Professional Documents
Culture Documents
Conceito
Está cada vez mais difícil manter em segurança as informações referentes a empresas ou
pessoas. O descuido nessa área pode causar prejuízos significativos, e muitas vezes
irreversíveis. Mas felizmente a maior parte das empresas está consciente do perigo e
estamos vivendo um momento em que praticamente todas elas mantêm alguma política de
segurança.
Propriedades
Disponibilidade – Propriedade que garante que a informação esteja sempre disponível para
o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
Em todas as fases da evolução corporativa, é fato que as transações de toda a cadeia de
produção – passando pelos fornecedores, fabricantes, distribuidores e consumidores –
sempre tiveram a informação como uma base fundamental de relacionamento e
coexistência.
O fato é que hoje, quer seja como princípio para troca de mercadorias, segredos
estratégicos, regras de mercado, dados operacionais, quer seja simplesmente resultado de
pesquisas, a informação, aliada à crescente complexidade do mercado, à forte concorrência
e à velocidade imposta pela modernização das relações corporativas, elevou seu posto na
pirâmide estratégica, tornando-se fator vital para seu sucesso ou fracasso.
Proteção da informação
Para entender a importância da proteção das informações, basta pensar no prejuízo que
causaria para os negócios a posse desses dados pela concorrência ou por alguém mal-
intencionado. Atualmente, o período é de revisão de processos e de avaliação de soluções
que protejam cada vez mais as informações corporativas, sem impactar fortemente na
produtividade. Fato é que hoje a segurança é considerada estratégica e já encabeça a lista
de preocupações de grandes empresas.
A Segurança deixou de ser submetida aos domínios da TI, para se tornar uma nova área
que responde ao vice-presidente ou ao gestor de operações, ganhando orçamento próprio,
salas específicas e, claro, prazos e demandas a serem atendidas. Um dos maiores dilemas
da Segurança da Informação está relacionado com a proteção dos ativos e a compreensão
da amplitude desse conceito dentro da empresa. A idéia de ativo corporativo envolve
também uma questão de difícil medição: a marca da companhia e a percepção que ela
desperta no mercado. Um grande escândalo, uma falha latente ou uma brecha
negligenciada podem sepultar uma companhia para sempre, ainda que ela tenha tido muito
sucesso até então. Outra questão relacionada com a Segurança da Informação, que
também causa preocupação, é que se trata de um investimento sem fim. Pois à medida que
ela vai se fortalecendo, os ataques cada vez mais vão se sofisticando também.
Não há como voltar atrás. Qualquer companhia, desde a pequena empresa com dois ou três
PCs, até uma complexa organização com atuação em diversos países, sabe que em maior
ou menor grau a tecnologia é essencial para seu negócio. E é justamente por ser vital, que
esse bem não palpável traz consigo uma necessidade básica: segurança.
O desafio não é tão simples. Pela própria natureza, embora muitas empresas de TI estejam
se esforçando para mudar essa realidade, a segurança da informação é reativa. Isso
significa que, tradicionalmente, primeiro verifica-se a existência de um problema, como
vírus, fraude, invasão, para depois encontrar sua solução, vacina, investigação, correção de
vulnerabilidade.
Para muitos, esse cenário pode causar pânico. Afinal, primeiro eleva-se a informação ao
patamar mais crítico da empresa, tornando-a peça principal do jogo. Em seguida, vê-se que
esse dado, pela forma e processo com que é disponibilizado, corre o risco de ser
corrompido, alterado ou roubado por um garoto de 16 anos, que resolveu testar programas
hackers disponibilizados na própria Internet ou, em casos piores, usurpado por funcionários
e passado para a concorrência ou ainda simplesmente causando danos financeiros à
empresa.
Nem só de software
Outro fenômeno que tem sido observado é a concentração dos serviços de segurança pelo
grupo dos dez maiores integradores mundiais. Isso reflete a necessidade prioritária das
grandes corporações e governos de moverem-se em direção a fornecedores sólidos, que
possam atender as demandas com flexibilidade, inteligência e rapidez, elevando a
importância dos fatores de ética profissional, confiabilidade e independência, posicionando-
se para o gestor como o “security advisor corporativo”.
De forma mais ampla, esse plano deve considerar questões estratégicas, táticas e
operacionais de negócios, atrelando-as a três tipos básicos de risco: humano, tecnológico e
físico. Ao longo desse curso será abordada cada uma dessas variáveis, desde os tipos mais
tradicionais de vírus que se disseminam pela rede, até as portas mais vulneráveis da
empresa, passando pelo monitoramento de sua rede, seus profissionais, soluções de TI,
gestão e políticas de segurança.
Modulo 2 - Tecnologias
Mas essa ainda é apenas a ponta do iceberg. A Segurança da Informação deve estar
atrelada a um amplo Programa de Segurança da Informação, que se constitui de pelo
menos três fases principais:
Infraestrutura
O maior perigo para uma empresa, em relação à proteção de seus dados, é a falsa sensação
de segurança. Pois, pior do que não ter nenhum controle sobre ameaças, invasões e
ataques é confiar cegamente em uma estrutura que não seja capaz de impedir o surgimento
de problemas.
Por isso, os especialistas não confiam apenas em uma solução baseada em software.
Quando se fala em tecnologia, é necessário considerar três pilares do mesmo tamanho,
apoiados uns nos outros para suportar um peso muito maior. Esses três pilares são as
tecnologias, os processos e as pessoas. Não adianta fortalecer um deles, sem que todos os
três não estejam equilibrados.
Uma metáfora comum entre os especialistas dá a dimensão exata de como esses três
pilares são importantes e complementares para uma atuação segura: uma casa. Sua
proteção é baseada em grades e trancas, para representar as tecnologias, que depende dos
seus moradores para que seja feita a rotina diária de cuidar do fechamento das janelas e
dos cadeados, ou seja, processos. Simploriamente, a analogia dá conta da interdependência
entre as bases da atuação da segurança e de como cada parte é fundamental para o bom
desempenho da proteção na corporação.
Recursos de proteção
A primeira parte trata do aspecto mais óbvio: as tecnologias. Não há como criar uma
estrutura de Segurança da Informação, com política e normas definidas, sem soluções
moderníssimas que cuidem da enormidade de pragas que infestam os computadores e a
Internet hoje em dia.
Os appliances de rede, com soluções de segurança integradas, também precisam ser
adotados. Dispositivos para o controle de spam, vetor de muitas pragas da Internet e
destacado entrave para a produtividade, também podem ser alocados para dentro do
chapéu da Segurança da Informação. Programas para controlar o acesso de funcionários,
bloqueando as visitas a páginas suspeitas e que evitem sites com conteúdo malicioso,
também são destaques. Mas antes da implementação da tecnologia, é necessária a
realização de uma consultoria que diagnostique as soluções importantes.
Essas inúmeras ferramentas, no entanto, geram outro problema: como gerenciar toda essa
estrutura dentro de uma rotina corporativa que demanda urgência e dificilmente está
completamente dedicada à segurança? A melhor resposta está no gerenciamento unificado.
A adoção de novas ferramentas, como sistema operacional, ERP ou CRM, precisa de análise
dos pré-requisitos em segurança.
Outro ponto do tripé são os processos, que exigem revisão constante. O grande combate
realizado no dia-a-dia do gestor de segurança, em parceria com o CIO, é equilibrar a
flexibilidade dos processos de forma que eles não tornem a companhia frágil, mas que, por
outro lado, não endureça demais a produtividade, em busca do maior nível possível de
segurança.
A última parte da trinca é a mais fácil de explicar. Não é preciso raciocinar muito para
chegar à conclusão de que as pessoas são pedras fundamentais dentro do ambiente
corporativo, sobretudo em Segurança da Informação.
Cerca de 70% dos incidentes de segurança contam com o apoio, intencional ou não, do
inimigo interno. As pessoas estão em toda a parte da empresa e enxergam como ponto
fundamental apenas a proteção da máquina. Os cuidados básicos com as atitudes das
pessoas, muitas vezes são esquecidos ou ignorados. Encontrar senhas escritas e coladas no
monitor, bem como a troca de informações sigilosas em ambientes sem confidencialidade,
como táxi e reuniões informais são situações muito comuns. Assim, contar com a
colaboração das pessoas é simplesmente fundamental numa atividade crítica para a
empresa e que não tem final em vista. Mas o ponto principal da preocupação com as
pessoas é que os fraudadores irão à busca delas para perpetrar seus crimes.
Uma exigência cada vez mais importante para o CSO é ser também um gestor de pessoas,
uma vez que elas podem causar muitos estragos e provocar sérios prejuízos. Mas ao se
analisar o contexto de formação dos gerentes de segurança, talvez seja esse o ponto mais
fraco. Investimento em formação profissional nesse sentido é uma iniciativa muito válida,
assim como intercâmbio de informações entre áreas como Recursos Humanos e Marketing
para aumentar o alcance e a eficácia das recomendações. O fato de envolver um dilema
cultural também é outro complicador. Segurança da Informação representa um desafio de
inédita magnitude para os profissionais do setor e, também, para a companhia como um
todo.
Modulo 3 - Gestor da Segurança da Informação
Apenas alguém com grande conhecimento tanto em negócios quanto em segurança pode
desenhar a estratégia de Segurança da Informação de maneira competente, implementando
políticas e escolhendo as medidas apropriadas para as necessidades de negócios, sem
impactar na produtividade. Ainda que a contratação de gestores de segurança esteja sendo
uma constante no mercado de grandes companhias, não se chegou a um consenso sobre a
natureza do seu cargo.
Um dos pontos que permanecem sem uma definição precisa é a viabilidade de combinar sob
o mesmo chapéu a Segurança lógica e a física. O isolamento entre essas áreas pode ser
fatal para uma companhia no caso de um desastre natural, como o furacão Katrina em
2005, que atingiu a cidade norte-americana de Nova Orleans, ou o tsunami que afetou a
Indonésia em 2004, ou até mesmo uma pane elétrica ou incêndio.
Responsabilidades
Qualificações
Para atender aos requisitos de segurança lógica e física de redes globais cada vez mais
complexas e vulneráveis, o perfil do CSO evoluiu muito. Por um lado, o cenário apresenta
ameaças crescentes e cada vez mais fatais, hackers, vírus, ataques terroristas, enchentes,
terremotos. Por outro, a vulnerabilidade e a complexidade tecnológica crescem também e
aumentam as atribuições e as habilidades necessárias para exercer a função de CSO. Hoje,
um CSO tem de entender de segurança, conhecer bem os negócios e participar de todas as
ações estratégicas da empresa. Mais do que um técnico, ele deve ser definitivamente um
gestor de negócios. As qualificações que costumam ser exigidas para o cargo de CSOs são:
Formação
Cada vez mais é essencial que as organizações sejam pró-ativas na defesa de seus ativos
digitais. E para isso, é preciso contar com profissionais competentes para lidar com soluções
de segurança complexas, requisitos regulatórios e avanços tecnológicos das ameaças, bem
como vulnerabilidades onerosas. Dessa forma, o CSO deve proceder a gestão de riscos e
está mais integrado às funções de negócio. Profissionais de segurança precisam aprimorar
suas habilidades técnicas e de negócio para que possam exercer a função.
Uma boa dica para quem pretende se profissionalizar na área de Segurança da Informação
é procurar obter certificações de uma associação de segurança profissional, para ajudar a
impulsionar a carreira. Para 90% dos participantes da pesquisa envolvidos com contratação,
as certificações são um pouco ou muito importantes na decisão de contratar alguém. Mais
de 60% pretendem adquirir pelo menos uma certificação de segurança da informação nos
próximos 12 meses.
1) Aprender a colaborar com outros departamentos, para integrar e avaliar outras funções.
Pesquisa da IDC indica os entrevistados afirmam que 62% de suas tarefas cotidianas
dependem da troca de informação ou da cooperação com outras pessoas.
2) Adotar a abordagem do valor agregado, ou seja, alinhar suas atribuições e
responsabilidades com as metas de negócio de cada departamento.
3) Desenvolver seu próprio círculo de confiança dentro da organização, com representantes
de cada departamento para ajudar a promover a compreensão mútua, a valorização e o
trabalho em equipe.
4) Manter conversas com executivos para que eles possam conhecê-lo e aprender a confiar
em você. Essas conversas devem ser sucintas, porém expressivas, contendo termos de
negócio e não vocabulário “geek” ou acrônimos. Determine como você pode agregar valor
às suas metas e demonstre por que você deve ser consultado ou incluído em uma reunião.
5) Oferecer treinamento para conscientizar os executivos e usuários sobre ameaças à
segurança que afetam os home offices e apresentar técnicas de prevenção. O objetivo é
conquistar confiança dos executivos na sua capacidade de fazer recomendações para as
redes da empresa.
6) Aprender a equilibrar riscos e oportunidade. Muitos executivos consideram o staff de
segurança inflexível e evitam convidá-lo para reuniões de estratégia. Seja flexível ao
equilibrar os riscos à segurança com os processos de negócio que ajudam a organização a
cumprir as metas.
Módulo 4 - Vulnerabilidades
Outro fator determinante nessa equação está vinculado à evolução rápida e contínua das
tecnologias. Em pouco tempo, até mesmo os computadores domésticos ganham recursos
em potência e em capacidade de armazenamento. Ao mesmo tempo em que essa evolução
proporciona inúmeros benefícios, também se encarrega de gerar novos riscos e ameaças
virtuais. Esse cenário, que estará presente em breve em muitas residências, sinaliza o que
virá no ambiente corporativo.
Mas as questões de segurança atreladas à gestão de pessoal são apenas parte dos desafios
que as empresas precisam enfrentar na atualidade. Antes desses, e não menos críticas,
estão as vulnerabilidades tecnológicas, renovadas a cada instante.
Especialistas em identificar e estudar essas brechas vêm se esforçando para alertar sobre
aquelas que hoje são consideradas as principais ameaças às transações eletrônicas. O
System Administration, Networking and Security (SANS) e o National Infrastructure
Protection Center (NIPC/FBI) são bons exemplos dessa realidade.
Senhas fracas
Muitas empresas afirmam realizar backups diários de suas transações, mas sequer fazem
manutenção para verificar se o trabalho realmente está sendo feito. É preciso manter
backups atualizados e métodos de recuperação dos dados previamente testados. Muitas
vezes, uma atualização diária é pouco diante das necessidades da empresa, caso venha a
sofrer algum dano. Também é recomendável tratar da proteção física desses sistemas, que
por vezes ficam relegados à manutenção precária. Já é comum, depois dos tristes fatos
ocorridos em 11 de setembro de 2001, sites de backup onde os dados são replicados e, em
caso de uma catástrofe, os sistemas são utilizados para a continuidade dos negócios.
Portas abertas
Portas abertas são convites para invasões. Boas ferramentas de auditoria de servidores ou
de scan podem auxiliar a empresa a identificar quais são suas brechas nos sistemas. Para
não ser surpreendido, é recomendado fazer uma auditoria regular dessas portas.
Independentemente da ferramenta utilizada para realizar essa operação, é preciso que ela
varra todas as portas UDP e TCP do sistema, nas quais se encontram os alvos atacados por
invasores. Além disso, essas ferramentas verificam outras falhas nos sistemas operacionais
tais como serviços desnecessários e aplicações de patches de segurança requeridos.
Brechas de instalações
Logs são responsáveis por prover detalhes sobre o que está acontecendo na rede, quais
sistemas estão sendo atacados e os que foram de fato invadidos. Caso a empresa venha a
sofrer um ataque, será o sistema de registro de logs o responsável por dar as pistas básicas
para identificar a ocorrência, saber como ocorreu e o que é preciso para resolvê-la. É
recomendável realizar backup de logs periodicamente.
Transações sem fio desprotegidas
Enquanto o volume de fraudes via internet banking caiu de 300 milhões de reais em 2007
para 130 milhões de reais este ano, o mercado negro de comercialização de informações
confidenciais faturou mais de 276 milhões de dólares, o número de malwares triplicou, as
redes sociais como Orkut, Facebook e Myspace foram vítimas de ataques de engenharia
social.
Conheça agora as quatro principais ameaças à segurança de dados em 2009 e saiba como
se proteger.
1) Falsificação de Links
Em 2008, as empresas investiram na conscientização de seus funcionários e clientes. O
objetivo das campanhas de conscientização foi minimizar o número de incidentes
relacionados à engenharia social (arte de enganar as pessoas).
Isso ocorre porque quando você recebe um e-mail, por exemplo, uma das principais dicas
para saber que não se trata de um golpe online é passar o mouse sobre o link para conferir
se o endereço do website está correto. No caso do "link spoofing", ao passar o mouse sobre
o link da mensagem, o internauta verá o endereço correto do website. Porém, ao clicar no
link, ele será direcionado para uma página falsa e pode ter um cavalo-de-tróia instalado em
sua máquina.
2) Mobilidade ameaçada
As pessoas estão investindo cada vez mais dinheiro na compra de celulares mais avançados.
Os celulares estão sendo utilizados como ferramenta de trabalho para troca de e-mails,
programas de mensagem instantânea, SMS, agenda corporativa e armazenamento de
informações confidenciais (projetos, fotos etc.).
É importante observarmos que os bancos estão migrando toda a tecnologia para acesso aos
dados financeiros via celular. O cracker sempre irá explorar o elo mais fraco da corrente e
atacar os dispositivos que possuem acesso a conta corrente.
Já existem registros de clonagem de cartão de crédito com chip no Brasil. Alguns clientes
corporativos que atendo foram vítimas desta nova técnica. O número de casos deve
aumentar com a evolução do dispositivo capaz de realizar a clonagem do chip e também
com a redução do custo de “construção” deste equipamento. A evolução do equipamento
que clona o chip permitirá que pessoas não especializadas comecem a aplicar o golpe
também.
Bancos de dados protegidos serão copiados e/ou alterados através da internet, áreas
restritas por usuário e senha serão exploradas e invadidas sem que ninguém perceba o
ataque, páginas web serão alteradas de forma indevida etc.
Dicas de proteção
Algumas dicas de segurança podem ajudar a minimizar os riscos relacionados às novas
ameaças em 2009:
- Tudo que não é monitorado na sua empresa deve ser bloqueado. A falta de rastreabilidade
é uma das principais vulnerabilidades exploradas pelos craquers;
Módulo 5 - Mobilidade
Cada vez mais, equipamentos móveis, como notebooks e smartphones, estão presentes na
vida das pessoas, especialmente de executivos que se deslocam em viagens de negócios.
Porém, esses dispositivos móveis possuem fragilidades diferentes das encontradas em
computadores fixos. Isso exige uma política segurança diferenciada para controlar possíveis
ameaças.
O contexto precisa ser explicado. Em meados dos anos 80, os computadores pessoais
substituíram o mainframe e revolucionaram a forma pela qual as pessoas se relacionavam
com a tecnologia. Eles dominaram completamente o cenário mundial. O reinado, contudo,
está terminando. A coroa está com os terminais móveis, com predomínio dos notebooks,
mas também com a presença crescente de handhelds, smartphones, PDAs e telefones
celulares.
Essa reestruturação está revolucionando o mercado corporativo. Se, por um lado, é possível
atingir níveis de produtividade impensáveis no formato antigo, quando o executivo
permanecia preso no ambiente tradicional de escritório, por outro, a Segurança da
Informação surge como o seu calcanhar-de-aquiles. Os argumentos a favor são atraentes:
garantias de grande disponibilidade e flexibilidade, já que o executivo pode acessar
informações da rede da companhia em qualquer horário e de qualquer lugar do mundo. Mas
os contrários, no entanto, assustam.
Nova realidade
Os dispositivos móveis possuem fragilidades que não encontram paralelo nas estações fixas,
fato que exige do gestor de segurança da informação uma política estruturada para cuidar
de todos esses limites. As tecnologias de acesso sem fio, outra base da mobilidade, também
representam um grande problema. Independente do padrão escolhido, elas significam, no
limite, uma falta de controle da organização sobre a rede em que se acessa.
Especificamente, as funcionalidades integradas de wireless LAN permitem o acesso a
recursos corporativos por meio de redes terceiras, que estão longe da visão da corporação e
das suas políticas de segurança.
O desenvolvimento da tecnologia também aumenta o escopo do problema. Com discos de
maior capacidade de armazenamento, o usuário acaba sendo encorajado a salvar seus
dados localmente, o que representa problemas de segurança. A disseminação de USB
Drives, bem como gravadores de CDs e DVDs, abrem espaço para a utilização pessoal do
dispositivo, retendo informações que não deveriam estar ali. Outro ponto preocupante diz
respeito à transferência de informações do notebook para esses aparelhos, já que, caso não
exista uma política clara e estruturada, é difícil controlar quais arquivos foram copiados em
outras mídias.
Além disso, o aspecto físico da solução também precisa ser levado em conta. Pelo seu valor,
os aparelhos portáteis atraem enorme atenção e são roubados constantemente. Em São
Paulo, por exemplo, existem quadrilhas especializadas em roubos de laptops, procurando
suas vítimas em locais estratégicos como aeroportos ou de concentração de grandes
empresas.
Outro fator que causa bastante preocupação está, graças à miniaturização dos aparelhos,
na possibilidade de perda desses dispositivos. Mais do que o preço do aparelho, o dado
armazenado também tem valor. Muitas vezes, incalculável. Como lidar com todas essas
questões?
Oportunidade de negócios
Na outra ponta, a grande preocupação para os CSOs representa uma grande oportunidade
de negócios para as empresas de segurança. Assim, inúmeros players olham com atenção
para essas questões, oferecendo soluções que prometem diminuir os riscos do uso de
soluções móveis no ambiente corporativo. A primeira resposta está nos softwares de
conformidade de terminal.
Com isso, é possível garantir que todos os níveis de proteção estabelecidos pela companhia
sejam passados para as plataformas móveis. Assim, é eliminado o problema de um worm
ou vírus no notebook, por exemplo, infectar toda a rede corporativa sem que o usuário
tenha conhecimento. Isso, no entanto, é apenas o primeiro nível de proteção no contexto
das plataformas móveis.
Acima de tudo, a mobilidade significa que as empresas usuárias precisarão fazer novos
investimentos para se adequar à nova realidade que a mobilidade impôs. Esta nova
realidade exige novas políticas e soluções contra o inimigo interno, a preocupação com esse
tema ganha um novo patamar.
De qualquer forma, toda a implementação de segurança, seja na corporação ou nos
dispositivos móveis, deve ser precedida por uma fase de rigorosa análise. O contexto da
mobilidade é multifacetado, com variações marcantes conforme o terminal, ou seja, um
notebook precisa de uma abordagem determinada, enquanto um smartphone precisa de
outras soluções. É preciso levar em conta quais são os riscos e qual é a importância dos
dados armazenados para, a partir daí, tomar a decisão mais adequada, seja investir numa
solução que combine antivírus, firewall e IPS ou apostar em outra alternativa.
De olho no notebook
Dados do Gartner, no estudo chamado “Update Your Security Practices to Protect Notebook
PCs”, dão conta de que grande parte das organizações tem dificuldade em reconhecer a
necessidade de levar a Segurança da Informação aos dispositivos móveis. Avaliando os
motivos desse comportamento, o instituto enumerou o nível de amadurecimento do
mercado de segurança, já que os fornecedores do setor, tanto em software quanto em
serviços, ainda não abrangem toda a gama de vulnerabilidades dos notebooks.
A estratégia de proteção adotada para notebooks, no entanto, deve ser seguida fielmente
pelos outros dispositivos. Conforme as aplicações dentro de cada aparelho forem sendo
ampliadas e a importância dos dados crescendo na mesma razão, será necessário cuidar de
soluções próprias para os outros dispositivos, sejam eles PDAs, smartphones ou os
populares telefones celulares.
Ainda que alguns especialistas afirmem que a consolidação já é uma realidade para
aparelhos de menor porte, o mercado ainda se mostra incipiente. Mas um dado precisa ser
levado em consideração: enquanto o primeiro worm de rede levou cerca de 20 anos para
ser desenvolvido, a praga eletrônica que infestou os celulares não demorou mais do que
oito meses.
Não é ilusório imaginar que, como toda grande revolução com ganhos fantásticos, a
mobilidade está também pagando um alto preço. Reestruturar todo o ambiente corporativo,
ganhar muito em produtividade e disponibilidade, fechando negócios em tempo real de
qualquer lugar do mundo, gerou conseqüências. E elas serão bem mais sérias do que vírus
que invadem a rede ou worms que se reproduzem para toda a lista de contatos.
A comunicação de dados por redes sem fio ainda é objeto de estudo de organizações
especializadas em soluções de segurança da informação. A facilidade de se trafegar bits por
ondas de rádio, sem necessidade de conexão a qualquer tipo de rede de cabos, tem atraído
cada vez mais usuários em todas as partes do mundo. Mas o fato é que, em termos
práticos, esse meio de comunicação ainda não está totalmente protegido de invasões e
fraudes, realidade que está diretamente relacionada ao desenvolvimento dos padrões de
comunicação das redes sem fio. Grandes são as expectativas junto de um mercado que
ainda se encontra em seu estado inicial. No Brasil, as pesquisas apontam que a adoção de
redes sem fio está em processo acelerado.
Entre outros fatores, especialistas afirmam que uma rede WLAN pode ser até mais barata
do que uma estrutura com cabeamento, uma vez que dispensa a aquisição de diversos
equipamentos e serviços. Mas, existe também a mobilidade que oferece uma conectividade
praticamente ininterrupta para o usuário. Várias empresas instalaram hot spots (conexões
sem fio em lugares públicos) nos principais pontos de acesso no Brasil, tais como
aeroportos, bares e livrarias, o que abre muitas possibilidades de comunicação de
funcionários com suas empresas e acesso à Internet.
Tecnologias com o WiMax aumentam a área de cobertura das redes sem fio e prometem ser
o próximo grande boom nas corporações e na vida das pessoas.
Modulo 6 - Terceirização
A terceirização é uma forte tendência em todos os setores de TI, e não poderia ser
diferente, quando falamos em Segurança da Informação. Trata-se de um assunto
recorrente, isso porque a Segurança da Informação não é especialidade da indústria de
manufatura, como também não faz parte dos negócios do setor automobilístico, de
empresas alimentícias ou do varejo. No entanto, para que possam manter o core business
de suas operações, essas corporações devem garantir a manutenção das condições ideais
de segurança, que cada vez mais se torna fator crítico em todas as suas transações.
Por isso, podemos nos preparar para ver as ações de proteção sendo executadas fora da
corporação. No caso da segurança, a diferença é que a viabilidade do processo depende do
tamanho das organizações. Grandes empresas têm pouca probabilidade em passar a
segurança para o esquema outsourcing. Já as pequenas e médias empresas mostram-se
mais abertas a essa opção, como podemos observar nas estruturas de ‘software as a
service’, que vêm crescendo no mercado, tornando-se mais maduras.
Previsão
A previsão da consultoria é que o setor cresça em média 16% até 2010, sendo que a fatia
de serviços tende a aumentar o seu percentual no bolo. Segundo dados da Frost & Sullivan,
o mercado latino-americano de serviços gerenciados de segurança deve superar o total de
US$ 272 milhões em 2011. De acordo com a consultoria, o Brasil continuará a concentrar
40% desse mercado. Em seguida vem o México, com 23%.
Especialistas apontam que todos os negócios, grandes ou pequenos, possuem gaps em sua
estrutura interna quando se trata de segurança. Ao tentar garantir que todas as áreas
estejam seguras, algum segmento acaba sempre ficando descoberto, mais vulnerável a
ameaças e intrusos. A solução para preencher esse gap seria enxergar a segurança como
um serviço e transferir sua gestão a um especialista. Dessa forma, as organizações podem
melhor direcionar seus profissionais e recursos. Além disso, todas as atenções ficam mais
voltadas ao foco do negócio e resultados que devem ser obtidos.
O mercado brasileiro ainda passa por uma fase de maturação, mas em se tratando de
segurança, nunca existe certeza absoluta do que está por vir. O que é bom e seguro hoje
passa a ser vulnerável amanhã. Assim, é muito importante que todos tenham um bom
parceiro para cuidar do assunto; alguém especializado, que estará sempre atualizado. E
esta é a função, e a principal vantagem, das empresas que oferecem a segurança como
serviço.
Valor estratégico
O que se nota é que, conforme a segurança ganha espaço entre outras prioridades das
organizações, ela passa a ter valor estratégico, isto é, participa das decisões de mercado,
integração com a cadeia de valor, formas de oferta de produtos e serviços etc. Assim, é
natural que, em um mesmo grau de complexidade que as transações eletrônicas, a
Segurança da Informação demande diversas aplicações e camadas tanto no que se refere à
infraestrutura tecnológica (hardware e software), quanto na prestação de serviços e
recursos humanos. Frente ao desafio, a terceirização tem sido um dos caminhos procurados
pelas organizações. Como na maioria dos casos, essa tanto pode ser uma ótima como uma
péssima opção. O que definirá cada experiência depende de uma série de processos
preestabelecidos.
Não há regra geral que se aplique a tudo e todos. Atualmente, algumas corporações
terceirizaram toda sua infra-estrutura de segurança, desde pessoal até backup de
transações, filtragem etc., e estão plenamente satisfeitas com isso. Em outros casos, a
empresa opta por fazer um trabalho parcial, tirando de sua responsabilidade, por exemplo,
os serviços de contingência, com duplicação de operações por meio de um datacenter.
Independentemente dos caminhos escolhidos para trilhar, o que a maior parte dos
especialistas orienta, ao decidir partir para um processo de outsourcing é não tirar a
“inteligência” de dentro de casa. Ou seja, deve ser terceirizado apenas o que é operacional,
pois é o que gera investimentos pesados em infra-estrutura, hardware, licenças de software
etc.
Em suma, cada corporação deve avaliar em detalhes os benefícios e riscos de decidir pela
terceirização, gerando assim, um Planejamento de Outsourcing de Segurança. Esse relatório
deverá contemplar desde os recursos de TI necessários, bem como a mão-de-obra
envolvida, os processos de migração, atendimento a clientes e parceiros, suporte, resposta
a incidentes etc.
O que terceirizar
Salvo exceções, algumas áreas de segurança são passíveis de terceirização como suporte,
monitoramento, gerenciamento e contingência. Os SOCs (Security Operation Center)
disponíveis são especializados na prestação de serviços dessa natureza, entre outros. Esses
centros de segurança e gerenciamento de dados estão atraindo o interesse das empresas
por uma série de razões como, por exemplo, menor custo com equipe interna,
investimentos divididos com outras companhias, respostas rápidas a incidentes e qualidade
de serviço estabelecida em contratos, os chamados Service Level Agreements (SLAs).
Além do nível de serviço oferecido pelo fornecedor, vale ressaltar o compromisso deste em
ter uma postura pró-ativa com o usuário, ou seja, na medida do possível manter os níveis
de segurança os mais preparados possíveis. Esse contrato estabelece como serão atendidas
as necessidades futuras do contratante e quais multas e penalidades no caso de não-
cumprimento ou rompimento do acordo.
Em tese, tudo é passível de ser terceirizado. Mas na realidade, o processo não é tão simples
e imediato como se imagina. Portanto, o ideal é que a empresa tenha conhecimento sobre
seus próprios custos e infra-estrutura, algo que muitas vezes não está organizado ou
quantificado.
Fraudes
A fraude implementada por meio de recursos de Tecnologia da Informação cresce
gradativamente e exige a melhoria de controles internos e de processos de monitoramento.
Mesmo com a rápida e constante evolução da tecnologia, é difícil afirmar que
vulnerabilidades e falhas deixarão de existir nos sistemas e nas redes de computadores.
Isso não quer dizer que as fraudes em TI não possam ser evitadas ou, pelo menos, que
seus riscos não possam ser minimizados em níveis aceitáveis pelas organizações. Para
atingir esse objetivo, é necessário um esforço integrado de investimento, em mecanismos
de segurança tecnológica e em processos operacionais.
Exigências legais, como a lei Sarbanes-Oxley, obrigam as empresas a estabelecer controles
antifraude em seus processos de gestão de riscos corporativos. Deficiências nesses
controles podem resultar em fraudes executadas por meio dos recursos de TI disponíveis.
Phishing
Trata-se de uma forma de fraude eletrônica, caracterizada por tentativas de adquirir
informações confidenciais, tais como senhas e números de cartão de crédito, ao se fazer
passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica
oficial, como um e-mail ou uma mensagem instantânea. O termo phishing surge das cada
vez mais sofisticadas artimanhas para “pescar” (fish) as informações sensíveis dos usuários.
Essas informações particulares são usadas para causar algum prejuízo, tal como o roubo de
dinheiro da sua conta corrente.
Vírus e variações
Vírus é um programa malicioso desenvolvido por programadores que, tal como um vírus
biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros
computadores, utilizando-se de diversos meios. A maioria das contaminações ocorre pela
ação do usuário executando o anexo de um e-mail. A segunda causa de contaminação é por
sistema operacional desatualizado, sem a aplicação de corretivos que bloqueiam chamadas
maliciosas nas portas do micro. Ainda existem alguns tipos de vírus que permanecem
ocultos, mas entram em execução em horas especificas.
Spyware
Programa automático de computador, que recolhe informações sobre o usuário, sobre seus
costumes na Internet e transmite essa informação a uma entidade externa na Internet, sem
seu conhecimento ou consentimento. Diferem dos cavalos de Tróia por não terem como
objetivo que o sistema do usuário seja dominado, seja manipulado, por uma entidade
externa, por um cracker.
Os spywares podem ser desenvolvidos por empresas que desejam monitorar o hábito dos
usuários para avaliar seus costumes e vender esses dados pela Internet. Elas costumam
produzir inúmeras variantes de seus programas-espiões, aperfeiçoando-os e dificultando
sua completa remoção.
Por outro lado, muitos vírus transportam spywares, que visam roubar certos dados
confidenciais dos usuários. Roubam logins bancários, montam e enviam logs das atividades
do usuário, roubam determinados arquivos ou outros documentos pessoais.
Trojans
Trojan Horse ou Cavalo de Tróia é um programa que age como a lenda do cavalo de Tróia:
entra no computador e libera uma porta para um possível invasor. O conceito nasceu de
simples programas que se faziam passar por esquemas de autenticação, em que o utilizador
era obrigado a inserir as senhas, pensando que as operações eram legítimas.
Entretanto, o conceito evoluiu para programas mais completos. Os trojans atuais são
disfarçados de programas legítimos, embora, diferentemente de vírus ou de worms, não
criem réplicas de si. São instalados diretamente no computador. De fato, alguns trojan são
programados para se autodestruir com um comando do cliente ou depois de um
determinado tempo. Os trojans ficaram famosos na Internet pela sua facilidade de uso,
fazendo qualquer pessoa possuir o controle de um outro computador apenas com o envio de
um arquivo.
Worms
Programa auto-replicante, semelhante a um vírus. Entretanto, o vírus infecta um programa
e precisa dele para se propagar. Já o worm é um programa completo e não precisa de outro
programa para se propagar. Além da replicação, um worm pode ser projetado para fazer
muitas coisas, como deletar arquivos em um sistema ou enviar documentos por e-mail. O
worm pode trazer embutidos programas que geram algum tipo de problema ou que tornam
o computador infectado vulnerável a outros ataques. Um worm pode provocar danos apenas
com o tráfego de rede gerado pela sua reprodução.
Segurança 3.0
O novo modelo de segurança proposto pelo Gartner recebeu o nome de Segurança 3.0. Seu
objetivo é diminuir os gastos das companhias com segurança e melhorar o desempenho das
áreas de negócio. A implementação dessa nova estrutura requer investimentos: para
construir uma plataforma concreta de proteção, deve-se deslocar até 8% do orçamento
destinado anualmente à TI para a área de segurança. Depois que o modelo estiver
consolidado, a inversão pode ser reduzida para, aproximadamente, 3%.
O Gartner indica que as empresas devem seguir cinco passos importantes na
implementação de uma plataforma de segurança 3.0. São eles:
1) Mudar o modo como a Tecnologia da Informação é desenvolvida, construída dentro da
corporação.
2) Mudar a forma como as soluções de negócio são desenvolvidas.
3) Mudar a metodologia e os responsáveis pelo pagamento dos controles de segurança
4) Se não puder realizar todas as mudanças imediatamente, definir o que deve ser feito
primeiro, e começar a agir imediatamente.
5) Segurança deve ser ‘uma jornada’, portanto, é preciso que se tenha um destino pelo
caminho.
Assim como houve a evolução da chamada Segurança 1.0, que restringia ações de usuários,
para o padrão 2.0, que mostrava ameaças não apenas no mainframe e passava a contar
com a Internet e seus perigos, agora monitorar o perfil dos profissionais e as aplicações de
TI também se tornou imprescindível.
O funcionário que dispõe de um PC com conexão à Internet (raros são os que não possuem
hoje em dia) pode navegar por uma infinidade de sites, realizar transações bancárias e de
comércio eletrônico. E também trabalhar. Cabe à consciência de cada decidir sobre a melhor
maneira de equilibrar seu tempo entre tão empolgantes atividades e o seu próprio trabalho.
Ou não. Muitas companhias estão aderindo às empresas de monitoramento, para identificar
os mares por onde navegam seus funcionários, quando estão no escritório.
Em segundo lugar, e não menos críticas, estão as vulnerabilidades que esse acesso
aleatório ocasiona, as ameaças constantes que circulam pela web e que, a qualquer
momento, podem comprometer operações primordiais para o funcionamento da companhia.
Situações como essas estão levando ao controle rígido de diversas aplicações de acesso on-
line, entre essas a filtragem de sites e de conteúdos da Internet, e restrições daquela que
hoje é a principal ferramenta do meio digital: o correio eletrônico.
Uso indiscriminado
Mas um estudo feito pelo ePolicy Institute e a Clearswift revelou um certo descompasso
entre a preocupação das corporações com o uso indiscriminado do correio eletrônico e as
ações efetivas que tomam para combater a prática. Os resultados apontaram que 75% de
todos os profissionais pesquisados reconhecem que suas empresas produzem políticas de
utilização de e-mail, mas menos da metade (48%) treina seus funcionários sobre o assunto.
De acordo com a pesquisa, 59% das empresas declararam que possuem métodos para
reforçar a existência de regras e políticas internas. Os meios mais utilizados para isso são:
disciplina (50%), revisões de desempenho (25%), remoção de privilégios (18%) e ações
legais (4%).
Não bastasse o controle interno, as corporações precisam desenvolver armas para barrar
aquele que se tornou seu maior inimigo: as mensagens indesejadas, ou spams. Segundo a
pesquisa, 92% dos profissionais recebem algum material desse tipo. Desses, 45% afirmam
que as mensagens não-autorizadas representam mais de 10% de seu volume diário de e-
mails, percentual que ultrapassa 50% para 7% dos ouvidos pela pesquisa.
Privacidade
Regras claras
Para uma empresa como a GlaxoSmithKline (GSK), com 1,2 mil máquinas com acesso à
Internet, a principal função da política de segurança foi o controle de acessos e a
formatação da Internet como ferramenta corporativa. A definição de regras de uso da rede
começou com a estruturação de um comitê de segurança da informação, formado por
representantes de várias áreas da companhia. O comitê também elaborou um documento
no qual estão definidos os critérios para a utilização de e-mails e listados os tipos de sites
que não devem ser acessados pelos funcionários. Os downloads de aplicativos foram
totalmente restringidos.
Práticas
• Antes de qualquer ação, é viável que a companhia consulte um especialista em lei digital
para saber se existem bases judiciais que afetem seus planos de monitoria.
• As razões para realizar a monitoria têm que estar claras entre empresa e funcionário. O
fato de uma empresa admitir abertamente que faz monitoria, reforçado por ações reativas
quando são descobertas infrações, fará os funcionários entenderem que e-mail não é uma
forma de comunicação privada. É provável que passem a se policiar.
• Caracterizar a monitoria como algo de proteção mútua, dando segurança e respaldo à
corporação e ao profissional.
• Definir claramente as expectativas da empresa e informar os funcionários sobre a
monitoria.
• Estabelecer a política; educar a força de trabalho; e empregar a política de maneira
consistente.
• Combinar ferramentas de varredura de conteúdo e regras por escrito.
• Punir quando for necessário. De outra forma, ninguém respeitará as regras da companhia.
Quanto mais uma empresa depende de redes de computadores, maiores devem ser as
preocupações com segurança. E isso significa preocupar-se com a integridade de dados,
com o tempo de manutenção devido a problemas de segurança, e com muitos outros
aspectos.
Um dos maiores riscos é a empresa acreditar que basta comprar equipamentos e softwares
e estará segura para sempre. Produtos de segurança direcionados à prevenção são bons,
mas são apenas uma parte do conceito geral. Não é o bastante ter os melhores produtos de
segurança. É preciso instalá-los, usá-los, e mantê-los atualizados (instalando novas
versões, aplicando patches de correção, etc) para, então, interpretar suas informações e
responder efetivamente aos alertas registrados por eles.
No contexto atual, mais do que nunca, segurança é vital para o sucesso de um negócio.