Segurana da Informao

Mdulo 1 - Conceito
Est cada vez mais difcil manter em segurana as informaes referentes a
empresas ou pessoas. O descuido nessa rea pode causar prejuzos significativos, e
muitas vezes irreversveis. Mas felizmente a maior parte das empresas est
consciente do perigo e estamos vivendo um momento em que praticamente todas
elas mantm alguma poltica de segurana.
A Segurana da Informao refere-se proteo requerida para proteger as
informaes de empresas ou de pessoas, ou seja, o conceito se aplica tanto as
informaes corporativas quanto s pessoais. Entende-se por informao todo e
qualquer contedo ou dado que tenha valor para alguma organizao ou pessoa. Ela
pode estar guardada para uso restrito ou exposta ao pblico para consulta ou
aquisio.
Podem ser estabelecidas mtricas para definio do nvel de segurana existente e
requerido. Dessa forma, so estabelecidas as bases para anlise da melhoria da
situao de segurana existente. A segurana de uma determinada informao pode
ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo
ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que tm o
objetivo de furtar, destruir ou modificar tal informao.
Propriedades
As principais propriedades que orientam a anlise, o planejamento e a
implementao de uma poltica de segurana so confidencialidade, integridade e
disponibilidade. Na medida em que se desenvolve o uso de transaes comerciais em
todo o mundo, por intermdio de redes eletrnicas pblicas ou privadas, outras
propriedades so acrescentadas s primeiras, como legitimidade e autenticidade.
Confidencialidade Propriedade que limita o acesso informao to somente s
entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao.
Integridade Propriedade que garante que a informao manipulada mantenha
todas as caractersticas originais estabelecidas pelo proprietrio da informao,
incluindo controle de mudanas e garantia do seu ciclo de vida (nascimento,
manuteno e destruio).

-1-

Disponibilidade Propriedade que garante que a informao esteja sempre

disponvel para o uso legtimo, ou seja, por aqueles usurios autorizados pelo
proprietrio da informao. Em todas as fases da evoluo corporativa, fato que as
transaes de toda a cadeia de produo passando pelos fornecedores, fabricantes,
distribuidores e consumidores sempre tiveram a informao como uma base
fundamental de relacionamento e coexistncia.
O fato que hoje, quer seja como princpio para troca de mercadorias, segredos
estratgicos, regras de mercado, dados operacionais, quer seja simplesmente
resultado de pesquisas, a informao, aliada crescente complexidade do mercado,
forte concorrncia e velocidade imposta pela modernizao das relaes
corporativas, elevou seu posto na pirmide estratgica, tornando-se fator vital para
seu sucesso ou fracasso.
Proteo da informao
Entre as inmeras tendncias que explodiram em tecnologia, poucas assumiram o
status de imprescindvel. Ao fazer uma comparao, ainda que os sistemas de ERP e
CRM sejam de vital importncia para a rotina corporativa, ou que solues de
Business Intelligence e Balanced Scorecard permitam aos negcios atingir patamares
invejveis de lucratividade, a Segurana da Informao a nica que no pode faltar
em nenhuma hiptese. ela que protege o bem maior das companhias, ou seja, a
informao estratgica.
Para entender a importncia da proteo das informaes, basta pensar no prejuzo
que causaria para os negcios a posse desses dados pela concorrncia ou por
algum mal-intencionado. Atualmente, o perodo de reviso de processos e de
avaliao de solues que protejam cada vez mais as informaes corporativas, sem
impactar fortemente na produtividade. Fato que hoje a segurana considerada
estratgica e j encabea a lista de preocupaes de grandes empresas.
A Segurana deixou de ser submetida aos domnios da TI, para se tornar uma nova
rea que responde ao vice-presidente ou ao gestor de operaes, ganhando
oramento prprio, salas especficas e, claro, prazos e demandas a serem atendidas.
Um dos maiores dilemas da Segurana da Informao est relacionado com a
proteo dos ativos e a compreenso da amplitude desse conceito dentro da
empresa. A idia de ativo corporativo envolve tambm uma questo de difcil
medio: a marca da companhia e a percepo que ela desperta no mercado. Um
grande escndalo, uma falha latente ou uma brecha negligenciada podem sepultar
uma companhia para sempre, ainda que ela tenha tido muito sucesso at ento.
Outra questo relacionada com a Segurana da Informao, que tambm causa
preocupao, que se trata de um investimento sem fim. Pois medida que ela vai
se fortalecendo, os ataques cada vez mais vo se sofisticando tambm.

-2-

Um caminho sem volta

No h como voltar atrs. Qualquer companhia, desde a pequena empresa com dois
ou trs PCs, at uma complexa organizao com atuao em diversos pases, sabe
que em maior ou menor grau a tecnologia essencial para seu negcio. E
justamente por ser vital, que esse bem no palpvel traz consigo uma necessidade
bsica: segurana.
O desafio no to simples. Pela prpria natureza, embora muitas empresas de TI
estejam se esforando para mudar essa realidade, a segurana da informao
reativa. Isso significa que, tradicionalmente, primeiro verifica-se a existncia de um
problema, como vrus, fraude, invaso, para depois encontrar sua soluo, vacina,
investigao, correo de vulnerabilidade.
Para muitos, esse cenrio pode causar pnico. Afinal, primeiro eleva-se a informao
ao patamar mais crtico da empresa, tornando-a pea principal do jogo. Em seguida,
v-se que esse dado, pela forma e processo com que disponibilizado, corre o risco
de ser corrompido, alterado ou roubado por um garoto de 16 anos, que resolveu
testar programas hackers disponibilizados na prpria Internet ou, em casos piores,
usurpado por funcionrios e passado para a concorrncia ou ainda simplesmente
causando danos financeiros empresa.
Mas j existem prticas e solues tecnolgicas suficientemente eficientes para
comprovar que a digitalizao das transaes corporativas no transformou os
negcios em uma terra de ningum. Embora reconheam que afirmar ser 100%
seguro algo precipitado e arriscado, especialistas de segurana apontam que
educao profissional, processos e tecnologia formam um trip resistente no
combate ao crime eletrnico. Pesquisas mostram que aumentam os investimentos na
proteo dos dados. A segurana o maior desafio das solues em TI para o
sistema financeiro.
Nem s de software
Outro fenmeno que tem sido observado a concentrao dos servios de segurana
pelo grupo dos dez maiores integradores mundiais. Isso reflete a necessidade
prioritria das grandes corporaes e governos de moverem-se em direo a
fornecedores slidos, que possam atender as demandas com flexibilidade,
inteligncia e rapidez, elevando a importncia dos fatores de tica profissional,
confiabilidade e independncia, posicionando-se para o gestor como o security
advisor corporativo.
Mas as experincias corporativas demonstraram que no s de software que se
constri uma muralha resistente crescente variedade de ameaas, falhas e riscos.

-3-

 preciso que as aes corporativas sejam direcionadas por um Plano Diretor de

Segurana, de forma que possam estar frente de determinadas situaes de
emergncia e risco, uma postura mais pr-ativa que reativa. Esse plano ser
responsvel por verificar se a corporao est destinando verba suficiente para
manter o nvel de segurana alinhado com as expectativas de negcios. Tambm
apontar se as vulnerabilidades so de fato corrigidas ou se h uma falsa sensao
de segurana. muito comum haver grande disparidade entre o cenrio que se
pensa ter e aquilo que realmente ele .
De forma mais ampla, esse plano deve considerar questes estratgicas, tticas e
operacionais de negcios, atrelando-as a trs tipos bsicos de risco: humano,
tecnolgico e fsico. Ao longo desse curso ser abordada cada uma dessas variveis,
desde os tipos mais tradicionais de vrus que se disseminam pela rede, at as portas
mais vulnerveis da empresa, passando pelo monitoramento de sua rede, seus
profissionais, solues de TI, gesto e polticas de segurana.

-4-

Mdulo 2 - Tecnologias
O maior desafio da indstria mundial de software de segurana prover solues no
espao de tempo mais curto possvel, a partir da descoberta de determinada ameaa
ou problema. Mas foi-se o tempo em que tudo se resumia a encontrar um antivrus
eficaz, que fosse capaz de deter um determinado vrus. Hoje em dia, os vrus de
computador no so mais os nicos viles do crime digital.
No se trata mais de apenas proteger a estao de trabalho do funcionrio. A
companhia deve garantir que o correio eletrnico enviado desse mesmo computador
passar pelo servidor da empresa, seguir pela Internet (ou, em certos casos, por
uma rede privada virtual), chegar a um outro servidor, que transmitir a mensagem
ao destinatrio com a garantia de que se trata de um contedo totalmente protegido,
sem carregar qualquer truque ou surpresa inesperada.
Mas essa ainda apenas a ponta do iceberg. A Segurana da Informao deve estar
atrelada a um amplo Programa de Segurana da Informao, que se constitui de
pelo menos trs fases principais:
1) O primeiro passo consiste em realizar o levantamento e a classificao dos ativos
da empresa.
2) Concluda essa fase, preciso avaliar o grau de risco e de vulnerabilidade desses
ativos, testar suas falhas e definir o que pode ser feito para aperfeioar a sua
segurana.
3) A infra-estrutura de tecnologias a terceira fase desse planejamento, envolvendo
desde aquisio de ferramentas, at configurao e instalao de solues, criao
de projetos especficos e recomendaes de uso.
Infra-estrutura
Apresentar um organograma consolidado das ferramentas e solues que
compreendem a segurana de uma rede corporativa algo, em certo sentido, at
arriscado, considerando a velocidade com que se criam novos produtos e com que se
descobrem novos tipos de ameaas. No entanto, algumas aplicaes j fazem parte
da rotina e do amadurecimento tecnolgico de muitas organizaes que, pela
natureza de seus negcios, compreenderam quo crticas so suas operaes.

-5-

Algumas dessas aplicaes so:

Antivrus: Faz a varredura de arquivos maliciosos disseminados pela Internet ou
correio eletrnico. Balanceamento de carga: Ferramentas relacionadas
capacidade de operar de cada servidor da empresa. Vale lembrar que um dos papis
da segurana corporativa garantir a disponibilidade da informao, algo que pode
ser comprometido se no houver acompanhamento preciso da capacidade de
processamento da empresa. Firewall: Atua como uma barreira e cumpre a funo
de controlar os acessos. Basicamente, o firewall um software, mas tambm pode
incorporar um hardware especializado. Sistema Detector de Intruso (IDS, da sigla
em ingls): Como complemento do firewall, o IDS se baseia em dados dinmicos
para realizar sua varredura, como por exemplo, pacotes de dados com
comportamento suspeito, cdigos de ataque etc. Varredura de vulnerabilidades:
Produtos que permitem corporao realizar verificaes regulares em determinados
componentes de sua rede como, por exemplo, servidores e roteadores. Rede
Virtual Privada (VPN, da sigla em ingls): Uma das alternativas mais adotadas pelas
empresas na atualidade, as VPNs so canais em forma de tnel, fechados, utilizados
para o trfego de dados criptografados entre divises de uma mesma companhia,
parceiros de negcios. Criptografia: Utilizada para garantir a confidencialidade das
informaes. Autenticao: Processo de identificao de pessoas, para
disponibilizar acesso. Baseia-se em algo que o indivduo saiba (uma senha, por
exemplo), com algo que ele tenha (dispositivos como tokens, cartes inteligentes,
certificados digitais); e em algo que ele seja (leitura de ris, linhas das mos).
Integradores: Permitem centralizar o gerenciamento de diferentes tecnologias que
protegem as operaes da companhia. Mais que uma soluo, trata-se de um
conceito. Sistemas antispam: eliminam a maioria dos e-mails no solicitados.
Software de backup: So programas para realizar cpias dos dados para que, em
alguma situao de perda, quebra de equipamentos ou incidentes inusitados, a
empresa possa recuper-los.
Pela complexidade de cada uma das etapas compreendidas em um projeto de
segurana, especialistas recomendam que a empresa desenvolva a implementao
baseando-se em projetos independentes.
Falsa sensao de segurana
O maior perigo para uma empresa, em relao proteo de seus dados, a falsa
sensao de segurana. Pois, pior do que no ter nenhum controle sobre ameaas,
invases e ataques confiar cegamente em uma estrutura que no seja capaz de
impedir o surgimento de problemas.
Por isso, os especialistas no confiam apenas em uma soluo baseada em software.
Quando se fala em tecnologia, necessrio considerar trs pilares do mesmo
tamanho, apoiados uns nos outros para suportar um peso muito maior.
-6-

Esses trs pilares so as tecnologias, os processos e as pessoas. No adianta

fortalecer um deles, sem que todos os trs no estejam equilibrados.
Ao se analisar a questo da Segurana da Informao, no entanto, alm da
importncia relativa de cada um desses pilares, preciso levar em conta um outro
patamar de relevncia, pois estar sendo envolvida uma gama muito grande de
solues de inmeros fornecedores.
Por isso, a Segurana da Informao precisa envolver Tecnologias, Processos e
Pessoas em um trabalho que deve ser cclico, contnuo e persistente, com a
conscincia de que os resultados estaro consolidados em mdio prazo.
Uma metfora comum entre os especialistas d a dimenso exata de como esses
trs pilares so importantes e complementares para uma atuao segura: uma casa.
Sua proteo baseada em grades e trancas, para representar as tecnologias, que
depende dos seus moradores para que seja feita a rotina diria de cuidar do
fechamento das janelas e dos cadeados, ou seja, processos. Simploriamente, a
analogia d conta da interdependncia entre as bases da atuao da segurana e de
como cada parte fundamental para o bom desempenho da proteo na corporao.
Recursos de proteo
A primeira parte trata do aspecto mais bvio: as tecnologias. No h como criar uma
estrutura de Segurana da Informao, com poltica e normas definidas, sem
solues modernssimas que cuidem da enormidade de pragas que infestam os
computadores e a Internet hoje em dia.
Os appliances de rede, com solues de segurana integradas, tambm precisam ser
adotados. Dispositivos para o controle de spam, vetor de muitas pragas da Internet
e destacado entrave para a produtividade, tambm podem ser alocados para dentro
do chapu da Segurana da Informao. Programas para controlar o acesso de
funcionrios, bloqueando as visitas a pginas suspeitas e que evitem sites com
contedo malicioso, tambm so destaques. Mas antes da implementao da
tecnologia, necessria a realizao de uma consultoria que diagnostique as
solues importantes.
Essas inmeras ferramentas, no entanto, geram outro problema: como gerenciar
toda essa estrutura dentro de uma rotina corporativa que demanda urgncia e
dificilmente est completamente dedicada segurana? A melhor resposta est no
gerenciamento unificado. A adoo de novas ferramentas, como sistema operacional,
ERP ou CRM, precisa de anlise dos pr-requisitos em segurana.

-7-

Outro ponto do trip so os processos, que exigem reviso constante. O grande

combate realizado no dia-a-dia do gestor de segurana, em parceria com o CIO,
equilibrar a flexibilidade dos processos de forma que eles no tornem a companhia
frgil, mas que, por outro lado, no endurea demais a produtividade, em busca do
maior nvel possvel de segurana.
A viso da companhia como um emaranhado de processos causou grande revoluo
ao ir de encontro com os conceitos de gesto clssicos, focados na estrutura. Nesse
novo enfoque, a adio de segurana segue a mesma linha turbulenta. Como no
novo modelo, todos os processos esto integrados, um impacto causado pela
segurana pode no apenas causar prejuzos para a rotina da empresa, mas tambm
criar certo mal-estar entre as reas. Tomar atitudes cautelosas e estudadas, mas
sem receio de atritos, precisa ser a prtica do gestor.
Pessoas: desafio constante
A ltima parte da trinca a mais fcil de explicar. No preciso raciocinar muito
para chegar concluso de que as pessoas so pedras fundamentais dentro do
ambiente corporativo, sobretudo em Segurana da Informao.
Cerca de 70% dos incidentes de segurana contam com o apoio, intencional ou no,
do inimigo interno. As pessoas esto em toda a parte da empresa e enxergam como
ponto fundamental apenas a proteo da mquina. Os cuidados bsicos com as
atitudes das pessoas, muitas vezes so esquecidos ou ignorados. Encontrar senhas
escritas e coladas no monitor, bem como a troca de informaes sigilosas em
ambientes sem confidencialidade, como txi e reunies informais so situaes muito
comuns. Assim, contar com a colaborao das pessoas simplesmente fundamental
numa atividade crtica para a empresa e que no tem final em vista. Mas o ponto
principal da preocupao com as pessoas que os fraudadores iro busca delas
para perpetrar seus crimes.
Uma exigncia cada vez mais importante para o CSO ser tambm um gestor de
pessoas, uma vez que elas podem causar muitos estragos e provocar srios
prejuzos. Mas ao se analisar o contexto de formao dos gerentes de segurana,
talvez seja esse o ponto mais fraco. Investimento em formao profissional nesse
sentido uma iniciativa muito vlida, assim como intercmbio de informaes entre
reas como Recursos Humanos e Marketing para aumentar o alcance e a eficcia das
recomendaes. O fato de envolver um dilema cultural tambm outro complicador.
Segurana da Informao representa um desafio de indita magnitude para os
profissionais do setor e, tambm, para a companhia como um todo.

-8-

Mdulo 3 - Gestor da Segurana da Informao

Estabelecer procedimentos em transaes corporativas, operar por meio de regras
de acesso e restries, criar hierarquias de responsabilidades, mtodos de reao a
eventuais falhas ou vulnerabilidades e, acima de tudo, manter um padro no que se
refere segurana da companhia. Entre outras, so essas as atribuies que
culminaram na criao da funo de CSO Chief Security Officer, ou Gestor da
Segurana da Informao.
Todas as mudanas importantes ocorridas em Segurana da Informao
demandavam um novo profissional. O gestor de tecnologia no tinha condies, e
muito menos tempo, para assumir toda essa rea que se constitua com velocidade
estonteante. A resposta foi a criao de uma nova funo dentro da companhia que
organizasse e coordenasse as iniciativas em Segurana da Informao em busca da
eficincia e eficcia no tema.
Apenas algum com grande conhecimento tanto em negcios quanto em segurana
pode desenhar a estratgia de Segurana da Informao de maneira competente,
implementando polticas e escolhendo as medidas apropriadas para as necessidades
de negcios, sem impactar na produtividade. Ainda que a contratao de gestores de
segurana esteja sendo uma constante no mercado de grandes companhias, no se
chegou a um consenso sobre a natureza do seu cargo.
Um dos pontos que permanecem sem uma definio precisa a viabilidade de
combinar sob o mesmo chapu a Segurana lgica e a fsica. O isolamento entre
essas reas pode ser fatal para uma companhia no caso de um desastre natural,
como o furaco Katrina em 2005, que atingiu a cidade norte-americana de Nova
Orleans, ou o tsunami que afetou a Indonsia em 2004, ou at mesmo uma pane
eltrica ou incndio.
Responsabilidades
Algumas metas gerais para os gestores de segurana so:
Desenvolver e implementar polticas, padres e guias gerais para o pessoal, para a
segurana de dados, recuperao de desastre e continuidade de negcios.
Supervisionar o contnuo monitoramento e proteo da infra-estrutura, os recursos
necessrios de processos que envolvam pessoas ou dados. Avaliar possveis
brechas de segurana e recomendar as correes necessrias. Negociar e gerenciar
service-level agreements (SLAs) com fornecedores externos de servios de proteo
ou hospedagem de dados.

-9-

Qualificaes
Para atender aos requisitos de segurana lgica e fsica de redes globais cada vez
mais complexas e vulnerveis, o perfil do CSO evoluiu muito. Por um lado, o cenrio
apresenta ameaas crescentes e cada vez mais fatais, hackers, vrus, ataques
terroristas, enchentes, terremotos. Por outro, a vulnerabilidade e a complexidade
tecnolgica crescem tambm e aumentam as atribuies e as habilidades
necessrias para exercer a funo de CSO. Hoje, um CSO tem de entender de
segurana, conhecer bem os negcios e participar de todas as aes estratgicas da
empresa. Mais do que um tcnico, ele deve ser definitivamente um gestor de
negcios. As qualificaes que costumam ser exigidas para o cargo de CSOs so:
Habilidades em questes de segurana fsica Familiaridade com a linguagem e os
dilemas prprios da TI Experincia prvia em segurana um destaque, se
acompanhada tambm por conhecimento de negcios Exigncia de lidar com
pessoas Facilidade de comunicao, para ter a desenvoltura necessria para fazer
a interface tanto na esfera de deciso quanto nos diversos setores e nveis culturais
dentro da companhia Capacidade de liderana e de gerenciamento de equipes para
atingir uma atuao bem-sucedida em qualquer corporao Ter conhecimentos
maduros sobre questes como autenticao, auditoria, preservao da cena do crime
real ou virtual, e gerenciamento de risco Ter viso estratgica e experincia no
gerenciamento das operaes
Formao
Geralmente, o CSO possui formao em Cincias da Computao, Engenharia ou
Auditoria de Sistemas. O grande retorno que o CSO traz para as empresas diminuir
os riscos nas operaes, com todas as conseqncias positivas. Mas a verdade que
um profissional assim to completo no encontrado facilmente no mercado. Por
isso, calcula-se que h mais de 20 mil vagas abertas para CSOs naquele pas. No
Brasiol, a demanda no chega a ser to grande, mas esses profissionais j so
comuns em instituies financeiras, seguradoras, operadoras de telecomunicao e
empresas com operaes na Internet. Especialistas em carreira recomendam que o
CSO tenha atuao independente e no se reporte ao CIO, mas diretamente
diretoria ou presidncia.
Estatsticas recentes apontam para o crescimento dos empregos na rea de
segurana. De acordo com estudo anual feito pela IDC e patrocinado pelo
International Information Systems Security Certification Consortium, a projeo de
profissionais para a regio das Amricas passar de 647 mil em 2006 para 787 mil
em 2009.

- 10 -

O estudo Global Information Security Workforce Study (GISWS) destaca que a

responsabilidade pela segurana da informao cresceu na hierarquia da gesto e
acabou chegando ao conselho diretor e ao CEO, CISO ou CSO. Quase 21% dos
entrevistados na pesquisa disseram que seu CEO agora o responsvel final pela
segurana da informao e 73% afirmaram que esta tendncia se manter.
Cada vez mais essencial que as organizaes sejam pr-ativas na defesa de seus
ativos digitais. E para isso, preciso contar com profissionais competentes para lidar
com solues de segurana complexas, requisitos regulatrios e avanos
tecnolgicos das ameaas, bem como vulnerabilidades onerosas. Dessa forma, o
CSO deve proceder a gesto de riscos e est mais integrado s funes de negcio.
Profissionais de segurana precisam aprimorar suas habilidades tcnicas e de
negcio para que possam exercer a funo.
Uma boa dica para quem pretende se profissionalizar na rea de Segurana da
Informao procurar obter certificaes de uma associao de segurana
profissional, para ajudar a impulsionar a carreira. Para 90% dos participantes da
pesquisa envolvidos com contratao, as certificaes so um pouco ou muito
importantes na deciso de contratar algum. Mais de 60% pretendem adquirir pelo
menos uma certificao de segurana da informao nos prximos 12 meses.
A certificao de Segurana da Informao pode ser dependente e/ou independente
de fabricantes e ambas so teis para o desenvolvimento da carreira. As
credenciais atreladas a fabricantes (como as da Cisco e da Microsoft, por exemplo)
so meios importantes para conseguir as habilidades necessrias ao cargo. No
entanto, elas precisam vir acompanhadas de certificaes que demonstrem uma
ampla base de conhecimento e experincia. As certificaes Certified Information
Systems Security Professional (CISSP) e Certified Information Systems Auditor
(CISA) so timas opes.
Ao elaborar o plano de carreira, as associaes que oferecem servios de construo
de carreira e educao continuada podem ajudar. No contato com essas associaes,
o candidato a CSO pode explorar oportunidades para demonstrar sua experincia na
rea, fazer parte de redes de comunicao com colegas, e ter acesso pesquisa da
indstria e oportunidades de trabalho voluntrio.
Entretanto, certificaes e experincia na rea so pouco proveitosas isoladamente.
Para evoluir no quadro tcnico da empresa e se tornar um CSO, necessrio saber
se comunicar em termos de negcios. Para isso, a proficincia tcnica deve ser aliada
habilidade de transmitir o valor do negcio. O CSO deve ser capaz de explicar os
benefcios da segurana em termos de retorno do investimento (ROI), seu valor para
melhorar a capacidade da empresa em fechar negcios, alm de deixar claro quais
so as solues prticas que ela pode trazer para a resoluo dos problemas.

- 11 -

Dicas para se tornar um CSO

1) Aprender a colaborar com outros departamentos, para integrar e avaliar outras
funes. Pesquisa da IDC indica os entrevistados afirmam que 62% de suas tarefas
cotidianas dependem da troca de informao ou da cooperao com outras pessoas.
2) Adotar a abordagem do valor agregado, ou seja, alinhar suas atribuies e
responsabilidades com as metas de negcio de cada departamento.
3) Desenvolver seu prprio crculo de confiana dentro da organizao, com
representantes de cada departamento para ajudar a promover a compreenso
mtua, a valorizao e o trabalho em equipe.
4) Manter conversas com executivos para que eles possam conhec-lo e aprender a
confiar em voc. Essas conversas devem ser sucintas, porm expressivas, contendo
termos de negcio e no vocabulrio geek ou acrnimos. Determine como voc
pode agregar valor s suas metas e demonstre por que voc deve ser consultado ou
includo em uma reunio.
5) Oferecer treinamento para conscientizar os executivos e usurios sobre ameaas
segurana que afetam os home offices e apresentar tcnicas de preveno. O
objetivo conquistar confiana dos executivos na sua capacidade de fazer
recomendaes para as redes da empresa.
8) Aprender a equilibrar riscos e oportunidade. Muitos executivos consideram o staff
de segurana inflexvel e evitam convid-lo para reunies de estratgia. Seja flexvel
ao equilibrar os riscos segurana com os processos de negcio que ajudam a
organizao a cumprir as metas.

- 12 -

Mdulo 4 - Vulnerabilidades
Em pouco tempo, os computadores se tornaram uma parte intrnseca e essencial da
vida cotidiana. O resultado um enorme potencial de lucros financeiros para os
criadores de programas mal-intencionados. Com a ascenso de tcnicas sofisticadas,
est ficando cada vez mais difcil para a base de usurios em geral identificar ou
evitar as infeces por programas mal-intencionados.
A principal ameaa segurana das transaes corporativas so as pessoas. Esta a
primeira resposta que muitos institutos de pesquisas e especialistas de segurana
tm utilizado quando questionados sobre a principal ameaa s transaes
corporativas. Solues tecnolgicas sofisticadas, integradas a parceiros, clientes e
fornecedores, a ltima palavra em ferramentas de gesto empresarial, relatrios
detalhados etc. Nada disso tem valor se no h restries, polticas e processos que
estabeleam e organizem a conduta do profissional dentro da corporao.
Na maior parte das vezes, j se verifica que os problemas relacionados
interferncia humana no esto diretamente ligados a aes fraudulentas ou s
demais situaes em que o funcionrio tem o objetivo de prejudicar sua empresa.
Pelo contrrio. A grande maioria dos incidentes de segurana ocorre por falta de
informao, falta de processos e orientao ao recurso humano.
Outro fator determinante nessa equao est vinculado evoluo rpida e contnua
das tecnologias. Em pouco tempo, at mesmo os computadores domsticos ganham
recursos em potncia e em capacidade de armazenamento. Ao mesmo tempo em
que essa evoluo proporciona inmeros benefcios, tambm se encarrega de gerar
novos riscos e ameaas virtuais. Esse cenrio, que estar presente em breve em
muitas residncias, sinaliza o que vir no ambiente corporativo.
Mas as questes de segurana atreladas gesto de pessoal so apenas parte dos
desafios que as empresas precisam enfrentar na atualidade. Antes desses, e no
menos crticas, esto as vulnerabilidades tecnolgicas, renovadas a cada instante.
Especialistas em identificar e estudar essas brechas vm se esforando para alertar
sobre aquelas que hoje so consideradas as principais ameaas s transaes
eletrnicas. O System Administration, Networking and Security (SANS) e o National
Infrastructure Protection Center (NIPC/FBI) so bons exemplos dessa realidade.
A seguir esto mencionadas algumas das falhas mais comumente identificadas,
independentemente do porte ou da rea de atuao da companhia, bem como da
complexidade de sua infra-estrutura tecnolgica e dos sistemas que utiliza.

- 13 -

Senhas fracas
Muitas vezes, as senhas de um funcionrio podem ser facilmente descobertas,
mesclando itens comuns como nome e sobrenome, data de aniversrio, nome de
esposa, filho etc. A administrao desses acessos tambm se d de forma
desordenada, o usurio geralmente no tem educao para lidar com seu cdigo de
acesso. Atualmente, as empresas contam com o benefcio de estabelecer uma
autenticao forte, isto , mesclar algo que o usurio sabe (memria), com algo que
ele tem (token) e algo que ele (biometria).
Algumas ferramentas possibilitam corporao verificar o grau de segurana das
senhas de seus funcionrios. Utilizar um desses recursos para quebra de senhas
pode ser um bom caminho para identificar contas com senhas fracas ou sem senha.
Sistemas de backups falhos
Muitas empresas afirmam realizar backups dirios de suas transaes, mas sequer
fazem manuteno para verificar se o trabalho realmente est sendo feito. preciso
manter backups atualizados e mtodos de recuperao dos dados previamente
testados. Muitas vezes, uma atualizao diria pouco diante das necessidades da
empresa, caso venha a sofrer algum dano. Tambm recomendvel tratar da
proteo fsica desses sistemas, que por vezes ficam relegados manuteno
precria. J comum, depois dos tristes fatos ocorridos em 11 de setembro de 2001,
sites de backup onde os dados so replicados e, em caso de uma catstrofe, os
sistemas so utilizados para a continuidade dos negcios.
Portas abertas
Portas abertas so convites para invases. Boas ferramentas de auditoria de
servidores ou de scan podem auxiliar a empresa a identificar quais so suas brechas
nos sistemas. Para no ser surpreendido, recomendado fazer uma auditoria regular
dessas portas. Independentemente da ferramenta utilizada para realizar essa
operao, preciso que ela varra todas as portas UDP e TCP do sistema, nas quais
se encontram os alvos atacados por invasores. Alm disso, essas ferramentas
verificam outras falhas nos sistemas operacionais tais como servios desnecessrios
e aplicaes de patches de segurana requeridos.
Brechas de instalaes
Muitos fornecedores de sistemas operacionais padro (default) e aplicativos
oferecem uma verso padro e de fcil instalao para seus clientes. Eles acreditam
que melhor habilitar funes que no so necessrias, do que fazer com que o
usurio tenha de instalar funes adicionais quando necessitar.

- 14 -

Embora esse posicionamento seja conveniente para o usurio, ele acaba abrindo
espao para vulnerabilidades, j que no mantm, nem corrige componentes de
software no usados.
Sobre os aplicativos, comum que instalaes default incluam scripts ou programas
de exemplos, que muitas vezes so dispensveis. Sabe-se que uma das
vulnerabilidades mais srias relacionadas a servidores web diz respeito aos scripts de
exemplo, os quais so utilizados por invasores para invadir o sistema. As
recomendaes bsicas so remover softwares desnecessrios, desabilitar servios
fora de uso e bloqueio de portas no usadas.
Falhas em sistemas de logs
Logs so responsveis por prover detalhes sobre o que est acontecendo na rede,
quais sistemas esto sendo atacados e os que foram de fato invadidos. Caso a
empresa venha a sofrer um ataque, ser o sistema de registro de logs o responsvel
por dar as pistas bsicas para identificar a ocorrncia, saber como ocorreu e o que
preciso para resolv-la. recomendvel realizar backup de logs periodicamente.
Transaes sem fio desprotegidas
Os equipamentos mveis so tecnologias emergentes. No entanto, os padres de
comunicao utilizados atualmente requerem configurao minuciosa para
apresentar um mnimo de segurana (encontre mais detalhes no prximo mdulo
deste curso). Novos padres prometem mais tranqilidade comunicao wireless.
No entanto, recomendvel ter cautela na adoo desses recursos, conforme o grau
de confidencialidade do que est sendo transmitido pelo canal sem fio.
Falha na atualizao de camadas de segurana e sistemas operacionais
A falta de gerenciamento de cada ferramenta de segurana e a correo de software
disponibilizado pelos fornecedores esto entre os fatores mais crticos na gesto
corporativa. Para muitos, esse um desafio constante, visto o volume de patches
anunciado por diversos fornecedores, bem como a velocidade com que se atualizam
os softwares de segurana. J existem, inclusive, empresas especializadas em
fornecer ferramentas que cumprem a funo especfica de automatizar a atualizao
de patches de segurana. Um Plano Diretor de Segurana deve contemplar e
explicar, em detalhes, como esses processos devem ser realizados.

- 15 -

Dez ameaas de 2007

As empresas de Segurana da Informao periodicamente divulgam as principais
ameaas que rondam os usurios de Internet, corporativos ou domsticos. Com mais
de 217 mil tipos diferentes de ameaas conhecidas e outros milhares de ameaas
ainda no identificadas, o laboratrio da empresa de segurana McAfee conclui que
os programas mal-intencionados so cada vez mais lanados por criminosos
profissionais e organizados. A empresa acredita que, at o final de 2007, cerca de
300 mil ameaas digitais devem estar registradas em seu banco de dados.
As dez mais importantes ameaas identificadas pela companhia para 2007
so:
1) O nmero de sites de roubo de senhas aumentar, utilizando pginas de cadastro
falsas de servios conhecidos na Internet, como o eBay.
2) O volume de spams, especialmente do tipo que consome uma quantidade enorme
de largura de banda, continuar crescendo, o que prejudica a produtividade dos
funcionrios, que precisam apagar manualmente as mensagens indesejadas.
3) A popularidade do compartilhamento de vdeos na Web tornar inevitvel que os
hackers tenham por objetivo os arquivos MPEG como meio de distribuir programas
mal-intencionados.
4) Os ataques a telefones celulares ficaro mais freqentes medida que os
dispositivos mveis ficarem mais inteligentes e mais conectados.
5) O Adware ganhar importncia ainda maior aps o aumento dos programas
comerciais potencialmente indesejveis (PUPs).
6) O roubo de identidade e a perda de dados continuaro sendo um problema pblico
na raiz desses crimes esto, muitas vezes, o furto de computadores, a perda de
backups e sistemas de informao comprometidos.
7) O uso de robs (bot), programas de computador que realizam tarefas
automatizadas, aumentar como uma das ferramentas preferidas dos hackers.
8) Reaparecero os programas mal-intencionados parasitas, ou vrus que modificam
arquivos existentes em um disco.
9) O nmero de rootkits em plataformas de 32 bits aumentar, mas os recursos de
proteo e resoluo tambm aumentaro.
10) As vulnerabilidades continuaro causando preocupao, impulsionadas pelo
mercado clandestino de vulnerabilidades os hackers prosseguiro com ameaas
para infectar mquinas por meio de vulnerabilidades conhecidas.
- 16 -

Hoje, os pesquisadores da empresa tm provas da ascenso do crime profissional e

organizado na criao de programas mal-intencionados, com equipes de
desenvolvimento criando, testando e automatizando a produo e a distribuio.
Tcnicas sofisticadas tais como polimorfismo, a recorrncia de parasitas, rootkits e
sistemas automatizados com criptografia cclica que lanam novas verses esto
ganhando mais espao. Alm disso, as ameaas esto sendo embaladas ou
criptografadas para disfarar os objetivos mal-intencionados em uma escala mais
veloz e complexa.

- 17 -

Mdulo 5 - Mobilidade
Cada vez mais, equipamentos mveis, como notebooks e smartphones, esto
presentes na vida das pessoas, especialmente de executivos que se deslocam em
viagens de negcios. Porm, esses dispositivos mveis possuem fragilidades
diferentes das encontradas em computadores fixos. Isso exige uma poltica
segurana diferenciada para controlar possveis ameaas.
No novidade para ningum. A adoo em larga escala de equipamentos mveis,
especialmente notebooks e smartphones, traz vantagens inquestionveis para o
ambiente corporativo, como o aumento da produtividade, disponibilidade e
flexibilidade. Uma questo, no entanto, permanece sem resposta: at que ponto o
produto em suas mos seguro?
O contexto precisa ser explicado. Em meados dos anos 80, os computadores
pessoais substituram o mainframe e revolucionaram a forma pela qual as pessoas se
relacionavam com a tecnologia. Eles dominaram completamente o cenrio mundial.
O reinado, contudo, est terminando. A coroa est com os terminais mveis, com
predomnio dos notebooks, mas tambm com a presena crescente de handhelds,
smartphones, PDAs e telefones celulares.
A mudana est to consolidada que, hoje, inimaginvel um executivo de sucesso,
em qualquer vertical de atuao, que no carregue seu dispositivo mvel, seja este
qual for. Uma das exigncias para o sucesso no atual mercado globalizado a
capacidade de estar conectado a qualquer momento, pronto para fazer algum
negcio assim que ele aparea.
Essa reestruturao est revolucionando o mercado corporativo. Se, por um lado,
possvel atingir nveis de produtividade impensveis no formato antigo, quando o
executivo permanecia preso no ambiente tradicional de escritrio, por outro, a
Segurana da Informao surge como o seu calcanhar-de-aquiles. Os argumentos a
favor so atraentes: garantias de grande disponibilidade e flexibilidade, j que o
executivo pode acessar informaes da rede da companhia em qualquer horrio e de
qualquer lugar do mundo. Mas os contrrios, no entanto, assustam.
Nova realidade
Os dispositivos mveis possuem fragilidades que no encontram paralelo nas
estaes fixas, fato que exige do gestor de segurana da informao uma poltica
estruturada para cuidar de todos esses limites. As tecnologias de acesso sem fio,
outra base da mobilidade, tambm representam um grande problema. Independente
do padro escolhido, elas significam, no limite, uma falta de controle da organizao
sobre a rede em que se acessa. Especificamente, as funcionalidades integradas de
wireless LAN permitem o acesso a recursos corporativos por meio de redes terceiras,
que esto longe da viso da corporao e das suas polticas de segurana.

- 18 -

O desenvolvimento da tecnologia tambm aumenta o escopo do problema. Com

discos de maior capacidade de armazenamento, o usurio acaba sendo encorajado a
salvar seus dados localmente, o que representa problemas de segurana. A
disseminao de USB Drives, bem como gravadores de CDs e DVDs, abrem espao
para a utilizao pessoal do dispositivo, retendo informaes que no deveriam estar
ali. Outro ponto preocupante diz respeito transferncia de informaes do notebook
para esses aparelhos, j que, caso no exista uma poltica clara e estruturada,
difcil controlar quais arquivos foram copiados em outras mdias.
Alm disso, o aspecto fsico da soluo tambm precisa ser levado em conta. Pelo
seu valor, os aparelhos portteis atraem enorme ateno e so roubados
constantemente. Em So Paulo, por exemplo, existem quadrilhas especializadas em
roubos de laptops, procurando suas vtimas em locais estratgicos como aeroportos
ou de concentrao de grandes empresas.
Outro fator que causa bastante preocupao est, graas miniaturizao dos
aparelhos, na possibilidade de perda desses dispositivos. Mais do que o preo do
aparelho, o dado armazenado tambm tem valor. Muitas vezes, incalculvel. Como
lidar com todas essas questes?
Oportunidade de negcios
Na outra ponta, a grande preocupao para os CSOs representa uma grande
oportunidade de negcios para as empresas de segurana. Assim, inmeros players
olham com ateno para essas questes, oferecendo solues que prometem
diminuir os riscos do uso de solues mveis no ambiente corporativo. A primeira
resposta est nos softwares de conformidade de terminal.
Aproveitando a estrutura consolidada dentro da empresa, o gestor replica as
solues de segurana instaladas e confere se o aparelho est dentro das polticas
especificadas internamente. Com isso, o usurio de um aparelho mvel permanece
numa VPN, que funciona como quarentena, tendo seu acesso rede corporativa
liberado apenas quando atender todos os pr-requisitos, como instalao das
atualizaes de antivrus e patches de segurana.
Com isso, possvel garantir que todos os nveis de proteo estabelecidos pela
companhia sejam passados para as plataformas mveis. Assim, eliminado o
problema de um worm ou vrus no notebook, por exemplo, infectar toda a rede
corporativa sem que o usurio tenha conhecimento. Isso, no entanto, apenas o
primeiro nvel de proteo no contexto das plataformas mveis.
Um CSO preocupado e atento s novas tendncias precisa entender que, na verdade,
a conformidade entra mais como um fator de controle dentro da companhia. Isso
porque a abordagem de maior proteo precisa estender a preocupao para os
prprios dispositivos mveis em uso, com cada um tendo uma soluo de segurana
conforme suas necessidades e analisando com qual tipo de dado costuma trabalhar.
- 19 -

Acima de tudo, a mobilidade significa que as empresas usurias precisaro fazer

novos investimentos para se adequar nova realidade que a mobilidade imps. Esta
nova realidade exige novas polticas e solues contra o inimigo interno, a
preocupao com esse tema ganha um novo patamar.
De qualquer forma, toda a implementao de segurana, seja na corporao ou nos
dispositivos mveis, deve ser precedida por uma fase de rigorosa anlise. O contexto
da mobilidade multifacetado, com variaes marcantes conforme o terminal, ou
seja, um notebook precisa de uma abordagem determinada, enquanto um
smartphone precisa de outras solues. preciso levar em conta quais so os riscos
e qual a importncia dos dados armazenados para, a partir da, tomar a deciso
mais adequada, seja investir numa soluo que combine antivrus, firewall e IPS ou
apostar em outra alternativa.
De olho no notebook
Atualmente, o dispositivo mais visado o notebook. As ferramentas de criptografia
so obrigatrias, nesse cenrio. preciso proteger os dados armazenados,
especialmente os estratgicos, os quais, se roubados, podem causar grandes
estragos para a companhia. A criptografia diminui esse perigo.
Dados do Gartner, no estudo chamado Update Your Security Practices to Protect
Notebook PCs, do conta de que grande parte das organizaes tem dificuldade em
reconhecer a necessidade de levar a Segurana da Informao aos dispositivos
mveis. Avaliando os motivos desse comportamento, o instituto enumerou o nvel de
amadurecimento do mercado de segurana, j que os fornecedores do setor, tanto
em software quanto em servios, ainda no abrangem toda a gama de
vulnerabilidades dos notebooks.
Tambm foram destacadas as abordagens em solues nicas. Segundo o
levantamento, apostar em apenas um nico produto ou procedimento para atingir
um nvel de segurana satisfatrio em notebooks muito perigoso.
A estratgia de proteo adotada para notebooks, no entanto, deve ser seguida
fielmente pelos outros dispositivos. Conforme as aplicaes dentro de cada aparelho
forem sendo ampliadas e a importncia dos dados crescendo na mesma razo, ser
necessrio cuidar de solues prprias para os outros dispositivos, sejam eles PDAs,
smartphones ou os populares telefones celulares.
Ainda que alguns especialistas afirmem que a consolidao j uma realidade para
aparelhos de menor porte, o mercado ainda se mostra incipiente. Mas um dado
precisa ser levado em considerao: enquanto o primeiro worm de rede levou cerca
de 20 anos para ser desenvolvido, a praga eletrnica que infestou os celulares no
demorou mais do que oito meses.
- 20 -

Antes do surgimento da mobilidade, todos os investimentos estavam focados no

permetro de rede das empresas. Hoje, a situao se modificou sensivelmente. A
estrutura de combate construda para proteger a companhia do ambiente externo,
empilhando solues de antivrus, firewall, IDS e IPS, alm dos appliances de rede
que trazem funcionalidades de segurana no suficiente. Friamente, a mobilidade
trouxe um novo conceito de permetro de rede e, com ele, gerou paralelamente
inmeras brechas de segurana.
No ilusrio imaginar que, como toda grande revoluo com ganhos fantsticos, a
mobilidade est tambm pagando um alto preo. Reestruturar todo o ambiente
corporativo, ganhar muito em produtividade e disponibilidade, fechando negcios em
tempo real de qualquer lugar do mundo, gerou conseqncias. E elas sero bem
mais srias do que vrus que invadem a rede ou worms que se reproduzem para toda
a lista de contatos.
Envolvem inmeras possibilidades muito mais complicadas, como o roubo de
informaes confidenciais de importncia mpar para a corporao, podendo
prejudicar seriamente a empresa ou at comprometer sua marca, exigindo sua sada
do mundo de negcios. A Segurana da Informao em mobilidade algo que vai
preocupar bastante os gestores de segurana nos prximos anos.
Redes sem fio
A comunicao de dados por redes sem fio ainda objeto de estudo de organizaes
especializadas em solues de segurana da informao. A facilidade de se trafegar
bits por ondas de rdio, sem necessidade de conexo a qualquer tipo de rede de
cabos, tem atrado cada vez mais usurios em todas as partes do mundo. Mas o fato
que, em termos prticos, esse meio de comunicao ainda no est totalmente
protegido de invases e fraudes, realidade que est diretamente relacionada ao
desenvolvimento dos padres de comunicao das redes sem fio. Grandes so as
expectativas junto de um mercado que ainda se encontra em seu estado inicial. No
Brasil, as pesquisas apontam que a adoo de redes sem fio est em processo
acelerado.
Entre outros fatores, especialistas afirmam que uma rede WLAN pode ser at mais
barata do que uma estrutura com cabeamento, uma vez que dispensa a aquisio de
diversos equipamentos e servios. Mas, existe tambm a mobilidade que oferece
uma conectividade praticamente ininterrupta para o usurio. Vrias empresas
instalaram hot spots (conexes sem fio em lugares pblicos) nos principais pontos de
acesso no Brasil, tais como aeroportos, bares e livrarias, o que abre muitas
possibilidades de comunicao de funcionrios com suas empresas e acesso
Internet. Tecnologias com o WiMax aumentam a rea de cobertura das redes sem fio
e prometem ser o prximo grande boom nas corporaes e na vida das pessoas.

- 21 -

Mdulo 6 - Terceirizao
A terceirizao uma forte tendncia em todos os setores de TI, e no poderia ser
diferente, quando falamos em Segurana da Informao. Trata-se de um assunto
recorrente, isso porque a Segurana da Informao no especialidade da indstria
de manufatura, como tambm no faz parte dos negcios do setor automobilstico,
de empresas alimentcias ou do varejo. No entanto, para que possam manter o core
business de suas operaes, essas corporaes devem garantir a manuteno das
condies ideais de segurana, que cada vez mais se torna fator crtico em todas as
suas transaes.
Por isso, podemos nos preparar para ver as aes de proteo sendo executadas fora
da corporao. No caso da segurana, a diferena que a viabilidade do processo
depende do tamanho das organizaes. Grandes empresas tm pouca probabilidade
em passar a segurana para o esquema outsourcing. J as pequenas e mdias
empresas mostram-se mais abertas a essa opo, como podemos observar nas
estruturas de software as a service, que vm crescendo no mercado, tornando-se
mais maduras.
Muitos profissionais da rea acreditam que a terceirizao da Segurana da
Informao o caminho natural tanto para o mercado corporativo quanto para
usurios domsticos. A integridade dos dados um aspecto importante para usurios
em todos os nveis. Entre outros benefcios, a terceirizao dos processos de
proteo rede proporciona a reduo no custo de manuteno dos dispositivos. No
por acaso que os institutos de pesquisa tm indicado crescimento nos oramentos
de tecnologia da informao (TI) no que se refere segurana. Em alguns casos, a
verba dessa rea totalmente independente do que gasto com TI.
Porm, o outsourcing de segurana ainda est engatinhando no Brasil. Apesar disso,
nmeros da consultoria IDC indicam que a terceirizao tende a ganhar espao. O
segmento de MSS Managed Security Services o que mais cresce no mundo na
rea de segurana. Em 2006, os gastos com Segurana da Informao atingiram 38
bilhes de dlares mundialmente, sendo que 45% desse montante foram para as
mos dos provedores de servios. Do restante, 35% ficaram com a rea de hardware
e 19% com a de software.
Previso
A previso da consultoria que o setor cresa em mdia 16% at 2010, sendo que a
fatia de servios tende a aumentar o seu percentual no bolo. Segundo dados da Frost
& Sullivan, o mercado latino-americano de servios gerenciados de segurana deve
superar o total de US$ 272 milhes em 2011. De acordo com a consultoria, o Brasil
continuar a concentrar 40% desse mercado.

- 22 -

Em seguida vem o Mxico, com 23%.

Para atender demanda crescente, a F-Secure promete anunciar uma parceria para
expandir seus negcios na Amrica Latina. A empresa atua no Brasil em parceria
com o provedor IG para entrega de servios como antivrus, firewall e proteo
contra malwares, phishing e spam. Os usurios corporativos ou domsticos podem
optar por pacotes que variam de acordo com suas necessidades, com custos que vo
de R$ 6,90 a R$ 19,90 mensais por mquina protegida.
Especialistas apontam que todos os negcios, grandes ou pequenos, possuem gaps
em sua estrutura interna quando se trata de segurana. Ao tentar garantir que todas
as reas estejam seguras, algum segmento acaba sempre ficando descoberto, mais
vulnervel a ameaas e intrusos. A soluo para preencher esse gap seria enxergar a
segurana como um servio e transferir sua gesto a um especialista. Dessa forma,
as organizaes podem melhor direcionar seus profissionais e recursos. Alm disso,
todas as atenes ficam mais voltadas ao foco do negcio e resultados que devem
ser obtidos.
Para a Frost & Sullivan, as companhias esto se conscientizando dos benefcios da
contratao de terceiros para o gerenciamento da segurana. A consultoria destaca
que entre as vantagens do outsourcing desses servios esto a reduo de custos
com mo-de-obra especializada e simplificao do investimento em equipamentos
para proteo. O acesso contnuo a recursos atualizados e a possibilidade de se
dedicar mais tempo ao negcio da empresa tambm so citados como benefcios
diretos.
O mercado brasileiro ainda passa por uma fase de maturao, mas em se tratando
de segurana, nunca existe certeza absoluta do que est por vir. O que bom e
seguro hoje, passa a ser vulnervel amanh. Assim, muito importante que todos
tenham um bom parceiro para cuidar do assunto; algum especializado, que estar
sempre atualizado. E esta a funo, e a principal vantagem, das empresas que
oferecem a segurana como servio.
Valor estratgico
O que se nota que, conforme a segurana ganha espao entre outras prioridades
das organizaes, ela passa a ter valor estratgico, isto , participa das decises de
mercado, integrao com a cadeia de valor, formas de oferta de produtos e servios
etc. Assim, natural que, em um mesmo grau de complexidade que as transaes
eletrnicas, a Segurana da Informao demande diversas aplicaes e camadas
tanto no que se refere infra-estrutura tecnolgica (hardware e software), quanto
na prestao de servios e recursos humanos. Frente ao desafio, a terceirizao tem
sido um dos caminhos procurados pelas organizaes.

- 23 -

Como na maioria dos casos, essa tanto pode ser uma tima como uma pssima
opo. O que definir cada experincia depende de uma srie de processos
preestabelecidos.

No h regra geral que se aplique a tudo e todos. Atualmente, algumas corporaes

terceirizaram toda sua infra-estrutura de segurana, desde pessoal at backup de
transaes, filtragem etc., e esto plenamente satisfeitas com isso. Em outros casos,
a empresa opta por fazer um trabalho parcial, tirando de sua responsabilidade, por
exemplo, os servios de contingncia, com duplicao de operaes por meio de um
datacenter.
Independentemente dos caminhos escolhidos para trilhar, o que a maior parte dos
especialistas orienta, ao decidir partir para um processo de outsourcing no tirar a
inteligncia de dentro de casa. Ou seja, deve ser terceirizado apenas o que
operacional, pois o que gera investimentos pesados em infra-estrutura, hardware,
licenas de software etc.
Em suma, cada corporao deve avaliar em detalhes os benefcios e riscos de decidir
pela terceirizao, gerando assim, um Planejamento de Outsourcing de Segurana.
Esse relatrio dever contemplar desde os recursos de TI necessrios, bem como a
mo-de-obra envolvida, os processos de migrao, atendimento a clientes e
parceiros, suporte, resposta a incidentes etc.
Ser esse material baseado em preo, prazos e processos de implementao que
definir se a terceirizao da Segurana da Informao ter ou no sucesso. De
outra forma, est ser encarada apenas como mais uma maneira de burocratizar os
servios, consumir investimentos e no adicionar qualquer valor s transaes da
organizao.
O que terceirizar
Salvo excees, algumas reas de segurana so passveis de terceirizao como
suporte, monitoramento, gerenciamento e contingncia. Os SOCs (Security
Operation Center) disponveis so especializados na prestao de servios dessa
natureza, entre outros. Esses centros de segurana e gerenciamento de dados esto
atraindo o interesse das empresas por uma srie de razes como, por exemplo,
menor custo com equipe interna, investimentos divididos com outras companhias,
respostas rpidas a incidentes e qualidade de servio estabelecida em contratos, os
chamados Service Level Agreements (SLAs).
Mas mesmo com vantagens competitivas tangveis e de retorno rpido, a
terceirizao de segurana tem como barreira central a questo cultural das
corporaes. Invariavelmente, esse o principal desafio a ser vencido, j que exige
uma relao de total confiana entre os parceiros.
- 24 -

Essa responsabilidade tem de estar esboada em detalhes no contrato de SLA. Um

programa que garanta 100% de atividade ao longo de um ano levanta suspeita.
Basta verificar o volume de incidentes de segurana que ocorrem diariamente com
empresas altamente protegidas, como as do setor financeiro.

Alm do nvel de servio oferecido pelo fornecedor, vale ressaltar o compromisso

deste em ter uma postura pr-ativa com o usurio, ou seja, na medida do possvel
manter os nveis de segurana os mais preparados possveis. Esse contrato
estabelece como sero atendidas as necessidades futuras do contratante e quais
multas e penalidades no caso de no-cumprimento ou rompimento do acordo.
No to simples
Em tese, tudo passvel de ser terceirizado. Mas na realidade, o processo no to
simples e imediato como se imagina. Portanto, o ideal que a empresa tenha
conhecimento sobre seus prprios custos e infra-estrutura, algo que muitas vezes
no est organizado ou quantificado.
Na prtica, o outsourcing deve retirar da empresa tarefas repetitivas e burocrticas,
que no demandam ou envolvam decises complexas ou estratgicas. Estudos
apontam que, atualmente, esses servios so responsveis por algo entre 5% e 10%
dos oramentos de TI.
Tambm preciso avaliar a utilizao e a disponibilidade de bens que no se limitam
infra-estrutura tecnolgica. Em grandes corporaes, j ocorreu de a empresa
contratante perder profissionais estratgicos, os quais passaram a atender a
organizao via outsourcing.

- 25 -

Mdulo 7 - Presente e futuro

Foi-se o tempo em que os criminosos virtuais contentavam-se em invadir um site e
deixar ali a sua marca. Hoje, eles so silenciosos e muito mais perigosos. Nesse
exato momento, sem que voc saiba, pode ser que seu computador esteja
mandando milhares de e-mails para o mundo todo e voc nem se d conta disso. Ou
pior: pode ser que voc tenha um programa espio instalado em sua mquina, capaz
de copiar todas as suas senhas. J pensou? Hoje, o objetivo obter vantagem
financeira. Por isso, todos precisam ficar muito espertos.
Saiba quais so as principais ameaas virtuais que rondam as empresas:
Fraudes
A fraude implementada por meio de recursos de Tecnologia da Informao cresce
gradativamente e exige a melhoria de controles internos e de processos de
monitoramento. Mesmo com a rpida e constante evoluo da tecnologia, difcil
afirmar que vulnerabilidades e falhas deixaro de existir nos sistemas e nas redes de
computadores. Isso no quer dizer que as fraudes em TI no possam ser evitadas
ou, pelo menos, que seus riscos no possam ser minimizados em nveis aceitveis
pelas organizaes. Para atingir esse objetivo, necessrio um esforo integrado de
investimento, em mecanismos de segurana tecnolgica e em processos
operacionais.
Exigncias legais, como a lei Sarbanes-Oxley, obrigam as empresas a estabelecer
controles antifraude em seus processos de gesto de riscos corporativos. Deficincias
nesses controles podem resultar em fraudes executadas por meio dos recursos de TI
disponveis.
Phishing
Trata-se de uma forma de fraude eletrnica, caracterizada por tentativas de adquirir
informaes confidenciais, tais como senhas e nmeros de carto de crdito, ao se
fazer passar como uma pessoa confivel ou uma empresa enviando uma
comunicao eletrnica oficial, como um e-mail ou uma mensagem instantnea. O
termo phishing surge das cada vez mais sofisticadas artimanhas para pescar (fish)
as informaes sensveis dos usurios. Essas informaes particulares so usadas
para causar algum prejuzo, tal como o roubo de dinheiro da sua conta corrente.
Vrus e variaes
Vrus um programa malicioso desenvolvido por programadores que, tal como um
vrus biolgico, infecta o sistema, faz cpias de si mesmo e tenta se espalhar para
outros computadores, utilizando-se de diversos meios. A maioria das contaminaes
ocorre pela ao do usurio executando o anexo de um e-mail.
- 26 -

A segunda causa de contaminao por sistema operacional desatualizado, sem a

aplicao de corretivos que bloqueiam chamadas maliciosas nas portas do micro.
Ainda existem alguns tipos de vrus que permanecem ocultos, mas entram em
execuo em horas especificas.
Spyware
Programa automtico de computador, que recolhe informaes sobre o usurio,
sobre seus costumes na Internet e transmite essa informao a uma entidade
externa na Internet, sem seu conhecimento ou consentimento. Diferem dos cavalos
de Tria por no terem como objetivo que o sistema do usurio seja dominado, seja
manipulado, por uma entidade externa, por um cracker.
Os spywares podem ser desenvolvidos por empresas que desejam monitorar o hbito
dos usurios para avaliar seus costumes e vender esses dados pela Internet. Elas
costumam produzir inmeras variantes de seus programas-espies, aperfeioando-os
e dificultando sua completa remoo.
Por outro lado, muitos vrus transportam spywares, que visam roubar certos dados
confidenciais dos usurios. Roubam logins bancrios, montam e enviam logs das
atividades do usurio, roubam determinados arquivos ou outros documentos
pessoais. Os spywares costumavam vir legalmente embutidos em algum programa
que fosse shareware ou freeware. Sua remoo era por vezes, feita quando da
compra do software ou de uma verso mais completa e paga.
Trojans
Trojan Horse ou Cavalo de Tria um programa que age como a lenda do cavalo de
Tria: entra no computador e libera uma porta para um possvel invasor. O conceito
nasceu de simples programas que se faziam passar por esquemas de autenticao,
em que o utilizador era obrigado a inserir as senhas, pensando que as operaes
eram legtimas. Entretanto, o conceito evoluiu para programas mais completos. Os
trojans atuais so disfarados de programas legtimos, embora, diferentemente de
vrus ou de worms, no criem rplicas de si. So instalados diretamente no
computador. De fato, alguns trojan so programados para se autodestruir com um
comando do cliente ou depois de um determinado tempo. Os trojans ficaram
famosos na Internet pela sua facilidade de uso, fazendo qualquer pessoa possuir o
controle de um outro computador apenas com o envio de um arquivo. Os trojans
atuais so divididos em duas partes: o servidor e o cliente. Normalmente, o servidor
est oculto em algum outro arquivo e, no momento que esse arquivo executado, o
servidor se instala e se oculta no computador da vtima; a partir desse momento, o
computador pode ser acessado pelo cliente, que enviar informaes para o servidor
executar certas operaes no computador da vtima.

- 27 -

Worms
Programa auto-replicante, semelhante a um vrus. Entretanto, o vrus infecta um
programa e precisa dele para se propagar. J o worm um programa completo e
no precisa de outro programa para se propagar. Alm da replicao, um worm pode
ser projetado para fazer muitas coisas, como deletar arquivos em um sistema ou
enviar documentos por e-mail. O worm pode trazer embutidos programas que geram
algum tipo de problema ou que tornam o computador infectado vulnervel a outros
ataques. Um worm pode provocar danos apenas com o trfego de rede gerado pela
sua reproduo.
Segurana 3.0
O novo modelo de segurana proposto pelo Gartner recebeu o nome de Segurana
3.0. Seu objetivo diminuir os gastos das companhias com segurana e melhorar o
desempenho das reas de negcio. A implementao dessa nova estrutura requer
investimentos: para construir uma plataforma concreta de proteo, deve-se
deslocar at 8% do oramento destinado anualmente TI para a rea de segurana.
Depois que o modelo estiver consolidado, a inverso pode ser reduzida para,
aproximadamente, 3%.
O Gartner indica que as empresas devem seguir cinco passos importantes na
implementao de uma plataforma de segurana 3.0. So eles:
1) Mudar o modo como a Tecnologia da Informao desenvolvida, construda
dentro da corporao.
2) Mudar a forma como as solues de negcio so desenvolvidas.
3) Mudar a metodologia e os responsveis pelo pagamento dos controles de
segurana.
4) Se no puder realizar todas as mudanas imediatamente, definir o que deve ser
feito primeiro, e comear a agir imediatamente.
5) Segurana deve ser uma jornada, portanto, preciso que se tenha um destino
pelo caminho.
No atual cenrio de ameaas sofisticadas e altamente perigosas, necessrio que as
empresas mudem seus perfis e, em vez de gastarem dois teros de suas verbas para
remediar incidentes, passem a investir na preveno de ameaas e na antecipao
de tendncias.

- 28 -

Atualmente nenhuma corporao sobrevive sem equipamentos mveis e

comunicadores instantneos, considerados vulnerveis. primordial que a
companhias se adaptem a essa nova realidade, protegendo eficientemente suas
redes das ameaas que podem ser trazidas por esses dispositivos.
Assim como houve a evoluo da chamada Segurana 1.0, que restringia aes de
usurios, para o padro 2.0, que mostrava ameaas no apenas no mainframe e
passava a contar com a Internet e seus perigos, agora monitorar o perfil dos
profissionais e as aplicaes de TI tambm se tornou imprescindvel.
Alm do aumento no nmero e no nvel de importncia das ferramentas de controle
de acessos dentro da corporao, a participao dos usurios nas polticas de
segurana e o grau de adaptao e integrao de arquiteturas e sistemas passam a
assumir posio estratgica na busca por resultados especficos para o foco do
negcio. O alinhamento entre sistemas, processos e pessoas o caminho para a
Segurana 3.0, que prev uma estrutura mais slida de proteo s corporaes.
Evitar armadilhas de compliance, aderir somente s tecnologias que sigam as
melhores prticas de mercado e ter a capacidade de mover o programa de segurana
corporativa dentro de um ciclo de maturidade pr-estabelecido podem ser as chaves
para garantir um ambiente protegido, mesmo com o surgimento rpido de novas
ameaas e formas de ataque.
Relao custo x segurana
Investir em proteo no o bastante. Muitas vezes, pode se tornar um erro de
propores astronmicas dentro de uma organizao. Isso porque muitos associam o
gasto de valores exorbitantes percepo de um ambiente seguro, o que um
engano. Principalmente se pensarmos que, na evoluo dos processos, a reduo de
custos um progresso e tanto.
Os gastos com segurana j superam duas vezes os investimentos com inovaes de
TI dentro das empresas. Com isso, surgem as perguntas: podemos garantir que
nossos sistemas atuais blindam melhor nossas estruturas corporativas? possvel
continuar elevando esses investimentos? Antes de tudo, necessrio lembrar das
caractersticas bsicas dos negcios: a busca incessante pela reduo de custos e
pelo aumento de rendimento.
Entretanto, preciso avaliar com o que podemos produzir uma economia saudvel.
De acordo com ele, o modelo de cdigo aberto em uma corporao preparada para o
momento 3.0, por exemplo, seria extinto. Essa estrutura sempre trar benefcios
imediatos, mas preciso que CIOs e CSOs tenham em mente seus objetivos e
prioridades em longo prazo.

- 29 -

Mdulo 8 - Limites do monitoramento

O funcionrio que dispe de um PC com conexo Internet (raros so os que no
possuem, hoje em dia) pode navegar por uma infinidade de sites, realizar transaes
bancrias e de comrcio eletrnico. E tambm trabalhar. Cabe conscincia de cada
decidir sobre a melhor maneira de equilibrar seu tempo entre to empolgantes
atividades e o seu prprio trabalho. Ou no. Muitas companhias esto aderindo s
empresas de monitoramento, para identificar os mares por onde navegam seus
funcionrios, quando esto no escritrio.
Basicamente, as corporaes se vem frente a duas ameaas centrais. Primeiro, a
queda drstica de produtividade de seus funcionrios, alm do uso indiscriminado
dos recursos da companhia e de sua infra-estrutura. Clculos feitos junto de usurios
nos Estados Unidos apontam que cada pessoa gasta, em mdia, quase duas horas
por dia checando e-mails, o que representa um quarto do expediente normal. O
perodo inclui o envio e/ou recebimento de mensagens pessoais, fato reconhecido
por 90% dos usurios.
Em segundo lugar, e no menos crticas, esto as vulnerabilidades que esse acesso
aleatrio ocasiona, as ameaas constantes que circulam pela web e que, a qualquer
momento, podem comprometer operaes primordiais para o funcionamento da
companhia.
Situaes como essas esto levando ao controle rgido de diversas aplicaes de
acesso on-line, entre essas a filtragem de sites e de contedos da Internet, e
restries daquela que hoje a principal ferramenta do meio digital: o correio
eletrnico.
Uso indiscriminado
Recentes pesquisas no mercado norte-americano mostram que mais de 70% dos
empregadores monitoram o uso do e-mail por parte de seus funcionrios. Muitos
casos de demisso ocorrem em funo da m utilizao da ferramenta. Muitas
sentenas foram dadas em favor dos empregadores, mesmo no uso do Hotmail,
Yahoo ou mesmo voice-mail.
Mas um estudo feito pelo ePolicy Institute e a Clearswift revelou um certo
descompasso entre a preocupao das corporaes com o uso indiscriminado do
correio eletrnico e as aes efetivas que tomam para combater a prtica. Os
resultados apontaram que 75% de todos os profissionais pesquisados reconhecem
que suas empresas produzem polticas de utilizao de e-mail, mas menos da
metade (48%) treina seus funcionrios sobre o assunto.

- 30 -

De acordo com a pesquisa, 59% das empresas declararam que possuem mtodos
para reforar a existncia de regras e polticas internas. Os meios mais utilizados
para isso so: disciplina (50%), revises de desempenho (25%), remoo de
privilgios (18%) e aes legais (4%).
No bastasse o controle interno, as corporaes precisam desenvolver armas para
barrar aquele que se tornou seu maior inimigo: as mensagens indesejadas, ou
spams. Segundo a pesquisa, 92% dos profissionais recebem algum material desse
tipo. Desses, 45% afirmam que as mensagens no-autorizadas representam mais de
10% de seu volume dirio de e-mails, percentual que ultrapassa 50% para 7% dos
ouvidos pela pesquisa.
Privacidade
No Brasil, grandes organizaes demitiram funcionrios que costumavam acessar
contedos pornogrficos ou sem qualquer relao com o negcio da empresa. Mas a
polmica ainda recente. Tanto que, em uma anlise mais minuciosa dos fatos e das
leis de privacidade, constata-se que a prpria legislao brasileira uma das
opositoras s prticas de monitorao.
Aprovado em junho de 2006 pela Comisso de Educao, o Projeto de Lei 76/2000
do Senado o mais completo texto legislativo produzido no Pas para regular a
represso a crimes de informtica. O PLS 76, relatado pelo senador Eduardo
Azeredo, com assessoria de Jos Henrique Santos Portugal, incorpora atualizaes e
contribuies de outros projetos de lei menos abrangentes e altera o Cdigo de
Processo Penal, o Cdigo Penal Militar e a Lei de Interceptao de Comunicaes
Telefnicas.
Dentre todos os dispositivos inclusos no texto, o mais polmico a determinao de
que todo aquele que prover acesso Internet ter de arquivar informaes do
usurio como o nome completo, data de nascimento e endereo residencial, alm
dos dados de endereo eletrnico, identificador de acesso, senha ou similar, data,
hora de incio e trmino, e referncia GMT da conexo. A medida tem sido alvo de
crticas enrgicas entre aqueles que prezam pela privacidade e o anonimato na rede,
sob a alegao de que dados de cunho pessoal no devem ficar em bancos de dados,
expostos a uma possvel devassa judicial, alm do possvel extravio para fins
escusos.
Regras claras
Discusses parte, o que se orienta que as empresas estabeleam regras claras de
acesso e usabilidade, esclarecendo que disponibiliza seus recursos para que sejam
utilizados como ferramenta de trabalho. Essas normas devem fazer parte de uma
Poltica de Segurana da Informao.

- 31 -

Uma vez estabelecido esse processo, preciso elaborar um termo de aceitao,

colhendo a assinatura de cada profissional da companhia.
Para uma empresa como a GlaxoSmithKline (GSK), com 1,2 mil mquinas com
acesso Internet, a principal funo da poltica de segurana foi o controle de
acessos e a formatao da Internet como ferramenta corporativa. A definio de
regras de uso da rede comeou com a estruturao de um comit de segurana da
informao, formado por representantes de vrias reas da companhia. O comit
tambm elaborou um documento no qual esto definidos os critrios para a
utilizao de e-mails e listados os tipos de sites que no devem ser acessados pelos
funcionrios. Os downloads de aplicativos foram totalmente restringidos.
J na Payot, o controle de e-mails e de acesso Internet gerou economias em gastos
com manuteno de rede e tempo de funcionrios parados. A fabricante de
cosmticos calcula que obteve ganhos de 50% na produtividade de seus funcionrios
e seu consumo de banda reduziu em 20%.
Tambm deve ser de responsabilidade da organizao garantir que esse
monitoramento se configure com respeito aos funcionrios e em sigilo, restringindo a
divulgao dessas informaes e no configurando qualquer tipo de perseguio ao
profissional.
O fato que, cada vez mais, a monitoria do profissional no uma escolha, mas
uma obrigao do gerenciamento de risco. A empresa deve declarar claramente que
de fato monitora, listando o que rastreado, descrevendo o que procura e
detalhando as conseqncias de violaes. Controles de segurana sugeridos por
normas de segurana podem ser um caminho mais vivel para suportar parmetros
de auditoria e conformidade para toda a companhia.
Prticas
Algumas aes bsicas podem dar maior segurana e tranqilidade corporao e
ao funcionrio, no que se refere monitoria do ambiente de trabalho. So elas:
Antes de qualquer ao, vivel que a companhia consulte um especialista em lei
digital para saber se existem bases judiciais que afetem seus planos de monitoria.
As razes para realizar a monitoria tm que estar claras entre empresa e
funcionrio. O fato de uma empresa admitir abertamente que faz monitoria,
reforado por aes reativas quando so descobertas infraes, far os funcionrios
entenderem que e-mail no uma forma de comunicao privada. provvel que
passem a se policiar.
Caracterizar a monitoria como algo de proteo mtua, dando segurana e
respaldo corporao e ao profissional.

- 32 -

 Definir claramente as expectativas da empresa e informar os funcionrios sobre a

monitoria.
Estabelecer a poltica; educar a fora de trabalho; e empregar a poltica de maneira
consistente.
Combinar ferramentas de varredura de contedo e regras por escrito.
Punir quando for necessrio. De outra forma, ningum respeitar as regras da
companhia.
Vital para o sucesso
Quanto mais uma empresa depende de redes de computadores, maiores devem ser
as preocupaes com segurana. E isso significa preocupar-se com a integridade de
dados, com o tempo de manuteno devido a problemas de segurana, e com muitos
outros aspectos.
O nmero de incidentes de segurana est em pleno crescimento, no apenas
porque as redes de computadores so vulnerveis, mas tambm porque quanto mais
poderosos tornam-se os aparatos de segurana leia-se firewalls, software, etc ,
maior se torna o interesse de hackers em invadir.
Falhas em polticas de segurana expem no apenas informaes e dados de uma
empresa, mas tambm causam danos srios imagem da companhia. E o zelo
pela imagem que, muitas vezes, impulsiona a implantao de uma poltica de
segurana, com a utilizao de firewalls, mecanismos de autenticao, algoritmos de
encriptao, e outras medidas de preveno. Mas ser que apenas investindo em
tecnologia a empresa estar 100% segura?
Um dos maiores riscos a empresa acreditar que basta comprar equipamentos e
softwares e estar segura para sempre. Produtos de segurana direcionados
preveno so bons, mas so apenas uma parte do conceito geral. No o bastante
ter os melhores produtos de segurana. preciso instal-los, us-los, e mant-los
atualizados (instalando novas verses, aplicando patches de correo, etc) para,
ento, interpretar suas informaes e responder efetivamente aos alertas registrados
por eles.
No contexto atual, mais do que nunca, segurana vital para o sucesso de um
negcio.

- 33 -