está cada vez mais difícil manter em segurança as informações referentes às empresas ou...
TRANSCRIPT
Está cada vez mais difícil manter em segurança as informações referentes às empresas ou
pessoas. O descuido nessa área pode causar prejuízos significativos e, muitas vezes,
irreversíveis. Mas, felizmente a maior parte das empresas está consciente do perigo, e
estamos vivendo um momento em que praticamente todas elas têm alguma política de
segurança. Aquele que protege os dados de sua empresa e zela para que o protocolo de
segurança se cumpra é considerado um ótimo funcionário!A segurança da informação refere-
se à proteção requerida para proteger as informações de empresas ou de pessoas, ou seja, o
conceito se aplica tanto às corporativas quanto às pessoais. Entende-se por informação todo e
qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode
estar guardada para uso restrito ou exposta ao público para consulta ou aquisição. Podem ser
estabelecidas métricas para definição do nível de segurança existente e requerido. Dessa
forma, são estabelecidas as bases para análise da melhoria da situação de segurança existente.
A segurança de uma determinada informação pode ser afetada por fatores comportamentais e
de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas
mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.
As principais propriedades que orientam a análise, o planejamento e a implementação de uma
política de segurança são: confidencialidade, integridade e disponibilidade.Na medida o uso de
transações comerciais em que se desenvolve em todo o mundo, por intermédio de redes
eletrônicas públicas ou privadas, outras propriedades são acrescentadas às primeiras, como
legitimidade e autenticidade. Confidencialidade: Propriedade que limita o acesso à informação
tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da
informação.Integridade: Propriedade que garante que a informação manipulada mantenha
todas as características originais estabelecidas pelo proprietário da informação, incluindo
controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e
destruição).Disponibilidade: Propriedade que garante que a informação esteja sempre
disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da
informação. Em todas as fases da evolução corporativa, é fato que as transações de toda a
cadeia de produção – passando pelos fornecedores, fabricantes, distribuidores e consumidores
– sempre tiveram a informação como uma base fundamental de relacionamento e
coexistência.
O fato é que hoje, quer seja como princípio para troca de mercadorias, segredos estratégicos,
regras de mercado, dados operacionais, ou como simplesmente resultado de pesquisas, a
informação, aliada à crescente complexidade do mercado, à forte concorrência e à velocidade
imposta pela modernização das relações corporativas, elevou seu posto na pirâmide
estratégica, tornando-se fator vital para seu sucesso ou fracasso.Entre as inúmeras tendências
que explodiram em tecnologia, poucas assumiram o status de imprescindível. Ao fazer uma
comparação, ainda que os sistemas de ERP e CRM sejam de vital importância para a rotina
corporativa, ou que soluções de Business Intelligence e Balanced Scorecard permitam aos
negócios atingir patamares invejáveis de lucratividade, a Segurança da Informação é a única
que não pode faltar em hipótese alguma. É ela que protege o bem maior das companhias, ou
seja, a informação estratégica.
Para entender a importância da proteção das informações, basta pensar no prejuízo que
causaria para os negócios a posse desses dados pela concorrência ou por alguém mal-
intencionado. Atualmente, o momento é de revisão de processos e de avaliação de soluções
que protejam cada vez mais as informações corporativas, sem impactar fortemente na
produtividade. O fato é que hoje a segurança é considerada estratégica e já encabeça a lista de
preocupações de grandes empresas. A Segurança deixou de ser submetida aos domínios da TI
para se tornar uma nova área que responde ao vice-presidente ou ao gestor de operações,
ganhando orçamento próprio, salas específicas e, logo, prazos e demandas a serem atendidos.
Um dos maiores dilemas da Segurança da Informação está relacionado com a proteção dos
ativos e a compreensão da amplitude desse conceito dentro da empresa. A idéia de ativo
corporativo envolve também uma questão de difícil medição: a marca da companhia e a
percepção que ela desperta no mercado. Um grande escândalo, uma falha latente ou uma
brecha negligenciada podem sepultar uma companhia para sempre, ainda que ela tenha tido
muito sucesso até então. Outra questão relacionada com a Segurança da Informação, que
também causa preocupação, é que se trata de um investimento sem fim, pois à medida em
que ela vai se fortalecendo os ataques também se sofisticam cada vez mais.
Qualquer companhia, desde as pequenas empresas com dois ou três PCs até complexas
organizações com atuação em diversos países sabem que em maior ou menor grau a
tecnologia é essencial para seu negócio. Então, justamente por ser vital é que esse bem não
palpável traz consigo uma necessidade básica: segurança.O desafio não é tão simples. Pela
própria natureza, embora muitas empresas de TI estejam se esforçando para mudar essa
realidade, a segurança da informação é reativa. Isso significa que, tradicionalmente, primeiro
verifica-se a existência de um problema, como vírus, fraude, invasão, para depois encontrar
sua solução, vacina, investigação, correção de vulnerabilidade.
Para muitos esse cenário pode causar pânico. Afinal, primeiro eleva-se a informação ao
patamar mais crítico da empresa, tornando-a peça principal do jogo. Em seguida, vê-se que
esse dado, pela forma e processo com que é disponibilizado, corre o risco de ser corrompido,
alterado ou roubado por um garoto, que resolveu testar programas hackers disponibilizados
na própria Internet ou usurpado por funcionários e passado para a concorrência.
Entretanto, já existem práticas e soluções tecnológicas suficientemente eficientes para
comprovar que a digitalização das transações corporativas não transformou os negócios em
uma "terra de ninguém". Especialistas de segurança reconhecem que afirmar ser 100% seguro
é algo precipitado e arriscado, mas apontam que educação profissional, processos e
tecnologia formam um tripé resistente no combate ao crime eletrônico. Pesquisas mostram
que aumentam os investimentos na proteção dos dados. A segurança é o maior desafio das
soluções em TI para o sistema financeiro.
Outro fenômeno que tem sido observado é a concentração dos serviços de segurança pelo
grupo dos dez maiores integradores mundiais. Isso reflete a necessidade prioritária de as
grandes corporações e governos moverem-se em direção a fornecedores sólidos que possam
atender as demandas com flexibilidade, inteligência e rapidez. Também, elevando a
importância dos fatores de ética profissional, confiabilidade e independência, posicionando-se
para o gestor como o security advisor corporativo.
Experiências corporativas demonstraram que apenas softwares não constróem uma muralha
resistente à crescente variedade de ameaças, falhas e riscos. É preciso que as ações
corporativas sejam direcionadas por um Plano Diretor de Segurança, de forma que todos
possam estar à frente de determinadas situações de emergência e riscos com uma postura
mais pró-ativa que reativa. Esse plano será responsável por verificar se a corporação está
destinando verba suficiente para manter o nível de segurança alinhado às expectativas de
negócios. Também apontará se as vulnerabilidades são de fato corrigidas ou se há uma falsa
sensação de segurança. É muito comum haver grande disparidade entre o cenário que se
pensa ter e aquilo que realmente ele é.
De forma mais ampla esse plano deve considerar questões estratégicas, táticas e operacionais
de negócios, atrelando-as a três tipos básicos de risco: humano, tecnológico e físico. Ao longo
desse curso serão abordadas todas essas variáveis, desde os tipos mais tradicionais de vírus
que se disseminam pela rede até as portas mais vulneráveis da empresa, passando pelo
monitoramento de sua rede, seus profissionais, soluções de TI, gestão e políticas de segurança.
O maior desafio da indústria mundial de software de segurança é prover soluções no espaço
de tempo mais curto possível, a partir da descoberta de determinada ameaça ou problema.
Mas, foi-se o tempo em que tudo se resumia a encontrar um antivírus eficaz, capaz de deter
determinado vírus. Hoje os vírus de computador não são mais os únicos vilões do crime digital.
Não se trata mais de apenas proteger a estação de trabalho do funcionário. A companhia deve
garantir que o correio eletrônico enviado desse mesmo computador passará pelo servidor da
empresa, seguirá pela Internet (ou, em certos casos, por uma rede privada virtual), chegará a
um outro servidor, o qual transmitirá a mensagem ao destinatário com a garantia de que se
trata de um conteúdo totalmente protegido, sem carregar qualquer truque ou surpresa
inesperada.
Contudo, essa ainda é apenas a ponta do iceberg. A Segurança da Informação deve estar
atrelada a um amplo Programa de Segurança da Informação, que se constitui de pelo menos
três fases principais:1. Realizar o levantamento e a classificação dos ativos da empresa. 2.
Avaliar o grau de risco e de vulnerabilidade desses ativos, testar suas falhas e definir o que
pode ser feito para aperfeiçoar a segurança. 3. A infraestrutura de tecnologias, envolvendo
tanto aquisição de ferramentas quanto configuração e instalação de soluções, criação de
projetos específicos e recomendações de uso. Apresentar um organograma consolidado das
ferramentas e soluções que compreendem a segurança de uma rede corporativa é algo até
arriscado, considerando a velocidade com que se criam novos produtos e com que se
descobrem novos tipos de ameaças. No entanto, algumas aplicações já fazem parte da rotina e
do amadurecimento tecnológico de muitas organizações que, pela natureza de seus negócios,
compreenderam quanto são críticas são suas operações.
Algumas dessas aplicações são:Antivírus: Faz a varredura de arquivos maliciosos disseminados
pela Internet ou correio eletrônico.Balanceamento de carga: Ferramentas relacionadas à
capacidade de operar de cada servidor da empresa. Vale lembrar que um dos papeis da
segurança corporativa é garantir a disponibilidade da informação, algo que pode ser
comprometido se não houver acompanhamento preciso da capacidade de processamento da
empresa.Sistema Detector de Intrusão (IDS, da sigla em inglês): Como complemento do
firewall, o IDS se baseia em dados dinâmicos para realizar sua varredura, como por exemplo,
pacotes de dados com comportamento suspeito, códigos de ataque, etc.Varredura de
vulnerabilidades: Produtos que permitem à corporação realizar verificações regulares em
determinados componentes de sua rede, como servidores e roteadores.Rede Virtual Privada
(VPN, da sigla em inglês): Uma das alternativas mais adotadas pelas empresas na atualidade,
as VPNs são canais em forma de túnel, fechados, utilizados para o tráfego de dados
criptografados entre divisões de uma mesma companhia, parceiros de negócios.
Criptografia: Utilizada para garantir a confidencialidade das informações.Firewall: Atua como
uma barreira e cumpre a função de controlar os acessos. O firewall é um software, mas
também pode incorporar um hardware especializado.Autenticação: Processo de identificação
de pessoas, para disponibilizar acesso. Baseia-se em algo que o indivíduo saiba (uma senha,
por exemplo), com algo que ele tenha (dispositivos como tokens, cartões inteligentes,
certificados digitais) e, em algo que ele seja (leitura de íris, linhas das mãos).Integradores:
Permitem centralizar o gerenciamento de diferentes tecnologias que protegem as operações
da companhia. Mais que uma solução, trata-se de um conceito.Sistemas antispam: eliminam a
maioria dos e-mails não solicitados.Software de backup: São programas para realizar cópias
dos dados para que, em alguma situação de perda, quebra de equipamentos ou incidentes
inusitados, a empresa possa recuperá-los. Pela complexidade de cada uma das etapas
compreendidas em um projeto de segurança, especialistas recomendam que a empresa
desenvolva a implementação baseando-se em projetos independentes.
O maior perigo para uma empresa, em relação à proteção de seus dados, é a falsa sensação de
segurança, pois pior do que não ter nenhum controle sobre ameaças, invasões e ataques é
confiar cegamente em uma estrutura que não seja capaz de impedir o surgimento de
problemas. Por isso, os especialistas não confiam apenas em uma solução baseada em
software. Quando se fala em tecnologia é necessário considerar três pilares do mesmo
tamanho, apoiados uns nos outros para suportar um peso muito maior. Esses três pilares são
as tecnologias, os processos e as pessoas. Não adianta fortalecer um deles, sem que todos os
três não estejam equilibrados.
No entanto, ao se analisar a questão da Segurança da Informação, além da importância
relativa de cada um desses pilares, é preciso levar em conta um outro patamar de relevância,
pois estará sendo envolvida uma gama muito grande de soluções de inúmeros fornecedores.
Uma metáfora comum entre os especialistas dá a dimensão exata de como esses três pilares
são importantes e complementares para uma atuação segura: uma casa. Sua proteção é
baseada em grades e trancas, para representar as tecnologias, que depende dos seus
moradores para que seja feita a rotina diária de cuidar do fechamento das janelas e dos
cadeados, ou seja, processos. A analogia dá conta da interdependência entre as bases da
atuação da segurança e de como cada parte é fundamental para o bom desempenho da
proteção na corporação.
A primeira parte trata do aspecto mais óbvio: as tecnologias. Não há como criar uma estrutura
de Segurança da Informação com política e normas definidas sem soluções moderníssimas que
cuidem da enormidade de pragas que hoje infestam os computadores e a Internet. Os
appliances de rede, com soluções de segurança integradas, também precisam ser adotados.
Dispositivos para o controle de spam, vetor de muitas pragas da Internet e destacado entrave
para a produtividade, também podem ser alocados para dentro do chapéu da Segurança da
Informação. Programas para controlar o acesso de funcionários, que bloqueiem as visitas às
páginas suspeitas e evitem sites com conteúdo malicioso, também são destaques. Mas, antes
da implementação da tecnologia, é necessária a realização de uma consultoria que
diagnostique as soluções importantes. Essas inúmeras ferramentas, no entanto, geram outro
problema: como gerenciar toda essa estrutura dentro de uma rotina corporativa que demanda
urgência e dificilmente está completamente dedicada à segurança? A melhor resposta está no
gerenciamento unificado. A adoção de novas ferramentas, como sistema operacional, ERP ou
CRM, precisa de análise dos pré-requisitos em segurança.
O grande combate realizado no dia-a-dia do gestor de segurança, em parceria com o CIO, é
equilibrar a flexibilidade dos processos de forma que eles não tornem a companhia frágil, mas
que, por outro lado, não endureça demais a produtividade, em busca do maior nível possível
de segurança. A visão da companhia como um emaranhado de processos causou grande
revolução ao ir de encontro com os conceitos de gestão clássicos, focados na estrutura. Nesse
novo enfoque, a adição de segurança segue a mesma linha turbulenta. Como no novo modelo,
todos os processos estão integrados, um impacto causado pela segurança pode não apenas
causar prejuízos para a rotina da empresa, mas também criar certo mal-estar entre as áreas.
Tomar atitudes cautelosas e estudadas, mas sem receio de atritos, precisa ser a prática do
gestor.
A última parte da trinca é a mais fácil de explicar. Não é preciso raciocinar muito para chegar à
conclusão de que as pessoas são pedras fundamentais dentro do ambiente corporativo,
sobretudo em Segurança da Informação.
Cerca de 70% dos incidentes de segurança contam com o apoio, intencional ou não, do inimigo
interno. As pessoas estão em toda a parte da empresa e enxergam como ponto fundamental
apenas a proteção da máquina. Os cuidados básicos com as atitudes das pessoas, muitas vezes
são esquecidos ou ignorados.Encontrar senhas escritas e coladas no monitor, bem como a
troca de informações sigilosas em ambientes sem confidencialidade, como táxi e reuniões
informais são situações muito comuns. Assim, contar com a colaboração das pessoas é
simplesmente fundamental numa atividade crítica para a empresa e que não tem final em
vista. Mas o ponto principal da preocupação com as pessoas é que os fraudadores irão à busca
delas para perpetrar seus crimes.
Investimento em formação profissional é uma iniciativa muito válida, bem como intercâmbio
de informações entre áreas como Recursos Humanos e Marketing para aumentar o alcance e a
eficácia das recomendações. Outro complicador é o fato de envolver um dilema cultural.
Segurança da Informação representa um desafio de inédita magnitude para os profissionais do
setor e, também, para a companhia como um todo.
Estabelecer procedimentos em transações corporativas, operar por meio de regras de acesso e
restrições, criar hierarquias de responsabilidades, métodos de reação a eventuais falhas ou
vulnerabilidades e, acima de tudo, manter um padrão no que se refere à segurança da
companhia, dentre outras, são atribuições que culminaram na criação da função de Gestor da
Segurança da Informação, CSO – Chief Security Officer. Todas as mudanças importantes
ocorridas em segurança da informação demandavam um novo profissional. O gestor de
tecnologia não tinha condições nem tempo para assumir toda essa área. A resposta foi a
criação de uma nova função dentro da companhia que organizasse e coordenasse as iniciativas
em segurança da informação na busca da eficiência e eficácia no tema.
Apenas alguém com grande conhecimento tanto em negócios quanto em segurança pode
desenhar a estratégia de segurança da informação de maneira competente, implementando
políticas e escolhendo as medidas apropriadas para as necessidades de negócios, sem
impactar na produtividade. Além disso, ainda que a contratação de gestores de segurança
esteja sendo uma constante no mercado de grandes companhias, não se chegou a um
consenso sobre a natureza do seu cargo.
Um dos pontos que permanecem sem uma definição precisa é a viabilidade de combinar sob o
mesmo chapéu a segurança lógica e a física. O isolamento entre essas áreas pode ser fatal para
uma companhia no caso de um desastre natural, como o furacão Katrina em 2005, que atingiu
a cidade norte-americana de Nova Orleans, ou o tsunami, que afetou a Indonésia em 2004, e
até mesmo uma pane elétrica ou incêndio.
Desenvolver e implementar políticas, padrões e guias gerais para o pessoal, para a segurança
de dados, recuperação de desastre e continuidade de negócios.Supervisionar o contínuo
monitoramento e proteção da infraestrutura, os recursos necessários de processos que
envolvam pessoas ou dados.Avaliar possíveis brechas de segurança e recomendar as correções
necessárias.Negociar e gerenciar service-level agreements (SLAs) com fornecedores externos
de serviços de proteção ou hospedagem de dados.
Para atender aos requisitos de segurança lógica e física de redes globais cada vez mais
complexas e vulneráveis, o perfil do CSO evoluiu muito. Por um lado, o cenário apresenta
ameaças crescentes e cada vez mais fatais, hackers, vírus, ataques terroristas, enchentes,
terremotos. Por outro, a vulnerabilidade e a complexidade tecnológica crescem também e
aumentam as atribuições e as habilidades necessárias para exercer a função de CSO. Hoje um
CSO tem de entender de segurança, conhecer bem os negócios e participar de todas as ações
estratégicas da empresa. Mais do que um técnico, ele deve ser definitivamente um gestor de
negócios. As qualificações que costumam ser exigidas para esse cargo são: Familiaridade com a
linguagem e os dilemas próprios da TI;Habilidades em questões de segurança física;Experiência
prévia em segurança, acompanhada também por conhecimento de negócios;
Exigência de lidar com pessoas;Facilidade de comunicação, para ter a desenvoltura necessária
para fazer a interface tanto na esfera de decisão quanto nos diversos setores e níveis culturais
dentro da companhia;Capacidade de liderança e de gerenciamento de equipes para atingir
uma atuação bem-sucedida em qualquer corporação;Ter conhecimentos maduros sobre
questões como autenticação, auditoria, preservação da cena do crime real ou virtual, e
gerenciamento de risco;Ter visão estratégica e experiência no gerenciamento das operações.
Geralmente, o CSO possui formação em Ciência da Computação, Engenharia ou Auditoria de
Sistemas. O grande retorno que o CSO traz para as empresas é diminuir os riscos nas
operações, com todas as consequências positivas. Infelizmente, um profissional tão completo
assim não é encontrado facilmente no mercado. No Brasil, a demanda não chega a ser tão
grande, mas esses profissionais já são comuns em instituições financeiras, seguradoras,
operadoras de telecomunicação e empresas com operações na Internet. Especialistas em
carreira recomendam que o CSO tenha atuação independente e não se reporte ao CIO, mas
diretamente à diretoria ou à presidência.Ciência da Computação.Engenharia.Auditoria de
Sistemas.INFORME-SE!Leia mais sobre:Também, estatísticas recentes apontam para o
crescimento dos empregos na área de segurança. De acordo com estudo anual feito pela IDC e
patrocinado pelo International Information Systems Security Certification Consortium, a
projeção de profissionais para a região das Américas passou de 647 mil em 2006 para 787 mil
em 2009.
O estudo Global Information Security Workforce Study (GISWS) destaca que a
responsabilidade pela segurança da informação cresceu na hierarquia da gestão e acabou
chegando ao conselho diretor e ao CEO, CISO ou CSO. Quase 21% dos entrevistados na
pesquisa disseram que seu CEO agora é o responsável final pela segurança da informação, e
73% afirmaram que esta tendência se manterá. Cada vez mais é essencial que as organizações
sejam pró-ativas na defesa de seus ativos digitais. Desse modo, é preciso contar com
profissionais competentes para lidar com soluções de segurança complexas, requisitos
regulatórios e avanços tecnológicos das ameaças, bem como vulnerabilidades onerosas.
Assim, o CSO deve proceder a gestão de riscos e estar mais integrado às funções de negócio.
Profissionais de segurança precisam aprimorar suas habilidades técnicas e de negócio para que
possam exercer a função.
Ao elaborar o plano de carreira as associações que oferecem serviços de construção de
carreira e educação continuada podem ajudar. No contato com essas associações, o candidato
a CSO pode explorar oportunidades para demonstrar sua experiência na área, fazer parte de
redes de comunicação com colegas e ter acesso à pesquisa da indústria e oportunidades de
trabalho voluntário. É importante ressaltar, também, que certificações e experiência na área
são pouco proveitosas isoladamente. Para evoluir no quadro técnico da empresa e se tornar
um CSO é necessário saber se comunicar, em termos de negócios. Para isso, a proficiência
técnica deve ser aliada à habilidade de transmitir o valor do negócio. O CSO deve ser capaz de
explicar os benefícios da segurança, acerca de retorno do investimento (ROI), e seu valor para
melhorar a capacidade da empresa em fechar negócios, além de deixar claro quais são as
soluções práticas que ela pode trazer para a resolução dos problemas.
Aprender a colaborar com outros departamentos, para integrar e avaliar outras funções.
Pesquisa da IDC indica os entrevistados afirmam que 62% de suas tarefas cotidianas
dependem da troca de informação ou da cooperação com outras pessoas.Adotar a abordagem
do valor agregado, ou seja, alinhar suas atribuições e responsabilidades com as metas de
negócio de cada departamento.Desenvolver seu próprio círculo de confiança dentro da
organização, com representantes de cada departamento para ajudar a promover a
compreensão mútua, a valorização e o trabalho em equipe.Manter conversas com executivos
para que eles possam conhecê-lo e aprender a confiar em você. Nessas conversas, você pode
agregar valor às suas metas e demonstrar porque deve ser consultado ou incluído em uma
reunião.Oferecer treinamento para conscientizar os executivos e usuários sobre ameaças à
segurança que afetam os home offices e apresentar técnicas de prevenção. O objetivo é
conquistar confiança dos executivos na sua capacidade de fazer recomendações para as redes
da empresa.Aprender a equilibrar riscos e oportunidade. Muitos executivos consideram o staff
de segurança inflexível e evitam convidá-lo para reuniões de estratégia. Seja flexível ao
equilibrar os riscos à segurança com os processos de negócio que ajudam a organização a
cumprir as metas.
Em pouco tempo os computadores tornaram-se uma parte intrínseca e essencial da vida
cotidiana. O resultado é um enorme potencial de lucros financeiros para os criadores de
programas mal intencionados. Com a ascensão de técnicas sofisticadas, está ficando cada vez
mais difícil para a base de usuários em geral identificar ou evitar as infecções por programas
mal intencionados.A principal ameaça à segurança das transações corporativas são as pessoas.
Esta é a primeira resposta que muitos institutos de pesquisas e especialistas de segurança têm
utilizado quando questionados sobre a principal ameaça às transações corporativas.Soluções
tecnológicas sofisticadas, integradas a parceiros, clientes e fornecedores, a última palavra em
ferramentas de gestão empresarial e relatórios detalhados não têm valor se não há restrições,
políticas e processos que estabeleçam e organizem a conduta do profissional dentro da
corporação. Na maior parte das vezes já se verifica que os problemas relacionados à
interferência humana não estão diretamente ligados às ações fraudulentas ou às demais
situações em que o funcionário tem o objetivo de prejudicar sua empresa. Pelo contrário: a
grande maioria dos incidentes de segurança ocorre por falta de informação e de processos e
orientação ao recurso humano.
Outro fator determinante nessa equação está vinculado à evolução rápida e contínua das
tecnologias. Em pouco tempo até mesmo os computadores domésticos ganharam recursos em
potência e em capacidade de armazenamento.
Porém, as questões de segurança, atreladas à gestão de pessoal, são apenas parte dos desafios
que as empresas precisam enfrentar. Antes desses, e não menos críticas, estão as
vulnerabilidades tecnológicas renovadas a cada instante.Especialistas em identificar e estudar
essas brechas vêm se esforçando para alertar sobre aquelas que hoje são consideradas as
principais ameaças às transações eletrônicas. O System Administration, Networking and
Security (SANS) e o National Infrastructure Protection Center (NIPC/FBI) são bons exemplos
dessa realidade. Nos próximos slides estão mencionadas algumas das falhas mais comumente
identificadas, independentemente do porte ou da área de atuação da companhia, bem como
da complexidade de sua infraestrutura tecnológica e dos sistemas que utiliza.
As senhas de um funcionário podem ser facilmente descobertas, mesclando itens comuns
como nome e sobrenome, data de aniversário, nome de esposa, filho etc. A administração
desses acessos também se dá de forma desordenada, o usuário geralmente não tem educação
para lidar com seu código de acesso. Atualmente, as empresas contam com o benefício de
estabelecer uma autenticação forte, isto é, mesclar algo que o usuário sabe (memória), com
algo que ele tem (token) e algo que ele é (biometria).Algumas ferramentas possibilitam à
corporação verificar o grau de segurança das senhas de seus funcionários. Utilizar um desses
recursos para quebra de senhas pode ser um bom caminho para identificar contas com senhas
fracas ou sem senha.
Muitas empresas afirmam realizar backups diários de suas transações, mas sequer fazem
manutenção para verificar se o trabalho realmente está sendo feito. É preciso manter backups
atualizados e métodos de recuperação dos dados previamente testados. Muitas vezes uma
atualização diária é pouco diante das necessidades da empresa, caso venha a sofrer algum
dano. Também é recomendável tratar da proteção física desses sistemas que por vezes ficam
relegados à manutenção precária. Já é comum, depois dos tristes fatos ocorridos em 11 de
setembro de 2001, sites de backup onde os dados são replicados e, em caso de uma
catástrofe, os sistemas são utilizados para a continuidade dos negócios.
Portas abertas são convites para invasões. Boas ferramentas de auditoria de servidores ou de
scan podem auxiliar a empresa a identificar quais são suas brechas nos sistemas. Para não ser
surpreendido, é recomendado fazer uma auditoria regular dessas portas. Independentemente
da ferramenta utilizada para realizar essa operação, é preciso que ela varra todas as portas
UDP e TCP do sistema, nas quais se encontram os alvos atacados por invasores. Além disso,
essas ferramentas verificam outras falhas nos sistemas operacionais tais como serviços
desnecessários e aplicações de patches de segurança requeridos.
Logs são responsáveis por prover detalhes sobre o que está acontecendo na rede, quais
sistemas estão sendo atacados e os que foram de fato invadidos. Caso a empresa venha a
sofrer um ataque, será o sistema de registro de logs o responsável por dar as pistas básicas
para identificar a ocorrência, saber como ocorreu e o que é preciso para resolvê-la. É
recomendável realizar backup de logs periodicamente.
Brechas de Instalações Muitos fornecedores de sistemas operacionais padrão (default) e
aplicativos oferecem uma versão padrão e de fácil instalação para seus clientes. Eles acreditam
que é melhor habilitar funções que não são necessárias do que fazer com que o usuário tenha
de instalar funções adicionais quando necessitar. Embora esse posicionamento seja
conveniente para o usuário, ele acaba abrindo espaço para vulnerabilidades, já que não
mantém nem corrige componentes de software não usados. Sobre os aplicativos, é comum
que instalações default incluam scripts ou programas de exemplos que muitas vezes são
dispensáveis. Sabe-se que uma das vulnerabilidades mais sérias relacionadas a servidores web
diz respeito aos scripts de exemplo, os quais são utilizados por invasores para invadir o
sistema.As recomendações básicas são remover softwares desnecessários, desabilitar serviços
fora de uso e bloqueio de portas não usadas.
Transações sem fio desprotegidas Os equipamentos móveis são tecnologias emergentes. No
entanto, os padrões de comunicação utilizados atualmente requerem configuração minuciosa
para apresentar um mínimo de segurança. Novos padrões prometem mais tranqüilidade à
comunicação wireless, mas é recomendável ter cautela na adoção desses recursos, conforme o
grau de confidencialidade do que está sendo transmitido pelo canal sem fio.
A falta de gerenciamento de cada ferramenta de segurança e a correção de software
disponibilizado pelos fornecedores estão entre os fatores mais críticos na gestão corporativa.
Para muitos, esse é um desafio constante, visto o volume de "patches" anunciado por diversos
fornecedores, bem como a velocidade com que se atualizam os softwares de segurança.
Já existem, inclusive, empresas especializadas em fornecer ferramentas que cumprem a
função específica de automatizar a atualização de patches de segurança. Um Plano Diretor de
Segurança deve contemplar e explicar, em detalhes, como esses processos devem ser
realizados.
As empresas de Segurança da Informação periodicamente divulgam as principais ameaças que
rondam os usuários de Internet, corporativos ou domésticos. Com mais de 217 mil tipos
diferentes de ameaças conhecidas e outros milhares de ameaças ainda não identificadas, o
laboratório da empresa de segurança McAfee conclui que os programas mal-intencionados são
cada vez mais lançados por criminosos profissionais e organizados. A empresa acredita que,
até o final de 2007, cerca de 300 mil ameaças digitais devem estar registradas em seu banco
de dados. As dez mais importantes ameaças identificadas pela companhia para 2007 são:1. O
número de sites de roubo de senhas aumentará, utilizando páginas de cadastro falsas de
serviços conhecidos na Internet, como o eBay. 2. O volume de spams, especialmente do tipo
que consome uma quantidade enorme de largura de banda, continuará crescendo, o que
prejudica a produtividade dos funcionários, que precisam apagar manualmente as mensagens
indesejadas.
3. A popularidade do compartilhamento de vídeos na Web tornará inevitável que os hackers
tenham por objetivo os arquivos MPEG como meio de distribuir programas mal-
intencionados.4. Os ataques a telefones celulares ficarão mais freqüentes à medida que os
dispositivos móveis ficarem mais inteligentes e mais conectados.5. O Adware ganhará
importância ainda maior após o aumento dos programas comerciais potencialmente
indesejáveis (PUPs).6. O roubo de identidade e a perda de dados continuarão sendo um
problema público - na raiz desses crimes estão, muitas vezes, o furto de computadores, a
perda de backups e sistemas de informação comprometidos.7. O uso de robôs (bot),
programas de computador que realizam tarefas automatizadas, aumentará como uma das
ferramentas preferidas dos hackers.
8. Reaparecerão os programas mal-intencionados parasitas, ou vírus que modificam arquivos
existentes em um disco.9. O número de rootkits em plataformas de 32 bits aumentará, mas os
recursos de proteção e resolução também aumentarão.10. As vulnerabilidades continuarão
causando preocupação, impulsionadas pelo mercado clandestino de vulnerabilidades - os
hackers prosseguirão com ameaças para infectar máquinas por meio de vulnerabilidades
conhecidas.Hoje, os pesquisadores da empresa têm provas da ascensão do crime profissional e
organizado na criação de programas mal-intencionados, com equipes de desenvolvimento
criando, testando e automatizando a produção e a distribuição.Técnicas sofisticadas tais como
polimorfismo, a recorrência de parasitas, rootkits e sistemas automatizados com criptografia
cíclica que lançam novas versões estão ganhando mais espaço. Além disso, as ameaças estão
sendo embaladas ou criptografadas para disfarçar os objetivos mal-intencionados em uma
escala mais veloz e complexa.
Cada vez mais equipamentos móveis, como notebooks e smartphones, estão presentes na vida
das pessoas, especialmente de executivos que se deslocam em viagens de negócios. Contudo,
esses dispositivos móveis possuem fragilidades diferentes das encontradas em computadores
fixos. Isso exige uma política segurança diferenciada para controlar possíveis ameaças.Não é
novidade para ninguém. A adoção em larga escala de equipamentos móveis, especialmente
notebooks e smartphones, traz vantagens inquestionáveis para o ambiente corporativo, como
o aumento da produtividade, disponibilidade e flexibilidade. Uma questão, no entanto,
permanece sem resposta: até que ponto o produto em suas mãos é seguro?
Em meados dos anos 80 os computadores pessoais substituíram o mainframe e
revolucionaram a forma pela qual as pessoas se relacionavam com a tecnologia. Eles
dominaram completamente o cenário mundial. O reinado, entretanto, está terminando. A
coroa está com os terminais móveis, com predomínio dos notebooks, mas também com a
presença crescente de handhelds, smartphones, PDAs e telefones celulares. A mudança está
tão consolidada que é inimaginável um executivo de sucesso, em qualquer vertical de atuação,
que não carregue seu dispositivo móvel, seja este qual for. Essa reestruturação está
revolucionando o mercado corporativo. Se, por um lado, é possível atingir níveis de
produtividade impensáveis no formato antigo quando o executivo permanecia preso no
ambiente tradicional de escritório, por outro, a segurança da informação surge como o seu
calcanhar de aquiles. Os argumentos a favor são atraentes: garantias de grande
disponibilidade e flexibilidade, já que o executivo pode acessar informações da rede da
companhia em qualquer horário e de qualquer lugar do mundo. No entanto, os contrários
assustam.Uma das exigências para o sucesso no atual mercado globalizado é a capacidade de
estar conectado a qualquer momento, pronto para fazer algum negócio assim que ele apareça.
Os dispositivos móveis possuem fragilidades que não encontram paralelo nas estações fixas,
fato que exige do gestor de segurança da informação uma política estruturada para cuidar de
todos esses limites.As tecnologias de acesso sem fio, outra base da mobilidade, também
representam um grande problema. Independente do padrão escolhido, elas significam, no
limite, uma falta de controle da organização sobre a rede em que se acessa. Especificamente,
as funcionalidades integradas de wireless LAN permitem o acesso a recursos corporativos por
meio de redes terceiras, que estão longe da visão da corporação e das suas políticas de
segurança. O desenvolvimento da tecnologia também aumenta o escopo do problema. Com
discos de maior capacidade de armazenamento, o usuário acaba sendo encorajado a salvar
seus dados localmente, o que representa problemas de segurança. A disseminação de USB
drives, bem como gravadores de CDs e DVDs, abrem espaço para a utilização pessoal do
dispositivo, retendo informações que não deveriam estar ali. Outro ponto preocupante diz
respeito à transferência de informações do notebook para esses aparelhos, já que, caso não
exista uma política clara e estruturada, é difícil controlar quais arquivos foram copiados em
outras mídias.
Além disso, o aspecto físico da solução também precisa ser levado em conta. Pelo seu valor, os
aparelhos portáteis atraem enorme atenção e são roubados constantemente. Em São Paulo,
por exemplo, existem quadrilhas especializadas em roubos de laptops que procuram suas
vítimas em locais estratégicos como aeroportos ou de concentração de grandes empresas.
Outro fator que causa bastante preocupação está, graças à miniaturização dos aparelhos, na
possibilidade de perda desses dispositivos. Mais do que o preço do aparelho, o dado
armazenado também tem valor, muitas vezes, incalculável.Como lidar com todas essas
questões?
Na outra ponta, a grande preocupação para os CSOs representa uma enorme oportunidade de
negócios para as empresas de segurança. Assim, inúmeros players olham com atenção para
essas questões, oferecendo soluções que prometem diminuir os riscos do uso de soluções
móveis no ambiente corporativo. A primeira resposta está nos softwares de conformidade de
terminal.
Aproveitando a estrutura consolidada dentro da empresa, o gestor replica as soluções de
segurança instaladas e confere se o aparelho está dentro das políticas especificadas
internamente. Com isso, o usuário de um aparelho móvel permanece em uma VPN, que
funciona como quarentena, tendo seu acesso à rede corporativa liberado apenas quando
atender a todos os pré-requisitos, como instalação das atualizações de antivírus e patches de
segurança. Desse modo, é possível garantir que todos os níveis de proteção estabelecidos pela
companhia sejam passados para as plataformas móveis. Assim, é quase eliminado o problema
de um worm ou vírus no notebook, por exemplo, infectar toda a rede corporativa sem que o
usuário tenha conhecimento. Isso, no entanto, é apenas o primeiro nível de proteção no
contexto das plataformas móveis.
Um CSO preocupado e atento às novas tendências precisa entender que, na verdade, a
conformidade entra mais como um fator de controle dentro da companhia. Isso porque a
abordagem de maior proteção precisa estender a preocupação para os próprios dispositivos
móveis em uso, com cada um tendo uma solução de segurança conforme suas necessidades e
analisando com qual tipo de dado costuma trabalhar.Acima de tudo, a mobilidade significa que
as empresas usuárias precisarão fazer novos investimentos para se adequar à nova realidade
imposta. Essa nova realidade exige novas políticas e soluções contra o inimigo interno. Então, a
preocupação com esse tema ganha um novo patamar.De qualquer forma, toda a
implementação de segurança, seja na corporação ou nos dispositivos móveis, deve ser
precedida por uma fase de rigorosa análise. O contexto da mobilidade é multifacetado, com
variações marcantes conforme o terminal, ou seja, um notebook precisa de uma abordagem
determinada, enquanto um smartphone precisa de outras soluções. É preciso levar em conta
quais são os riscos e qual é a importância dos dados armazenados para, a partir daí, tomar a
decisão mais adequada, seja investir numa solução que combine antivírus, firewall e IPS ou
apostar em outra alternativa.
Atualmente o dispositivo mais visado é o notebook. As ferramentas de criptografia são
obrigatórias, nesse cenário. É preciso proteger os dados armazenados, especialmente os
estratégicos que, se roubados, podem causar grandes estragos para a companhia. A
criptografia diminui esse perigo. Dados do Gartner, no estudo chamado Update Your Security
Practices to Protect Notebook PCs, dão conta de que grande parte das organizações têm
dificuldade em reconhecer a necessidade de levar a segurança da informação aos dispositivos
móveis. Avaliando os motivos desse comportamento, o instituto enumerou o nível de
amadurecimento do mercado de segurança, já que os fornecedores do setor, tanto em
software quanto em serviços, ainda não abrangem toda a gama de vulnerabilidades dos
notebooks.
Também foram destacadas as abordagens em soluções únicas. Segundo o levantamento,
apostar em apenas um único produto ou procedimento para atingir um nível de segurança
satisfatório em notebooks é muito perigoso. A estratégia de proteção adotada para notebooks
deve ser seguida fielmente pelos outros dispositivos. Conforme as aplicações dentro de cada
aparelho forem sendo ampliadas e a importância dos dados crescendo na mesma razão, será
necessário cuidar de soluções próprias para os outros dispositivos, sejam eles PDAs,
smartphones ou os populares telefones celulares.Ainda que alguns especialistas afirmem que a
consolidação já é uma realidade para aparelhos de menor porte, o mercado ainda se mostra
incipiente. Mas, um dado precisa ser levado em consideração: enquanto o primeiro worm de
rede levou cerca de 20 anos para ser desenvolvido, a praga eletrônica que infestou os celulares
não demorou mais do que oito meses.
Antes do surgimento da mobilidade, todos os investimentos estavam focados no perímetro de
rede das empresas. Hoje, a situação se modificou sensivelmente. A estrutura de combate
construída para proteger a companhia do ambiente externo, empilhando soluções de
antivírus, firewall, IDS e IPS, além dos appliances de rede que trazem funcionalidades de
segurança não é suficiente. Friamente, a mobilidade trouxe um novo conceito de perímetro de
rede e, com ele, gerou paralelamente inúmeras brechas de segurança.Não é ilusório imaginar
que, como toda grande revolução com ganhos fantásticos, a mobilidade está também pagando
um alto preço. Reestruturar todo o ambiente corporativo, ganhar muito em produtividade e
disponibilidade, fechando negócios em tempo real de qualquer lugar do mundo gerou
conseqüências. E elas serão bem mais sérias do que vírus que invadem a rede ou worms que
se reproduzem para toda a lista de contatos.Envolvem inúmeras possibilidades muito mais
complicadas, como o roubo de informações confidenciais de importância ímpar para a
corporação, que podem prejudicar seriamente a empresa ou até comprometer sua marca,
exigindo sua saída do mundo de negócios. A segurança da informação em mobilidade é algo
que vai preocupar bastante os gestores de segurança nos próximos anos.
A comunicação de dados por redes sem fio ainda é objeto de estudo de organizações
especializadas em soluções de segurança da informação. A facilidade de se trafegar bits por
ondas de rádio, sem necessidade de conexão a qualquer tipo de rede de cabos, tem atraído
cada vez mais usuários em todas as partes do mundo. Porém, em termos práticos, esse meio
de comunicação ainda não está totalmente protegido de invasões e fraudes, realidade que
está diretamente relacionada ao desenvolvimento dos padrões de comunicação das redes sem
fio.Grandes são as expectativas junto de um mercado que ainda se encontra em seu estado
inicial. No Brasil, as pesquisas apontam que a adoção de redes sem fio está em processo
acelerado. Entre outros fatores, especialistas afirmam que uma rede WLAN pode ser até mais
barata do que uma estrutura com cabeamento, uma vez que dispensa a aquisição de diversos
equipamentos e serviços. Mas, existe também a mobilidade que oferece uma conectividade
praticamente ininterrupta para o usuário. Várias empresas instalaram hot spots (conexões sem
fio em lugares públicos) nos principais pontos de acesso no Brasil, tais como aeroportos, bares
e livrarias, o que abre muitas possibilidades de comunicação de funcionários com suas
empresas e acesso à Internet. Tecnologias com o WiMax aumentam a área de cobertura das
redes sem fio e prometem ser o próximo grande boom nas corporações e na vida das pessoas.
A terceirização é uma forte tendência em todos os setores de TI, e não poderia ser diferente,
quando falamos em segurança da informação. Trata-se de um assunto recorrente, isso porque
ela não é especialidade da indústria de manufatura, como também não faz parte dos negócios
do setor automobilístico, de empresas alimentícias ou do varejo. No entanto, para que possam
manter o core business de suas operações, essas corporações devem garantir a manutenção
das condições ideais de segurança, que cada vez mais se torna fator crítico em todas as suas
transações.Por isso, podemos nos preparar para ver as ações de proteção sendo executadas
fora da corporação. No caso da segurança, a diferença é que a viabilidade do processo
depende do tamanho das organizações. Grandes empresas têm pouca probabilidade de passar
a segurança para o esquema outsourcing. Já as pequenas e médias mostram-se mais abertas a
essa opção, como podemos observar nas estruturas de software as a service, que vêm
crescendo no mercado, tornando-se mais maduras.
Muitos profissionais da área acreditam que a terceirização da segurança da informação é o
caminho natural tanto para o mercado corporativo quanto para usuários domésticos. A
integridade dos dados é um aspecto importante para usuários em todos os níveis. Entre outros
benefícios, a terceirização dos processos de proteção à rede proporciona a redução no custo
de manutenção dos dispositivos. Não é por acaso que os institutos de pesquisa têm indicado
crescimento nos orçamentos de tecnologia da informação (TI) no que se refere à segurança.
Em alguns casos, a verba dessa área é totalmente independente do que é gasto com TI.Porém,
o outsourcing de segurança ainda está engatinhando no Brasil. Apesar disso, números da
consultoria IDC indicam que a terceirização tende a ganhar espaço. O segmento de MSS –
Managed Security Services é o que mais cresce no mundo na área de segurança.Em 2006, os
gastos com segurança da informação atingiram 38 bilhões de dólares mundialmente, sendo
que 45% desse montante foram para as mãos dos provedores de serviços. Do restante, 35%
ficaram com a área de hardware e 19% com a de software.
A previsão da consultoria é que o setor cresça em média 16% até 2010, sendo que a fatia de
serviços tende a aumentar o seu percentual no bolo. Segundo dados da Frost&Sullivan, o
mercado latino-americano de serviços gerenciados de segurança deve superar o total de US$
272 milhões em 2011. De acordo com a consultoria, o Brasil continuará a concentrar 40%
desse mercado. Em seguida vem o México, com 23%.Para atender à demanda crescente, a F-
Secure promete anunciar uma parceria para expandir seus negócios na América Latina. A
empresa atua no Brasil em parceria com o provedor IG para entrega de serviços como
antivírus, firewall e proteção contra malwares, phishing e spam. Os usuários corporativos ou
domésticos podem optar por pacotes que variam de acordo com suas necessidades, com
custos que vão de R$ 6,90 a R$ 19,90 mensais por máquina protegida.
Especialistas apontam que todos os negócios, grandes ou pequenos, possuem gaps em sua
estrutura interna quando se trata de segurança. Ao tentar garantir que todas as áreas estejam
seguras, algum segmento sempre fica descoberto e mais vulnerável à ameaças e intrusos. A
solução para preencher esse gap seria enxergar a segurança como um serviço, além de
transferir sua gestão para um especialista. Dessa forma, as organizações podem melhor
direcionar seus profissionais e recursos. Além disso, todas as atenções ficam mais voltadas ao
foco do negócio e dos resultados que devem ser obtidos.Para a Frost & Sullivan, as
companhias estão se conscientizando dos benefícios da contratação de terceiros para o
gerenciamento da segurança. A consultoria destaca que entre as vantagens do outsourcing
desses serviços estão a redução de custos com mão-de-obra especializada e a simplificação do
investimento em equipamentos para proteção. O acesso contínuo a recursos atualizados e a
possibilidade de se dedicar mais tempo ao negócio da empresa também são citados como
benefícios diretos.
O mercado brasileiro ainda passa por uma fase de maturação, mas, se tratando de segurança
nunca existe certeza absoluta do que está por vir. O que é bom e seguro hoje passa a ser
vulnerável amanhã.
O que se nota é que, conforme a segurança ganha espaço entre outras prioridades das
organizações, passa a ter valor estratégico, isto é, participa das decisões de mercado, da
integração com a cadeia de valor, das formas de oferta de produtos e serviços etc. Assim, é
natural que, em um mesmo grau de complexidade que as transações eletrônicas, a segurança
da informação demande diversas aplicações e camadas tanto no que se refere à infraestrutura
tecnológica (hardware e software), quanto na prestação de serviços e recursos humanos.
Frente ao desafio, a terceirização tem sido um dos caminhos procurados pelas organizações.
Não há regra geral que se aplique a tudo e a todos. Atualmente, algumas corporações
terceirizaram toda sua infraestrutura de segurança, desde pessoal até backup de transações,
filtragem, entre outros. Também, estão plenamente satisfeitas com isso. Em outros casos, a
empresa opta por fazer um trabalho parcial, tirando de sua responsabilidade, por exemplo, os
serviços de contingência com duplicação de operações por meio de um datacenter.
Independentemente dos caminhos escolhidos para trilhar, o que a maior parte dos
especialistas orienta, ao decidir partir para um processo de outsourcing, é terceirizar apenas o
que é operacional, pois isso gera investimentos pesados em infraestrutura, hardware, licenças
de software etc.
Em suma, cada corporação deve avaliar em detalhes os benefícios e riscos de decidir pela
terceirização gerando, assim, um planejamento de outsourcing de segurança. Logo, esse
relatório deverá contemplar desde os recursos de TI necessários à mão-de-obra envolvida, aos
processos de migração, atendimento a clientes e parceiros, suporte, resposta a incidentes etc.
Será esse material, baseado em preço, prazos e processos de implementação, que definirá se a
terceirização da segurança da informação terá ou não sucesso. De outra forma, essa será
encarada apenas como mais uma maneira de burocratizar os serviços, consumir investimentos
e não adicionar qualquer valor às transações da organização. Salvo exceções, algumas áreas de
segurança são passíveis de terceirização, tais como suporte,
Os SOCs (Security Operation Center) disponíveis são especializados na prestação de serviços
dessa natureza, e de outras. Esses centros de segurança e gerenciamento de dados estão
atraindo o interesse das empresas por uma série de razões como menor custo com equipe
interna, investimentos divididos com outras companhias, respostas rápidas a incidentes e
qualidade de serviço estabelecida em contratos - os chamados Service Level Agreements
(SLAs).Mas, mesmo com vantagens competitivas tangíveis e de retorno rápido, a terceirização
de segurança tem como barreira central a questão cultural das corporações. Invariavelmente,
esse é o principal desafio a ser vencido, já que exige uma relação de total confiança entre os
parceiros. Essa responsabilidade deve estar esboçada em detalhes no contrato de SLA. Um
programa que garanta 100% de atividade ao longo de um ano levanta suspeita. Basta verificar
o volume de incidentes de segurança que ocorrem diariamente com empresas altamente
protegidas, como as do setor financeiro. Além do nível de serviço oferecido pelo fornecedor,
vale ressaltar o compromisso deste em ter uma postura pró-ativa com o usuário, ou seja, na
medida do possível manter os níveis de segurança bem preparados. Esse contrato estabelece
como serão atendidas as necessidades futuras do contratante e quais multas e penalidades no
caso de não cumprimento ou rompimento do acordo.
Em tese, tudo é passível de ser terceirizado. Mas, na realidade, o processo não é tão simples e
imediato como se imagina. Portanto, o ideal é que a empresa tenha conhecimento sobre seus
próprios custos e infraestrutura, algo que muitas vezes não está organizado ou quantificado.
Na prática, o outsourcing deve retirar da empresa tarefas repetitivas e burocráticas que não
demandam ou envolvam decisões complexas ou estratégicas. Estudos apontam que esses
serviços são responsáveis por algo entre 5% e 10% dos orçamentos de TI.Também é preciso
avaliar a utilização e a disponibilidade de bens que não se limitam à infraestrutura tecnológica.
Em grandes corporações já ocorreu de a empresa contratante perder profissionais
estratégicos, os quais passaram a atender a organização via outsourcing.
Foi-se o tempo em que os criminosos virtuais contentavam-se em invadir um site e deixar ali a
sua marca. Hoje eles são silenciosos e muito mais perigosos. Nesse exato momento, sem que
você saiba, pode ser que seu computador esteja mandando milhares de e-mails para o mundo
todo e você nem se dá conta disso. Pior: pode ser que você tenha um programa espião
instalado em sua máquina capaz de copiar todas as suas senhas. Já pensou? Agora o objetivo é
obter vantagem financeira. Por isso, todos precisam ficar muito espertos.Saiba a seguir quais
são as principais ameaças virtuais que rondam as empresas
Fraudes Implementadas por meio de recursos de Tecnologia da Informação, crescem
gradativamente e exigem a melhoria de controles internos e de processos de monitoramento.
Mesmo com a rápida e constante evolução da tecnologia, é difícil afirmar que vulnerabilidades
e falhas deixarão de existir nos sistemas e nas redes de computadores.Isso não quer dizer que
as fraudes em TI não possam ser evitadas ou, pelo menos, que seus riscos não possam ser
minimizados em níveis aceitáveis pelas organizações. Para atingir esse objetivo, é necessário
um esforço integrado de investimento, em mecanismos de segurança tecnológica e em
processos operacionais. Exigências legais, como a lei Sarbanes-Oxley, obrigam as empresas a
estabelecer controles antifraude em seus processos de gestão de riscos corporativos.
Deficiências nesses controles podem resultar em fraudes executadas por meio dos recursos de
TI disponíveis.
Phishing Trata-se de uma forma de fraude eletrônica, caracterizada por tentativas de adquirir
informações confidenciais, tais como senhas e números de cartão de crédito, ao se fazer
passar por uma pessoa confiável ou empresa enviando uma comunicação eletrônica oficial,
como um e-mail ou alguma mensagem instantânea. O termo phishing surge das cada vez mais
sofisticadas artimanhas para "pescar" (fish) as informações sensíveis dos usuários. Essas
informações particulares são usadas para causar algum prejuízo, como roubo de dinheiro da
sua conta corrente.
É um programa malicioso desenvolvido por programadores que, tal como um vírus biológico,
infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros computadores,
utilizando-se de diversos meios. A maioria das contaminações ocorre pela ação do usuário
executando o anexo de um e-mail. A segunda causa de contaminação é por sistema
operacional desatualizado, sem a aplicação de corretivos que bloqueiam chamadas maliciosas
nas portas do micro. Ainda existem alguns tipos de vírus que permanecem ocultos, mas
entram em execução em horas especificas.
Spyware Programa automático de computador que recolhe informações sobre o usuário,
sobre seus costumes na Internet e as transmite a uma entidade externa na Internet sem seu
conhecimento ou consentimento. Diferem dos cavalos de Tróia por não terem como objetivo
que o sistema do usuário seja dominado e manipulado por uma entidade externa, por um
cracker. Os spywares podem ser desenvolvidos por empresas que desejam monitorar o hábito
dos usuários para avaliar seus costumes e vender esses dados pela Internet. Elas costumam
produzir inúmeras variantes de seus programas-espiões, aperfeiçoando-os e dificultando sua
completa remoção. Por outro lado, muitos vírus transportam spywares que visam roubar
certos dados confidenciais dos usuários. Roubam logins bancários, montam e enviam logs das
atividades do usuário, roubam determinados arquivos ou outros documentos pessoais. Os
spywares costumavam vir legalmente embutidos em algum programa que fosse shareware ou
freeware. Muitas vezes, sua remoção era feita na compra do software ou de uma versão mais
completa e paga.
Trojan Trojan, Horse ou Cavalo de Tróia é um programa que age como o ocorrido na história
da Grécia sobre o Cavalo de Tróia. Isto é, entra no computador e libera uma porta para um
possível invasor. O conceito nasceu de simples programas que se faziam passar por esquemas
de autenticação, em que o usuário era obrigado a inserir as senhas, pensando que as
operações eram legítimas. Entretanto, o conceito evoluiu para programas mais completos. Os
trojans atuais são disfarçados de programas legítimos, embora, diferentemente de vírus ou de
worms, não criam réplicas de si. São instalados diretamente no computador. De fato, alguns
trojans são programados para se autodestruir com um comando do cliente ou depois de um
determinado tempo.Os trojans ficaram famosos na Internet pela sua facilidade de uso,
fazendo qualquer pessoa possuir o controle de um outro computador apenas com o envio de
um arquivo. Os trojans atuais são divididos em duas partes: o servidor e o cliente.
Normalmente, o servidor está oculto em algum outro arquivo e, no momento que esse arquivo
é executado, se instala e se oculta no computador da vítima. A partir desse momento, o
computador pode ser acessado pelo cliente, que enviará informações para o servidor executar
certas operações no computador.
Worms Programa autorreplicante, semelhante a um vírus. Entretanto, o vírus infecta um
programa e precisa dele para se propagar. Já o worm é um programa completo e não precisa
de outro programa para se propagar. Além da replicação, um worm pode ser projetado para
fazer muitas coisas, como deletar arquivos em um sistema ou enviar documentos por e-mail. O
worm pode trazer embutidos programas que geram algum tipo de problema ou que tornam o
computador infectado vulnerável a outros ataques. Um worm pode provocar danos apenas
com o tráfego de rede gerado pela sua reprodução.
O novo modelo de segurança proposto pelo Gartner recebeu o nome de Segurança 3.0. Seu
objetivo é diminuir os gastos das companhias com segurança e melhorar o desempenho das
áreas de negócio. A implementação dessa nova estrutura requer investimentos: para construir
uma plataforma concreta de proteção, deve-se deslocar até 8% do orçamento destinado
anualmente à TI para a área de segurança.Depois que o modelo estiver consolidado, a inversão
pode ser reduzida para, aproximadamente, 3%. O Gartner indica que as empresas devem
seguir cinco passos importantes na implementação de uma plataforma de segurança 3.0. São
eles:
Mudar o modo como a Tecnologia da Informação é desenvolvida, construída dentro da
corporação.
Mudar a forma como as soluções de negócio são desenvolvidas.
Mudar a metodologia e os responsáveis pelo pagamento dos controles de segurança.
Se não puder realizar todas as mudanças imediatamente, definir o que deve ser feito primeiro,
e começar a agir imediatamente.
No atual cenário de ameaças sofisticadas e altamente perigosas é necessário que as empresas
mudem seus perfis e, em vez de gastarem dois terços de suas verbas para remediar incidentes,
passem a investir na prevenção de ameaças e na antecipação de tendências. Atualmente
nenhuma corporação sobrevive sem equipamentos móveis e comunicadores instantâneos,
considerados vulneráveis. É primordial que as companhias se adaptem à nova realidade e
protejam eficientemente suas redes das ameaças que podem ser trazidas por esses
dispositivos. Assim como houve a evolução da chamada Segurança 1.0, que restringia ações
de usuários, para o padrão 2.0, que mostrava ameaças não apenas no mainframe e passava a
contar com a Internet e seus perigos, agora monitorar o perfil dos profissionais e as aplicações
de TI também se tornou imprescindível.
Além do aumento no número e no nível de importância das ferramentas de controle de
acessos dentro da corporação, a participação dos usuários nas políticas de segurança e o grau
de adaptação e integração de arquiteturas e sistemas passam a assumir posição estratégica na
busca por resultados específicos para o foco do negócio. O alinhamento entre sistemas,
processos e pessoas é o caminho para a Segurança 3.0, que prevê uma estrutura mais sólida
de proteção às corporações. Evitar armadilhas de compliance, aderir somente às tecnologias
que sigam as melhores práticas de mercado e ter a capacidade de mover o programa de
segurança corporativa dentro de um ciclo de maturidade pré-estabelecido podem ser as
chaves para garantir um ambiente protegido, mesmo com o surgimento rápido de novas
ameaças e ataques.
Investir em proteção não é o bastante. Muitos associam o gasto de valores exorbitantes à
percepção de um ambiente seguro, o que é um engano, principalmente se pensarmos que, na
evolução dos processos, a redução de custos é um progresso e tanto.
Os gastos com segurança já superam duas vezes os investimentos com inovações de TI dentro
das empresas. Mas, podemos garantir que nossos sistemas atuais blindem melhor nossas
estruturas corporativas? É possível continuar elevando esses investimentos? Antes de tudo, é
necessário lembrar de características básicas dos negócios: a busca incessante pela redução de
custos e pelo aumento de rendimento.
Essa estrutura sempre trará benefícios imediatos, mas é preciso que CIOs e CSOs tenham em
mente seus objetivos e prioridades em longo prazo.
O funcionário que dispõe de um PC com conexão à Internet pode navegar por uma infinidade
de sites, realizar transações bancárias e de comércio eletrônico, além de trabalhar. Cabe à
consciência de cada um decidir sobre a melhor maneira de equilibrar seu tempo entre tão
empolgantes atividades e o seu próprio trabalho. Ou não. Muitas companhias estão aderindo
às empresas de monitoramento para identificar por onde navegam seus funcionários quando
estão no escritório. Basicamente, as corporações se veem frente a duas ameaças centrais.
Primeiro, a queda drástica de produtividade de seus funcionários, além do uso indiscriminado
dos recursos da companhia e de sua infraestrutura.
Cálculos feitos junto a usuários nos Estados Unidos apontam que cada pessoa gasta, em
média, quase duas horas por dia checando e-mails, o que representa um quarto do expediente
normal. O período inclui o envio e/ou recebimento de mensagens pessoais, fato reconhecido
por 90% dos usuários.Em segundo lugar, e não menos críticas, estão as vulnerabilidades que
esse acesso aleatório ocasiona. Ameaças constantes circulam pela web e, a qualquer
momento, podem comprometer operações primordiais para o funcionamento da
companhia.Situações como essas estão levando ao controle rígido de diversas aplicações de
acesso on line. Entre essas, a filtragem de sites, de conteúdos da Internet, e restrições daquela
que hoje é a principal ferramenta do meio digital: o correio eletrônico.
Recentes pesquisas no mercado norte-americano mostram que mais de 70% dos
empregadores monitoram o uso do e-mail por parte de seus funcionários. Muitos casos de
demissão ocorrem em função da má utilização da ferramenta. Muitas sentenças foram dadas
em favor dos empregadores, mesmo no uso do Hotmail, Yahoo ou mesmo voice-
mail.Entretanto, um estudo feito pelo ePolicy Institute e a Clearswift revelou um certo
descompasso entre a preocupação das corporações com o uso indiscriminado do correio
eletrônico e as ações efetivas que tomam para combater a prática. Os resultados apontaram
que 75% de todos os profissionais pesquisados reconhecem que suas empresas produzem
políticas de utilização de e-mail, mas menos da metade (48%) treina seus funcionários sobre o
assunto.
Não bastasse o controle interno, as corporações precisam desenvolver armas para barrar
aquele que se tornou seu maior inimigo: as mensagens indesejadas, spams. Segundo a
pesquisa, 92% dos profissionais recebem algum material desse tipo. Desses, 45% afirmam que
as mensagens não autorizadas representam mais de 10% de seu volume diário de e-mails,
percentual que ultrapassa 50% para 7% dos ouvidos pela pesquisa.
No Brasil, grandes organizações demitiram funcionários que costumavam acessar conteúdos
pornográficos ou sem qualquer relação com o negócio da empresa. A polêmica ainda é tão
recente que, em uma análise mais minuciosa dos fatos e das leis de privacidade, constata-se
que a própria legislação brasileira é uma das opositoras às práticas de monitoração.Aprovado
em junho de 2006 pela Comissão de Educação, o Projeto de Lei 76/2000 do Senado é o mais
completo texto legislativo produzido no País para regular a repressão a crimes de informática.
O PLS 76, relatado pelo senador Eduardo Azeredo, com assessoria de José Henrique Santos
Portugal, incorpora atualizações e contribuições de outros projetos de lei menos abrangentes
e altera o Código de Processo Penal, o Código Penal Militar e a Lei de Interceptação de
Comunicações Telefônicas.Dentre todos os dispositivos inclusos no texto, o mais polêmico é a
determinação de que todo aquele que prover acesso à Internet terá de arquivar informações
do usuário como o nome completo, data de nascimento e endereço residencial, além dos
dados de endereço eletrônico, identificador de acesso, senha ou similar, data, hora de início e
término, e referência GMT da conexão. A medida tem sido alvo de críticas enérgicas entre
aqueles que prezam pela privacidade e o anonimato na rede, sob a alegação de que dados de
cunho pessoal não devem ficar em bancos de dados, expostos a uma possível devassa judicial,
além do possível extravio para fins escusos.
Discussões à parte, o que se orienta é que as empresas estabeleçam regras claras de acesso e
usabilidade, esclarecendo que disponibiliza seus recursos para que sejam utilizados como
ferramenta de trabalho. Essas normas devem fazer parte de uma política de segurança da
informação. Uma vez estabelecido esse processo, é preciso elaborar um termo de aceitação,
colhendo a assinatura de cada profissional da companhia. Para uma empresa como a
GlaxoSmithKline (GSK), com 1,2 mil máquinas com acesso à Internet, a principal função da
política de segurança foi o controle de acessos e a formatação da Internet como ferramenta
corporativa. A definição de regras de uso da rede começou com a estruturação de um comitê
de segurança da informação, formado por representantes de várias áreas da companhia. O
comitê também elaborou um documento no qual estão definidos os critérios para a utilização
de e-mails e listados os tipos de sites que não devem ser acessados pelos funcionários. Os
downloads de aplicativos foram totalmente restringidos.
Já na Payot, o controle de e-mails e de acesso à Internet gerou economias em gastos com
manutenção de rede e tempo de funcionários parados. A fabricante de cosméticos calcula que
obteve ganhos de 50% na produtividade de seus funcionários, e seu consumo de banda
reduziu em 20%. Cada vez mais a monitoria do profissional não é uma escolha, mas uma
obrigação do gerenciamento de risco. Controles de segurança sugeridos por normas de
segurança podem ser um caminho mais viável para suportar parâmetros de auditoria e
conformidade para toda a companhia.
A empresa deve declarar claramente que monitora,Listar o que é rastreado,Descrever o que
procura, e Detalhar as consequências de violações.
Algumas ações básicas podem dar maior segurança e tranquilidade à corporação e ao
funcionário, no que se refere à monitoria do ambiente de trabalho. São elas: Antes de
qualquer ação, é viável que a companhia consulte um especialista em lei digital para saber se
existem bases judiciais que afetem seus planos de monitoria.As razões para realizar a
monitoria têm que estar claras entre empresa e funcionário. O fato de uma empresa admitir
abertamente que faz monitoria reforçado por ações reativas quando são descobertas infrações
fará os funcionários entenderem que e-mail não é uma forma de comunicação privada. É
provável que passem a se policiar.Caracterizar a monitoria como algo de proteção mútua,
dando segurança e respaldo à corporação e ao profissional.Definir claramente as expectativas
da empresa e informar os funcionários sobre a monitoria.Combinar ferramentas de varredura
de conteúdo e regras por escrito.
Estabelecer a política, educar a força de trabalho, e empregar a política de maneira
consistente.Punir quando for necessário. De outra forma, ninguém respeitará as regras da
companhia.Quanto mais uma empresa depende de redes de computadores, maiores devem
ser as preocupações com segurança. E isso significa preocupar-se com a integridade dos dados,
com o tempo de manutenção devido a problemas de segurança e com muitos outros
aspectos.O número de incidentes de segurança está em pleno crescimento, não apenas
porque as redes de computadores são vulneráveis, mas também porque quanto mais
poderosos tornam-se os aparatos de segurança, como firewalls e softwares, maior se torna o
interesse dos hackers em invadir. Falhas em políticas de segurança expõem não apenas
informações e dados de uma empresa, mas causam danos sérios à imagem da companhia. E é
o zelo pela imagem que, muitas vezes, impulsiona a implantação de uma política de segurança
com a utilização de firewalls, mecanismos de autenticação, algoritmos de encriptação e outras
medidas de prevenção. Mas, será que apenas investindo em tecnologia a empresa estará 100%
segura?
Um dos maiores riscos é a empresa acreditar que basta comprar equipamentos e softwares
para estar segura para sempre. Produtos de segurança direcionados à prevenção são bons,
mas são apenas uma parte do conceito geral. Não é o bastante ter os melhores produtos de
segurança, é preciso instalá-los, usá-los e mantê-los atualizados, instalando novas versões,
aplicando patches de correção, para, então, interpretar suas informações e responder
efetivamente aos alertas registrados por eles.No contexto atual, Segurança da Informação é
mais do que nunca vital para o sucesso de um negócio!No contexto atual, Segurança da
Informação é mais do que nunca vital para o sucesso de um negócio!