segurança requeridos.Brechas de instalaçõesMuitos fornecedores de sistemas operacionais padrão (default) e aplicativos oferecem umaversão padrão e de fácil instalação para seus clientes. Eles acreditam que é melhor habilitarfunções que não são necessárias, do que fazer com que o usuário tenha de instalar funçõesadicionais quando necessitar. Embora esse posicionamento seja conveniente para o usuário,ele acaba abrindo espaço para vulnerabilidades, já que não mantém, nem corrigecomponentes de software não usados.Sobre os aplicativos, é comum que instalações default incluam scripts ou programas deexemplos, que muitas vezes são dispensáveis. Sabe-se que uma das vulnerabilidades maissérias relacionadas a servidores web diz respeito aos scripts de exemplo, os quais sãoutilizados por invasores para invadir o sistema. As recomendações básicas são removersoftwares desnecessários, desabilitar serviços fora de uso e bloqueio de portas não usadas.Falhas em sistemas de logsLogs são responsáveis por prover detalhes sobre o que está acontecendo na rede, quaissistemas estão sendo atacados e os que foram de fato invadidos. Caso a empresa venha asofrer um ataque, será o sistema de registro de logs o responsável por dar as pistas básicaspara identificar a ocorrência, saber como ocorreu e o que é preciso para resolvê-la. Érecomendável realizar backup de logs periodicamente.Transações sem fio desprotegidasOs equipamentos móveis são tecnologias emergentes. No entanto, os padrões decomunicação utilizados atualmente requerem configuração minuciosa para apresentar ummínimo de segurança (encontre mais detalhes no próximo módulo deste curso).Novos padrões prometem mais tranqüilidade à comunicação wireless. No entanto, érecomendável ter cautela na adoção desses recursos, conforme o grau de confidencialidadedo que está sendo transmitido pelo canal sem fio.Falha na atualização de camadas de segurança e sistemas operacionaisA falta de gerenciamento de cada ferramenta de segurança e a correção de softwaredisponibilizado pelos fornecedores estão entre os fatores mais críticos na gestão corporativa.Para muitos, esse é um desafio constante, visto o volume de “patches” anunciado pordiversos fornecedores, bem como a velocidade com que se atualizam os softwares desegurança. Já existem, inclusive, empresas especializadas em fornecer ferramentas quecumprem a função específica de automatizar a atualização de patches de segurança. UmPlano Diretor de Segurança deve contemplar e explicar, em detalhes, como esses processosdevem ser realizados.


Dez ameaças de 2008Enquanto o volume de fraudes via internet banking caiu de 300 milhões de reais em 2007para 130 milhões de reais este ano, o mercado negro de comercialização de informaçõesconfidenciais faturou mais de 276 milhões de dólares, o número de malwares triplicou, asredes sociais como Orkut, Facebook e Myspace foram vítimas de ataques de engenhariasocial.Em 2008, os crackers provaram que os sistemas de segurança (firewall, antivírus, anti-spam,IDS) utilizados atualmente passam uma falsa sensação de segurança. Quanto maissegurança implementamos, novas técnicas de ataques e fraudes surgem.Conheça agora as quatro principais ameaças à segurança de dados em 2009 e saiba comose proteger.1) Falsificação de LinksEm 2008, as empresas investiram na conscientização de seus funcionários e clientes. Oobjetivo das campanhas de conscientização foi minimizar o número de incidentesrelacionados à engenharia social (arte de enganar as pessoas).Os crackers estão aprimorando suas técnicas para dificultar a identificação (tecnicamentefalando) de uma armadilha online. Ataques conhecidos como link spoofing (falsificação delinks) devem aumentar em 2009.Isso ocorre porque quando você recebe um e-mail, por exemplo, uma das principais dicaspara saber que não se trata de um golpe online é passar o mouse sobre o link para conferirse o endereço do website está correto. No caso do "link spoofing", ao passar o mouse sobreo link da mensagem, o internauta verá o endereço correto do website. Porém, ao clicar nolink, ele será direcionado para uma página falsa e pode ter um cavalo-de-tróia instalado emsua máquina.2) Mobilidade ameaçadaAs pessoas estão investindo cada vez mais dinheiro na compra de celulares mais avançados.Os celulares estão sendo utilizados como ferramenta de trabalho para troca de e-mails,programas de mensagem instantânea, SMS, agenda corporativa e armazenamento deinformações confidenciais (projetos, fotos etc.).A migração do computador para o celular já é uma realidade no internet banking também. Anova mobilidade já está na mira do crackers. Em 2009, ocorrerá um aumento de programasespiões para a tecnologia móvel. O objetivo do cracker será conseguir copiar as informaçõesarmazenadas no aparelho e roubar a senha do internet banking.É importante observarmos que os bancos estão migrando toda a tecnologia para acesso aosdados financeiros via celular. O cracker sempre irá explorar o elo mais fraco da corrente eatacar os dispositivos que possuem acesso a conta corrente.3) Clonagem de cartões de crédito com chip e senha.Para diminuir os casos de clonagem envolvendo cartões de crédito, os bancos estãodisponibilizando para seus clientes o cartão de crédito com chip e senha (PIN). Este novorecurso de segurança criptografa as informações do cliente do banco no chip, aumentando ograu de dificuldade de acesso indevido as informações necessárias para a conclusão dafraude.Em 2007 surgiram as primeiras provas de conceito demonstrando como clonar um cartão de


crédito com chip. A técnica consiste em capturar as informações do cartão de crédito nomomento em que ele é introduzido na leitora do chip, extrair todas as informações para umnotebook e realizar uma engenharia reversa para reconstruir os dados.Já existem registros de clonagem de cartão de crédito com chip no Brasil. Alguns clientescorporativos que atendo foram vítimas desta nova técnica. O número de casos deveaumentar com a evolução do dispositivo capaz de realizar a clonagem do chip e também coma redução do custo de “construção” deste equipamento. A evolução do equipamento queclona o chip permitirá que pessoas não especializadas comecem a aplicar o golpe também.Ataques em banco de dados e sistemas de gestãoO número de ataques nas aplicações tem aumentando constantemente. Em 2009, asempresas irão sofrer um aumento de ataques bem-sucedidos em seus sistemas porqueestão surgindo softwares que automatizam os ataques na camada de aplicação. e já nãoserá preciso ser um expert para promovê-las.Bancos de dados protegidos serão copiados e/ou alterados através da internet, áreasrestritas por usuário e senha serão exploradas e invadidas sem que ninguém perceba oataque, páginas web serão alteradas de forma indevida etc.É importante lembrar que firewalls, antivírus, sistemas de detecção de intrusos e anti-spamnão conseguem detectar ou até mesmo bloquear ataques na camada de aplicação. Não há100% de segurança neste nível.Dicas de proteçãoAlgumas dicas de segurança podem ajudar a minimizar os riscos relacionados às novasameaças em 2009:- Tudo que não é monitorado na sua empresa deve ser bloqueado. A falta de rastreabilidadeé uma das principais vulnerabilidades exploradas pelos craquers;- Compre e mantenha instalado um antivírus para o aparelho celular;- Use tecnologias conhecidas como Web Application Firewall em sua empresa;- Utilize seu cartão de crédito em estabelecimentos comerciais confiáveis;- Desconfie sempre de links que você recebe via e-mail e programas de mensagensinstantâneas. Um profissional da área de desenvolvimento de software pode ajudar aidentificar uma armadilha on-line no link suspeito;- Assine boletins de segurança e acompanhe as notícias relacionadas a segurança dainformação. Conhecer as ameaças e vulnerabilidades pode ser a principal arma contra asameaças de 2009.

Mobilidade

Cada vez mais, equipamentos móveis, como notebooks e smartphones, estão presentes navida das pessoas, especialmente de executivos que se deslocam em viagens de negócios.Porém, esses dispositivos móveis possuem fragilidades diferentes das encontradas emcomputadores fixos. Isso exige uma política segurança diferenciada para controlar possíveisameaças.


Não é novidade para ninguém. A adoção em larga escala de equipamentos móveis,especialmente notebooks e smartphones, traz vantagens inquestionáveis para o ambientecorporativo, como o aumento da produtividade, disponibilidade e flexibilidade. Uma questão,no entanto, permanece sem resposta: até que ponto o produto em suas mãos é seguro?O contexto precisa ser explicado. Em meados dos anos 80, os computadores pessoaissubstituíram o mainframe e revolucionaram a forma pela qual as pessoas se relacionavamcom a tecnologia. Eles dominaram completamente o cenário mundial. O reinado, contudo,está terminando. A coroa está com os terminais móveis, com predomínio dos notebooks, mastambém com a presença crescente de handhelds, smartphones, PDAs e telefones celulares.A mudança está tão consolidada que, hoje, é inimaginável um executivo de sucesso, emqualquer vertical de atuação, que não carregue seu dispositivo móvel, seja este qual for. Umadas exigências para o sucesso no atual mercado globalizado é a capacidade de estarconectado a qualquer momento, pronto para fazer algum negócio assim que ele apareça.Essa reestruturação está revolucionando o mercado corporativo. Se, por um lado, é possívelatingir níveis de produtividade impensáveis no formato antigo, quando o executivopermanecia preso no ambiente tradicional de escritório, por outro, a Segurança daInformação surge como o seu calcanhar-de-aquiles. Os argumentos a favor são atraentes:garantias de grande disponibilidade e flexibilidade, já que o executivo pode acessarinformações da rede da companhia em qualquer horário e de qualquer lugar do mundo. Masos contrários, no entanto, assustam.Nova realidadeOs dispositivos móveis possuem fragilidades que não encontram paralelo nas estações fixas,fato que exige do gestor de segurança da informação uma política estruturada para cuidar detodos esses limites. As tecnologias de acesso sem fio, outra base da mobilidade, tambémrepresentam um grande problema. Independente do padrão escolhido, elas significam, nolimite, uma falta de controle da organização sobre a rede em que se acessa.Especificamente, as funcionalidades integradas de wireless LAN permitem o acesso arecursos corporativos por meio de redes terceiras, que estão longe da visão da corporação edas suas políticas de segurança.O desenvolvimento da tecnologia também aumenta o escopo do problema. Com discos demaior capacidade de armazenamento, o usuário acaba sendo encorajado a salvar seusdados localmente, o que representa problemas de segurança. A disseminação de USBDrives, bem como gravadores de CDs e DVDs, abrem espaço para a utilização pessoal dodispositivo, retendo informações que não deveriam estar ali. Outro ponto preocupante dizrespeito à transferência de informações do notebook para esses aparelhos, já que, caso nãoexista uma política clara e estruturada, é difícil controlar quais arquivos foram copiados emoutras mídias.Além disso, o aspecto físico da solução também precisa ser levado em conta. Pelo seu valor,os aparelhos portáteis atraem enorme atenção e são roubados constantemente. Em SãoPaulo, por exemplo, existem quadrilhas especializadas em roubos de laptops, procurandosuas vítimas em locais estratégicos como aeroportos ou de concentração de grandesempresas.Outro fator que causa bastante preocupação está, graças à miniaturização dos aparelhos, na


possibilidade de perda desses dispositivos. Mais do que o preço do aparelho, o dadoarmazenado também tem valor. Muitas vezes, incalculável. Como lidar com todas essasquestões?Oportunidade de negóciosNa outra ponta, a grande preocupação para os CSOs representa uma grande oportunidadede negócios para as empresas de segurança. Assim, inúmeros players olham com atençãopara essas questões, oferecendo soluções que prometem diminuir os riscos do uso desoluções móveis no ambiente corporativo. A primeira resposta está nos softwares deconformidade de terminal.Aproveitando a estrutura consolidada dentro da empresa, o gestor replica as soluções desegurança instaladas e confere se o aparelho está dentro das políticas especificadasinternamente. Com isso, o usuário de um aparelho móvel permanece numa VPN, quefunciona como quarentena, tendo seu acesso à rede corporativa liberado apenas quandoatender todos os pré-requisitos, como instalação das atualizações de antivírus e patches desegurança.Com isso, é possível garantir que todos os níveis de proteção estabelecidos pela companhiasejam passados para as plataformas móveis. Assim, é eliminado o problema de um worm ouvírus no notebook, por exemplo, infectar toda a rede corporativa sem que o usuário tenhaconhecimento. Isso, no entanto, é apenas o primeiro nível de proteção no contexto dasplataformas móveis.Um CSO preocupado e atento às novas tendências precisa entender que, na verdade, aconformidade entra mais como um fator de controle dentro da companhia. Isso porque aabordagem de maior proteção precisa estender a preocupação para os próprios dispositivosmóveis em uso, com cada um tendo uma solução de segurança conforme suas necessidadese analisando com qual tipo de dado costuma trabalhar.Acima de tudo, a mobilidade significa que as empresas usuárias precisarão fazer novosinvestimentos para se adequar à nova realidade que a mobilidade impôs. Esta nova realidadeexige novas políticas e soluções contra o inimigo interno, a preocupação com esse temaganha um novo patamar.De qualquer forma, toda a implementação de segurança, seja na corporação ou nosdispositivos móveis, deve ser precedida por uma fase de rigorosa análise. O contexto damobilidade é multifacetado, com variações marcantes conforme o terminal, ou seja, umnotebook precisa de uma abordagem determinada, enquanto um smartphone precisa deoutras soluções. É preciso levar em conta quais são os riscos e qual é a importância dosdados armazenados para, a partir daí, tomar a decisão mais adequada, seja investir numasolução que combine antivírus, firewall e IPS ou apostar em outra alternativa.De olho no notebookAtualmente, o dispositivo mais visado é o notebook. As ferramentas de criptografia sãoobrigatórias, nesse cenário. É preciso proteger os dados armazenados, especialmente osestratégicos, os quais, se roubados, podem causar grandes estragos para a companhia. Acriptografia diminui esse perigo.Dados do Gartner, no estudo chamado “Update Your Security Practices to Protect NotebookPCs”, dão conta de que grande parte das organizações tem dificuldade em reconhecer a


necessidade de levar a Segurança da Informação aos dispositivos móveis. Avaliando osmotivos desse comportamento, o instituto enumerou o nível de amadurecimento do mercadode segurança, já que os fornecedores do setor, tanto em software quanto em serviços, aindanão abrangem toda a gama de vulnerabilidades dos notebooks.Também foram destacadas as abordagens em soluções únicas. Segundo o levantamento,apostar em apenas um único produto ou procedimento para atingir um nível de segurançasatisfatório em notebooks é muito perigoso.A estratégia de proteção adotada para notebooks, no entanto, deve ser seguida fielmentepelos outros dispositivos. Conforme as aplicações dentro de cada aparelho forem sendoampliadas e a importância dos dados crescendo na mesma razão, será necessário cuidar desoluções próprias para os outros dispositivos, sejam eles PDAs, smartphones ou ospopulares telefones celulares.Ainda que alguns especialistas afirmem que a consolidação já é uma realidade paraaparelhos de menor porte, o mercado ainda se mostra incipiente. Mas um dado precisa serlevado em consideração: enquanto o primeiro worm de rede levou cerca de 20 anos para serdesenvolvido, a praga eletrônica que infestou os celulares não demorou mais do que oitomeses.Antes do surgimento da mobilidade, todos os investimentos estavam focados no perímetro derede das empresas. Hoje, a situação se modificou sensivelmente. A estrutura de combateconstruída para proteger a companhia do ambiente externo, empilhando soluções deantivírus, firewall, IDS e IPS, além dos appliances de rede que trazem funcionalidades desegurança não é suficiente. Friamente, a mobilidade trouxe um novo conceito de perímetrode rede e, com ele, gerou paralelamente inúmeras brechas de segurança.Não é ilusório imaginar que, como toda grande revolução com ganhos fantásticos, amobilidade está também pagando um alto preço. Reestruturar todo o ambiente corporativo,ganhar muito em produtividade e disponibilidade, fechando negócios em tempo real dequalquer lugar do mundo, gerou conseqüências. E elas serão bem mais sérias do que vírusque invadem a rede ou worms que se reproduzem para toda a lista de contatos.Envolvem inúmeras possibilidades muito mais complicadas, como o roubo de informaçõesconfidenciais de importância ímpar para a corporação, podendo prejudicar seriamente aempresa ou até comprometer sua marca, exigindo sua saída do mundo de negócios. ASegurança da Informação em mobilidade é algo que vai preocupar bastante os gestores desegurança nos próximos anos.Redes sem fioA comunicação de dados por redes sem fio ainda é objeto de estudo de organizaçõesespecializadas em soluções de segurança da informação. A facilidade de se trafegar bits porondas de rádio, sem necessidade de conexão a qualquer tipo de rede de cabos, tem atraídocada vez mais usuários em todas as partes do mundo. Mas o fato é que, em termos práticos,esse meio de comunicação ainda não está totalmente protegido de invasões e fraudes,realidade que está diretamente relacionada ao desenvolvimento dos padrões decomunicação das redes sem fio. Grandes são as expectativas junto de um mercado queainda se encontra em seu estado inicial. No Brasil, as pesquisas apontam que a adoção deredes sem fio está em processo acelerado.


Entre outros fatores, especialistas afirmam que uma rede WLAN pode ser até mais barata doque uma estrutura com cabeamento, uma vez que dispensa a aquisição de diversosequipamentos e serviços. Mas, existe também a mobilidade que oferece uma conectividadepraticamente ininterrupta para o usuário. Várias empresas instalaram hot spots (conexõessem fio em lugares públicos) nos principais pontos de acesso no Brasil, tais como aeroportos,bares e livrarias, o que abre muitas possibilidades de comunicação de funcionários com suasempresas e acesso à Internet.Tecnologias com o WiMax aumentam a área de cobertura das redes sem fio e prometem sero próximo grande boom nas corporações e na vida das pessoas.

Terceirização

A terceirização é uma forte tendência em todos os setores de TI, e não poderia ser diferente,quando falamos em Segurança da Informação. Trata-se de um assunto recorrente, issoporque a Segurança da Informação não é especialidade da indústria de manufatura, comotambém não faz parte dos negócios do setor automobilístico, de empresas alimentícias ou dovarejo. No entanto, para que possam manter o core business de suas operações, essascorporações devem garantir a manutenção das condições ideais de segurança, que cada vezmais se torna fator crítico em todas as suas transações.Por isso, podemos nos preparar para ver as ações de proteção sendo executadas fora dacorporação. No caso da segurança, a diferença é que a viabilidade do processo depende dotamanho das organizações. Grandes empresas têm pouca probabilidade em passar asegurança para o esquema outsourcing. Já as pequenas e médias empresas mostram-semais abertas a essa opção, como podemos observar nas estruturas de ‘software as aservice’, que vêm crescendo no mercado, tornando-se mais maduras.Muitos profissionais da área acreditam que a terceirização da Segurança da Informação é ocaminho natural tanto para o mercado corporativo quanto para usuários domésticos. Aintegridade dos dados é um aspecto importante para usuários em todos os níveis.Entre outros benefícios, a terceirização dos processos de proteção à rede proporciona aredução no custo de manutenção dos dispositivos. Não é por acaso que os institutos depesquisa têm indicado crescimento nos orçamentos de tecnologia da informação (TI) no quese refere à segurança. Em alguns casos, a verba dessa área é totalmente independente doque é gasto com TI.Porém, o outsourcing de segurança ainda está engatinhando no Brasil. Apesar disso,números da consultoria IDC indicam que a terceirização tende a ganhar espaço. O segmentode MSS – Managed Security Services é o que mais cresce no mundo na área de segurança.PrevisãoA previsão da consultoria é que o setor cresça em média 16% até 2010, sendo que a fatia deserviços tende a aumentar o seu percentual no bolo. Segundo dados da Frost & Sullivan, omercado latino-americano de serviços gerenciados de segurança deve superar o total deUS$ 272 milhões em 2011. De acordo com a consultoria, o Brasil continuará a concentrar


40% desse mercado. Em seguida vem o México, com 23%.Especialistas apontam que todos os negócios, grandes ou pequenos, possuem gaps em suaestrutura interna quando se trata de segurança. Ao tentar garantir que todas as áreasestejam seguras, algum segmento acaba sempre ficando descoberto, mais vulnerável aameaças e intrusos. A solução para preencher esse gap seria enxergar a segurança comoum serviço e transferir sua gestão a um especialista. Dessa forma, as organizações podemmelhor direcionar seus profissionais e recursos. Além disso, todas as atenções ficam maisvoltadas ao foco do negócio e resultados que devem ser obtidos.Para a Frost & Sullivan, as companhias estão se conscientizando dos benefícios dacontratação de terceiros para o gerenciamento da segurança. A consultoria destaca queentre as vantagens do outsourcing desses serviços estão a redução de custos com mão-de-obra especializada e simplificação do investimento em equipamentos para proteção.O acesso contínuo a recursos atualizados e a possibilidade de se dedicar mais tempo aonegócio da empresa também são citados como benefícios diretos.O mercado brasileiro ainda passa por uma fase de maturação, mas em se tratando desegurança, nunca existe certeza absoluta do que está por vir. O que é bom e seguro hojepassa a ser vulnerável amanhã. Assim, é muito importante que todos tenham um bomparceiro para cuidar do assunto; alguém especializado, que estará sempre atualizado. E estaé a função, e a principal vantagem, das empresas que oferecem a segurança como serviço.Valor estratégicoO que se nota é que, conforme a segurança ganha espaço entre outras prioridades dasorganizações, ela passa a ter valor estratégico, isto é, participa das decisões de mercado,integração com a cadeia de valor, formas de oferta de produtos e serviços etc. Assim, énatural que, em um mesmo grau de complexidade que as transações eletrônicas, aSegurança da Informação demande diversas aplicações e camadas tanto no que se refere àinfraestrutura tecnológica (hardware e software), quanto na prestação de serviços e recursoshumanos. Frente ao desafio, a terceirização tem sido um dos caminhos procurados pelasorganizações. Como na maioria dos casos, essa tanto pode ser uma ótima como umapéssima opção. O que definirá cada experiência depende de uma série de processospreestabelecidos.Não há regra geral que se aplique a tudo e todos. Atualmente, algumas corporaçõesterceirizaram toda sua infra-estrutura de segurança, desde pessoal até backup detransações, filtragem etc., e estão plenamente satisfeitas com isso. Em outros casos, aempresa opta por fazer um trabalho parcial, tirando de sua responsabilidade, por exemplo, osserviços de contingência, com duplicação de operações por meio de um datacenter.Independentemente dos caminhos escolhidos para trilhar, o que a maior parte dosespecialistas orienta, ao decidir partir para um processo de outsourcing é não tirar a“inteligência” de dentro de casa. Ou seja, deve ser terceirizado apenas o que é operacional,pois é o que gera investimentos pesados em infra-estrutura, hardware, licenças de softwareetc.Em suma, cada corporação deve avaliar em detalhes os benefícios e riscos de decidir pelaterceirização, gerando assim, um Planejamento de Outsourcing de Segurança. Esse relatóriodeverá contemplar desde os recursos de TI necessários, bem como a mão-de-obra


envolvida, os processos de migração, atendimento a clientes e parceiros, suporte, resposta aincidentes etc.Será esse material – baseado em preço, prazos e processos de implementação – quedefinirá se a terceirização da Segurança da Informação terá ou não sucesso. De outra forma,está será encarada apenas como mais uma maneira de burocratizar os serviços, consumirinvestimentos e não adicionar qualquer valor às transações da organização.O que terceirizarSalvo exceções, algumas áreas de segurança são passíveis de terceirização como suporte,monitoramento, gerenciamento e contingência. Os SOCs (Security Operation Center)disponíveis são especializados na prestação de serviços dessa natureza, entre outros. Essescentros de segurança e gerenciamento de dados estão atraindo o interesse das empresaspor uma série de razões como, por exemplo, menor custo com equipe interna, investimentosdivididos com outras companhias, respostas rápidas a incidentes e qualidade de serviçoestabelecida em contratos, os chamados Service Level Agreements (SLAs).Mas mesmo com vantagens competitivas tangíveis e de retorno rápido, a terceirização desegurança tem como barreira central a questão cultural das corporações. Invariavelmente,esse é o principal desafio a ser vencido, já que exige uma relação de total confiança entre osparceiros. Essa responsabilidade tem de estar esboçada em detalhes no contrato de SLA.Um programa que garanta 100% de atividade ao longo de um ano levanta suspeita. Bastaverificar o volume de incidentes de segurança que ocorrem diariamente com empresasaltamente protegidas, como as do setor financeiro.Além do nível de serviço oferecido pelo fornecedor, vale ressaltar o compromisso deste emter uma postura pró-ativa com o usuário, ou seja, na medida do possível manter os níveis desegurança os mais preparados possíveis. Esse contrato estabelece como serão atendidas asnecessidades futuras do contratante e quais multas e penalidades no caso de não-cumprimento ou rompimento do acordo.Não é tão simplesEm tese, tudo é passível de ser terceirizado. Mas na realidade, o processo não é tão simplese imediato como se imagina. Portanto, o ideal é que a empresa tenha conhecimento sobreseus próprios custos e infra-estrutura, algo que muitas vezes não está organizado ouquantificado.Na prática, o outsourcing deve retirar da empresa tarefas repetitivas e burocráticas, que nãodemandam ou envolvam decisões complexas ou estratégicas. Estudos apontam que,atualmente, esses serviços são responsáveis por algo entre 5% e 10% dos orçamentos de TI.Também é preciso avaliar a utilização e a disponibilidade de bens que não se limitam à infra-estrutura tecnológica. Em grandes corporações, já ocorreu de a empresa contratante perderprofissionais estratégicos, os quais passaram a atender a organização via outsourcing.

Presente e futuro

Foi-se o tempo em que os criminosos virtuais contentavam-se em invadir um site e deixar ali


a sua marca. Hoje, eles são silenciosos e muito mais perigosos. Nesse exato momento, semque você saiba, pode ser que seu computador esteja mandando milhares de e-mails para omundo todo e você nem se dá conta disso. Ou pior: pode ser que você tenha um programaespião instalado em sua máquina, capaz de copiar todas as suas senhas. Já pensou? Hoje, oobjetivo é obter vantagem financeira. Por isso, todos precisam ficar muito espertos.Saiba quais são as principais ameaças virtuais que rondam as empresas:FraudesA fraude implementada por meio de recursos de Tecnologia da Informação crescegradativamente e exige a melhoria de controles internos e de processos de monitoramento.Mesmo com a rápida e constante evolução da tecnologia, é difícil afirmar quevulnerabilidades e falhas deixarão de existir nos sistemas e nas redes de computadores. Issonão quer dizer que as fraudes em TI não possam ser evitadas ou, pelo menos, que seusriscos não possam ser minimizados em níveis aceitáveis pelas organizações. Para atingiresse objetivo, é necessário um esforço integrado de investimento, em mecanismos desegurança tecnológica e em processos operacionais.Exigências legais, como a lei Sarbanes-Oxley, obrigam as empresas a estabelecer controlesantifraude em seus processos de gestão de riscos corporativos. Deficiências nessescontroles podem resultar em fraudes executadas por meio dos recursos de TI disponíveis.PhishingTrata-se de uma forma de fraude eletrônica, caracterizada por tentativas de adquiririnformações confidenciais, tais como senhas e números de cartão de crédito, ao se fazerpassar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônicaoficial, como um e-mail ou uma mensagem instantânea. O termo phishing surge das cada vezmais sofisticadas artimanhas para “pescar” (fish) as informações sensíveis dos usuários.Essas informações particulares são usadas para causar algum prejuízo, tal como o roubo dedinheiro da sua conta corrente.Vírus e variaçõesVírus é um programa malicioso desenvolvido por programadores que, tal como um vírusbiológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outroscomputadores, utilizando-se de diversos meios. A maioria das contaminações ocorre pelaação do usuário executando o anexo de um e-mail. A segunda causa de contaminação é porsistema operacional desatualizado, sem a aplicação de corretivos que bloqueiam chamadasmaliciosas nas portas do micro. Ainda existem alguns tipos de vírus que permanecemocultos, mas entram em execução em horas especificas.SpywarePrograma automático de computador, que recolhe informações sobre o usuário, sobre seuscostumes na Internet e transmite essa informação a uma entidade externa na Internet, semseu conhecimento ou consentimento. Diferem dos cavalos de Tróia por não terem comoobjetivo que o sistema do usuário seja dominado, seja manipulado, por uma entidadeexterna, por um cracker.Os spywares podem ser desenvolvidos por empresas que desejam monitorar o hábito dosusuários para avaliar seus costumes e vender esses dados pela Internet. Elas costumamproduzir inúmeras variantes de seus programas-espiões, aperfeiçoando-os e dificultando sua


completa remoção.Por outro lado, muitos vírus transportam spywares, que visam roubar certos dadosconfidenciais dos usuários. Roubam logins bancários, montam e enviam logs das atividadesdo usuário, roubam determinados arquivos ou outros documentos pessoais.Os spywares costumavam vir legalmente embutidos em algum programa que fosseshareware ou freeware. Sua remoção era por vezes, feita quando da compra do software oude uma versão mais completa e paga.TrojansTrojan Horse ou Cavalo de Tróia é um programa que age como a lenda do cavalo de Tróia:entra no computador e libera uma porta para um possível invasor. O conceito nasceu desimples programas que se faziam passar por esquemas de autenticação, em que o utilizadorera obrigado a inserir as senhas, pensando que as operações eram legítimas.Entretanto, o conceito evoluiu para programas mais completos. Os trojans atuais sãodisfarçados de programas legítimos, embora, diferentemente de vírus ou de worms, nãocriem réplicas de si. São instalados diretamente no computador. De fato, alguns trojan sãoprogramados para se autodestruir com um comando do cliente ou depois de um determinadotempo. Os trojans ficaram famosos na Internet pela sua facilidade de uso, fazendo qualquerpessoa possuir o controle de um outro computador apenas com o envio de um arquivo.Os trojans atuais são divididos em duas partes: o servidor e o cliente. Normalmente, oservidor está oculto em algum outro arquivo e, no momento que esse arquivo é executado, oservidor se instala e se oculta no computador da vítima; a partir desse momento, ocomputador pode ser acessado pelo cliente, que enviará informações para o servidorexecutar certas operações no computador da vítima.WormsPrograma auto-replicante, semelhante a um vírus. Entretanto, o vírus infecta um programa eprecisa dele para se propagar. Já o worm é um programa completo e não precisa de outroprograma para se propagar. Além da replicação, um worm pode ser projetado para fazermuitas coisas, como deletar arquivos em um sistema ou enviar documentos por e-mail. Oworm pode trazer embutidos programas que geram algum tipo de problema ou que tornam ocomputador infectado vulnerável a outros ataques. Um worm pode provocar danos apenascom o tráfego de rede gerado pela sua reprodução.Segurança 3.0O novo modelo de segurança proposto pelo Gartner recebeu o nome de Segurança 3.0. Seuobjetivo é diminuir os gastos das companhias com segurança e melhorar o desempenho dasáreas de negócio. A implementação dessa nova estrutura requer investimentos: paraconstruir uma plataforma concreta de proteção, deve-se deslocar até 8% do orçamentodestinado anualmente à TI para a área de segurança. Depois que o modelo estiverconsolidado, a inversão pode ser reduzida para, aproximadamente, 3%.O Gartner indica que as empresas devem seguir cinco passos importantes na implementaçãode uma plataforma de segurança 3.0. São eles:1) Mudar o modo como a Tecnologia da Informação é desenvolvida, construída dentro dacorporação.2) Mudar a forma como as soluções de negócio são desenvolvidas.


3) Mudar a metodologia e os responsáveis pelo pagamento dos controles de segurança4) Se não puder realizar todas as mudanças imediatamente, definir o que deve ser feitoprimeiro, e começar a agir imediatamente.5) Segurança deve ser ‘uma jornada’, portanto, é preciso que se tenha um destino pelocaminho.No atual cenário de ameaças sofisticadas e altamente perigosas, é necessário que asempresas mudem seus perfis e, em vez de gastarem dois terços de suas verbas pararemediar incidentes, passem a investir na prevenção de ameaças e na antecipação detendências.Atualmente nenhuma corporação sobrevive sem equipamentos móveis e comunicadoresinstantâneos, considerados vulneráveis. É primordial que a companhias se adaptem a essanova realidade, protegendo eficientemente suas redes das ameaças que podem ser trazidaspor esses dispositivos.Assim como houve a evolução da chamada Segurança 1.0, que restringia ações de usuários,para o padrão 2.0, que mostrava ameaças não apenas no mainframe e passava a contar coma Internet e seus perigos, agora monitorar o perfil dos profissionais e as aplicações de TItambém se tornou imprescindível.Além do aumento no número e no nível de importância das ferramentas de controle deacessos dentro da corporação, a participação dos usuários nas políticas de segurança e ograu de adaptação e integração de arquiteturas e sistemas passam a assumir posiçãoestratégica na busca por resultados específicos para o foco do negócio. O alinhamento entresistemas, processos e pessoas é o caminho para a Segurança 3.0, que prevê uma estruturamais sólida de proteção às corporações.Evitar armadilhas de compliance, aderir somente às tecnologias que sigam as melhorespráticas de mercado e ter a capacidade de mover o programa de segurança corporativadentro de um ciclo de maturidade pré-estabelecido podem ser as chaves para garantir umambiente protegido, mesmo com o surgimento rápido de novas ameaças e formas de ataque.Relação custo x segurançaInvestir em proteção não é o bastante. Muitas vezes, pode se tornar um erro de proporçõesastronômicas dentro de uma organização. Isso porque muitos associam o gasto de valoresexorbitantes à percepção de um ambiente seguro, o que é um engano. Principalmente sepensarmos que, na evolução dos processos, a redução de custos é um progresso e tanto.Os gastos com segurança já superam duas vezes os investimentos com inovações de TIdentro das empresas. Com isso, surgem as perguntas: podemos garantir que nossossistemas atuais blindam melhor nossas estruturas corporativas? É possível continuarelevando esses investimentos? Antes de tudo, é necessário lembrar das característicasbásicas dos negócios: a busca incessante pela redução de custos e pelo aumento derendimento.Entretanto, é preciso avaliar com o que podemos produzir uma economia saudável. Deacordo com ele, o modelo de código aberto em uma corporação preparada para o ‘momento3.0’, por exemplo, seria extinto. Essa estrutura sempre trará benefícios imediatos, mas épreciso que CIOs e CSOs tenham em mente seus objetivos e prioridades em longo prazo.


Limites do monitoramento

O funcionário que dispõe de um PC com conexão à Internet (raros são os que não possuemhoje em dia) pode navegar por uma infinidade de sites, realizar transações bancárias e decomércio eletrônico. E também trabalhar. Cabe à consciência de cada decidir sobre a melhormaneira de equilibrar seu tempo entre tão empolgantes atividades e o seu próprio trabalho.Ou não. Muitas companhias estão aderindo às empresas de monitoramento, para identificaros mares por onde navegam seus funcionários, quando estão no escritório.Basicamente, as corporações se vêem frente a duas ameaças centrais. Primeiro, a quedadrástica de produtividade de seus funcionários, além do uso indiscriminado dos recursos dacompanhia e de sua infraestrutura. Cálculos feitos junto de usuários nos Estados Unidosapontam que cada pessoa gasta, em média, quase duas horas por dia checando e-mails, oque representa um quarto do expediente normal. O período inclui o envio e/ou recebimentode mensagens pessoais, fato reconhecido por 90% dos usuários.Em segundo lugar, e não menos críticas, estão as vulnerabilidades que esse acesso aleatórioocasiona, as ameaças constantes que circulam pela web e que, a qualquer momento, podemcomprometer operações primordiais para o funcionamento da companhia.Situações como essas estão levando ao controle rígido de diversas aplicações de acesso on-line, entre essas a filtragem de sites e de conteúdos da Internet, e restrições daquela quehoje é a principal ferramenta do meio digital: o correio eletrônico.Uso indiscriminadoRecentes pesquisas no mercado norte-americano mostram que mais de 70% dosempregadores monitoram o uso do e-mail por parte de seus funcionários. Muitos casos dedemissão ocorrem em função da má utilização da ferramenta. Muitas sentenças foram dadasem favor dos empregadores, mesmo no uso do Hotmail, Yahoo ou mesmo voice-mail.Mas um estudo feito pelo ePolicy Institute e a Clearswift revelou um certo descompasso entrea preocupação das corporações com o uso indiscriminado do correio eletrônico e as açõesefetivas que tomam para combater a prática. Os resultados apontaram que 75% de todos osprofissionais pesquisados reconhecem que suas empresas produzem políticas de utilizaçãode e-mail, mas menos da metade (48%) treina seus funcionários sobre o assunto.De acordo com a pesquisa, 59% das empresas declararam que possuem métodos parareforçar a existência de regras e políticas internas. Os meios mais utilizados para isso são:disciplina (50%), revisões de desempenho (25%), remoção de privilégios (18%) e açõeslegais (4%).Não bastasse o controle interno, as corporações precisam desenvolver armas para barraraquele que se tornou seu maior inimigo: as mensagens indesejadas, ou spams. Segundo apesquisa, 92% dos profissionais recebem algum material desse tipo. Desses, 45% afirmamque as mensagens não-autorizadas representam mais de 10% de seu volume diário de e-mails, percentual que ultrapassa 50% para 7% dos ouvidos pela pesquisa.Privacidade


No Brasil, grandes organizações demitiram funcionários que costumavam acessar conteúdospornográficos ou sem qualquer relação com o negócio da empresa. Mas a polêmica ainda érecente. Tanto que, em uma análise mais minuciosa dos fatos e das leis de privacidade,constata-se que a própria legislação brasileira é uma das opositoras às práticas demonitoração.Aprovado em junho de 2006 pela Comissão de Educação, o Projeto de Lei 76/2000 doSenado é o mais completo texto legislativo produzido no País para regular a repressão acrimes de informática. O PLS 76, relatado pelo senador Eduardo Azeredo, com assessoria deJosé Henrique Santos Portugal, incorpora atualizações e contribuições de outros projetos delei menos abrangentes e altera o Código de Processo Penal, o Código Penal Militar e a Leide Interceptação de Comunicações Telefônicas.Dentre todos os dispositivos inclusos no texto, o mais polêmico é a determinação de que todoaquele que prover acesso à Internet terá de arquivar informações do usuário como o nomecompleto, data de nascimento e endereço residencial, além dos dados de endereçoeletrônico, identificador de acesso, senha ou similar, data, hora de início e término, ereferência GMT da conexão. A medida tem sido alvo de críticas enérgicas entre aqueles queprezam pela privacidade e o anonimato na rede, sob a alegação de que dados de cunhopessoal não devem ficar em bancos de dados, expostos a uma possível devassa judicial,além do possível extravio para fins escusos.Regras clarasDiscussões à parte, o que se orienta é que as empresas estabeleçam regras claras deacesso e usabilidade, esclarecendo que disponibiliza seus recursos para que sejam utilizadoscomo ferramenta de trabalho. Essas normas devem fazer parte de uma Política deSegurança da Informação. Uma vez estabelecido esse processo, é preciso elaborar umtermo de aceitação, colhendo a assinatura de cada profissional da companhia.Para uma empresa como a GlaxoSmithKline (GSK), com 1,2 mil máquinas com acesso àInternet, a principal função da política de segurança foi o controle de acessos e a formataçãoda Internet como ferramenta corporativa. A definição de regras de uso da rede começou coma estruturação de um comitê de segurança da informação, formado por representantes devárias áreas da companhia. O comitê também elaborou um documento no qual estãodefinidos os critérios para a utilização de e-mails e listados os tipos de sites que não devemser acessados pelos funcionários. Os downloads de aplicativos foram totalmente restringidos.Já na Payot, o controle de e-mails e de acesso à Internet gerou economias em gastos commanutenção de rede e tempo de funcionários parados. A fabricante de cosméticos calculaque obteve ganhos de 50% na produtividade de seus funcionários e seu consumo de bandareduziu em 20%.Também deve ser de responsabilidade da organização garantir que esse monitoramento seconfigure com respeito aos funcionários e em sigilo, restringindo a divulgação dessasinformações e não configurando qualquer tipo de perseguição ao profissional.O fato é que, cada vez mais, a monitoria do profissional não é uma escolha, mas umaobrigação do gerenciamento de risco. A empresa deve declarar claramente que de fatomonitora, listando o que é rastreado, descrevendo o que procura e detalhando asconseqüências de violações. Controles de segurança sugeridos por normas de segurança


podem ser um caminho mais viável para suportar parâmetros de auditoria e conformidadepara toda a companhia.PráticasAlgumas ações básicas podem dar maior segurança e tranqüilidade à corporação e aofuncionário, no que se refere à monitoria do ambiente de trabalho. São elas:• Antes de qualquer ação, é viável que a companhia consulte um especialista em lei digitalpara saber se existem bases judiciais que afetem seus planos de monitoria.• As razões para realizar a monitoria têm que estar claras entre empresa e funcionário. O fatode uma empresa admitir abertamente que faz monitoria, reforçado por ações reativas quandosão descobertas infrações, fará os funcionários entenderem que e-mail não é uma forma decomunicação privada. É provável que passem a se policiar.• Caracterizar a monitoria como algo de proteção mútua, dando segurança e respaldo àcorporação e ao profissional.• Definir claramente as expectativas da empresa e informar os funcionários sobre a monitoria.• Estabelecer a política; educar a força de trabalho; e empregar a política de maneiraconsistente.• Combinar ferramentas de varredura de conteúdo e regras por escrito.• Punir quando for necessário. De outra forma, ninguém respeitará as regras da companhia.Vital para o sucessoQuanto mais uma empresa depende de redes de computadores, maiores devem ser aspreocupações com segurança. E isso significa preocupar-se com a integridade de dados,com o tempo de manutenção devido a problemas de segurança, e com muitos outrosaspectos.O número de incidentes de segurança está em pleno crescimento, não apenas porque asredes de computadores são vulneráveis, mas também porque quanto mais poderosostornam-se os aparatos de segurança – leia-se firewalls, software, etc –, maior se torna ointeresse de hackers em invadir.Falhas em políticas de segurança expõem não apenas informações e dados de umaempresa, mas também causam danos sérios à imagem da companhia. E é o zelo pelaimagem que, muitas vezes, impulsiona a implantação de uma política de segurança, com autilização de firewalls, mecanismos de autenticação, algoritmos de encriptação, e outrasmedidas de prevenção. Mas será que apenas investindo em tecnologia a empresa estará100% segura?Um dos maiores riscos é a empresa acreditar que basta comprar equipamentos e softwares eestará segura para sempre. Produtos de segurança direcionados à prevenção são bons, massão apenas uma parte do conceito geral. Não é o bastante ter os melhores produtos desegurança. É preciso instalá-los, usá-los, e mantê-los atualizados (instalando novas versões,aplicando patches de correção, etc) para, então, interpretar suas informações e responderefetivamente aos alertas registrados por eles.No contexto atual, mais do que nunca, segurança é vital para o sucesso de um negócio.


segurança da informação -...

Documents