Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurança Da Informaçâo
Segurança Da Informaçâo
1 - Segurança da Informação
Conceito
Está cada vez mais difícil manter em segurança as informações referentes a empresas ou pessoas. O
descuido nessa área pode causar prejuízos significativos, e muitas vezes irreversíveis. Mas felizmente a
maior parte das empresas está consciente do perigo e estamos vivendo um momento em que
praticamente todas elas mantêm alguma política de segurança.
Podem ser estabelecidas métricas para definição do nível de segurança existente e requerido. Dessa
forma, são estabelecidas as bases para análise da melhoria da situação de segurança existente. A
segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de
quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas que
têm o objetivo de furtar, destruir ou modificar tal informação.
Propriedades
Disponibilidade – Propriedade que garante que a informação esteja sempre disponível para o uso
legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. Em todas as fases
da evolução corporativa, é fato que as transações de toda a cadeia de produção – passando pelos
fornecedores, fabricantes, distribuidores e consumidores – sempre tiveram a informação como uma
base fundamental de relacionamento e coexistência.
O fato é que hoje, quer seja como princípio para troca de mercadorias, segredos estratégicos, regras
de mercado, dados operacionais, quer seja simplesmente resultado de pesquisas, a informação, aliada
à crescente complexidade do mercado, à forte concorrência e à velocidade imposta pela modernização
das relações corporativas, elevou seu posto na pirâmide estratégica, tornando-se fator vital para seu
sucesso ou fracasso.
Proteção da informação
Para entender a importância da proteção das informações, basta pensar no prejuízo que causaria para
os negócios a posse desses dados pela concorrência ou por alguém mal-intencionado. Atualmente, o
período é de revisão de processos e de avaliação de soluções que protejam cada vez mais as
informações corporativas, sem impactar fortemente na produtividade. Fato é que hoje a segurança é
considerada estratégica e já encabeça a lista de preocupações de grandes empresas.
A Segurança deixou de ser submetida aos domínios da TI, para se tornar uma nova área que responde
ao vice-presidente ou ao gestor de operações, ganhando orçamento próprio, salas específicas e, claro,
prazos e demandas a serem atendidas. Um dos maiores dilemas da Segurança da Informação está
relacionado com a proteção dos ativos e a compreensão da amplitude desse conceito dentro da
empresa. A idéia de ativo corporativo envolve também uma questão de difícil medição: a marca da
companhia e a percepção que ela desperta no mercado. Um grande escândalo, uma falha latente ou
uma brecha negligenciada podem sepultar uma companhia para sempre, ainda que ela tenha tido muito
sucesso até então. Outra questão relacionada com a Segurança da Informação, que também causa
preocupação, é que se trata de um investimento sem fim. Pois à medida que ela vai se fortalecendo, os
ataques cada vez mais vão se sofisticando também.
Não há como voltar atrás. Qualquer companhia, desde a pequena empresa com dois ou três PCs, até
uma complexa organização com atuação em diversos países, sabe que em maior ou menor grau a
tecnologia é essencial para seu negócio. E é justamente por ser vital, que esse bem não palpável traz
consigo uma necessidade básica: segurança.
O desafio não é tão simples. Pela própria natureza, embora muitas empresas de TI estejam se
esforçando para mudar essa realidade, a segurança da informação é reativa. Isso significa que,
tradicionalmente, primeiro verifica-se a existência de um problema, como vírus, fraude, invasão, para
depois encontrar sua solução, vacina, investigação, correção de vulnerabilidade.
Para muitos, esse cenário pode causar pânico. Afinal, primeiro eleva-se a informação ao patamar mais
crítico da empresa, tornando-a peça principal do jogo. Em seguida, vê-se que esse dado, pela forma e
processo com que é disponibilizado, corre o risco de ser corrompido, alterado ou roubado por um garoto
de 16 anos, que resolveu testar programas hackers disponibilizados na própria Internet ou, em casos
piores, usurpado por funcionários e passado para a concorrência ou ainda simplesmente causando
danos financeiros à empresa.
Mas já existem práticas e soluções tecnológicas suficientemente eficientes para comprovar que a
digitalização das transações corporativas não transformou os negócios em uma “terra de ninguém”.
Embora reconheçam que afirmar ser 100% seguro é algo precipitado e arriscado, especialistas de
segurança apontam que educação profissional, processos e tecnologia formam um tripé resistente no
combate ao crime eletrônico. Pesquisas mostram que aumentam os investimentos na proteção dos
dados. A segurança é o maior desafio das soluções em TI para o sistema financeiro.
Nem só de software
Outro fenômeno que tem sido observado é a concentração dos serviços de segurança pelo grupo dos
dez maiores integradores mundiais. Isso reflete a necessidade prioritária das grandes corporações e
governos de moverem-se em direção a fornecedores sólidos, que possam atender as demandas com
flexibilidade, inteligência e rapidez, elevando a importância dos fatores de ética profissional,
confiabilidade e independência, posicionando-se para o gestor como o “security advisor corporativo”.
Mas as experiências corporativas demonstraram que não é só de software que se constrói uma
muralha resistente à crescente variedade de ameaças, falhas e riscos. É preciso que as ações
corporativas sejam direcionadas por um Plano Diretor de Segurança, de forma que possam estar à
frente de determinadas situações de emergência e risco, uma postura mais pró-ativa que reativa. Esse
plano será responsável por verificar se a corporação está destinando verba suficiente para manter o
nível de segurança alinhado com as expectativas de negócios. Também apontará se as
vulnerabilidades são de fato corrigidas ou se há uma falsa sensação de segurança. É muito comum
haver grande disparidade entre o cenário que se pensa ter e aquilo que realmente ele é.
De forma mais ampla, esse plano deve considerar questões estratégicas, táticas e operacionais de
negócios, atrelando-as a três tipos básicos de risco: humano, tecnológico e físico. Ao longo desse curso
será abordada cada uma dessas variáveis, desde os tipos mais tradicionais de vírus que se disseminam
pela rede, até as portas mais vulneráveis da empresa, passando pelo monitoramento de sua rede, seus
profissionais, soluções de TI, gestão e políticas de segurança.
2 - Tecnologias
O maior desafio da indústria mundial de software de segurança é prover soluções no espaço de tempo
mais curto possível, a partir da descoberta de determinada ameaça ou problema. Mas foi-se o tempo
em que tudo se resumia a encontrar um antivírus eficaz, que fosse capaz de deter um determinado
vírus. Hoje em dia, os vírus de computador não são mais os únicos vilões do crime digital.
Não se trata mais de apenas proteger a estação de trabalho do funcionário. A companhia deve garantir
que o correio eletrônico enviado desse mesmo computador passará pelo servidor da empresa, seguirá
pela Internet (ou, em certos casos, por uma rede privada virtual), chegará a um outro servidor, que
transmitirá a mensagem ao destinatário com a garantia de que se trata de um conteúdo totalmente
protegido, sem carregar qualquer truque ou surpresa inesperada.
Mas essa ainda é apenas a ponta do iceberg. A Segurança da Informação deve estar atrelada a um
amplo Programa de Segurança da Informação, que se constitui de pelo menos três fases principais:
Infraestrutura
– Firewall: Atua como uma barreira e cumpre a função de controlar os acessos. Basicamente, o firewall
é um software, mas também pode incorporar um hardware especializado. – Sistema Detector de
Intrusão (IDS, da sigla em inglês): Como complemento do firewall, o IDS se baseia em dados dinâmicos
para realizar sua varredura, como por exemplo, pacotes de dados com comportamento suspeito,
códigos de ataque etc.
– Varredura de vulnerabilidades: Produtos que permitem à corporação realizar verificações regulares
em determinados componentes de sua rede como, por exemplo, servidores e roteadores.
– Rede Virtual Privada (VPN, da sigla em inglês): Uma das alternativas mais adotadas pelas empresas
na atualidade, as VPNs são canais em forma de túnel, fechados, utilizados para o tráfego de dados
criptografados entre divisões de uma mesma companhia, parceiros de negócios.
– Criptografia: Utilizada para garantir a confidencialidade das informações.
– Autenticação: Processo de identificação de pessoas, para disponibilizar acesso. Baseia-se em algo
que o indivíduo saiba (uma senha, por exemplo), com algo que ele tenha (dispositivos como tokens,
cartões inteligentes, certificados digitais); e em algo que ele seja (leitura de íris, linhas das mãos). –
Integradores: Permitem centralizar o gerenciamento de diferentes tecnologias que protegem as
operações da companhia. Mais que uma solução, trata-se de um conceito.
– Sistemas antispam: eliminam a maioria dos e-mails não solicitados. – Software de backup: São
programas para realizar cópias dos dados para que, em alguma situação de perda, quebra de
equipamentos ou incidentes inusitados, a empresa possa recuperá-los.
Pela complexidade de cada uma das etapas compreendidas em um projeto de segurança,
especialistas recomendam que a empresa desenvolva a implementação baseando-se em projetos
independentes.
O maior perigo para uma empresa, em relação à proteção de seus dados, é a falsa sensação de
segurança. Pois, pior do que não ter nenhum controle sobre ameaças, invasões e ataques é confiar
cegamente em uma estrutura que não seja capaz de impedir o surgimento de problemas.
Por isso, os especialistas não confiam apenas em uma solução baseada em software. Quando se fala
em tecnologia, é necessário considerar três pilares do mesmo tamanho, apoiados uns nos outros para
suportar um peso muito maior. Esses três pilares são as tecnologias, os processos e as pessoas. Não
adianta fortalecer um deles, sem que todos os três não estejam equilibrados.
Uma metáfora comum entre os especialistas dá a dimensão exata de como esses três pilares são
importantes e complementares para uma atuação segura: uma casa. Sua proteção é baseada em
grades e trancas, para representar as tecnologias, que depende dos seus moradores para que seja feita
a rotina diária de cuidar do fechamento das janelas e dos cadeados, ou seja, processos.
Simploriamente, a analogia dá conta da interdependência entre as bases da atuação da segurança e de
como cada parte é fundamental para o bom desempenho da proteção na corporação.
Recursos de proteção
A primeira parte trata do aspecto mais óbvio: as tecnologias. Não há como criar uma estrutura de
Segurança da Informação, com política e normas definidas, sem soluções moderníssimas que cuidem
da enormidade de pragas que infestam os computadores e a Internet hoje em dia.
Os appliances de rede, com soluções de segurança integradas, também precisam ser adotados.
Dispositivos para o controle de spam, vetor de muitas pragas da Internet e destacado entrave para a
produtividade, também podem ser alocados para dentro do chapéu da Segurança da Informação.
Programas para controlar o acesso de funcionários, bloqueando as visitas a páginas suspeitas e que
evitem sites com conteúdo malicioso, também são destaques. Mas antes da implementação da
tecnologia, é necessária a realização de uma consultoria que diagnostique as soluções importantes.
Essas inúmeras ferramentas, no entanto, geram outro problema: como gerenciar toda essa estrutura
dentro de uma rotina corporativa que demanda urgência e dificilmente está completamente dedicada à
segurança? A melhor resposta está no gerenciamento unificado. A adoção de novas ferramentas, como
sistema operacional, ERP ou CRM, precisa de análise dos pré-requisitos em segurança.
Outro ponto do tripé são os processos, que exigem revisão constante. O grande combate realizado no
dia-a-dia do gestor de segurança, em parceria com o CIO, é equilibrar a flexibilidade dos processos de
forma que eles não tornem a companhia frágil, mas que, por outro lado, não endureça demais a
produtividade, em busca do maior nível possível de segurança.
A última parte da trinca é a mais fácil de explicar. Não é preciso raciocinar muito para chegar à
conclusão de que as pessoas são pedras fundamentais dentro do ambiente corporativo, sobretudo em
Segurança da Informação.
Cerca de 70% dos incidentes de segurança contam com o apoio, intencional ou não, do inimigo interno.
As pessoas estão em toda a parte da empresa e enxergam como ponto fundamental apenas a proteção
da máquina. Os cuidados básicos com as atitudes das pessoas, muitas vezes são esquecidos ou
ignorados. Encontrar senhas escritas e coladas no monitor, bem como a troca de informações sigilosas
em ambientes sem confidencialidade, como táxi e reuniões informais são situações muito comuns.
Assim, contar com a colaboração das pessoas é simplesmente fundamental numa atividade crítica para
a empresa e que não tem final em vista. Mas o ponto principal da preocupação com as pessoas é que
os fraudadores irão à busca delas para perpetrar seus crimes.
Uma exigência cada vez mais importante para o CSO é ser também um gestor de pessoas, uma vez
que elas podem causar muitos estragos e provocar sérios prejuízos. Mas ao se analisar o contexto de
formação dos gerentes de segurança, talvez seja esse o ponto mais fraco. Investimento em formação
profissional nesse sentido é uma iniciativa muito válida, assim como intercâmbio de informações entre
áreas como Recursos Humanos e Marketing para aumentar o alcance e a eficácia das recomendações.
O fato de envolver um dilema cultural também é outro complicador. Segurança da Informação
representa um desafio de inédita magnitude para os profissionais do setor e, também, para a
companhia como um todo.
Apenas alguém com grande conhecimento tanto em negócios quanto em segurança pode desenhar a
estratégia de Segurança da Informação de maneira competente, implementando políticas e escolhendo
as medidas apropriadas para as necessidades de negócios, sem impactar na produtividade. Ainda que
a contratação de gestores de segurança esteja sendo uma constante no mercado de grandes
companhias, não se chegou a um consenso sobre a natureza do seu cargo.
Um dos pontos que permanecem sem uma definição precisa é a viabilidade de combinar sob o mesmo
chapéu a Segurança lógica e a física. O isolamento entre essas áreas pode ser fatal para uma
companhia no caso de um desastre natural, como o furacão Katrina em 2005, que atingiu a cidade
norte-americana de Nova Orleans, ou o tsunami que afetou a Indonésia em 2004, ou até mesmo uma
pane elétrica ou incêndio.
Responsabilidades
Qualificações
Para atender aos requisitos de segurança lógica e física de redes globais cada vez mais complexas e
vulneráveis, o perfil do CSO evoluiu muito. Por um lado, o cenário apresenta ameaças crescentes e
cada vez mais fatais, hackers, vírus, ataques terroristas, enchentes, terremotos. Por outro, a
vulnerabilidade e a complexidade tecnológica crescem também e aumentam as atribuições e as
habilidades necessárias para exercer a função de CSO. Hoje, um CSO tem de entender de segurança,
conhecer bem os negócios e participar de todas as ações estratégicas da empresa. Mais do que um
técnico, ele deve ser definitivamente um gestor de negócios. As qualificações que costumam ser
exigidas para o cargo de CSOs são:
Estatísticas recentes apontam para o crescimento dos empregos na área de segurança. De acordo
com estudo anual feito pela IDC e patrocinado pelo International Information Systems Security
Certification Consortium, a projeção de profissionais para a região das Américas passará de 647 mil em
2006 para 787 mil em 2009.
O estudo Global Information Security Workforce Study (GISWS) destaca que a responsabilidade pela
segurança da informação cresceu na hierarquia da gestão e acabou chegando ao conselho diretor e ao
CEO, CISO ou CSO. Quase 21% dos entrevistados na pesquisa disseram que seu CEO agora é o
responsável final pela segurança da informação e 73% afirmaram que esta tendência se manterá.
Cada vez mais é essencial que as organizações sejam pró-ativas na defesa de seus ativos digitais. E
para isso, é preciso contar com profissionais competentes para lidar com soluções de segurança
complexas, requisitos regulatórios e avanços tecnológicos das ameaças, bem como vulnerabilidades
onerosas. Dessa forma, o CSO deve proceder a gestão de riscos e está mais integrado às funções de
negócio. Profissionais de segurança precisam aprimorar suas habilidades técnicas e de negócio para
que possam exercer a função.
Uma boa dica para quem pretende se profissionalizar na área de Segurança da Informação é procurar
obter certificações de uma associação de segurança profissional, para ajudar a impulsionar a carreira.
Para 90% dos participantes da pesquisa envolvidos com contratação, as certificações são um pouco ou
muito importantes na decisão de contratar alguém. Mais de 60% pretendem adquirir pelo menos uma
certificação de segurança da informação nos próximos 12 meses.
Entretanto, certificações e experiência na área são pouco proveitosas isoladamente. Para evoluir no
quadro técnico da empresa e se tornar um CSO, é necessário saber se comunicar em termos de
negócios. Para isso, a proficiência técnica deve ser aliada à habilidade de transmitir o valor do negócio.
O CSO deve ser capaz de explicar os benefícios da segurança em termos de retorno do investimento
(ROI), seu valor para melhorar a capacidade da empresa em fechar negócios, além de deixar claro
quais são as soluções práticas que ela pode trazer para a resolução dos problemas.
1) Aprender a colaborar com outros departamentos, para integrar e avaliar outras funções. Pesquisa da
IDC indica os entrevistados afirmam que 62% de suas tarefas cotidianas dependem da troca de
informação ou da cooperação com outras pessoas.
2) Adotar a abordagem do valor agregado, ou seja, alinhar suas atribuições e responsabilidades com
as metas de negócio de cada departamento.
3) Desenvolver seu próprio círculo de confiança dentro da organização, com representantes de cada
departamento para ajudar a promover a compreensão mútua, a valorização e o trabalho em equipe.
4) Manter conversas com executivos para que eles possam conhecê-lo e aprender a confiar em você.
Essas conversas devem ser sucintas, porém expressivas, contendo termos de negócio e não
vocabulário “geek” ou acrônimos. Determine como você pode agregar valor às suas metas e demonstre
por que você deve ser consultado ou incluído em uma reunião.
5) Oferecer treinamento para conscientizar os executivos e usuários sobre ameaças à segurança que
afetam os home offices e apresentar técnicas de prevenção. O objetivo é conquistar confiança dos
executivos na sua capacidade de fazer recomendações para as redes da empresa.
6) Aprender a equilibrar riscos e oportunidade. Muitos executivos consideram o staff de segurança
inflexível e evitam convidá-lo para reuniões de estratégia. Seja flexível ao equilibrar os riscos à
segurança com os processos de negócio que ajudam a organização a cumprir as metas.
4 - Vulnerabilidades
Em pouco tempo, os computadores se tornaram uma parte intrínseca e essencial da vida cotidiana. O
resultado é um enorme potencial de lucros financeiros para os criadores de programas
mal-intencionados. Com a ascensão de técnicas sofisticadas, está ficando cada vez mais difícil para a
base de usuários em geral identificar ou evitar as infecções por programas mal-intencionados.
A principal ameaça à segurança das transações corporativas são as pessoas. Esta é a primeira
resposta que muitos institutos de pesquisas e especialistas de segurança têm utilizado quando
questionados sobre a principal ameaça às transações corporativas.
Na maior parte das vezes, já se verifica que os problemas relacionados à interferência humana não
estão diretamente ligados a ações fraudulentas ou às demais situações em que o funcionário tem o
objetivo de prejudicar sua empresa. Pelo contrário. A grande maioria dos incidentes de segurança
ocorre por falta de informação, falta de processos e orientação ao recurso humano.
Outro fator determinante nessa equação está vinculado à evolução rápida e contínua das tecnologias.
Em pouco tempo, até mesmo os computadores domésticos ganham recursos em potência e em
capacidade de armazenamento. Ao mesmo tempo em que essa evolução proporciona inúmeros
benefícios, também se encarrega de gerar novos riscos e ameaças virtuais. Esse cenário, que estará
presente em breve em muitas residências, sinaliza o que virá no ambiente corporativo.
Mas as questões de segurança atreladas à gestão de pessoal são apenas parte dos desafios que as
empresas precisam enfrentar na atualidade. Antes desses, e não menos críticas, estão as
vulnerabilidades tecnológicas, renovadas a cada instante.
Especialistas em identificar e estudar essas brechas vêm se esforçando para alertar sobre aquelas que
hoje são consideradas as principais ameaças às transações eletrônicas. O System Administration,
Networking and Security (SANS) e o National Infrastructure Protection Center (NIPC/FBI) são bons
exemplos dessa realidade.
A seguir estão mencionadas algumas das falhas mais comumente identificadas, independentemente do
porte ou da área de atuação da companhia, bem como da complexidade de sua infra-estrutura
tecnológica e dos sistemas que utiliza.
Senhas fracas
Muitas vezes, as senhas de um funcionário podem ser facilmente descobertas, mesclando itens
comuns como nome e sobrenome, data de aniversário, nome de esposa, filho etc. A administração
desses acessos também se dá de forma desordenada, o usuário geralmente não tem educação para
lidar com seu código de acesso. Atualmente, as empresas contam com o benefício de estabelecer uma
autenticação forte, isto é, mesclar algo que o usuário sabe (memória), com algo que ele tem (token) e
algo que ele é (biometria).
Algumas ferramentas possibilitam à corporação verificar o grau de segurança das senhas de seus
funcionários. Utilizar um desses recursos para quebra de senhas pode ser um bom caminho para
identificar contas com senhas fracas ou sem senha.
Muitas empresas afirmam realizar backups diários de suas transações, mas sequer fazem manutenção
para verificar se o trabalho realmente está sendo feito. É preciso manter backups atualizados e métodos
de recuperação dos dados previamente testados. Muitas vezes, uma atualização diária é pouco diante
das necessidades da empresa, caso venha a sofrer algum dano. Também é recomendável tratar da
proteção física desses sistemas, que por vezes ficam relegados à manutenção precária. Já é comum,
depois dos tristes fatos ocorridos em 11 de setembro de 2001, sites de backup onde os dados são
replicados e, em caso de uma catástrofe, os sistemas são utilizados para a continuidade dos negócios.
Portas abertas
Portas abertas são convites para invasões. Boas ferramentas de auditoria de servidores ou de scan
podem auxiliar a empresa a identificar quais são suas brechas nos sistemas. Para não ser
surpreendido, é recomendado fazer uma auditoria regular dessas portas. Independentemente da
ferramenta utilizada para realizar essa operação, é preciso que ela varra todas as portas UDP e TCP do
sistema, nas quais se encontram os alvos atacados por invasores. Além disso, essas ferramentas
verificam outras falhas nos sistemas operacionais tais como serviços desnecessários e aplicações de
patches de segurança requeridos.
Brechas de instalações
Muitos fornecedores de sistemas operacionais padrão (default) e aplicativos oferecem uma versão
padrão e de fácil instalação para seus clientes. Eles acreditam que é melhor habilitar funções que não
são necessárias, do que fazer com que o usuário tenha de instalar funções adicionais quando
necessitar. Embora esse posicionamento seja conveniente para o usuário, ele acaba abrindo espaço
para vulnerabilidades, já que não mantém, nem corrige componentes de software não usados.
Sobre os aplicativos, é comum que instalações default incluam scripts ou programas de exemplos, que
muitas vezes são dispensáveis. Sabe-se que uma das vulnerabilidades mais sérias relacionadas a
servidores web diz respeito aos scripts de exemplo, os quais são utilizados por invasores para invadir o
sistema. As recomendações básicas são remover softwares desnecessários, desabilitar serviços fora de
uso e bloqueio de portas não usadas.
Logs são responsáveis por prover detalhes sobre o que está acontecendo na rede, quais sistemas
estão sendo atacados e os que foram de fato invadidos. Caso a empresa venha a sofrer um ataque,
será o sistema de registro de logs o responsável por dar as pistas básicas para identificar a ocorrência,
saber como ocorreu e o que é preciso para resolvê-la. É recomendável realizar backup de logs
periodicamente.
Transações sem fio desprotegidas
Novos padrões prometem mais tranqüilidade à comunicação wireless. No entanto, é recomendável ter
cautela na adoção desses recursos, conforme o grau de confidencialidade do que está sendo
transmitido pelo canal sem fio.
Enquanto o volume de fraudes via internet banking caiu de 300 milhões de reais em 2007 para 130
milhões de reais este ano, o mercado negro de comercialização de informações confidenciais faturou
mais de 276 milhões de dólares, o número de malwares triplicou, as redes sociais como Orkut,
Facebook e Myspace foram vítimas de ataques de engenharia social.
Em 2008, os crackers provaram que os sistemas de segurança (firewall, antivírus, anti-spam, IDS)
utilizados atualmente passam uma falsa sensação de segurança. Quanto mais segurança
implementamos, novas técnicas de ataques e fraudes surgem.
Conheça agora as quatro principais ameaças à segurança de dados em 2009 e saiba como se
proteger.
1) Falsificação de Links
Os crackers estão aprimorando suas técnicas para dificultar a identificação (tecnicamente falando) de
uma armadilha online. Ataques conhecidos como link spoofing (falsificação de links) devem aumentar
em 2009.
Isso ocorre porque quando você recebe um e-mail, por exemplo, uma das principais dicas para saber
que não se trata de um golpe online é passar o mouse sobre o link para conferir se o endereço do
website está correto. No caso do "link spoofing", ao passar o mouse sobre o link da mensagem, o
internauta verá o endereço correto do website. Porém, ao clicar no link, ele será direcionado para uma
página falsa e pode ter um cavalo-de-tróia instalado em sua máquina.
2) Mobilidade ameaçada
As pessoas estão investindo cada vez mais dinheiro na compra de celulares mais avançados. Os
celulares estão sendo utilizados como ferramenta de trabalho para troca de e-mails, programas de
mensagem instantânea, SMS, agenda corporativa e armazenamento de informações confidenciais
(projetos, fotos etc.).
A migração do computador para o celular já é uma realidade no internet banking também. A nova
mobilidade já está na mira do crackers. Em 2009, ocorrerá um aumento de programas espiões para a
tecnologia móvel. O objetivo do cracker será conseguir copiar as informações armazenadas no aparelho
e roubar a senha do internet banking.
É importante observarmos que os bancos estão migrando toda a tecnologia para acesso aos dados
financeiros via celular. O cracker sempre irá explorar o elo mais fraco da corrente e atacar os
dispositivos que possuem acesso a conta corrente.
Para diminuir os casos de clonagem envolvendo cartões de crédito, os bancos estão disponibilizando
para seus clientes o cartão de crédito com chip e senha (PIN). Este novo recurso de segurança
criptografa as informações do cliente do banco no chip, aumentando o grau de dificuldade de acesso
indevido as informações necessárias para a conclusão da fraude.
Em 2007 surgiram as primeiras provas de conceito demonstrando como clonar um cartão de crédito
com chip. A técnica consiste em capturar as informações do cartão de crédito no momento em que ele é
introduzido na leitora do chip, extrair todas as informações para um notebook e realizar uma engenharia
reversa para reconstruir os dados.
Já existem registros de clonagem de cartão de crédito com chip no Brasil. Alguns clientes corporativos
que atendo foram vítimas desta nova técnica. O número de casos deve aumentar com a evolução do
dispositivo capaz de realizar a clonagem do chip e também com a redução do custo de “construção”
deste equipamento. A evolução do equipamento que clona o chip permitirá que pessoas não
especializadas comecem a aplicar o golpe também.
O número de ataques nas aplicações tem aumentando constantemente. Em 2009, as empresas irão
sofrer um aumento de ataques bem-sucedidos em seus sistemas porque estão surgindo softwares que
automatizam os ataques na camada de aplicação. e já não será preciso ser um expert para
promovê-las.
Bancos de dados protegidos serão copiados e/ou alterados através da internet, áreas restritas por
usuário e senha serão exploradas e invadidas sem que ninguém perceba o ataque, páginas web serão
alteradas de forma indevida etc.
É importante lembrar que firewalls, antivírus, sistemas de detecção de intrusos e anti-spam não
conseguem detectar ou até mesmo bloquear ataques na camada de aplicação. Não há 100% de
segurança neste nível.
Dicas de proteção
Algumas dicas de segurança podem ajudar a minimizar os riscos relacionados às novas ameaças em
2009:
- Tudo que não é monitorado na sua empresa deve ser bloqueado. A falta de rastreabilidade é uma das
principais vulnerabilidades exploradas pelos craquers;
- Desconfie sempre de links que você recebe via e-mail e programas de mensagens instantâneas. Um
profissional da área de desenvolvimento de software pode ajudar a identificar uma armadilha on-line no
link suspeito;
Cada vez mais, equipamentos móveis, como notebooks e smartphones, estão presentes na vida das
pessoas, especialmente de executivos que se deslocam em viagens de negócios. Porém, esses
dispositivos móveis possuem fragilidades diferentes das encontradas em computadores fixos. Isso
exige uma política segurança diferenciada para controlar possíveis ameaças.
Não é novidade para ninguém. A adoção em larga escala de equipamentos móveis, especialmente
notebooks e smartphones, traz vantagens inquestionáveis para o ambiente corporativo, como o
aumento da produtividade, disponibilidade e flexibilidade. Uma questão, no entanto, permanece sem
resposta: até que ponto o produto em suas mãos é seguro?
O contexto precisa ser explicado. Em meados dos anos 80, os computadores pessoais substituíram o
mainframe e revolucionaram a forma pela qual as pessoas se relacionavam com a tecnologia. Eles
dominaram completamente o cenário mundial. O reinado, contudo, está terminando. A coroa está com
os terminais móveis, com predomínio dos notebooks, mas também com a presença crescente de
handhelds, smartphones, PDAs e telefones celulares.
A mudança está tão consolidada que, hoje, é inimaginável um executivo de sucesso, em qualquer
vertical de atuação, que não carregue seu dispositivo móvel, seja este qual for. Uma das exigências
para o sucesso no atual mercado globalizado é a capacidade de estar conectado a qualquer momento,
pronto para fazer algum negócio assim que ele apareça.
Essa reestruturação está revolucionando o mercado corporativo. Se, por um lado, é possível atingir
níveis de produtividade impensáveis no formato antigo, quando o executivo permanecia preso no
ambiente tradicional de escritório, por outro, a Segurança da Informação surge como o seu
calcanhar-de-aquiles. Os argumentos a favor são atraentes: garantias de grande disponibilidade e
flexibilidade, já que o executivo pode acessar informações da rede da companhia em qualquer horário e
de qualquer lugar do mundo. Mas os contrários, no entanto, assustam.
Nova realidade
Os dispositivos móveis possuem fragilidades que não encontram paralelo nas estações fixas, fato que
exige do gestor de segurança da informação uma política estruturada para cuidar de todos esses
limites. As tecnologias de acesso sem fio, outra base da mobilidade, também representam um grande
problema. Independente do padrão escolhido, elas significam, no limite, uma falta de controle da
organização sobre a rede em que se acessa. Especificamente, as funcionalidades integradas de
wireless LAN permitem o acesso a recursos corporativos por meio de redes terceiras, que estão longe
da visão da corporação e das suas políticas de segurança.
Além disso, o aspecto físico da solução também precisa ser levado em conta. Pelo seu valor, os
aparelhos portáteis atraem enorme atenção e são roubados constantemente. Em São Paulo, por
exemplo, existem quadrilhas especializadas em roubos de laptops, procurando suas vítimas em locais
estratégicos como aeroportos ou de concentração de grandes empresas.
Outro fator que causa bastante preocupação está, graças à miniaturização dos aparelhos, na
possibilidade de perda desses dispositivos. Mais do que o preço do aparelho, o dado armazenado
também tem valor. Muitas vezes, incalculável. Como lidar com todas essas questões?
Oportunidade de negócios
Na outra ponta, a grande preocupação para os CSOs representa uma grande oportunidade de
negócios para as empresas de segurança. Assim, inúmeros players olham com atenção para essas
questões, oferecendo soluções que prometem diminuir os riscos do uso de soluções móveis no
ambiente corporativo. A primeira resposta está nos softwares de conformidade de terminal.
Com isso, é possível garantir que todos os níveis de proteção estabelecidos pela companhia sejam
passados para as plataformas móveis. Assim, é eliminado o problema de um worm ou vírus no
notebook, por exemplo, infectar toda a rede corporativa sem que o usuário tenha conhecimento. Isso,
no entanto, é apenas o primeiro nível de proteção no contexto das plataformas móveis.
Um CSO preocupado e atento às novas tendências precisa entender que, na verdade, a conformidade
entra mais como um fator de controle dentro da companhia. Isso porque a abordagem de maior
proteção precisa estender a preocupação para os próprios dispositivos móveis em uso, com cada um
tendo uma solução de segurança conforme suas necessidades e analisando com qual tipo de dado
costuma trabalhar.
Acima de tudo, a mobilidade significa que as empresas usuárias precisarão fazer novos investimentos
para se adequar à nova realidade que a mobilidade impôs. Esta nova realidade exige novas políticas e
soluções contra o inimigo interno, a preocupação com esse tema ganha um novo patamar.
De olho no notebook
Dados do Gartner, no estudo chamado “Update Your Security Practices to Protect Notebook PCs”, dão
conta de que grande parte das organizações tem dificuldade em reconhecer a necessidade de levar a
Segurança da Informação aos dispositivos móveis. Avaliando os motivos desse comportamento, o
instituto enumerou o nível de amadurecimento do mercado de segurança, já que os fornecedores do
setor, tanto em software quanto em serviços, ainda não abrangem toda a gama de vulnerabilidades dos
notebooks.
Também foram destacadas as abordagens em soluções únicas. Segundo o levantamento, apostar em
apenas um único produto ou procedimento para atingir um nível de segurança satisfatório em
notebooks é muito perigoso.
A estratégia de proteção adotada para notebooks, no entanto, deve ser seguida fielmente pelos outros
dispositivos. Conforme as aplicações dentro de cada aparelho forem sendo ampliadas e a importância
dos dados crescendo na mesma razão, será necessário cuidar de soluções próprias para os outros
dispositivos, sejam eles PDAs, smartphones ou os populares telefones celulares.
Ainda que alguns especialistas afirmem que a consolidação já é uma realidade para aparelhos de
menor porte, o mercado ainda se mostra incipiente. Mas um dado precisa ser levado em consideração:
enquanto o primeiro worm de rede levou cerca de 20 anos para ser desenvolvido, a praga eletrônica
que infestou os celulares não demorou mais do que oito meses.
Antes do surgimento da mobilidade, todos os investimentos estavam focados no perímetro de rede das
empresas. Hoje, a situação se modificou sensivelmente. A estrutura de combate construída para
proteger a companhia do ambiente externo, empilhando soluções de antivírus, firewall, IDS e IPS, além
dos appliances de rede que trazem funcionalidades de segurança não é suficiente. Friamente, a
mobilidade trouxe um novo conceito de perímetro de rede e, com ele, gerou paralelamente inúmeras
brechas de segurança.
Não é ilusório imaginar que, como toda grande revolução com ganhos fantásticos, a mobilidade está
também pagando um alto preço. Reestruturar todo o ambiente corporativo, ganhar muito em
produtividade e disponibilidade, fechando negócios em tempo real de qualquer lugar do mundo, gerou
conseqüências. E elas serão bem mais sérias do que vírus que invadem a rede ou worms que se
reproduzem para toda a lista de contatos.
Entre outros fatores, especialistas afirmam que uma rede WLAN pode ser até mais barata do que uma
estrutura com cabeamento, uma vez que dispensa a aquisição de diversos equipamentos e serviços.
Mas, existe também a mobilidade que oferece uma conectividade praticamente ininterrupta para o
usuário. Várias empresas instalaram hot spots (conexões sem fio em lugares públicos) nos principais
pontos de acesso no Brasil, tais como aeroportos, bares e livrarias, o que abre muitas possibilidades de
comunicação de funcionários com suas empresas e acesso à Internet.
Tecnologias com o WiMax aumentam a área de cobertura das redes sem fio e prometem ser o próximo
grande boom nas corporações e na vida das pessoas.
6 - Terceirização
A terceirização é uma forte tendência em todos os setores de TI, e não poderia ser diferente, quando
falamos em Segurança da Informação. Trata-se de um assunto recorrente, isso porque a Segurança da
Informação não é especialidade da indústria de manufatura, como também não faz parte dos negócios
do setor automobilístico, de empresas alimentícias ou do varejo. No entanto, para que possam manter o
core business de suas operações, essas corporações devem garantir a manutenção das condições
ideais de segurança, que cada vez mais se torna fator crítico em todas as suas transações.
Por isso, podemos nos preparar para ver as ações de proteção sendo executadas fora da corporação.
No caso da segurança, a diferença é que a viabilidade do processo depende do tamanho das
organizações. Grandes empresas têm pouca probabilidade em passar a segurança para o esquema
outsourcing. Já as pequenas e médias empresas mostram-se mais abertas a essa opção, como
podemos observar nas estruturas de ‘software as a service’, que vêm crescendo no mercado,
tornando-se mais maduras.
Porém, o outsourcing de segurança ainda está engatinhando no Brasil. Apesar disso, números da
consultoria IDC indicam que a terceirização tende a ganhar espaço. O segmento de MSS – Managed
Security Services é o que mais cresce no mundo na área de segurança.
Previsão
A previsão da consultoria é que o setor cresça em média 16% até 2010, sendo que a fatia de serviços
tende a aumentar o seu percentual no bolo. Segundo dados da Frost & Sullivan, o mercado
latino-americano de serviços gerenciados de segurança deve superar o total de US$ 272 milhões em
2011. De acordo com a consultoria, o Brasil continuará a concentrar 40% desse mercado. Em seguida
vem o México, com 23%.
Especialistas apontam que todos os negócios, grandes ou pequenos, possuem gaps em sua estrutura
interna quando se trata de segurança. Ao tentar garantir que todas as áreas estejam seguras, algum
segmento acaba sempre ficando descoberto, mais vulnerável a ameaças e intrusos. A solução para
preencher esse gap seria enxergar a segurança como um serviço e transferir sua gestão a um
especialista. Dessa forma, as organizações podem melhor direcionar seus profissionais e recursos.
Além disso, todas as atenções ficam mais voltadas ao foco do negócio e resultados que devem ser
obtidos.
Para a Frost & Sullivan, as companhias estão se conscientizando dos benefícios da contratação de
terceiros para o gerenciamento da segurança. A consultoria destaca que entre as vantagens do
outsourcing desses serviços estão a redução de custos com mão-de-obra especializada e simplificação
do investimento em equipamentos para proteção.
O acesso contínuo a recursos atualizados e a possibilidade de se dedicar mais tempo ao negócio da
empresa também são citados como benefícios diretos.
O mercado brasileiro ainda passa por uma fase de maturação, mas em se tratando de segurança,
nunca existe certeza absoluta do que está por vir. O que é bom e seguro hoje passa a ser vulnerável
amanhã. Assim, é muito importante que todos tenham um bom parceiro para cuidar do assunto; alguém
especializado, que estará sempre atualizado. E esta é a função, e a principal vantagem, das empresas
que oferecem a segurança como serviço.
Valor estratégico
O que se nota é que, conforme a segurança ganha espaço entre outras prioridades das organizações,
ela passa a ter valor estratégico, isto é, participa das decisões de mercado, integração com a cadeia de
valor, formas de oferta de produtos e serviços etc. Assim, é natural que, em um mesmo grau de
complexidade que as transações eletrônicas, a Segurança da Informação demande diversas aplicações
e camadas tanto no que se refere à infraestrutura tecnológica (hardware e software), quanto na
prestação de serviços e recursos humanos. Frente ao desafio, a terceirização tem sido um dos
caminhos procurados pelas organizações. Como na maioria dos casos, essa tanto pode ser uma ótima
como uma péssima opção. O que definirá cada experiência depende de uma série de processos
preestabelecidos.
Não há regra geral que se aplique a tudo e todos. Atualmente, algumas corporações terceirizaram toda
sua infra-estrutura de segurança, desde pessoal até backup de transações, filtragem etc., e estão
plenamente satisfeitas com isso. Em outros casos, a empresa opta por fazer um trabalho parcial, tirando
de sua responsabilidade, por exemplo, os serviços de contingência, com duplicação de operações por
meio de um datacenter.
Independentemente dos caminhos escolhidos para trilhar, o que a maior parte dos especialistas
orienta, ao decidir partir para um processo de outsourcing é não tirar a “inteligência” de dentro de casa.
Ou seja, deve ser terceirizado apenas o que é operacional, pois é o que gera investimentos pesados em
infra-estrutura, hardware, licenças de software etc.
Em suma, cada corporação deve avaliar em detalhes os benefícios e riscos de decidir pela
terceirização, gerando assim, um Planejamento de Outsourcing de Segurança. Esse relatório deverá
contemplar desde os recursos de TI necessários, bem como a mão-de-obra envolvida, os processos de
migração, atendimento a clientes e parceiros, suporte, resposta a incidentes etc.
Será esse material – baseado em preço, prazos e processos de implementação – que definirá se a
terceirização da Segurança da Informação terá ou não sucesso. De outra forma, está será encarada
apenas como mais uma maneira de burocratizar os serviços, consumir investimentos e não adicionar
qualquer valor às transações da organização.
O que terceirizar
Salvo exceções, algumas áreas de segurança são passíveis de terceirização como suporte,
monitoramento, gerenciamento e contingência. Os SOCs (Security Operation Center) disponíveis são
especializados na prestação de serviços dessa natureza, entre outros. Esses centros de segurança e
gerenciamento de dados estão atraindo o interesse das empresas por uma série de razões como, por
exemplo, menor custo com equipe interna, investimentos divididos com outras companhias, respostas
rápidas a incidentes e qualidade de serviço estabelecida em contratos, os chamados Service Level
Agreements (SLAs).
Mas mesmo com vantagens competitivas tangíveis e de retorno rápido, a terceirização de segurança
tem como barreira central a questão cultural das corporações. Invariavelmente, esse é o principal
desafio a ser vencido, já que exige uma relação de total confiança entre os parceiros. Essa
responsabilidade tem de estar esboçada em detalhes no contrato de SLA. Um programa que garanta
100% de atividade ao longo de um ano levanta suspeita. Basta verificar o volume de incidentes de
segurança que ocorrem diariamente com empresas altamente protegidas, como as do setor financeiro.
Além do nível de serviço oferecido pelo fornecedor, vale ressaltar o compromisso deste em ter uma
postura pró-ativa com o usuário, ou seja, na medida do possível manter os níveis de segurança os mais
preparados possíveis. Esse contrato estabelece como serão atendidas as necessidades futuras do
contratante e quais multas e penalidades no caso de não-cumprimento ou rompimento do acordo.
Em tese, tudo é passível de ser terceirizado. Mas na realidade, o processo não é tão simples e
imediato como se imagina. Portanto, o ideal é que a empresa tenha conhecimento sobre seus próprios
custos e infra-estrutura, algo que muitas vezes não está organizado ou quantificado.
Na prática, o outsourcing deve retirar da empresa tarefas repetitivas e burocráticas, que não
demandam ou envolvam decisões complexas ou estratégicas. Estudos apontam que, atualmente, esses
serviços são responsáveis por algo entre 5% e 10% dos orçamentos de TI.
Também é preciso avaliar a utilização e a disponibilidade de bens que não se limitam à infra-estrutura
tecnológica. Em grandes corporações, já ocorreu de a empresa contratante perder profissionais
estratégicos, os quais passaram a atender a organização via outsourcing.
7 - Presente e futuro
Foi-se o tempo em que os criminosos virtuais contentavam-se em invadir um site e deixar ali a sua
marca. Hoje, eles são silenciosos e muito mais perigosos. Nesse exato momento, sem que você saiba,
pode ser que seu computador esteja mandando milhares de e-mails para o mundo todo e você nem se
dá conta disso. Ou pior: pode ser que você tenha um programa espião instalado em sua máquina,
capaz de copiar todas as suas senhas. Já pensou? Hoje, o objetivo é obter vantagem financeira. Por
isso, todos precisam ficar muito espertos.
Fraudes
A fraude implementada por meio de recursos de Tecnologia da Informação cresce gradativamente e
exige a melhoria de controles internos e de processos de monitoramento. Mesmo com a rápida e
constante evolução da tecnologia, é difícil afirmar que vulnerabilidades e falhas deixarão de existir nos
sistemas e nas redes de computadores. Isso não quer dizer que as fraudes em TI não possam ser
evitadas ou, pelo menos, que seus riscos não possam ser minimizados em níveis aceitáveis pelas
organizações. Para atingir esse objetivo, é necessário um esforço integrado de investimento, em
mecanismos de segurança tecnológica e em processos operacionais.
Exigências legais, como a lei Sarbanes-Oxley, obrigam as empresas a estabelecer controles antifraude
em seus processos de gestão de riscos corporativos. Deficiências nesses controles podem resultar em
fraudes executadas por meio dos recursos de TI disponíveis.
Phishing
Trata-se de uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações
confidenciais, tais como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa
confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um e-mail ou uma
mensagem instantânea. O termo phishing surge das cada vez mais sofisticadas artimanhas para
“pescar” (fish) as informações sensíveis dos usuários. Essas informações particulares são usadas para
causar algum prejuízo, tal como o roubo de dinheiro da sua conta corrente.
Vírus e variações
Vírus é um programa malicioso desenvolvido por programadores que, tal como um vírus biológico,
infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros computadores, utilizando-se
de diversos meios. A maioria das contaminações ocorre pela ação do usuário executando o anexo de
um e-mail. A segunda causa de contaminação é por sistema operacional desatualizado, sem a
aplicação de corretivos que bloqueiam chamadas maliciosas nas portas do micro. Ainda existem alguns
tipos de vírus que permanecem ocultos, mas entram em execução em horas especificas.
Spyware
Programa automático de computador, que recolhe informações sobre o usuário, sobre seus costumes
na Internet e transmite essa informação a uma entidade externa na Internet, sem seu conhecimento ou
consentimento. Diferem dos cavalos de Tróia por não terem como objetivo que o sistema do usuário
seja dominado, seja manipulado, por uma entidade externa, por um cracker.
Os spywares podem ser desenvolvidos por empresas que desejam monitorar o hábito dos usuários
para avaliar seus costumes e vender esses dados pela Internet. Elas costumam produzir inúmeras
variantes de seus programas-espiões, aperfeiçoando-os e dificultando sua completa remoção.
Por outro lado, muitos vírus transportam spywares, que visam roubar certos dados confidenciais dos
usuários. Roubam logins bancários, montam e enviam logs das atividades do usuário, roubam
determinados arquivos ou outros documentos pessoais.
Os spywares costumavam vir legalmente embutidos em algum programa que fosse shareware ou
freeware. Sua remoção era por vezes, feita quando da compra do software ou de uma versão mais
completa e paga.
Trojans
Trojan Horse ou Cavalo de Tróia é um programa que age como a lenda do cavalo de Tróia: entra no
computador e libera uma porta para um possível invasor. O conceito nasceu de simples programas que
se faziam passar por esquemas de autenticação, em que o utilizador era obrigado a inserir as senhas,
pensando que as operações eram legítimas.
Entretanto, o conceito evoluiu para programas mais completos. Os trojans atuais são disfarçados de
programas legítimos, embora, diferentemente de vírus ou de worms, não criem réplicas de si. São
instalados diretamente no computador. De fato, alguns trojan são programados para se autodestruir
com um comando do cliente ou depois de um determinado tempo. Os trojans ficaram famosos na
Internet pela sua facilidade de uso, fazendo qualquer pessoa possuir o controle de um outro
computador apenas com o envio de um arquivo.
Os trojans atuais são divididos em duas partes: o servidor e o cliente. Normalmente, o servidor está
oculto em algum outro arquivo e, no momento que esse arquivo é executado, o servidor se instala e se
oculta no computador da vítima; a partir desse momento, o computador pode ser acessado pelo cliente,
que enviará informações para o servidor executar certas operações no computador da vítima.
Worms
Segurança 3.0
O novo modelo de segurança proposto pelo Gartner recebeu o nome de Segurança 3.0. Seu objetivo é
diminuir os gastos das companhias com segurança e melhorar o desempenho das áreas de negócio. A
implementação dessa nova estrutura requer investimentos: para construir uma plataforma concreta de
proteção, deve-se deslocar até 8% do orçamento destinado anualmente à TI para a área de segurança.
Depois que o modelo estiver consolidado, a inversão pode ser reduzida para, aproximadamente, 3%.
O Gartner indica que as empresas devem seguir cinco passos importantes na implementação de uma
plataforma de segurança 3.0. São eles:
1) Mudar o modo como a Tecnologia da Informação é desenvolvida, construída dentro da corporação.
2) Mudar a forma como as soluções de negócio são desenvolvidas.
3) Mudar a metodologia e os responsáveis pelo pagamento dos controles de segurança
4) Se não puder realizar todas as mudanças imediatamente, definir o que deve ser feito primeiro, e
começar a agir imediatamente.
5) Segurança deve ser ‘uma jornada’, portanto, é preciso que se tenha um destino pelo caminho.
No atual cenário de ameaças sofisticadas e altamente perigosas, é necessário que as empresas
mudem seus perfis e, em vez de gastarem dois terços de suas verbas para remediar incidentes,
passem a investir na prevenção de ameaças e na antecipação de tendências.
Assim como houve a evolução da chamada Segurança 1.0, que restringia ações de usuários, para o
padrão 2.0, que mostrava ameaças não apenas no mainframe e passava a contar com a Internet e seus
perigos, agora monitorar o perfil dos profissionais e as aplicações de TI também se tornou
imprescindível.
Além do aumento no número e no nível de importância das ferramentas de controle de acessos dentro
da corporação, a participação dos usuários nas políticas de segurança e o grau de adaptação e
integração de arquiteturas e sistemas passam a assumir posição estratégica na busca por resultados
específicos para o foco do negócio. O alinhamento entre sistemas, processos e pessoas é o caminho
para a Segurança 3.0, que prevê uma estrutura mais sólida de proteção às corporações.
Evitar armadilhas de compliance, aderir somente às tecnologias que sigam as melhores práticas de
mercado e ter a capacidade de mover o programa de segurança corporativa dentro de um ciclo de
maturidade pré-estabelecido podem ser as chaves para garantir um ambiente protegido, mesmo com o
surgimento rápido de novas ameaças e formas de ataque.
Os gastos com segurança já superam duas vezes os investimentos com inovações de TI dentro das
empresas. Com isso, surgem as perguntas: podemos garantir que nossos sistemas atuais blindam
melhor nossas estruturas corporativas? É possível continuar elevando esses investimentos? Antes de
tudo, é necessário lembrar das características básicas dos negócios: a busca incessante pela redução
de custos e pelo aumento de rendimento.
Entretanto, é preciso avaliar com o que podemos produzir uma economia saudável. De acordo com ele,
o modelo de código aberto em uma corporação preparada para o ‘momento 3.0’, por exemplo, seria
extinto. Essa estrutura sempre trará benefícios imediatos, mas é preciso que CIOs e CSOs tenham em
mente seus objetivos e prioridades em longo prazo.
8 - Limites do monitoramento
O funcionário que dispõe de um PC com conexão à Internet (raros são os que não possuem hoje em
dia) pode navegar por uma infinidade de sites, realizar transações bancárias e de comércio eletrônico. E
também trabalhar. Cabe à consciência de cada decidir sobre a melhor maneira de equilibrar seu tempo
entre tão empolgantes atividades e o seu próprio trabalho. Ou não. Muitas companhias estão aderindo
às empresas de monitoramento, para identificar os mares por onde navegam seus funcionários, quando
estão no escritório.
Basicamente, as corporações se vêem frente a duas ameaças centrais. Primeiro, a queda drástica de
produtividade de seus funcionários, além do uso indiscriminado dos recursos da companhia e de sua
infraestrutura. Cálculos feitos junto de usuários nos Estados Unidos apontam que cada pessoa gasta,
em média, quase duas horas por dia checando e-mails, o que representa um quarto do expediente
normal. O período inclui o envio e/ou recebimento de mensagens pessoais, fato reconhecido por 90%
dos usuários.
Em segundo lugar, e não menos críticas, estão as vulnerabilidades que esse acesso aleatório
ocasiona, as ameaças constantes que circulam pela web e que, a qualquer momento, podem
comprometer operações primordiais para o funcionamento da companhia.
Situações como essas estão levando ao controle rígido de diversas aplicações de acesso on-line, entre
essas a filtragem de sites e de conteúdos da Internet, e restrições daquela que hoje é a principal
ferramenta do meio digital: o correio eletrônico.
Uso indiscriminado
Recentes pesquisas no mercado norte-americano mostram que mais de 70% dos empregadores
monitoram o uso do e-mail por parte de seus funcionários. Muitos casos de demissão ocorrem em
função da má utilização da ferramenta. Muitas sentenças foram dadas em favor dos empregadores,
mesmo no uso do Hotmail, Yahoo ou mesmo voice-mail.
Mas um estudo feito pelo ePolicy Institute e a Clearswift revelou um certo descompasso entre a
preocupação das corporações com o uso indiscriminado do correio eletrônico e as ações efetivas que
tomam para combater a prática. Os resultados apontaram que 75% de todos os profissionais
pesquisados reconhecem que suas empresas produzem políticas de utilização de e-mail, mas menos
da metade (48%) treina seus funcionários sobre o assunto.
De acordo com a pesquisa, 59% das empresas declararam que possuem métodos para reforçar a
existência de regras e políticas internas. Os meios mais utilizados para isso são: disciplina (50%),
revisões de desempenho (25%), remoção de privilégios (18%) e ações legais (4%).
Não bastasse o controle interno, as corporações precisam desenvolver armas para barrar aquele que
se tornou seu maior inimigo: as mensagens indesejadas, ou spams. Segundo a pesquisa, 92% dos
profissionais recebem algum material desse tipo. Desses, 45% afirmam que as mensagens
não-autorizadas representam mais de 10% de seu volume diário de e-mails, percentual que ultrapassa
50% para 7% dos ouvidos pela pesquisa.
Privacidade
Aprovado em junho de 2006 pela Comissão de Educação, o Projeto de Lei 76/2000 do Senado é o
mais completo texto legislativo produzido no País para regular a repressão a crimes de informática. O
PLS 76, relatado pelo senador Eduardo Azeredo, com assessoria de José Henrique Santos Portugal,
incorpora atualizações e contribuições de outros projetos de lei menos abrangentes e altera o Código
de Processo Penal, o Código Penal Militar e a Lei de Interceptação de Comunicações Telefônicas.
Dentre todos os dispositivos inclusos no texto, o mais polêmico é a determinação de que todo aquele
que prover acesso à Internet terá de arquivar informações do usuário como o nome completo, data de
nascimento e endereço residencial, além dos dados de endereço eletrônico, identificador de acesso,
senha ou similar, data, hora de início e término, e referência GMT da conexão. A medida tem sido alvo
de críticas enérgicas entre aqueles que prezam pela privacidade e o anonimato na rede, sob a alegação
de que dados de cunho pessoal não devem ficar em bancos de dados, expostos a uma possível
devassa judicial, além do possível extravio para fins escusos.
Regras claras
Discussões à parte, o que se orienta é que as empresas estabeleçam regras claras de acesso e
usabilidade, esclarecendo que disponibiliza seus recursos para que sejam utilizados como ferramenta
de trabalho. Essas normas devem fazer parte de uma Política de Segurança da Informação. Uma vez
estabelecido esse processo, é preciso elaborar um termo de aceitação, colhendo a assinatura de cada
profissional da companhia.
Para uma empresa como a GlaxoSmithKline (GSK), com 1,2 mil máquinas com acesso à Internet, a
principal função da política de segurança foi o controle de acessos e a formatação da Internet como
ferramenta corporativa. A definição de regras de uso da rede começou com a estruturação de um
comitê de segurança da informação, formado por representantes de várias áreas da companhia. O
comitê também elaborou um documento no qual estão definidos os critérios para a utilização de e-mails
e listados os tipos de sites que não devem ser acessados pelos funcionários. Os downloads de
aplicativos foram totalmente restringidos.
Também deve ser de responsabilidade da organização garantir que esse monitoramento se configure
com respeito aos funcionários e em sigilo, restringindo a divulgação dessas informações e não
configurando qualquer tipo de perseguição ao profissional.
O fato é que, cada vez mais, a monitoria do profissional não é uma escolha, mas uma obrigação do
gerenciamento de risco. A empresa deve declarar claramente que de fato monitora, listando o que é
rastreado, descrevendo o que procura e detalhando as conseqüências de violações. Controles de
segurança sugeridos por normas de segurança podem ser um caminho mais viável para suportar
parâmetros de auditoria e conformidade para toda a companhia.
Práticas
Algumas ações básicas podem dar maior segurança e tranqüilidade à corporação e ao funcionário, no
que se refere à monitoria do ambiente de trabalho. São elas:
• Antes de qualquer ação, é viável que a companhia consulte um especialista em lei digital para saber
se existem bases judiciais que afetem seus planos de monitoria.
• As razões para realizar a monitoria têm que estar claras entre empresa e funcionário. O fato de uma
empresa admitir abertamente que faz monitoria, reforçado por ações reativas quando são descobertas
infrações, fará os funcionários entenderem que e-mail não é uma forma de comunicação privada. É
provável que passem a se policiar.
• Caracterizar a monitoria como algo de proteção mútua, dando segurança e respaldo à corporação e
ao profissional.
• Definir claramente as expectativas da empresa e informar os funcionários sobre a monitoria.
• Estabelecer a política; educar a força de trabalho; e empregar a política de maneira consistente.
• Combinar ferramentas de varredura de conteúdo e regras por escrito.
• Punir quando for necessário. De outra forma, ninguém respeitará as regras da companhia.
Quanto mais uma empresa depende de redes de computadores, maiores devem ser as preocupações
com segurança. E isso significa preocupar-se com a integridade de dados, com o tempo de manutenção
devido a problemas de segurança, e com muitos outros aspectos.
O número de incidentes de segurança está em pleno crescimento, não apenas porque as redes de
computadores são vulneráveis, mas também porque quanto mais poderosos tornam-se os aparatos de
segurança – leia-se firewalls, software, etc –, maior se torna o interesse de hackers em invadir.
Falhas em políticas de segurança expõem não apenas informações e dados de uma empresa, mas
também causam danos sérios à imagem da companhia. E é o zelo pela imagem que, muitas vezes,
impulsiona a implantação de uma política de segurança, com a utilização de firewalls, mecanismos de
autenticação, algoritmos de encriptação, e outras medidas de prevenção. Mas será que apenas
investindo em tecnologia a empresa estará 100% segura?
Um dos maiores riscos é a empresa acreditar que basta comprar equipamentos e softwares e estará
segura para sempre. Produtos de segurança direcionados à prevenção são bons, mas são apenas uma
parte do conceito geral. Não é o bastante ter os melhores produtos de segurança. É preciso instalá-los,
usá-los, e mantê-los atualizados (instalando novas versões, aplicando patches de correção, etc) para,
então, interpretar suas informações e responder efetivamente aos alertas registrados por eles.
No contexto atual, mais do que nunca, segurança é vital para o sucesso de um negócio.