Você está na página 1de 33

Segurança da Informação

Módulo 1 - Conceito

Está cada vez mais difícil manter em segurança as informações referentes a


empresas ou pessoas. O descuido nessa área pode causar prejuízos significativos, e
muitas vezes irreversíveis. Mas felizmente a maior parte das empresas está
consciente do perigo e estamos vivendo um momento em que praticamente todas
elas mantêm alguma política de segurança.

A Segurança da Informação refere-se à proteção requerida para proteger as


informações de empresas ou de pessoas, ou seja, o conceito se aplica tanto as
informações corporativas quanto às pessoais. Entende-se por informação todo e
qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela
pode estar guardada para uso restrito ou exposta ao público para consulta ou
aquisição.

Podem ser estabelecidas métricas para definição do nível de segurança existente e


requerido. Dessa forma, são estabelecidas as bases para análise da melhoria da
situação de segurança existente. A segurança de uma determinada informação pode
ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo
ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que têm o
objetivo de furtar, destruir ou modificar tal informação.

Propriedades

As principais propriedades que orientam a análise, o planejamento e a


implementação de uma política de segurança são confidencialidade, integridade e
disponibilidade. Na medida em que se desenvolve o uso de transações comerciais em
todo o mundo, por intermédio de redes eletrônicas públicas ou privadas, outras
propriedades são acrescentadas às primeiras, como legitimidade e autenticidade.

Confidencialidade – Propriedade que limita o acesso à informação tão somente às


entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.

Integridade – Propriedade que garante que a informação manipulada mantenha


todas as características originais estabelecidas pelo proprietário da informação,
incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,
manutenção e destruição).

-1-
Disponibilidade – Propriedade que garante que a informação esteja sempre
disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo
proprietário da informação. Em todas as fases da evolução corporativa, é fato que as
transações de toda a cadeia de produção – passando pelos fornecedores, fabricantes,
distribuidores e consumidores – sempre tiveram a informação como uma base
fundamental de relacionamento e coexistência.

O fato é que hoje, quer seja como princípio para troca de mercadorias, segredos
estratégicos, regras de mercado, dados operacionais, quer seja simplesmente
resultado de pesquisas, a informação, aliada à crescente complexidade do mercado,
à forte concorrência e à velocidade imposta pela modernização das relações
corporativas, elevou seu posto na pirâmide estratégica, tornando-se fator vital para
seu sucesso ou fracasso.

Proteção da informação

Entre as inúmeras tendências que explodiram em tecnologia, poucas assumiram o


status de imprescindível. Ao fazer uma comparação, ainda que os sistemas de ERP e
CRM sejam de vital importância para a rotina corporativa, ou que soluções de
Business Intelligence e Balanced Scorecard permitam aos negócios atingir patamares
invejáveis de lucratividade, a Segurança da Informação é a única que não pode faltar
em nenhuma hipótese. É ela que protege o bem maior das companhias, ou seja, a
informação estratégica.

Para entender a importância da proteção das informações, basta pensar no prejuízo


que causaria para os negócios a posse desses dados pela concorrência ou por
alguém mal-intencionado. Atualmente, o período é de revisão de processos e de
avaliação de soluções que protejam cada vez mais as informações corporativas, sem
impactar fortemente na produtividade. Fato é que hoje a segurança é considerada
estratégica e já encabeça a lista de preocupações de grandes empresas.

A Segurança deixou de ser submetida aos domínios da TI, para se tornar uma nova
área que responde ao vice-presidente ou ao gestor de operações, ganhando
orçamento próprio, salas específicas e, claro, prazos e demandas a serem atendidas.
Um dos maiores dilemas da Segurança da Informação está relacionado com a
proteção dos ativos e a compreensão da amplitude desse conceito dentro da
empresa. A idéia de ativo corporativo envolve também uma questão de difícil
medição: a marca da companhia e a percepção que ela desperta no mercado. Um
grande escândalo, uma falha latente ou uma brecha negligenciada podem sepultar
uma companhia para sempre, ainda que ela tenha tido muito sucesso até então.
Outra questão relacionada com a Segurança da Informação, que também causa
preocupação, é que se trata de um investimento sem fim. Pois à medida que ela vai
se fortalecendo, os ataques cada vez mais vão se sofisticando também.

-2-
Um caminho sem volta

Não há como voltar atrás. Qualquer companhia, desde a pequena empresa com dois
ou três PCs, até uma complexa organização com atuação em diversos países, sabe
que em maior ou menor grau a tecnologia é essencial para seu negócio. E é
justamente por ser vital, que esse bem não palpável traz consigo uma necessidade
básica: segurança.

O desafio não é tão simples. Pela própria natureza, embora muitas empresas de TI
estejam se esforçando para mudar essa realidade, a segurança da informação é
reativa. Isso significa que, tradicionalmente, primeiro verifica-se a existência de um
problema, como vírus, fraude, invasão, para depois encontrar sua solução, vacina,
investigação, correção de vulnerabilidade.

Para muitos, esse cenário pode causar pânico. Afinal, primeiro eleva-se a informação
ao patamar mais crítico da empresa, tornando-a peça principal do jogo. Em seguida,
vê-se que esse dado, pela forma e processo com que é disponibilizado, corre o risco
de ser corrompido, alterado ou roubado por um garoto de 16 anos, que resolveu
testar programas hackers disponibilizados na própria Internet ou, em casos piores,
usurpado por funcionários e passado para a concorrência ou ainda simplesmente
causando danos financeiros à empresa.

Mas já existem práticas e soluções tecnológicas suficientemente eficientes para


comprovar que a digitalização das transações corporativas não transformou os
negócios em uma “terra de ninguém”. Embora reconheçam que afirmar ser 100%
seguro é algo precipitado e arriscado, especialistas de segurança apontam que
educação profissional, processos e tecnologia formam um tripé resistente no
combate ao crime eletrônico. Pesquisas mostram que aumentam os investimentos na
proteção dos dados. A segurança é o maior desafio das soluções em TI para o
sistema financeiro.

Nem só de software

Outro fenômeno que tem sido observado é a concentração dos serviços de segurança
pelo grupo dos dez maiores integradores mundiais. Isso reflete a necessidade
prioritária das grandes corporações e governos de moverem-se em direção a
fornecedores sólidos, que possam atender as demandas com flexibilidade,
inteligência e rapidez, elevando a importância dos fatores de ética profissional,
confiabilidade e independência, posicionando-se para o gestor como o “security
advisor corporativo”.

Mas as experiências corporativas demonstraram que não é só de software que se


constrói uma muralha resistente à crescente variedade de ameaças, falhas e riscos.

-3-
É preciso que as ações corporativas sejam direcionadas por um Plano Diretor de
Segurança, de forma que possam estar à frente de determinadas situações de
emergência e risco, uma postura mais pró-ativa que reativa. Esse plano será
responsável por verificar se a corporação está destinando verba suficiente para
manter o nível de segurança alinhado com as expectativas de negócios. Também
apontará se as vulnerabilidades são de fato corrigidas ou se há uma falsa sensação
de segurança. É muito comum haver grande disparidade entre o cenário que se
pensa ter e aquilo que realmente ele é.

De forma mais ampla, esse plano deve considerar questões estratégicas, táticas e
operacionais de negócios, atrelando-as a três tipos básicos de risco: humano,
tecnológico e físico. Ao longo desse curso será abordada cada uma dessas variáveis,
desde os tipos mais tradicionais de vírus que se disseminam pela rede, até as portas
mais vulneráveis da empresa, passando pelo monitoramento de sua rede, seus
profissionais, soluções de TI, gestão e políticas de segurança.

-4-
Módulo 2 - Tecnologias

O maior desafio da indústria mundial de software de segurança é prover soluções no


espaço de tempo mais curto possível, a partir da descoberta de determinada ameaça
ou problema. Mas foi-se o tempo em que tudo se resumia a encontrar um antivírus
eficaz, que fosse capaz de deter um determinado vírus. Hoje em dia, os vírus de
computador não são mais os únicos vilões do crime digital.

Não se trata mais de apenas proteger a estação de trabalho do funcionário. A


companhia deve garantir que o correio eletrônico enviado desse mesmo computador
passará pelo servidor da empresa, seguirá pela Internet (ou, em certos casos, por
uma rede privada virtual), chegará a um outro servidor, que transmitirá a mensagem
ao destinatário com a garantia de que se trata de um conteúdo totalmente protegido,
sem carregar qualquer truque ou surpresa inesperada.

Mas essa ainda é apenas a ponta do iceberg. A Segurança da Informação deve estar
atrelada a um amplo Programa de Segurança da Informação, que se constitui de
pelo menos três fases principais:

1) O primeiro passo consiste em realizar o levantamento e a classificação dos ativos


da empresa.

2) Concluída essa fase, é preciso avaliar o grau de risco e de vulnerabilidade desses


ativos, testar suas falhas e definir o que pode ser feito para aperfeiçoar a sua
segurança.

3) A infra-estrutura de tecnologias é a terceira fase desse planejamento, envolvendo


desde aquisição de ferramentas, até configuração e instalação de soluções, criação
de projetos específicos e recomendações de uso.

Infra-estrutura

Apresentar um organograma consolidado das ferramentas e soluções que


compreendem a segurança de uma rede corporativa é algo, em certo sentido, até
arriscado, considerando a velocidade com que se criam novos produtos e com que se
descobrem novos tipos de ameaças. No entanto, algumas aplicações já fazem parte
da rotina e do amadurecimento tecnológico de muitas organizações que, pela
natureza de seus negócios, compreenderam quão críticas são suas operações.

-5-
Algumas dessas aplicações são:

– Antivírus: Faz a varredura de arquivos maliciosos disseminados pela Internet ou


correio eletrônico. – Balanceamento de carga: Ferramentas relacionadas à
capacidade de operar de cada servidor da empresa. Vale lembrar que um dos papéis
da segurança corporativa é garantir a disponibilidade da informação, algo que pode
ser comprometido se não houver acompanhamento preciso da capacidade de
processamento da empresa. – Firewall: Atua como uma barreira e cumpre a função
de controlar os acessos. Basicamente, o firewall é um software, mas também pode
incorporar um hardware especializado. – Sistema Detector de Intrusão (IDS, da sigla
em inglês): Como complemento do firewall, o IDS se baseia em dados dinâmicos
para realizar sua varredura, como por exemplo, pacotes de dados com
comportamento suspeito, códigos de ataque etc. – Varredura de vulnerabilidades:
Produtos que permitem à corporação realizar verificações regulares em determinados
componentes de sua rede como, por exemplo, servidores e roteadores. – Rede
Virtual Privada (VPN, da sigla em inglês): Uma das alternativas mais adotadas pelas
empresas na atualidade, as VPNs são canais em forma de túnel, fechados, utilizados
para o tráfego de dados criptografados entre divisões de uma mesma companhia,
parceiros de negócios. – Criptografia: Utilizada para garantir a confidencialidade das
informações. – Autenticação: Processo de identificação de pessoas, para
disponibilizar acesso. Baseia-se em algo que o indivíduo saiba (uma senha, por
exemplo), com algo que ele tenha (dispositivos como tokens, cartões inteligentes,
certificados digitais); e em algo que ele seja (leitura de íris, linhas das mãos). –
Integradores: Permitem centralizar o gerenciamento de diferentes tecnologias que
protegem as operações da companhia. Mais que uma solução, trata-se de um
conceito. – Sistemas antispam: eliminam a maioria dos e-mails não solicitados. –
Software de backup: São programas para realizar cópias dos dados para que, em
alguma situação de perda, quebra de equipamentos ou incidentes inusitados, a
empresa possa recuperá-los.

Pela complexidade de cada uma das etapas compreendidas em um projeto de


segurança, especialistas recomendam que a empresa desenvolva a implementação
baseando-se em projetos independentes.

Falsa sensação de segurança

O maior perigo para uma empresa, em relação à proteção de seus dados, é a falsa
sensação de segurança. Pois, pior do que não ter nenhum controle sobre ameaças,
invasões e ataques é confiar cegamente em uma estrutura que não seja capaz de
impedir o surgimento de problemas.

Por isso, os especialistas não confiam apenas em uma solução baseada em software.
Quando se fala em tecnologia, é necessário considerar três pilares do mesmo
tamanho, apoiados uns nos outros para suportar um peso muito maior.

-6-
Esses três pilares são as tecnologias, os processos e as pessoas. Não adianta
fortalecer um deles, sem que todos os três não estejam equilibrados.

Ao se analisar a questão da Segurança da Informação, no entanto, além da


importância relativa de cada um desses pilares, é preciso levar em conta um outro
patamar de relevância, pois estará sendo envolvida uma gama muito grande de
soluções de inúmeros fornecedores.

Por isso, a Segurança da Informação precisa envolver Tecnologias, Processos e


Pessoas em um trabalho que deve ser cíclico, contínuo e persistente, com a
consciência de que os resultados estarão consolidados em médio prazo.

Uma metáfora comum entre os especialistas dá a dimensão exata de como esses


três pilares são importantes e complementares para uma atuação segura: uma casa.
Sua proteção é baseada em grades e trancas, para representar as tecnologias, que
depende dos seus moradores para que seja feita a rotina diária de cuidar do
fechamento das janelas e dos cadeados, ou seja, processos. Simploriamente, a
analogia dá conta da interdependência entre as bases da atuação da segurança e de
como cada parte é fundamental para o bom desempenho da proteção na corporação.

Recursos de proteção

A primeira parte trata do aspecto mais óbvio: as tecnologias. Não há como criar uma
estrutura de Segurança da Informação, com política e normas definidas, sem
soluções moderníssimas que cuidem da enormidade de pragas que infestam os
computadores e a Internet hoje em dia.

Os appliances de rede, com soluções de segurança integradas, também precisam ser


adotados. Dispositivos para o controle de spam, vetor de muitas pragas da Internet
e destacado entrave para a produtividade, também podem ser alocados para dentro
do chapéu da Segurança da Informação. Programas para controlar o acesso de
funcionários, bloqueando as visitas a páginas suspeitas e que evitem sites com
conteúdo malicioso, também são destaques. Mas antes da implementação da
tecnologia, é necessária a realização de uma consultoria que diagnostique as
soluções importantes.

Essas inúmeras ferramentas, no entanto, geram outro problema: como gerenciar


toda essa estrutura dentro de uma rotina corporativa que demanda urgência e
dificilmente está completamente dedicada à segurança? A melhor resposta está no
gerenciamento unificado. A adoção de novas ferramentas, como sistema operacional,
ERP ou CRM, precisa de análise dos pré-requisitos em segurança.

-7-
Outro ponto do tripé são os processos, que exigem revisão constante. O grande
combate realizado no dia-a-dia do gestor de segurança, em parceria com o CIO, é
equilibrar a flexibilidade dos processos de forma que eles não tornem a companhia
frágil, mas que, por outro lado, não endureça demais a produtividade, em busca do
maior nível possível de segurança.

A visão da companhia como um emaranhado de processos causou grande revolução


ao ir de encontro com os conceitos de gestão clássicos, focados na estrutura. Nesse
novo enfoque, a adição de segurança segue a mesma linha turbulenta. Como no
novo modelo, todos os processos estão integrados, um impacto causado pela
segurança pode não apenas causar prejuízos para a rotina da empresa, mas também
criar certo mal-estar entre as áreas. Tomar atitudes cautelosas e estudadas, mas
sem receio de atritos, precisa ser a prática do gestor.

Pessoas: desafio constante

A última parte da trinca é a mais fácil de explicar. Não é preciso raciocinar muito
para chegar à conclusão de que as pessoas são pedras fundamentais dentro do
ambiente corporativo, sobretudo em Segurança da Informação.
Cerca de 70% dos incidentes de segurança contam com o apoio, intencional ou não,
do inimigo interno. As pessoas estão em toda a parte da empresa e enxergam como
ponto fundamental apenas a proteção da máquina. Os cuidados básicos com as
atitudes das pessoas, muitas vezes são esquecidos ou ignorados. Encontrar senhas
escritas e coladas no monitor, bem como a troca de informações sigilosas em
ambientes sem confidencialidade, como táxi e reuniões informais são situações muito
comuns. Assim, contar com a colaboração das pessoas é simplesmente fundamental
numa atividade crítica para a empresa e que não tem final em vista. Mas o ponto
principal da preocupação com as pessoas é que os fraudadores irão à busca delas
para perpetrar seus crimes.

Uma exigência cada vez mais importante para o CSO é ser também um gestor de
pessoas, uma vez que elas podem causar muitos estragos e provocar sérios
prejuízos. Mas ao se analisar o contexto de formação dos gerentes de segurança,
talvez seja esse o ponto mais fraco. Investimento em formação profissional nesse
sentido é uma iniciativa muito válida, assim como intercâmbio de informações entre
áreas como Recursos Humanos e Marketing para aumentar o alcance e a eficácia das
recomendações. O fato de envolver um dilema cultural também é outro complicador.
Segurança da Informação representa um desafio de inédita magnitude para os
profissionais do setor e, também, para a companhia como um todo.

-8-
Módulo 3 - Gestor da Segurança da Informação

Estabelecer procedimentos em transações corporativas, operar por meio de regras


de acesso e restrições, criar hierarquias de responsabilidades, métodos de reação a
eventuais falhas ou vulnerabilidades e, acima de tudo, manter um padrão no que se
refere à segurança da companhia. Entre outras, são essas as atribuições que
culminaram na criação da função de CSO – Chief Security Officer, ou Gestor da
Segurança da Informação.

Todas as mudanças importantes ocorridas em Segurança da Informação


demandavam um novo profissional. O gestor de tecnologia não tinha condições, e
muito menos tempo, para assumir toda essa área que se constituía com velocidade
estonteante. A resposta foi a criação de uma nova função dentro da companhia que
organizasse e coordenasse as iniciativas em Segurança da Informação em busca da
eficiência e eficácia no tema.

Apenas alguém com grande conhecimento tanto em negócios quanto em segurança


pode desenhar a estratégia de Segurança da Informação de maneira competente,
implementando políticas e escolhendo as medidas apropriadas para as necessidades
de negócios, sem impactar na produtividade. Ainda que a contratação de gestores de
segurança esteja sendo uma constante no mercado de grandes companhias, não se
chegou a um consenso sobre a natureza do seu cargo.

Um dos pontos que permanecem sem uma definição precisa é a viabilidade de


combinar sob o mesmo chapéu a Segurança lógica e a física. O isolamento entre
essas áreas pode ser fatal para uma companhia no caso de um desastre natural,
como o furacão Katrina em 2005, que atingiu a cidade norte-americana de Nova
Orleans, ou o tsunami que afetou a Indonésia em 2004, ou até mesmo uma pane
elétrica ou incêndio.

Responsabilidades

Algumas metas gerais para os gestores de segurança são:

– Desenvolver e implementar políticas, padrões e guias gerais para o pessoal, para a


segurança de dados, recuperação de desastre e continuidade de negócios. –
Supervisionar o contínuo monitoramento e proteção da infra-estrutura, os recursos
necessários de processos que envolvam pessoas ou dados. – Avaliar possíveis
brechas de segurança e recomendar as correções necessárias. – Negociar e gerenciar
service-level agreements (SLAs) com fornecedores externos de serviços de proteção
ou hospedagem de dados.

-9-
Qualificações

Para atender aos requisitos de segurança lógica e física de redes globais cada vez
mais complexas e vulneráveis, o perfil do CSO evoluiu muito. Por um lado, o cenário
apresenta ameaças crescentes e cada vez mais fatais, hackers, vírus, ataques
terroristas, enchentes, terremotos. Por outro, a vulnerabilidade e a complexidade
tecnológica crescem também e aumentam as atribuições e as habilidades
necessárias para exercer a função de CSO. Hoje, um CSO tem de entender de
segurança, conhecer bem os negócios e participar de todas as ações estratégicas da
empresa. Mais do que um técnico, ele deve ser definitivamente um gestor de
negócios. As qualificações que costumam ser exigidas para o cargo de CSOs são:

– Habilidades em questões de segurança física – Familiaridade com a linguagem e os


dilemas próprios da TI – Experiência prévia em segurança é um destaque, se
acompanhada também por conhecimento de negócios – Exigência de lidar com
pessoas – Facilidade de comunicação, para ter a desenvoltura necessária para fazer
a interface tanto na esfera de decisão quanto nos diversos setores e níveis culturais
dentro da companhia – Capacidade de liderança e de gerenciamento de equipes para
atingir uma atuação bem-sucedida em qualquer corporação – Ter conhecimentos
maduros sobre questões como autenticação, auditoria, preservação da cena do crime
real ou virtual, e gerenciamento de risco – Ter visão estratégica e experiência no
gerenciamento das operações

Formação

Geralmente, o CSO possui formação em Ciências da Computação, Engenharia ou


Auditoria de Sistemas. O grande retorno que o CSO traz para as empresas é diminuir
os riscos nas operações, com todas as conseqüências positivas. Mas a verdade é que
um profissional assim tão completo não é encontrado facilmente no mercado. Por
isso, calcula-se que há mais de 20 mil vagas abertas para CSOs naquele país. No
Brasiol, a demanda não chega a ser tão grande, mas esses profissionais já são
comuns em instituições financeiras, seguradoras, operadoras de telecomunicação e
empresas com operações na Internet. Especialistas em carreira recomendam que o
CSO tenha atuação independente e não se reporte ao CIO, mas diretamente à
diretoria ou à presidência.

Estatísticas recentes apontam para o crescimento dos empregos na área de


segurança. De acordo com estudo anual feito pela IDC e patrocinado pelo
International Information Systems Security Certification Consortium, a projeção de
profissionais para a região das Américas passará de 647 mil em 2006 para 787 mil
em 2009.

- 10 -
O estudo Global Information Security Workforce Study (GISWS) destaca que a
responsabilidade pela segurança da informação cresceu na hierarquia da gestão e
acabou chegando ao conselho diretor e ao CEO, CISO ou CSO. Quase 21% dos
entrevistados na pesquisa disseram que seu CEO agora é o responsável final pela
segurança da informação e 73% afirmaram que esta tendência se manterá.

Cada vez mais é essencial que as organizações sejam pró-ativas na defesa de seus
ativos digitais. E para isso, é preciso contar com profissionais competentes para lidar
com soluções de segurança complexas, requisitos regulatórios e avanços
tecnológicos das ameaças, bem como vulnerabilidades onerosas. Dessa forma, o
CSO deve proceder a gestão de riscos e está mais integrado às funções de negócio.
Profissionais de segurança precisam aprimorar suas habilidades técnicas e de
negócio para que possam exercer a função.

Uma boa dica para quem pretende se profissionalizar na área de Segurança da


Informação é procurar obter certificações de uma associação de segurança
profissional, para ajudar a impulsionar a carreira. Para 90% dos participantes da
pesquisa envolvidos com contratação, as certificações são um pouco ou muito
importantes na decisão de contratar alguém. Mais de 60% pretendem adquirir pelo
menos uma certificação de segurança da informação nos próximos 12 meses.

A certificação de Segurança da Informação pode ser dependente e/ou independente


de fabricantes e ambas são úteis para o desenvolvimento da carreira. As
“credenciais” atreladas a fabricantes (como as da Cisco e da Microsoft, por exemplo)
são meios importantes para conseguir as habilidades necessárias ao cargo. No
entanto, elas precisam vir acompanhadas de certificações que demonstrem uma
ampla base de conhecimento e experiência. As certificações Certified Information
Systems Security Professional (CISSP) e Certified Information Systems Auditor
(CISA) são ótimas opções.

Ao elaborar o plano de carreira, as associações que oferecem serviços de construção


de carreira e educação continuada podem ajudar. No contato com essas associações,
o candidato a CSO pode explorar oportunidades para demonstrar sua experiência na
área, fazer parte de redes de comunicação com colegas, e ter acesso à pesquisa da
indústria e oportunidades de trabalho voluntário.

Entretanto, certificações e experiência na área são pouco proveitosas isoladamente.


Para evoluir no quadro técnico da empresa e se tornar um CSO, é necessário saber
se comunicar em termos de negócios. Para isso, a proficiência técnica deve ser aliada
à habilidade de transmitir o valor do negócio. O CSO deve ser capaz de explicar os
benefícios da segurança em termos de retorno do investimento (ROI), seu valor para
melhorar a capacidade da empresa em fechar negócios, além de deixar claro quais
são as soluções práticas que ela pode trazer para a resolução dos problemas.

- 11 -
Dicas para se tornar um CSO

1) Aprender a colaborar com outros departamentos, para integrar e avaliar outras


funções. Pesquisa da IDC indica os entrevistados afirmam que 62% de suas tarefas
cotidianas dependem da troca de informação ou da cooperação com outras pessoas.

2) Adotar a abordagem do valor agregado, ou seja, alinhar suas atribuições e


responsabilidades com as metas de negócio de cada departamento.

3) Desenvolver seu próprio círculo de confiança dentro da organização, com


representantes de cada departamento para ajudar a promover a compreensão
mútua, a valorização e o trabalho em equipe.

4) Manter conversas com executivos para que eles possam conhecê-lo e aprender a
confiar em você. Essas conversas devem ser sucintas, porém expressivas, contendo
termos de negócio e não vocabulário “geek” ou acrônimos. Determine como você
pode agregar valor às suas metas e demonstre por que você deve ser consultado ou
incluído em uma reunião.

5) Oferecer treinamento para conscientizar os executivos e usuários sobre ameaças à


segurança que afetam os home offices e apresentar técnicas de prevenção. O
objetivo é conquistar confiança dos executivos na sua capacidade de fazer
recomendações para as redes da empresa.

8) Aprender a equilibrar riscos e oportunidade. Muitos executivos consideram o staff


de segurança inflexível e evitam convidá-lo para reuniões de estratégia. Seja flexível
ao equilibrar os riscos à segurança com os processos de negócio que ajudam a
organização a cumprir as metas.

- 12 -
Módulo 4 - Vulnerabilidades

Em pouco tempo, os computadores se tornaram uma parte intrínseca e essencial da


vida cotidiana. O resultado é um enorme potencial de lucros financeiros para os
criadores de programas mal-intencionados. Com a ascensão de técnicas sofisticadas,
está ficando cada vez mais difícil para a base de usuários em geral identificar ou
evitar as infecções por programas mal-intencionados.

A principal ameaça à segurança das transações corporativas são as pessoas. Esta é a


primeira resposta que muitos institutos de pesquisas e especialistas de segurança
têm utilizado quando questionados sobre a principal ameaça às transações
corporativas. Soluções tecnológicas sofisticadas, integradas a parceiros, clientes e
fornecedores, a última palavra em ferramentas de gestão empresarial, relatórios
detalhados etc. Nada disso tem valor se não há restrições, políticas e processos que
estabeleçam e organizem a conduta do profissional dentro da corporação.

Na maior parte das vezes, já se verifica que os problemas relacionados à


interferência humana não estão diretamente ligados a ações fraudulentas ou às
demais situações em que o funcionário tem o objetivo de prejudicar sua empresa.
Pelo contrário. A grande maioria dos incidentes de segurança ocorre por falta de
informação, falta de processos e orientação ao recurso humano.

Outro fator determinante nessa equação está vinculado à evolução rápida e contínua
das tecnologias. Em pouco tempo, até mesmo os computadores domésticos ganham
recursos em potência e em capacidade de armazenamento. Ao mesmo tempo em
que essa evolução proporciona inúmeros benefícios, também se encarrega de gerar
novos riscos e ameaças virtuais. Esse cenário, que estará presente em breve em
muitas residências, sinaliza o que virá no ambiente corporativo.

Mas as questões de segurança atreladas à gestão de pessoal são apenas parte dos
desafios que as empresas precisam enfrentar na atualidade. Antes desses, e não
menos críticas, estão as vulnerabilidades tecnológicas, renovadas a cada instante.

Especialistas em identificar e estudar essas brechas vêm se esforçando para alertar


sobre aquelas que hoje são consideradas as principais ameaças às transações
eletrônicas. O System Administration, Networking and Security (SANS) e o National
Infrastructure Protection Center (NIPC/FBI) são bons exemplos dessa realidade.

A seguir estão mencionadas algumas das falhas mais comumente identificadas,


independentemente do porte ou da área de atuação da companhia, bem como da
complexidade de sua infra-estrutura tecnológica e dos sistemas que utiliza.

- 13 -
Senhas fracas

Muitas vezes, as senhas de um funcionário podem ser facilmente descobertas,


mesclando itens comuns como nome e sobrenome, data de aniversário, nome de
esposa, filho etc. A administração desses acessos também se dá de forma
desordenada, o usuário geralmente não tem educação para lidar com seu código de
acesso. Atualmente, as empresas contam com o benefício de estabelecer uma
autenticação forte, isto é, mesclar algo que o usuário sabe (memória), com algo que
ele tem (token) e algo que ele é (biometria).

Algumas ferramentas possibilitam à corporação verificar o grau de segurança das


senhas de seus funcionários. Utilizar um desses recursos para quebra de senhas
pode ser um bom caminho para identificar contas com senhas fracas ou sem senha.

Sistemas de backups falhos

Muitas empresas afirmam realizar backups diários de suas transações, mas sequer
fazem manutenção para verificar se o trabalho realmente está sendo feito. É preciso
manter backups atualizados e métodos de recuperação dos dados previamente
testados. Muitas vezes, uma atualização diária é pouco diante das necessidades da
empresa, caso venha a sofrer algum dano. Também é recomendável tratar da
proteção física desses sistemas, que por vezes ficam relegados à manutenção
precária. Já é comum, depois dos tristes fatos ocorridos em 11 de setembro de 2001,
sites de backup onde os dados são replicados e, em caso de uma catástrofe, os
sistemas são utilizados para a continuidade dos negócios.

Portas abertas

Portas abertas são convites para invasões. Boas ferramentas de auditoria de


servidores ou de scan podem auxiliar a empresa a identificar quais são suas brechas
nos sistemas. Para não ser surpreendido, é recomendado fazer uma auditoria regular
dessas portas. Independentemente da ferramenta utilizada para realizar essa
operação, é preciso que ela varra todas as portas UDP e TCP do sistema, nas quais
se encontram os alvos atacados por invasores. Além disso, essas ferramentas
verificam outras falhas nos sistemas operacionais tais como serviços desnecessários
e aplicações de patches de segurança requeridos.

Brechas de instalações

Muitos fornecedores de sistemas operacionais padrão (default) e aplicativos


oferecem uma versão padrão e de fácil instalação para seus clientes. Eles acreditam
que é melhor habilitar funções que não são necessárias, do que fazer com que o
usuário tenha de instalar funções adicionais quando necessitar.

- 14 -
Embora esse posicionamento seja conveniente para o usuário, ele acaba abrindo
espaço para vulnerabilidades, já que não mantém, nem corrige componentes de
software não usados.

Sobre os aplicativos, é comum que instalações default incluam scripts ou programas


de exemplos, que muitas vezes são dispensáveis. Sabe-se que uma das
vulnerabilidades mais sérias relacionadas a servidores web diz respeito aos scripts de
exemplo, os quais são utilizados por invasores para invadir o sistema. As
recomendações básicas são remover softwares desnecessários, desabilitar serviços
fora de uso e bloqueio de portas não usadas.

Falhas em sistemas de logs

Logs são responsáveis por prover detalhes sobre o que está acontecendo na rede,
quais sistemas estão sendo atacados e os que foram de fato invadidos. Caso a
empresa venha a sofrer um ataque, será o sistema de registro de logs o responsável
por dar as pistas básicas para identificar a ocorrência, saber como ocorreu e o que é
preciso para resolvê-la. É recomendável realizar backup de logs periodicamente.

Transações sem fio desprotegidas

Os equipamentos móveis são tecnologias emergentes. No entanto, os padrões de


comunicação utilizados atualmente requerem configuração minuciosa para
apresentar um mínimo de segurança (encontre mais detalhes no próximo módulo
deste curso). Novos padrões prometem mais tranqüilidade à comunicação wireless.
No entanto, é recomendável ter cautela na adoção desses recursos, conforme o grau
de confidencialidade do que está sendo transmitido pelo canal sem fio.

Falha na atualização de camadas de segurança e sistemas operacionais

A falta de gerenciamento de cada ferramenta de segurança e a correção de software


disponibilizado pelos fornecedores estão entre os fatores mais críticos na gestão
corporativa. Para muitos, esse é um desafio constante, visto o volume de “patches”
anunciado por diversos fornecedores, bem como a velocidade com que se atualizam
os softwares de segurança. Já existem, inclusive, empresas especializadas em
fornecer ferramentas que cumprem a função específica de automatizar a atualização
de patches de segurança. Um Plano Diretor de Segurança deve contemplar e
explicar, em detalhes, como esses processos devem ser realizados.

- 15 -
Dez ameaças de 2007

As empresas de Segurança da Informação periodicamente divulgam as principais


ameaças que rondam os usuários de Internet, corporativos ou domésticos. Com mais
de 217 mil tipos diferentes de ameaças conhecidas e outros milhares de ameaças
ainda não identificadas, o laboratório da empresa de segurança McAfee conclui que
os programas mal-intencionados são cada vez mais lançados por criminosos
profissionais e organizados. A empresa acredita que, até o final de 2007, cerca de
300 mil ameaças digitais devem estar registradas em seu banco de dados.

As dez mais importantes ameaças identificadas pela companhia para 2007


são:

1) O número de sites de roubo de senhas aumentará, utilizando páginas de cadastro


falsas de serviços conhecidos na Internet, como o eBay.

2) O volume de spams, especialmente do tipo que consome uma quantidade enorme


de largura de banda, continuará crescendo, o que prejudica a produtividade dos
funcionários, que precisam apagar manualmente as mensagens indesejadas.

3) A popularidade do compartilhamento de vídeos na Web tornará inevitável que os


hackers tenham por objetivo os arquivos MPEG como meio de distribuir programas
mal-intencionados.

4) Os ataques a telefones celulares ficarão mais freqüentes à medida que os


dispositivos móveis ficarem mais inteligentes e mais conectados.

5) O Adware ganhará importância ainda maior após o aumento dos programas


comerciais potencialmente indesejáveis (PUPs).

6) O roubo de identidade e a perda de dados continuarão sendo um problema público


– na raiz desses crimes estão, muitas vezes, o furto de computadores, a perda de
backups e sistemas de informação comprometidos.

7) O uso de robôs (bot), programas de computador que realizam tarefas


automatizadas, aumentará como uma das ferramentas preferidas dos hackers.

8) Reaparecerão os programas mal-intencionados parasitas, ou vírus que modificam


arquivos existentes em um disco.

9) O número de rootkits em plataformas de 32 bits aumentará, mas os recursos de


proteção e resolução também aumentarão.

10) As vulnerabilidades continuarão causando preocupação, impulsionadas pelo


mercado clandestino de vulnerabilidades – os hackers prosseguirão com ameaças
para infectar máquinas por meio de vulnerabilidades conhecidas.
- 16 -
Hoje, os pesquisadores da empresa têm provas da ascensão do crime profissional e
organizado na criação de programas mal-intencionados, com equipes de
desenvolvimento criando, testando e automatizando a produção e a distribuição.
Técnicas sofisticadas tais como polimorfismo, a recorrência de parasitas, rootkits e
sistemas automatizados com criptografia cíclica que lançam novas versões estão
ganhando mais espaço. Além disso, as ameaças estão sendo embaladas ou
criptografadas para disfarçar os objetivos mal-intencionados em uma escala mais
veloz e complexa.

- 17 -
Módulo 5 - Mobilidade

Cada vez mais, equipamentos móveis, como notebooks e smartphones, estão


presentes na vida das pessoas, especialmente de executivos que se deslocam em
viagens de negócios. Porém, esses dispositivos móveis possuem fragilidades
diferentes das encontradas em computadores fixos. Isso exige uma política
segurança diferenciada para controlar possíveis ameaças.
Não é novidade para ninguém. A adoção em larga escala de equipamentos móveis,
especialmente notebooks e smartphones, traz vantagens inquestionáveis para o
ambiente corporativo, como o aumento da produtividade, disponibilidade e
flexibilidade. Uma questão, no entanto, permanece sem resposta: até que ponto o
produto em suas mãos é seguro?
O contexto precisa ser explicado. Em meados dos anos 80, os computadores
pessoais substituíram o mainframe e revolucionaram a forma pela qual as pessoas se
relacionavam com a tecnologia. Eles dominaram completamente o cenário mundial.
O reinado, contudo, está terminando. A coroa está com os terminais móveis, com
predomínio dos notebooks, mas também com a presença crescente de handhelds,
smartphones, PDAs e telefones celulares.

A mudança está tão consolidada que, hoje, é inimaginável um executivo de sucesso,


em qualquer vertical de atuação, que não carregue seu dispositivo móvel, seja este
qual for. Uma das exigências para o sucesso no atual mercado globalizado é a
capacidade de estar conectado a qualquer momento, pronto para fazer algum
negócio assim que ele apareça.

Essa reestruturação está revolucionando o mercado corporativo. Se, por um lado, é


possível atingir níveis de produtividade impensáveis no formato antigo, quando o
executivo permanecia preso no ambiente tradicional de escritório, por outro, a
Segurança da Informação surge como o seu calcanhar-de-aquiles. Os argumentos a
favor são atraentes: garantias de grande disponibilidade e flexibilidade, já que o
executivo pode acessar informações da rede da companhia em qualquer horário e de
qualquer lugar do mundo. Mas os contrários, no entanto, assustam.

Nova realidade

Os dispositivos móveis possuem fragilidades que não encontram paralelo nas


estações fixas, fato que exige do gestor de segurança da informação uma política
estruturada para cuidar de todos esses limites. As tecnologias de acesso sem fio,
outra base da mobilidade, também representam um grande problema. Independente
do padrão escolhido, elas significam, no limite, uma falta de controle da organização
sobre a rede em que se acessa. Especificamente, as funcionalidades integradas de
wireless LAN permitem o acesso a recursos corporativos por meio de redes terceiras,
que estão longe da visão da corporação e das suas políticas de segurança.

- 18 -
O desenvolvimento da tecnologia também aumenta o escopo do problema. Com
discos de maior capacidade de armazenamento, o usuário acaba sendo encorajado a
salvar seus dados localmente, o que representa problemas de segurança. A
disseminação de USB Drives, bem como gravadores de CDs e DVDs, abrem espaço
para a utilização pessoal do dispositivo, retendo informações que não deveriam estar
ali. Outro ponto preocupante diz respeito à transferência de informações do notebook
para esses aparelhos, já que, caso não exista uma política clara e estruturada, é
difícil controlar quais arquivos foram copiados em outras mídias.

Além disso, o aspecto físico da solução também precisa ser levado em conta. Pelo
seu valor, os aparelhos portáteis atraem enorme atenção e são roubados
constantemente. Em São Paulo, por exemplo, existem quadrilhas especializadas em
roubos de laptops, procurando suas vítimas em locais estratégicos como aeroportos
ou de concentração de grandes empresas.

Outro fator que causa bastante preocupação está, graças à miniaturização dos
aparelhos, na possibilidade de perda desses dispositivos. Mais do que o preço do
aparelho, o dado armazenado também tem valor. Muitas vezes, incalculável. Como
lidar com todas essas questões?

Oportunidade de negócios

Na outra ponta, a grande preocupação para os CSOs representa uma grande


oportunidade de negócios para as empresas de segurança. Assim, inúmeros players
olham com atenção para essas questões, oferecendo soluções que prometem
diminuir os riscos do uso de soluções móveis no ambiente corporativo. A primeira
resposta está nos softwares de conformidade de terminal.

Aproveitando a estrutura consolidada dentro da empresa, o gestor replica as


soluções de segurança instaladas e confere se o aparelho está dentro das políticas
especificadas internamente. Com isso, o usuário de um aparelho móvel permanece
numa VPN, que funciona como quarentena, tendo seu acesso à rede corporativa
liberado apenas quando atender todos os pré-requisitos, como instalação das
atualizações de antivírus e patches de segurança.

Com isso, é possível garantir que todos os níveis de proteção estabelecidos pela
companhia sejam passados para as plataformas móveis. Assim, é eliminado o
problema de um worm ou vírus no notebook, por exemplo, infectar toda a rede
corporativa sem que o usuário tenha conhecimento. Isso, no entanto, é apenas o
primeiro nível de proteção no contexto das plataformas móveis.

Um CSO preocupado e atento às novas tendências precisa entender que, na verdade,


a conformidade entra mais como um fator de controle dentro da companhia. Isso
porque a abordagem de maior proteção precisa estender a preocupação para os
próprios dispositivos móveis em uso, com cada um tendo uma solução de segurança
conforme suas necessidades e analisando com qual tipo de dado costuma trabalhar.
- 19 -
Acima de tudo, a mobilidade significa que as empresas usuárias precisarão fazer
novos investimentos para se adequar à nova realidade que a mobilidade impôs. Esta
nova realidade exige novas políticas e soluções contra o inimigo interno, a
preocupação com esse tema ganha um novo patamar.

De qualquer forma, toda a implementação de segurança, seja na corporação ou nos


dispositivos móveis, deve ser precedida por uma fase de rigorosa análise. O contexto
da mobilidade é multifacetado, com variações marcantes conforme o terminal, ou
seja, um notebook precisa de uma abordagem determinada, enquanto um
smartphone precisa de outras soluções. É preciso levar em conta quais são os riscos
e qual é a importância dos dados armazenados para, a partir daí, tomar a decisão
mais adequada, seja investir numa solução que combine antivírus, firewall e IPS ou
apostar em outra alternativa.

De olho no notebook

Atualmente, o dispositivo mais visado é o notebook. As ferramentas de criptografia


são obrigatórias, nesse cenário. É preciso proteger os dados armazenados,
especialmente os estratégicos, os quais, se roubados, podem causar grandes
estragos para a companhia. A criptografia diminui esse perigo.

Dados do Gartner, no estudo chamado “Update Your Security Practices to Protect


Notebook PCs”, dão conta de que grande parte das organizações tem dificuldade em
reconhecer a necessidade de levar a Segurança da Informação aos dispositivos
móveis. Avaliando os motivos desse comportamento, o instituto enumerou o nível de
amadurecimento do mercado de segurança, já que os fornecedores do setor, tanto
em software quanto em serviços, ainda não abrangem toda a gama de
vulnerabilidades dos notebooks.

Também foram destacadas as abordagens em soluções únicas. Segundo o


levantamento, apostar em apenas um único produto ou procedimento para atingir
um nível de segurança satisfatório em notebooks é muito perigoso.

A estratégia de proteção adotada para notebooks, no entanto, deve ser seguida


fielmente pelos outros dispositivos. Conforme as aplicações dentro de cada aparelho
forem sendo ampliadas e a importância dos dados crescendo na mesma razão, será
necessário cuidar de soluções próprias para os outros dispositivos, sejam eles PDAs,
smartphones ou os populares telefones celulares.

Ainda que alguns especialistas afirmem que a consolidação já é uma realidade para
aparelhos de menor porte, o mercado ainda se mostra incipiente. Mas um dado
precisa ser levado em consideração: enquanto o primeiro worm de rede levou cerca
de 20 anos para ser desenvolvido, a praga eletrônica que infestou os celulares não
demorou mais do que oito meses.

- 20 -
Antes do surgimento da mobilidade, todos os investimentos estavam focados no
perímetro de rede das empresas. Hoje, a situação se modificou sensivelmente. A
estrutura de combate construída para proteger a companhia do ambiente externo,
empilhando soluções de antivírus, firewall, IDS e IPS, além dos appliances de rede
que trazem funcionalidades de segurança não é suficiente. Friamente, a mobilidade
trouxe um novo conceito de perímetro de rede e, com ele, gerou paralelamente
inúmeras brechas de segurança.

Não é ilusório imaginar que, como toda grande revolução com ganhos fantásticos, a
mobilidade está também pagando um alto preço. Reestruturar todo o ambiente
corporativo, ganhar muito em produtividade e disponibilidade, fechando negócios em
tempo real de qualquer lugar do mundo, gerou conseqüências. E elas serão bem
mais sérias do que vírus que invadem a rede ou worms que se reproduzem para toda
a lista de contatos.

Envolvem inúmeras possibilidades muito mais complicadas, como o roubo de


informações confidenciais de importância ímpar para a corporação, podendo
prejudicar seriamente a empresa ou até comprometer sua marca, exigindo sua saída
do mundo de negócios. A Segurança da Informação em mobilidade é algo que vai
preocupar bastante os gestores de segurança nos próximos anos.

Redes sem fio

A comunicação de dados por redes sem fio ainda é objeto de estudo de organizações
especializadas em soluções de segurança da informação. A facilidade de se trafegar
bits por ondas de rádio, sem necessidade de conexão a qualquer tipo de rede de
cabos, tem atraído cada vez mais usuários em todas as partes do mundo. Mas o fato
é que, em termos práticos, esse meio de comunicação ainda não está totalmente
protegido de invasões e fraudes, realidade que está diretamente relacionada ao
desenvolvimento dos padrões de comunicação das redes sem fio. Grandes são as
expectativas junto de um mercado que ainda se encontra em seu estado inicial. No
Brasil, as pesquisas apontam que a adoção de redes sem fio está em processo
acelerado.

Entre outros fatores, especialistas afirmam que uma rede WLAN pode ser até mais
barata do que uma estrutura com cabeamento, uma vez que dispensa a aquisição de
diversos equipamentos e serviços. Mas, existe também a mobilidade que oferece
uma conectividade praticamente ininterrupta para o usuário. Várias empresas
instalaram hot spots (conexões sem fio em lugares públicos) nos principais pontos de
acesso no Brasil, tais como aeroportos, bares e livrarias, o que abre muitas
possibilidades de comunicação de funcionários com suas empresas e acesso à
Internet. Tecnologias com o WiMax aumentam a área de cobertura das redes sem fio
e prometem ser o próximo grande boom nas corporações e na vida das pessoas.

- 21 -
Módulo 6 - Terceirização

A terceirização é uma forte tendência em todos os setores de TI, e não poderia ser
diferente, quando falamos em Segurança da Informação. Trata-se de um assunto
recorrente, isso porque a Segurança da Informação não é especialidade da indústria
de manufatura, como também não faz parte dos negócios do setor automobilístico,
de empresas alimentícias ou do varejo. No entanto, para que possam manter o core
business de suas operações, essas corporações devem garantir a manutenção das
condições ideais de segurança, que cada vez mais se torna fator crítico em todas as
suas transações.

Por isso, podemos nos preparar para ver as ações de proteção sendo executadas fora
da corporação. No caso da segurança, a diferença é que a viabilidade do processo
depende do tamanho das organizações. Grandes empresas têm pouca probabilidade
em passar a segurança para o esquema outsourcing. Já as pequenas e médias
empresas mostram-se mais abertas a essa opção, como podemos observar nas
estruturas de ‘software as a service’, que vêm crescendo no mercado, tornando-se
mais maduras.

Muitos profissionais da área acreditam que a terceirização da Segurança da


Informação é o caminho natural tanto para o mercado corporativo quanto para
usuários domésticos. A integridade dos dados é um aspecto importante para usuários
em todos os níveis. Entre outros benefícios, a terceirização dos processos de
proteção à rede proporciona a redução no custo de manutenção dos dispositivos. Não
é por acaso que os institutos de pesquisa têm indicado crescimento nos orçamentos
de tecnologia da informação (TI) no que se refere à segurança. Em alguns casos, a
verba dessa área é totalmente independente do que é gasto com TI.

Porém, o outsourcing de segurança ainda está engatinhando no Brasil. Apesar disso,


números da consultoria IDC indicam que a terceirização tende a ganhar espaço. O
segmento de MSS – Managed Security Services é o que mais cresce no mundo na
área de segurança. Em 2006, os gastos com Segurança da Informação atingiram 38
bilhões de dólares mundialmente, sendo que 45% desse montante foram para as
mãos dos provedores de serviços. Do restante, 35% ficaram com a área de hardware
e 19% com a de software.

Previsão

A previsão da consultoria é que o setor cresça em média 16% até 2010, sendo que a
fatia de serviços tende a aumentar o seu percentual no bolo. Segundo dados da Frost
& Sullivan, o mercado latino-americano de serviços gerenciados de segurança deve
superar o total de US$ 272 milhões em 2011. De acordo com a consultoria, o Brasil
continuará a concentrar 40% desse mercado.

- 22 -
Em seguida vem o México, com 23%.

Para atender à demanda crescente, a F-Secure promete anunciar uma parceria para
expandir seus negócios na América Latina. A empresa atua no Brasil em parceria
com o provedor IG para entrega de serviços como antivírus, firewall e proteção
contra malwares, phishing e spam. Os usuários corporativos ou domésticos podem
optar por pacotes que variam de acordo com suas necessidades, com custos que vão
de R$ 6,90 a R$ 19,90 mensais por máquina protegida.

Especialistas apontam que todos os negócios, grandes ou pequenos, possuem gaps


em sua estrutura interna quando se trata de segurança. Ao tentar garantir que todas
as áreas estejam seguras, algum segmento acaba sempre ficando descoberto, mais
vulnerável a ameaças e intrusos. A solução para preencher esse gap seria enxergar a
segurança como um serviço e transferir sua gestão a um especialista. Dessa forma,
as organizações podem melhor direcionar seus profissionais e recursos. Além disso,
todas as atenções ficam mais voltadas ao foco do negócio e resultados que devem
ser obtidos.

Para a Frost & Sullivan, as companhias estão se conscientizando dos benefícios da


contratação de terceiros para o gerenciamento da segurança. A consultoria destaca
que entre as vantagens do outsourcing desses serviços estão a redução de custos
com mão-de-obra especializada e simplificação do investimento em equipamentos
para proteção. O acesso contínuo a recursos atualizados e a possibilidade de se
dedicar mais tempo ao negócio da empresa também são citados como benefícios
diretos.

O mercado brasileiro ainda passa por uma fase de maturação, mas em se tratando
de segurança, nunca existe certeza absoluta do que está por vir. O que é bom e
seguro hoje, passa a ser vulnerável amanhã. Assim, é muito importante que todos
tenham um bom parceiro para cuidar do assunto; alguém especializado, que estará
sempre atualizado. E esta é a função, e a principal vantagem, das empresas que
oferecem a segurança como serviço.

Valor estratégico

O que se nota é que, conforme a segurança ganha espaço entre outras prioridades
das organizações, ela passa a ter valor estratégico, isto é, participa das decisões de
mercado, integração com a cadeia de valor, formas de oferta de produtos e serviços
etc. Assim, é natural que, em um mesmo grau de complexidade que as transações
eletrônicas, a Segurança da Informação demande diversas aplicações e camadas
tanto no que se refere à infra-estrutura tecnológica (hardware e software), quanto
na prestação de serviços e recursos humanos. Frente ao desafio, a terceirização tem
sido um dos caminhos procurados pelas organizações.

- 23 -
Como na maioria dos casos, essa tanto pode ser uma ótima como uma péssima
opção. O que definirá cada experiência depende de uma série de processos
preestabelecidos.

Não há regra geral que se aplique a tudo e todos. Atualmente, algumas corporações
terceirizaram toda sua infra-estrutura de segurança, desde pessoal até backup de
transações, filtragem etc., e estão plenamente satisfeitas com isso. Em outros casos,
a empresa opta por fazer um trabalho parcial, tirando de sua responsabilidade, por
exemplo, os serviços de contingência, com duplicação de operações por meio de um
datacenter.

Independentemente dos caminhos escolhidos para trilhar, o que a maior parte dos
especialistas orienta, ao decidir partir para um processo de outsourcing é não tirar a
“inteligência” de dentro de casa. Ou seja, deve ser terceirizado apenas o que é
operacional, pois é o que gera investimentos pesados em infra-estrutura, hardware,
licenças de software etc.

Em suma, cada corporação deve avaliar em detalhes os benefícios e riscos de decidir


pela terceirização, gerando assim, um Planejamento de Outsourcing de Segurança.
Esse relatório deverá contemplar desde os recursos de TI necessários, bem como a
mão-de-obra envolvida, os processos de migração, atendimento a clientes e
parceiros, suporte, resposta a incidentes etc.

Será esse material – baseado em preço, prazos e processos de implementação – que


definirá se a terceirização da Segurança da Informação terá ou não sucesso. De
outra forma, está será encarada apenas como mais uma maneira de burocratizar os
serviços, consumir investimentos e não adicionar qualquer valor às transações da
organização.

O que terceirizar

Salvo exceções, algumas áreas de segurança são passíveis de terceirização como


suporte, monitoramento, gerenciamento e contingência. Os SOCs (Security
Operation Center) disponíveis são especializados na prestação de serviços dessa
natureza, entre outros. Esses centros de segurança e gerenciamento de dados estão
atraindo o interesse das empresas por uma série de razões como, por exemplo,
menor custo com equipe interna, investimentos divididos com outras companhias,
respostas rápidas a incidentes e qualidade de serviço estabelecida em contratos, os
chamados Service Level Agreements (SLAs).

Mas mesmo com vantagens competitivas tangíveis e de retorno rápido, a


terceirização de segurança tem como barreira central a questão cultural das
corporações. Invariavelmente, esse é o principal desafio a ser vencido, já que exige
uma relação de total confiança entre os parceiros.

- 24 -
Essa responsabilidade tem de estar esboçada em detalhes no contrato de SLA. Um
programa que garanta 100% de atividade ao longo de um ano levanta suspeita.
Basta verificar o volume de incidentes de segurança que ocorrem diariamente com
empresas altamente protegidas, como as do setor financeiro.

Além do nível de serviço oferecido pelo fornecedor, vale ressaltar o compromisso


deste em ter uma postura pró-ativa com o usuário, ou seja, na medida do possível
manter os níveis de segurança os mais preparados possíveis. Esse contrato
estabelece como serão atendidas as necessidades futuras do contratante e quais
multas e penalidades no caso de não-cumprimento ou rompimento do acordo.

Não é tão simples

Em tese, tudo é passível de ser terceirizado. Mas na realidade, o processo não é tão
simples e imediato como se imagina. Portanto, o ideal é que a empresa tenha
conhecimento sobre seus próprios custos e infra-estrutura, algo que muitas vezes
não está organizado ou quantificado.

Na prática, o outsourcing deve retirar da empresa tarefas repetitivas e burocráticas,


que não demandam ou envolvam decisões complexas ou estratégicas. Estudos
apontam que, atualmente, esses serviços são responsáveis por algo entre 5% e 10%
dos orçamentos de TI.

Também é preciso avaliar a utilização e a disponibilidade de bens que não se limitam


à infra-estrutura tecnológica. Em grandes corporações, já ocorreu de a empresa
contratante perder profissionais estratégicos, os quais passaram a atender a
organização via outsourcing.

- 25 -
Módulo 7 - Presente e futuro

Foi-se o tempo em que os criminosos virtuais contentavam-se em invadir um site e


deixar ali a sua marca. Hoje, eles são silenciosos e muito mais perigosos. Nesse
exato momento, sem que você saiba, pode ser que seu computador esteja
mandando milhares de e-mails para o mundo todo e você nem se dá conta disso. Ou
pior: pode ser que você tenha um programa espião instalado em sua máquina, capaz
de copiar todas as suas senhas. Já pensou? Hoje, o objetivo é obter vantagem
financeira. Por isso, todos precisam ficar muito espertos.

Saiba quais são as principais ameaças virtuais que rondam as empresas:

Fraudes
A fraude implementada por meio de recursos de Tecnologia da Informação cresce
gradativamente e exige a melhoria de controles internos e de processos de
monitoramento. Mesmo com a rápida e constante evolução da tecnologia, é difícil
afirmar que vulnerabilidades e falhas deixarão de existir nos sistemas e nas redes de
computadores. Isso não quer dizer que as fraudes em TI não possam ser evitadas
ou, pelo menos, que seus riscos não possam ser minimizados em níveis aceitáveis
pelas organizações. Para atingir esse objetivo, é necessário um esforço integrado de
investimento, em mecanismos de segurança tecnológica e em processos
operacionais.

Exigências legais, como a lei Sarbanes-Oxley, obrigam as empresas a estabelecer


controles antifraude em seus processos de gestão de riscos corporativos. Deficiências
nesses controles podem resultar em fraudes executadas por meio dos recursos de TI
disponíveis.

Phishing

Trata-se de uma forma de fraude eletrônica, caracterizada por tentativas de adquirir


informações confidenciais, tais como senhas e números de cartão de crédito, ao se
fazer passar como uma pessoa confiável ou uma empresa enviando uma
comunicação eletrônica oficial, como um e-mail ou uma mensagem instantânea. O
termo phishing surge das cada vez mais sofisticadas artimanhas para “pescar” (fish)
as informações sensíveis dos usuários. Essas informações particulares são usadas
para causar algum prejuízo, tal como o roubo de dinheiro da sua conta corrente.

Vírus e variações

Vírus é um programa malicioso desenvolvido por programadores que, tal como um


vírus biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar para
outros computadores, utilizando-se de diversos meios. A maioria das contaminações
ocorre pela ação do usuário executando o anexo de um e-mail.

- 26 -
A segunda causa de contaminação é por sistema operacional desatualizado, sem a
aplicação de corretivos que bloqueiam chamadas maliciosas nas portas do micro.
Ainda existem alguns tipos de vírus que permanecem ocultos, mas entram em
execução em horas especificas.

Spyware

Programa automático de computador, que recolhe informações sobre o usuário,


sobre seus costumes na Internet e transmite essa informação a uma entidade
externa na Internet, sem seu conhecimento ou consentimento. Diferem dos cavalos
de Tróia por não terem como objetivo que o sistema do usuário seja dominado, seja
manipulado, por uma entidade externa, por um cracker.

Os spywares podem ser desenvolvidos por empresas que desejam monitorar o hábito
dos usuários para avaliar seus costumes e vender esses dados pela Internet. Elas
costumam produzir inúmeras variantes de seus programas-espiões, aperfeiçoando-os
e dificultando sua completa remoção.

Por outro lado, muitos vírus transportam spywares, que visam roubar certos dados
confidenciais dos usuários. Roubam logins bancários, montam e enviam logs das
atividades do usuário, roubam determinados arquivos ou outros documentos
pessoais. Os spywares costumavam vir legalmente embutidos em algum programa
que fosse shareware ou freeware. Sua remoção era por vezes, feita quando da
compra do software ou de uma versão mais completa e paga.

Trojans

Trojan Horse ou Cavalo de Tróia é um programa que age como a lenda do cavalo de
Tróia: entra no computador e libera uma porta para um possível invasor. O conceito
nasceu de simples programas que se faziam passar por esquemas de autenticação,
em que o utilizador era obrigado a inserir as senhas, pensando que as operações
eram legítimas. Entretanto, o conceito evoluiu para programas mais completos. Os
trojans atuais são disfarçados de programas legítimos, embora, diferentemente de
vírus ou de worms, não criem réplicas de si. São instalados diretamente no
computador. De fato, alguns trojan são programados para se autodestruir com um
comando do cliente ou depois de um determinado tempo. Os trojans ficaram
famosos na Internet pela sua facilidade de uso, fazendo qualquer pessoa possuir o
controle de um outro computador apenas com o envio de um arquivo. Os trojans
atuais são divididos em duas partes: o servidor e o cliente. Normalmente, o servidor
está oculto em algum outro arquivo e, no momento que esse arquivo é executado, o
servidor se instala e se oculta no computador da vítima; a partir desse momento, o
computador pode ser acessado pelo cliente, que enviará informações para o servidor
executar certas operações no computador da vítima.

- 27 -
Worms

Programa auto-replicante, semelhante a um vírus. Entretanto, o vírus infecta um


programa e precisa dele para se propagar. Já o worm é um programa completo e
não precisa de outro programa para se propagar. Além da replicação, um worm pode
ser projetado para fazer muitas coisas, como deletar arquivos em um sistema ou
enviar documentos por e-mail. O worm pode trazer embutidos programas que geram
algum tipo de problema ou que tornam o computador infectado vulnerável a outros
ataques. Um worm pode provocar danos apenas com o tráfego de rede gerado pela
sua reprodução.

Segurança 3.0

O novo modelo de segurança proposto pelo Gartner recebeu o nome de Segurança


3.0. Seu objetivo é diminuir os gastos das companhias com segurança e melhorar o
desempenho das áreas de negócio. A implementação dessa nova estrutura requer
investimentos: para construir uma plataforma concreta de proteção, deve-se
deslocar até 8% do orçamento destinado anualmente à TI para a área de segurança.
Depois que o modelo estiver consolidado, a inversão pode ser reduzida para,
aproximadamente, 3%.

O Gartner indica que as empresas devem seguir cinco passos importantes na


implementação de uma plataforma de segurança 3.0. São eles:

1) Mudar o modo como a Tecnologia da Informação é desenvolvida, construída


dentro da corporação.

2) Mudar a forma como as soluções de negócio são desenvolvidas.

3) Mudar a metodologia e os responsáveis pelo pagamento dos controles de


segurança.

4) Se não puder realizar todas as mudanças imediatamente, definir o que deve ser
feito primeiro, e começar a agir imediatamente.

5) Segurança deve ser ‘uma jornada’, portanto, é preciso que se tenha um destino
pelo caminho.

No atual cenário de ameaças sofisticadas e altamente perigosas, é necessário que as


empresas mudem seus perfis e, em vez de gastarem dois terços de suas verbas para
remediar incidentes, passem a investir na prevenção de ameaças e na antecipação
de tendências.

- 28 -
Atualmente nenhuma corporação sobrevive sem equipamentos móveis e
comunicadores instantâneos, considerados vulneráveis. É primordial que a
companhias se adaptem a essa nova realidade, protegendo eficientemente suas
redes das ameaças que podem ser trazidas por esses dispositivos.

Assim como houve a evolução da chamada Segurança 1.0, que restringia ações de
usuários, para o padrão 2.0, que mostrava ameaças não apenas no mainframe e
passava a contar com a Internet e seus perigos, agora monitorar o perfil dos
profissionais e as aplicações de TI também se tornou imprescindível.

Além do aumento no número e no nível de importância das ferramentas de controle


de acessos dentro da corporação, a participação dos usuários nas políticas de
segurança e o grau de adaptação e integração de arquiteturas e sistemas passam a
assumir posição estratégica na busca por resultados específicos para o foco do
negócio. O alinhamento entre sistemas, processos e pessoas é o caminho para a
Segurança 3.0, que prevê uma estrutura mais sólida de proteção às corporações.

Evitar armadilhas de compliance, aderir somente às tecnologias que sigam as


melhores práticas de mercado e ter a capacidade de mover o programa de segurança
corporativa dentro de um ciclo de maturidade pré-estabelecido podem ser as chaves
para garantir um ambiente protegido, mesmo com o surgimento rápido de novas
ameaças e formas de ataque.

Relação custo x segurança

Investir em proteção não é o bastante. Muitas vezes, pode se tornar um erro de


proporções astronômicas dentro de uma organização. Isso porque muitos associam o
gasto de valores exorbitantes à percepção de um ambiente seguro, o que é um
engano. Principalmente se pensarmos que, na evolução dos processos, a redução de
custos é um progresso e tanto.

Os gastos com segurança já superam duas vezes os investimentos com inovações de


TI dentro das empresas. Com isso, surgem as perguntas: podemos garantir que
nossos sistemas atuais blindam melhor nossas estruturas corporativas? É possível
continuar elevando esses investimentos? Antes de tudo, é necessário lembrar das
características básicas dos negócios: a busca incessante pela redução de custos e
pelo aumento de rendimento.

Entretanto, é preciso avaliar com o que podemos produzir uma economia saudável.
De acordo com ele, o modelo de código aberto em uma corporação preparada para o
‘momento 3.0’, por exemplo, seria extinto. Essa estrutura sempre trará benefícios
imediatos, mas é preciso que CIOs e CSOs tenham em mente seus objetivos e
prioridades em longo prazo.

- 29 -
Módulo 8 - Limites do monitoramento

O funcionário que dispõe de um PC com conexão à Internet (raros são os que não
possuem, hoje em dia) pode navegar por uma infinidade de sites, realizar transações
bancárias e de comércio eletrônico. E também trabalhar. Cabe à consciência de cada
decidir sobre a melhor maneira de equilibrar seu tempo entre tão empolgantes
atividades e o seu próprio trabalho. Ou não. Muitas companhias estão aderindo às
empresas de monitoramento, para identificar os mares por onde navegam seus
funcionários, quando estão no escritório.

Basicamente, as corporações se vêem frente a duas ameaças centrais. Primeiro, a


queda drástica de produtividade de seus funcionários, além do uso indiscriminado
dos recursos da companhia e de sua infra-estrutura. Cálculos feitos junto de usuários
nos Estados Unidos apontam que cada pessoa gasta, em média, quase duas horas
por dia checando e-mails, o que representa um quarto do expediente normal. O
período inclui o envio e/ou recebimento de mensagens pessoais, fato reconhecido
por 90% dos usuários.

Em segundo lugar, e não menos críticas, estão as vulnerabilidades que esse acesso
aleatório ocasiona, as ameaças constantes que circulam pela web e que, a qualquer
momento, podem comprometer operações primordiais para o funcionamento da
companhia.

Situações como essas estão levando ao controle rígido de diversas aplicações de


acesso on-line, entre essas a filtragem de sites e de conteúdos da Internet, e
restrições daquela que hoje é a principal ferramenta do meio digital: o correio
eletrônico.

Uso indiscriminado

Recentes pesquisas no mercado norte-americano mostram que mais de 70% dos


empregadores monitoram o uso do e-mail por parte de seus funcionários. Muitos
casos de demissão ocorrem em função da má utilização da ferramenta. Muitas
sentenças foram dadas em favor dos empregadores, mesmo no uso do Hotmail,
Yahoo ou mesmo voice-mail.

Mas um estudo feito pelo ePolicy Institute e a Clearswift revelou um certo


descompasso entre a preocupação das corporações com o uso indiscriminado do
correio eletrônico e as ações efetivas que tomam para combater a prática. Os
resultados apontaram que 75% de todos os profissionais pesquisados reconhecem
que suas empresas produzem políticas de utilização de e-mail, mas menos da
metade (48%) treina seus funcionários sobre o assunto.

- 30 -
De acordo com a pesquisa, 59% das empresas declararam que possuem métodos
para reforçar a existência de regras e políticas internas. Os meios mais utilizados
para isso são: disciplina (50%), revisões de desempenho (25%), remoção de
privilégios (18%) e ações legais (4%).

Não bastasse o controle interno, as corporações precisam desenvolver armas para


barrar aquele que se tornou seu maior inimigo: as mensagens indesejadas, ou
spams. Segundo a pesquisa, 92% dos profissionais recebem algum material desse
tipo. Desses, 45% afirmam que as mensagens não-autorizadas representam mais de
10% de seu volume diário de e-mails, percentual que ultrapassa 50% para 7% dos
ouvidos pela pesquisa.

Privacidade

No Brasil, grandes organizações demitiram funcionários que costumavam acessar


conteúdos pornográficos ou sem qualquer relação com o negócio da empresa. Mas a
polêmica ainda é recente. Tanto que, em uma análise mais minuciosa dos fatos e das
leis de privacidade, constata-se que a própria legislação brasileira é uma das
opositoras às práticas de monitoração.

Aprovado em junho de 2006 pela Comissão de Educação, o Projeto de Lei 76/2000


do Senado é o mais completo texto legislativo produzido no País para regular a
repressão a crimes de informática. O PLS 76, relatado pelo senador Eduardo
Azeredo, com assessoria de José Henrique Santos Portugal, incorpora atualizações e
contribuições de outros projetos de lei menos abrangentes e altera o Código de
Processo Penal, o Código Penal Militar e a Lei de Interceptação de Comunicações
Telefônicas.

Dentre todos os dispositivos inclusos no texto, o mais polêmico é a determinação de


que todo aquele que prover acesso à Internet terá de arquivar informações do
usuário como o nome completo, data de nascimento e endereço residencial, além
dos dados de endereço eletrônico, identificador de acesso, senha ou similar, data,
hora de início e término, e referência GMT da conexão. A medida tem sido alvo de
críticas enérgicas entre aqueles que prezam pela privacidade e o anonimato na rede,
sob a alegação de que dados de cunho pessoal não devem ficar em bancos de dados,
expostos a uma possível devassa judicial, além do possível extravio para fins
escusos.

Regras claras

Discussões à parte, o que se orienta é que as empresas estabeleçam regras claras de


acesso e usabilidade, esclarecendo que disponibiliza seus recursos para que sejam
utilizados como ferramenta de trabalho. Essas normas devem fazer parte de uma
Política de Segurança da Informação.

- 31 -
Uma vez estabelecido esse processo, é preciso elaborar um termo de aceitação,
colhendo a assinatura de cada profissional da companhia.
Para uma empresa como a GlaxoSmithKline (GSK), com 1,2 mil máquinas com
acesso à Internet, a principal função da política de segurança foi o controle de
acessos e a formatação da Internet como ferramenta corporativa. A definição de
regras de uso da rede começou com a estruturação de um comitê de segurança da
informação, formado por representantes de várias áreas da companhia. O comitê
também elaborou um documento no qual estão definidos os critérios para a
utilização de e-mails e listados os tipos de sites que não devem ser acessados pelos
funcionários. Os downloads de aplicativos foram totalmente restringidos.

Já na Payot, o controle de e-mails e de acesso à Internet gerou economias em gastos


com manutenção de rede e tempo de funcionários parados. A fabricante de
cosméticos calcula que obteve ganhos de 50% na produtividade de seus funcionários
e seu consumo de banda reduziu em 20%.

Também deve ser de responsabilidade da organização garantir que esse


monitoramento se configure com respeito aos funcionários e em sigilo, restringindo a
divulgação dessas informações e não configurando qualquer tipo de perseguição ao
profissional.

O fato é que, cada vez mais, a monitoria do profissional não é uma escolha, mas
uma obrigação do gerenciamento de risco. A empresa deve declarar claramente que
de fato monitora, listando o que é rastreado, descrevendo o que procura e
detalhando as conseqüências de violações. Controles de segurança sugeridos por
normas de segurança podem ser um caminho mais viável para suportar parâmetros
de auditoria e conformidade para toda a companhia.

Práticas

Algumas ações básicas podem dar maior segurança e tranqüilidade à corporação e


ao funcionário, no que se refere à monitoria do ambiente de trabalho. São elas:

• Antes de qualquer ação, é viável que a companhia consulte um especialista em lei


digital para saber se existem bases judiciais que afetem seus planos de monitoria.

• As razões para realizar a monitoria têm que estar claras entre empresa e
funcionário. O fato de uma empresa admitir abertamente que faz monitoria,
reforçado por ações reativas quando são descobertas infrações, fará os funcionários
entenderem que e-mail não é uma forma de comunicação privada. É provável que
passem a se policiar.

• Caracterizar a monitoria como algo de proteção mútua, dando segurança e


respaldo à corporação e ao profissional.

- 32 -
• Definir claramente as expectativas da empresa e informar os funcionários sobre a
monitoria.

• Estabelecer a política; educar a força de trabalho; e empregar a política de maneira


consistente.

• Combinar ferramentas de varredura de conteúdo e regras por escrito.

• Punir quando for necessário. De outra forma, ninguém respeitará as regras da


companhia.

Vital para o sucesso

Quanto mais uma empresa depende de redes de computadores, maiores devem ser
as preocupações com segurança. E isso significa preocupar-se com a integridade de
dados, com o tempo de manutenção devido a problemas de segurança, e com muitos
outros aspectos.

O número de incidentes de segurança está em pleno crescimento, não apenas


porque as redes de computadores são vulneráveis, mas também porque quanto mais
poderosos tornam-se os aparatos de segurança – leia-se firewalls, software, etc –,
maior se torna o interesse de hackers em invadir.

Falhas em políticas de segurança expõem não apenas informações e dados de uma


empresa, mas também causam danos sérios à imagem da companhia. E é o zelo
pela imagem que, muitas vezes, impulsiona a implantação de uma política de
segurança, com a utilização de firewalls, mecanismos de autenticação, algoritmos de
encriptação, e outras medidas de prevenção. Mas será que apenas investindo em
tecnologia a empresa estará 100% segura?

Um dos maiores riscos é a empresa acreditar que basta comprar equipamentos e


softwares e estará segura para sempre. Produtos de segurança direcionados à
prevenção são bons, mas são apenas uma parte do conceito geral. Não é o bastante
ter os melhores produtos de segurança. É preciso instalá-los, usá-los, e mantê-los
atualizados (instalando novas versões, aplicando patches de correção, etc) para,
então, interpretar suas informações e responder efetivamente aos alertas registrados
por eles.

No contexto atual, mais do que nunca, segurança é vital para o sucesso de um


negócio.

- 33 -