Scribd Logo
Unggah

Selamat datang di Scribd!

  • Segurança Da Informação

    Diunggah oleh

    bruno_pos_unip
    12 tayangan25 halaman

    Judul Asli

    Segurança_da_Informação

    Hak Cipta

    © Attribution Non-Commercial (BY-NC)

    Format Tersedia

    PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    12 tayangan25 halaman

    Segurança Da Informação

    Diunggah oleh

    bruno_pos_unip

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 25

    Segurana da Informao Conceito Est cada vez mais difcil manter em segurana as informaes referentes a empresas ou pessoas.

    O descuido nessa rea pode causar prejuzos significativos, e muitas vezes irreversveis. Mas felizmente a maior parte das empresas est consciente do perigo e estamos vivendo um momento em que praticamente todas elas mantm alguma poltica de segurana. A Segurana da Informao refere-se proteo requerida para proteger as informaes de empresas ou de pessoas, ou seja, o conceito se aplica tanto as informaes corporativas quanto s pessoais. Entende-se por informao todo e qualquer contedo ou dado que tenha valor para alguma organizao ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao pblico para consulta ou aquisio. Podem ser estabelecidas mtricas para definio do nvel de segurana existente e requerido. Dessa forma, so estabelecidas as bases para anlise da melhoria da situao de segurana existente. A segurana de uma determinada informao pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que tm o objetivo de furtar, destruir ou modificar tal informao. Propriedades As principais propriedades que orientam a anlise, o planejamento e a implementao de uma poltica de segurana so confidencialidade, integridade e disponibilidade. Na medida em que se desenvolve o uso de transaes comerciais em todo o mundo, por intermdio de redes eletrnicas pblicas ou privadas, outras propriedades so acrescentadas s primeiras, como legitimidade e autenticidade. Confidencialidade - Propriedade que limita o acesso informao to somente s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao. Integridade - Propriedade que garante que a informao manipulada mantenha todas as caractersticas originais estabelecidas pelo proprietrio da informao, incluindo controle de mudanas e garantia do seu ciclo de vida (nascimento, manuteno e destruio). Disponibilidade - Propriedade que garante que a informao esteja sempre disponvel para o uso legtimo, ou seja, por aqueles usurios autorizados pelo proprietrio da informao. Em todas as fases da evoluo corporativa, fato que as transaes de toda a cadeia de produo passando pelos fornecedores, fabricantes, distribuidores e consumidores sempre tiveram a informao como uma base fundamental de relacionamento e coexistncia. O fato que hoje, quer seja como princpio para troca de mercadorias, segredos estratgicos, regras de mercado, dados operacionais, quer seja simplesmente resultado de pesquisas, a informao, aliada crescente complexidade do mercado, forte concorrncia e velocidade imposta pela modernizao das relaes corporativas, elevou seu posto na pirmide estratgica, tornando-se fator vital para seu sucesso ou fracasso. Proteo da informao
    DilgoTI / NextGenerationCenter Pagina 1

    Entre as inmeras tendncias que explodiram em tecnologia, poucas assumiram o status de imprescindvel. Ao fazer uma comparao, ainda que os sistemas de ERP e CRM sejam de vital importncia para a rotina corporativa, ou que solues de Business Intelligence e Balanced Scorecard permitam aos negcios atingir patamares invejveis de lucratividade, a Segurana da Informao a nica que no pode faltar em nenhuma hiptese. ela que protege o bem maior das companhias, ou seja, a informao estratgica. Para entender a importncia da proteo das informaes, basta pensar no prejuzo que causaria para os negcios a posse desses dados pela concorrncia ou por algum malintencionado. Atualmente, o perodo de reviso de processos e de avaliao de solues que protejam cada vez mais as informaes corporativas, sem impactar fortemente na produtividade. Fato que hoje a segurana considerada estratgica e j encabea a lista de preocupaes de grandes empresas. A Segurana deixou de ser submetida aos domnios da TI, para se tornar uma nova rea que responde ao vice-presidente ou ao gestor de operaes, ganhando oramento prprio, salas especficas e, claro, prazos e demandas a serem atendidas. Um dos maiores dilemas da Segurana da Informao est relacionado com a proteo dos ativos e a compreenso da amplitude desse conceito dentro da empresa. A idia de ativo corporativo envolve tambm uma questo de difcil medio: a marca da companhia e a percepo que ela desperta no mercado. Um grande escndalo, uma falha latente ou uma brecha negligenciada podem sepultar uma companhia para sempre, ainda que ela tenha tido muito sucesso at ento. Outra questo relacionada com a Segurana da Informao, que tambm causa preocupao, que se trata de um investimento sem fim. Pois medida que ela vai se fortalecendo, os ataques cada vez mais vo se sofisticando tambm. Um caminho sem volta No h como voltar atrs. Qualquer companhia, desde a pequena empresa com dois ou trs PCs, at uma complexa organizao com atuao em diversos pases, sabe que em maior ou menor grau a tecnologia essencial para seu negcio. E justamente por ser vital, que esse bem no palpvel traz consigo uma necessidade bsica: segurana. O desafio no to simples. Pela prpria natureza, embora muitas empresas de TI estejam se esforando para mudar essa realidade, a segurana da informao reativa. Isso significa que, tradicionalmente, primeiro verifica-se a existncia de um problema, como vrus, fraude, invaso, para depois encontrar sua soluo, vacina, investigao, correo de vulnerabilidade. Para muitos, esse cenrio pode causar pnico. Afinal, primeiro eleva-se a informao ao patamar mais crtico da empresa, tornando-a pea principal do jogo. Em seguida, v-se que esse dado, pela forma e processo com que disponibilizado, corre o risco de ser corrompido, alterado ou roubado por um garoto de 16 anos, que resolveu testar programas hackers disponibilizados na prpria Internet ou, em casos piores, usurpado por funcionrios e passado para a concorrncia ou ainda simplesmente causando danos financeiros empresa. Mas j existem prticas e solues tecnolgicas suficientemente eficientes para comprovar que a digitalizao das transaes corporativas no transformou os negcios em uma "terra de ningum". Embora reconheam que afirmar ser 100% seguro algo precipitado e arriscado, especialistas de segurana apontam que educao profissional, processos e
    DilgoTI / NextGenerationCenter Pagina 2

    tecnologia formam um trip resistente no combate ao crime eletrnico. Pesquisas mostram que aumentam os investimentos na proteo dos dados. A segurana o maior desafio das solues em TI para o sistema financeiro. Nem s de software Outro fenmeno que tem sido observado a concentrao dos servios de segurana pelo grupo dos dez maiores integradores mundiais. Isso reflete a necessidade prioritria das grandes corporaes e governos de moverem-se em direo a fornecedores slidos, que possam atender as demandas com flexibilidade, inteligncia e rapidez, elevando a importncia dos fatores de tica profissional, confiabilidade e independncia, posicionando-se para o gestor como o "security advisor corporativo". Mas as experincias corporativas demonstraram que no s de software que se constri uma muralha resistente crescente variedade de ameaas, falhas e riscos. preciso que as aes corporativas sejam direcionadas por um Plano Diretor de Segurana, de forma que possam estar frente de determinadas situaes de emergncia e risco, uma postura mais pr-ativa que reativa. Esse plano ser responsvel por verificar se a corporao est destinando verba suficiente para manter o nvel de segurana alinhado com as expectativas de negcios. Tambm apontar se as vulnerabilidades so de fato corrigidas ou se h uma falsa sensao de segurana. muito comum haver grande disparidade entre o cenrio que se pensa ter e aquilo que realmente ele . De forma mais ampla, esse plano deve considerar questes estratgicas, tticas e operacionais de negcios, atrelando-as a trs tipos bsicos de risco: humano, tecnolgico e fsico. Ao longo desse curso ser abordada cada uma dessas variveis, desde os tipos mais tradicionais de vrus que se disseminam pela rede, at as portas mais vulnerveis da empresa, passando pelo monitoramento de sua rede, seus profissionais, solues de TI, gesto e polticas de segurana.

    Tecnologias O maior desafio da indstria mundial de software de segurana prover solues no espao de tempo mais curto possvel, a partir da descoberta de determinada ameaa ou problema. Mas foi-se o tempo em que tudo se resumia a encontrar um antivrus eficaz, que fosse capaz de deter um determinado vrus. Hoje em dia, os vrus de computador no so mais os nicos viles do crime digital. No se trata mais de apenas proteger a estao de trabalho do funcionrio. A companhia deve garantir que o correio eletrnico enviado desse mesmo computador passar pelo servidor da empresa, seguir pela Internet (ou, em certos casos, por uma rede privada virtual), chegar a um outro servidor, que transmitir a mensagem ao destinatrio com a garantia de que se trata de um contedo totalmente protegido, sem carregar qualquer truque ou surpresa inesperada. Mas essa ainda apenas a ponta do iceberg. A Segurana da Informao deve estar atrelada a um amplo Programa de Segurana da Informao, que se constitui de pelo menos
    DilgoTI / NextGenerationCenter Pagina 3

    trs fases principais: 1) O primeiro passo consiste em realizar o levantamento e a classificao dos ativos da empresa. 2) Concluda essa fase, preciso avaliar o grau de risco e de vulnerabilidade desses ativos, testar suas falhas e definir o que pode ser feito para aperfeioar a sua segurana. 3) A infraestrutura de tecnologias a terceira fase desse planejamento, envolvendo desde aquisio de ferramentas, at configurao e instalao de solues, criao de projetos especficos e recomendaes de uso. Infraestrutura Apresentar um organograma consolidado das ferramentas e solues que compreendem a segurana de uma rede corporativa algo, em certo sentido, at arriscado, considerando a velocidade com que se criam novos produtos e com que se descobrem novos tipos de ameaas. No entanto, algumas aplicaes j fazem parte da rotina e do amadurecimento tecnolgico de muitas organizaes que, pela natureza de seus negcios, compreenderam quo crticas so suas operaes. Algumas dessas aplicaes so: Antivrus: Faz a varredura de arquivos maliciosos disseminados pela Internet ou correio eletrnico. Balanceamento de carga: Ferramentas relacionadas capacidade de operar de cada servidor da empresa. Vale lembrar que um dos papis da segurana corporativa garantir a disponibilidade da informao, algo que pode ser comprometido se no houver acompanhamento preciso da capacidade de processamento da empresa. Firewall: Atua como uma barreira e cumpre a funo de controlar os acessos. Basicamente, o firewall um software, mas tambm pode incorporar um hardware especializado. Sistema Detector de Intruso (IDS, da sigla em ingls): Como complemento do firewall, o IDS se baseia em dados dinmicos para realizar sua varredura, como por exemplo, pacotes de dados com comportamento suspeito, cdigos de ataque etc. Varredura de vulnerabilidades: Produtos que permitem corporao realizar verificaes regulares em determinados componentes de sua rede como, por exemplo, servidores e roteadores. Rede Virtual Privada (VPN, da sigla em ingls): Uma das alternativas mais adotadas pelas empresas na atualidade, as VPNs so canais em forma de tnel, fechados, utilizados para o trfego de dados criptografados entre divises de uma mesma companhia, parceiros de negcios. Criptografia: Utilizada para garantir a confidencialidade das informaes. Autenticao: Processo de identificao de pessoas, para disponibilizar acesso. Baseia-se em algo que o indivduo saiba (uma senha, por exemplo), com algo que ele tenha (dispositivos como tokens, cartes inteligentes, certificados digitais); e em algo que ele seja (leitura de ris, linhas das mos). Integradores: Permitem centralizar o gerenciamento de diferentes tecnologias que protegem as operaes da companhia. Mais que uma soluo, trata-se de um conceito. Sistemas antispam: eliminam a maioria dos e-mails no solicitados. Software de backup: So programas para realizar cpias dos dados para que, em alguma situao de perda, quebra de equipamentos ou incidentes inusitados, a empresa possa recuper-los.
    DilgoTI / NextGenerationCenter Pagina 4

    Pela complexidade de cada uma das etapas compreendidas em um projeto de segurana, especialistas recomendam que a empresa desenvolva a implementao baseando-se em projetos independentes. Falsa sensao de segurana O maior perigo para uma empresa, em relao proteo de seus dados, a falsa sensao de segurana. Pois, pior do que no ter nenhum controle sobre ameaas, invases e ataques confiar cegamente em uma estrutura que no seja capaz de impedir o surgimento de problemas. Por isso, os especialistas no confiam apenas em uma soluo baseada em software. Quando se fala em tecnologia, necessrio considerar trs pilares do mesmo tamanho, apoiados uns nos outros para suportar um peso muito maior. Esses trs pilares so as tecnologias, os processos e as pessoas. No adianta fortalecer um deles, sem que todos os trs no estejam equilibrados. Ao se analisar a questo da Segurana da Informao, no entanto, alm da importncia relativa de cada um desses pilares, preciso levar em conta um outro patamar de relevncia, pois estar sendo envolvida uma gama muito grande de solues de inmeros fornecedores. Por isso, a Segurana da Informao precisa envolver Tecnologias, Processos e Pessoas em um trabalho que deve ser cclico, contnuo e persistente, com a conscincia de que os resultados estaro consolidados em mdio prazo. Uma metfora comum entre os especialistas d a dimenso exata de como esses trs pilares so importantes e complementares para uma atuao segura: uma casa. Sua proteo baseada em grades e trancas, para representar as tecnologias, que depende dos seus moradores para que seja feita a rotina diria de cuidar do fechamento das janelas e dos cadeados, ou seja, processos. Simploriamente, a analogia d conta da interdependncia entre as bases da atuao da segurana e de como cada parte fundamental para o bom desempenho da proteo na corporao. Recursos de proteo A primeira parte trata do aspecto mais bvio: as tecnologias. No h como criar uma estrutura de Segurana da Informao, com poltica e normas definidas, sem solues modernssimas que cuidem da enormidade de pragas que infestam os computadores e a Internet hoje em dia. Os appliances de rede, com solues de segurana integradas, tambm precisam ser adotados. Dispositivos para o controle de spam, vetor de muitas pragas da Internet e destacado entrave para a produtividade, tambm podem ser alocados para dentro do chapu da Segurana da Informao. Programas para controlar o acesso de funcionrios, bloqueando as visitas a pginas suspeitas e que evitem sites com contedo malicioso, tambm so destaques. Mas antes da implementao da tecnologia, necessria a realizao de uma consultoria que diagnostique as solues importantes. Essas inmeras ferramentas, no entanto, geram outro problema: como gerenciar toda essa estrutura dentro de uma rotina corporativa que demanda urgncia e dificilmente est completamente dedicada segurana? A melhor resposta est no gerenciamento unificado. A adoo de novas ferramentas, como sistema operacional, ERP ou CRM, precisa de anlise dos pr-requisitos em segurana.
    DilgoTI / NextGenerationCenter Pagina 5

    Outro ponto do trip so os processos, que exigem reviso constante. O grande combate realizado no dia-a-dia do gestor de segurana, em parceria com o CIO, equilibrar a flexibilidade dos processos de forma que eles no tornem a companhia frgil, mas que, por outro lado, no endurea demais a produtividade, em busca do maior nvel possvel de segurana. A viso da companhia como um emaranhado de processos causou grande revoluo ao ir de encontro com os conceitos de gesto clssicos, focados na estrutura. Nesse novo enfoque, a adio de segurana segue a mesma linha turbulenta. Como no novo modelo, todos os processos esto integrados, um impacto causado pela segurana pode no apenas causar prejuzos para a rotina da empresa, mas tambm criar certo mal-estar entre as reas. Tomar atitudes cautelosas e estudadas, mas sem receio de atritos, precisa ser a prtica do gestor. Pessoas: desafio constante A ltima parte da trinca a mais fcil de explicar. No preciso raciocinar muito para chegar concluso de que as pessoas so pedras fundamentais dentro do ambiente corporativo, sobretudo em Segurana da Informao. Cerca de 70% dos incidentes de segurana contam com o apoio, intencional ou no, do inimigo interno. As pessoas esto em toda a parte da empresa e enxergam como ponto fundamental apenas a proteo da mquina. Os cuidados bsicos com as atitudes das pessoas, muitas vezes so esquecidos ou ignorados. Encontrar senhas escritas e coladas no monitor, bem como a troca de informaes sigilosas em ambientes sem confidencialidade, como txi e reunies informais so situaes muito comuns. Assim, contar com a colaborao das pessoas simplesmente fundamental numa atividade crtica para a empresa e que no tem final em vista. Mas o ponto principal da preocupao com as pessoas que os fraudadores iro busca delas para perpetrar seus crimes. Uma exigncia cada vez mais importante para o CSO ser tambm um gestor de pessoas, uma vez que elas podem causar muitos estragos e provocar srios prejuzos. Mas ao se analisar o contexto de formao dos gerentes de segurana, talvez seja esse o ponto mais fraco. Investimento em formao profissional nesse sentido uma iniciativa muito vlida, assim como intercmbio de informaes entre reas como Recursos Humanos e Marketing para aumentar o alcance e a eficcia das recomendaes. O fato de envolver um dilema cultural tambm outro complicador. Segurana da Informao representa um desafio de indita magnitude para os profissionais do setor e, tambm, para a companhia como um todo.

    Gestor da Segurana da Informao Estabelecer procedimentos em transaes corporativas, operar por meio de regras de acesso e restries, criar hierarquias de responsabilidades, mtodos de reao a eventuais falhas ou vulnerabilidades e, acima de tudo, manter um padro no que se refere segurana da companhia. Entre outras, so essas as atribuies que culminaram na criao da funo de CSO Chief Security Officer, ou Gestor da Segurana da Informao.
    DilgoTI / NextGenerationCenter Pagina 6

    Todas as mudanas importantes ocorridas em Segurana da Informao demandavam um novo profissional. O gestor de tecnologia no tinha condies, e muito menos tempo, para assumir toda essa rea que se constitua com velocidade estonteante. A resposta foi a criao de uma nova funo dentro da companhia que organizasse e coordenasse as iniciativas em Segurana da Informao em busca da eficincia e eficcia no tema. Apenas algum com grande conhecimento tanto em negcios quanto em segurana pode desenhar a estratgia de Segurana da Informao de maneira competente, implementando polticas e escolhendo as medidas apropriadas para as necessidades de negcios, sem impactar na produtividade. Ainda que a contratao de gestores de segurana esteja sendo uma constante no mercado de grandes companhias, no se chegou a um consenso sobre a natureza do seu cargo. Um dos pontos que permanecem sem uma definio precisa a viabilidade de combinar sob o mesmo chapu a Segurana lgica e a fsica. O isolamento entre essas reas pode ser fatal para uma companhia no caso de um desastre natural, como o furaco Katrina em 2005, que atingiu a cidade norte-americana de Nova Orleans, ou o tsunami que afetou a Indonsia em 2004, ou at mesmo uma pane eltrica ou incndio. Responsabilidades Algumas metas gerais para os gestores de segurana so: Desenvolver e implementar polticas, padres e guias gerais para o pessoal, para a segurana de dados, recuperao de desastre e continuidade de negcios. Supervisionar o contnuo monitoramento e proteo da infra-estrutura, os recursos necessrios de processos que envolvam pessoas ou dados. Avaliar possveis brechas de segurana e recomendar as correes necessrias. Negociar e gerenciar service-level agreements (SLAs) com fornecedores externos de servios de proteo ou hospedagem de dados. Qualificaes Para atender aos requisitos de segurana lgica e fsica de redes globais cada vez mais complexas e vulnerveis, o perfil do CSO evoluiu muito. Por um lado, o cenrio apresenta ameaas crescentes e cada vez mais fatais, hackers, vrus, ataques terroristas, enchentes, terremotos. Por outro, a vulnerabilidade e a complexidade tecnolgica crescem tambm e aumentam as atribuies e as habilidades necessrias para exercer a funo de CSO. Hoje, um CSO tem de entender de segurana, conhecer bem os negcios e participar de todas as aes estratgicas da empresa. Mais do que um tcnico, ele deve ser definitivamente um gestor de negcios. As qualificaes que costumam ser exigidas para o cargo de CSOs so: Habilidades em questes de segurana fsica Familiaridade com a linguagem e os dilemas prprios da TI Experincia prvia em segurana um destaque, se acompanhada tambm por conhecimento de negcios Exigncia de lidar com pessoas Facilidade de comunicao, para ter a desenvoltura necessria para fazer a interface tanto na esfera de deciso quanto nos diversos setores e nveis culturais dentro da companhia Capacidade de liderana e de gerenciamento de equipes para atingir uma atuao bemsucedida em qualquer corporao Ter conhecimentos maduros sobre questes como autenticao, auditoria, preservao da
    DilgoTI / NextGenerationCenter Pagina 7

    cena do crime real ou virtual, e gerenciamento de risco Ter viso estratgica e experincia no gerenciamento das operaes Formao Geralmente, o CSO possui formao em Cincias da Computao, Engenharia ou Auditoria de Sistemas. O grande retorno que o CSO traz para as empresas diminuir os riscos nas operaes, com todas as conseqncias positivas. Mas a verdade que um profissional assim to completo no encontrado facilmente no mercado. Por isso, calcula-se que h mais de 20 mil vagas abertas para CSOs naquele pas. No Brasil, a demanda no chega a ser to grande, mas esses profissionais j so comuns em instituies financeiras, seguradoras, operadoras de telecomunicao e empresas com operaes na Internet. Especialistas em carreira recomendam que o CSO tenha atuao independente e no se reporte ao CIO, mas diretamente diretoria ou presidncia. Estatsticas recentes apontam para o crescimento dos empregos na rea de segurana. De acordo com estudo anual feito pela IDC e patrocinado pelo International Information Systems Security Certification Consortium, a projeo de profissionais para a regio das Amricas passar de 647 mil em 2006 para 787 mil em 2009. O estudo Global Information Security Workforce Study (GISWS) destaca que a responsabilidade pela segurana da informao cresceu na hierarquia da gesto e acabou chegando ao conselho diretor e ao CEO, CISO ou CSO. Quase 21% dos entrevistados na pesquisa disseram que seu CEO agora o responsvel final pela segurana da informao e 73% afirmaram que esta tendncia se manter. Cada vez mais essencial que as organizaes sejam pr-ativas na defesa de seus ativos digitais. E para isso, preciso contar com profissionais competentes para lidar com solues de segurana complexas, requisitos regulatrios e avanos tecnolgicos das ameaas, bem como vulnerabilidades onerosas. Dessa forma, o CSO deve proceder a gesto de riscos e est mais integrado s funes de negcio. Profissionais de segurana precisam aprimorar suas habilidades tcnicas e de negcio para que possam exercer a funo. Uma boa dica para quem pretende se profissionalizar na rea de Segurana da Informao procurar obter certificaes de uma associao de segurana profissional, para ajudar a impulsionar a carreira. Para 90% dos participantes da pesquisa envolvidos com contratao, as certificaes so um pouco ou muito importantes na deciso de contratar algum. Mais de 60% pretendem adquirir pelo menos uma certificao de segurana da informao nos prximos 12 meses. A certificao de Segurana da Informao pode ser dependente e/ou independente de fabricantes e ambas so teis para o desenvolvimento da carreira. As credenciais atreladas a fabricantes (como as da Cisco e da Microsoft, por exemplo) so meios importantes para conseguir as habilidades necessrias ao cargo. No entanto, elas precisam vir acompanhadas de certificaes que demonstrem uma ampla base de conhecimento e experincia. As certificaes Certified Information Systems Security Professional (CISSP) e Certified Information Systems Auditor (CISA) so timas opes. Ao elaborar o plano de carreira, as associaes que oferecem servios de construo de carreira e educao continuada podem ajudar. No contato com essas associaes, o candidato a CSO pode explorar oportunidades para demonstrar sua experincia na rea,
    DilgoTI / NextGenerationCenter Pagina 8

    fazer parte de redes de comunicao com colegas, e ter acesso pesquisa da indstria e oportunidades de trabalho voluntrio. Entretanto, certificaes e experincia na rea so pouco proveitosas isoladamente. Para evoluir no quadro tcnico da empresa e se tornar um CSO, necessrio saber se comunicar em termos de negcios. Para isso, a proficincia tcnica deve ser aliada habilidade de transmitir o valor do negcio. O CSO deve ser capaz de explicar os benefcios da segurana em termos de retorno do investimento (ROI), seu valor para melhorar a capacidade da empresa em fechar negcios, alm de deixar claro quais so as solues prticas que ela pode trazer para a resoluo dos problemas. Dicas para se tornar um CSO 1) Aprender a colaborar com outros departamentos, para integrar e avaliar outras funes. Pesquisa da IDC indica os entrevistados afirmam que 62% de suas tarefas cotidianas dependem da troca de informao ou da cooperao com outras pessoas. 2) Adotar a abordagem do valor agregado, ou seja, alinhar suas atribuies e responsabilidades com as metas de negcio de cada departamento. 3) Desenvolver seu prprio crculo de confiana dentro da organizao, com representantes de cada departamento para ajudar a promover a compreenso mtua, a valorizao e o trabalho em equipe. 4) Manter conversas com executivos para que eles possam conhec-lo e aprender a confiar em voc. Essas conversas devem ser sucintas, porm expressivas, contendo termos de negcio e no vocabulrio geek ou acrnimos. Determine como voc pode agregar valor s suas metas e demonstre por que voc deve ser consultado ou includo em uma reunio. 5) Oferecer treinamento para conscientizar os executivos e usurios sobre ameaas segurana que afetam os home offices e apresentar tcnicas de preveno. O objetivo conquistar confiana dos executivos na sua capacidade de fazer recomendaes para as redes da empresa. 6) Aprender a equilibrar riscos e oportunidade. Muitos executivos consideram o staff de segurana inflexvel e evitam convid-lo para reunies de estratgia. Seja flexvel ao equilibrar os riscos segurana com os processos de negcio que ajudam a organizao a cumprir as metas.

    Vulnerabilidades Em pouco tempo, os computadores se tornaram uma parte intrnseca e essencial da vida cotidiana. O resultado um enorme potencial de lucros financeiros para os criadores de programas mal-intencionados. Com a ascenso de tcnicas sofisticadas, est ficando cada vez mais difcil para a base de usurios em geral identificar ou evitar as infeces por programas mal-intencionados. A principal ameaa segurana das transaes corporativas so as pessoas. Esta a primeira resposta que muitos institutos de pesquisas e especialistas de segurana tm utilizado quando questionados sobre a principal ameaa s transaes corporativas.
    DilgoTI / NextGenerationCenter Pagina 9

    Solues tecnolgicas sofisticadas, integradas a parceiros, clientes e fornecedores, a ltima palavra em ferramentas de gesto empresarial, relatrios detalhados etc. Nada disso tem valor se no h restries, polticas e processos que estabeleam e organizem a conduta do profissional dentro da corporao. Na maior parte das vezes, j se verifica que os problemas relacionados interferncia humana no esto diretamente ligados a aes fraudulentas ou s demais situaes em que o funcionrio tem o objetivo de prejudicar sua empresa. Pelo contrrio. A grande maioria dos incidentes de segurana ocorre por falta de informao, falta de processos e orientao ao recurso humano. Outro fator determinante nessa equao est vinculado evoluo rpida e contnua das tecnologias. Em pouco tempo, at mesmo os computadores domsticos ganham recursos em potncia e em capacidade de armazenamento. Ao mesmo tempo em que essa evoluo proporciona inmeros benefcios, tambm se encarrega de gerar novos riscos e ameaas virtuais. Esse cenrio, que estar presente em breve em muitas residncias, sinaliza o que vir no ambiente corporativo. Mas as questes de segurana atreladas gesto de pessoal so apenas parte dos desafios que as empresas precisam enfrentar na atualidade. Antes desses, e no menos crticas, esto as vulnerabilidades tecnolgicas, renovadas a cada instante. Especialistas em identificar e estudar essas brechas vm se esforando para alertar sobre aquelas que hoje so consideradas as principais ameaas s transaes eletrnicas. O System Administration, Networking and Security (SANS) e o National Infrastructure Protection Center (NIPC/FBI) so bons exemplos dessa realidade. A seguir esto mencionadas algumas das falhas mais comumente identificadas, independentemente do porte ou da rea de atuao da companhia, bem como da complexidade de sua infra-estrutura tecnolgica e dos sistemas que utiliza. Senhas fracas Muitas vezes, as senhas de um funcionrio podem ser facilmente descobertas, mesclando itens comuns como nome e sobrenome, data de aniversrio, nome de esposa, filho etc. A administrao desses acessos tambm se d de forma desordenada, o usurio geralmente no tem educao para lidar com seu cdigo de acesso. Atualmente, as empresas contam com o benefcio de estabelecer uma autenticao forte, isto , mesclar algo que o usurio sabe (memria), com algo que ele tem (token) e algo que ele (biometria). Algumas ferramentas possibilitam corporao verificar o grau de segurana das senhas de seus funcionrios. Utilizar um desses recursos para quebra de senhas pode ser um bom caminho para identificar contas com senhas fracas ou sem senha. Sistemas de backups falhos Muitas empresas afirmam realizar backups dirios de suas transaes, mas sequer fazem manuteno para verificar se o trabalho realmente est sendo feito. preciso manter backups atualizados e mtodos de recuperao dos dados previamente testados. Muitas vezes, uma atualizao diria pouco diante das necessidades da empresa, caso venha a sofrer algum dano. Tambm recomendvel tratar da proteo fsica desses sistemas, que por vezes ficam relegados manuteno precria. J comum, depois dos tristes fatos ocorridos em 11 de setembro de 2001, sites de backup onde os dados so replicados e, em
    DilgoTI / NextGenerationCenter Pagina 10

    caso de uma catstrofe, os sistemas so utilizados para a continuidade dos negcios. Portas abertas Portas abertas so convites para invases. Boas ferramentas de auditoria de servidores ou de scan podem auxiliar a empresa a identificar quais so suas brechas nos sistemas. Para no ser surpreendido, recomendado fazer uma auditoria regular dessas portas. Independentemente da ferramenta utilizada para realizar essa operao, preciso que ela varra todas as portas UDP e TCP do sistema, nas quais se encontram os alvos atacados por invasores. Alm disso, essas ferramentas verificam outras falhas nos sistemas operacionais tais como servios desnecessrios e aplicaes de patches de segurana requeridos. Brechas de instalaes Muitos fornecedores de sistemas operacionais padro (default) e aplicativos oferecem uma verso padro e de fcil instalao para seus clientes. Eles acreditam que melhor habilitar funes que no so necessrias, do que fazer com que o usurio tenha de instalar funes adicionais quando necessitar. Embora esse posicionamento seja conveniente para o usurio, ele acaba abrindo espao para vulnerabilidades, j que no mantm, nem corrige componentes de software no usados. Sobre os aplicativos, comum que instalaes default incluam scripts ou programas de exemplos, que muitas vezes so dispensveis. Sabe-se que uma das vulnerabilidades mais srias relacionadas a servidores web diz respeito aos scripts de exemplo, os quais so utilizados por invasores para invadir o sistema. As recomendaes bsicas so remover softwares desnecessrios, desabilitar servios fora de uso e bloqueio de portas no usadas. Falhas em sistemas de logs Logs so responsveis por prover detalhes sobre o que est acontecendo na rede, quais sistemas esto sendo atacados e os que foram de fato invadidos. Caso a empresa venha a sofrer um ataque, ser o sistema de registro de logs o responsvel por dar as pistas bsicas para identificar a ocorrncia, saber como ocorreu e o que preciso para resolv-la. recomendvel realizar backup de logs periodicamente. Transaes sem fio desprotegidas Os equipamentos mveis so tecnologias emergentes. No entanto, os padres de comunicao utilizados atualmente requerem configurao minuciosa para apresentar um mnimo de segurana (encontre mais detalhes no prximo mdulo deste curso). Novos padres prometem mais tranqilidade comunicao wireless. No entanto, recomendvel ter cautela na adoo desses recursos, conforme o grau de confidencialidade do que est sendo transmitido pelo canal sem fio. Falha na atualizao de camadas de segurana e sistemas operacionais A falta de gerenciamento de cada ferramenta de segurana e a correo de software disponibilizado pelos fornecedores esto entre os fatores mais crticos na gesto corporativa. Para muitos, esse um desafio constante, visto o volume de patches anunciado por diversos fornecedores, bem como a velocidade com que se atualizam os softwares de segurana. J existem, inclusive, empresas especializadas em fornecer ferramentas que cumprem a funo especfica de automatizar a atualizao de patches de segurana. Um Plano Diretor de Segurana deve contemplar e explicar, em detalhes, como esses processos devem ser realizados.
    DilgoTI / NextGenerationCenter Pagina 11

    Dez ameaas de 2008 Enquanto o volume de fraudes via internet banking caiu de 300 milhes de reais em 2007 para 130 milhes de reais este ano, o mercado negro de comercializao de informaes confidenciais faturou mais de 276 milhes de dlares, o nmero de malwares triplicou, as redes sociais como Orkut, Facebook e Myspace foram vtimas de ataques de engenharia social. Em 2008, os crackers provaram que os sistemas de segurana (firewall, antivrus, anti-spam, IDS) utilizados atualmente passam uma falsa sensao de segurana. Quanto mais segurana implementamos, novas tcnicas de ataques e fraudes surgem. Conhea agora as quatro principais ameaas segurana de dados em 2009 e saiba como se proteger. 1) Falsificao de Links Em 2008, as empresas investiram na conscientizao de seus funcionrios e clientes. O objetivo das campanhas de conscientizao foi minimizar o nmero de incidentes relacionados engenharia social (arte de enganar as pessoas). Os crackers esto aprimorando suas tcnicas para dificultar a identificao (tecnicamente falando) de uma armadilha online. Ataques conhecidos como link spoofing (falsificao de links) devem aumentar em 2009. Isso ocorre porque quando voc recebe um e-mail, por exemplo, uma das principais dicas para saber que no se trata de um golpe online passar o mouse sobre o link para conferir se o endereo do website est correto. No caso do "link spoofing", ao passar o mouse sobre o link da mensagem, o internauta ver o endereo correto do website. Porm, ao clicar no link, ele ser direcionado para uma pgina falsa e pode ter um cavalo-de-tria instalado em sua mquina. 2) Mobilidade ameaada As pessoas esto investindo cada vez mais dinheiro na compra de celulares mais avanados. Os celulares esto sendo utilizados como ferramenta de trabalho para troca de e-mails, programas de mensagem instantnea, SMS, agenda corporativa e armazenamento de informaes confidenciais (projetos, fotos etc.). A migrao do computador para o celular j uma realidade no internet banking tambm. A nova mobilidade j est na mira do crackers. Em 2009, ocorrer um aumento de programas espies para a tecnologia mvel. O objetivo do cracker ser conseguir copiar as informaes armazenadas no aparelho e roubar a senha do internet banking. importante observarmos que os bancos esto migrando toda a tecnologia para acesso aos dados financeiros via celular. O cracker sempre ir explorar o elo mais fraco da corrente e atacar os dispositivos que possuem acesso a conta corrente. 3) Clonagem de cartes de crdito com chip e senha. Para diminuir os casos de clonagem envolvendo cartes de crdito, os bancos esto disponibilizando para seus clientes o carto de crdito com chip e senha (PIN). Este novo recurso de segurana criptografa as informaes do cliente do banco no chip, aumentando o grau de dificuldade de acesso indevido as informaes necessrias para a concluso da fraude. Em 2007 surgiram as primeiras provas de conceito demonstrando como clonar um carto de
    DilgoTI / NextGenerationCenter Pagina 12

    crdito com chip. A tcnica consiste em capturar as informaes do carto de crdito no momento em que ele introduzido na leitora do chip, extrair todas as informaes para um notebook e realizar uma engenharia reversa para reconstruir os dados. J existem registros de clonagem de carto de crdito com chip no Brasil. Alguns clientes corporativos que atendo foram vtimas desta nova tcnica. O nmero de casos deve aumentar com a evoluo do dispositivo capaz de realizar a clonagem do chip e tambm com a reduo do custo de construo deste equipamento. A evoluo do equipamento que clona o chip permitir que pessoas no especializadas comecem a aplicar o golpe tambm. Ataques em banco de dados e sistemas de gesto O nmero de ataques nas aplicaes tem aumentando constantemente. Em 2009, as empresas iro sofrer um aumento de ataques bem-sucedidos em seus sistemas porque esto surgindo softwares que automatizam os ataques na camada de aplicao. e j no ser preciso ser um expert para promov-las. Bancos de dados protegidos sero copiados e/ou alterados atravs da internet, reas restritas por usurio e senha sero exploradas e invadidas sem que ningum perceba o ataque, pginas web sero alteradas de forma indevida etc. importante lembrar que firewalls, antivrus, sistemas de deteco de intrusos e anti-spam no conseguem detectar ou at mesmo bloquear ataques na camada de aplicao. No h 100% de segurana neste nvel. Dicas de proteo Algumas dicas de segurana podem ajudar a minimizar os riscos relacionados s novas ameaas em 2009: - Tudo que no monitorado na sua empresa deve ser bloqueado. A falta de rastreabilidade uma das principais vulnerabilidades exploradas pelos craquers; - Compre e mantenha instalado um antivrus para o aparelho celular; - Use tecnologias conhecidas como Web Application Firewall em sua empresa; - Utilize seu carto de crdito em estabelecimentos comerciais confiveis; - Desconfie sempre de links que voc recebe via e-mail e programas de mensagens instantneas. Um profissional da rea de desenvolvimento de software pode ajudar a identificar uma armadilha on-line no link suspeito; - Assine boletins de segurana e acompanhe as notcias relacionadas a segurana da informao. Conhecer as ameaas e vulnerabilidades pode ser a principal arma contra as ameaas de 2009.

    Mobilidade Cada vez mais, equipamentos mveis, como notebooks e smartphones, esto presentes na vida das pessoas, especialmente de executivos que se deslocam em viagens de negcios. Porm, esses dispositivos mveis possuem fragilidades diferentes das encontradas em computadores fixos. Isso exige uma poltica segurana diferenciada para controlar possveis ameaas.
    DilgoTI / NextGenerationCenter Pagina 13

    No novidade para ningum. A adoo em larga escala de equipamentos mveis, especialmente notebooks e smartphones, traz vantagens inquestionveis para o ambiente corporativo, como o aumento da produtividade, disponibilidade e flexibilidade. Uma questo, no entanto, permanece sem resposta: at que ponto o produto em suas mos seguro? O contexto precisa ser explicado. Em meados dos anos 80, os computadores pessoais substituram o mainframe e revolucionaram a forma pela qual as pessoas se relacionavam com a tecnologia. Eles dominaram completamente o cenrio mundial. O reinado, contudo, est terminando. A coroa est com os terminais mveis, com predomnio dos notebooks, mas tambm com a presena crescente de handhelds, smartphones, PDAs e telefones celulares. A mudana est to consolidada que, hoje, inimaginvel um executivo de sucesso, em qualquer vertical de atuao, que no carregue seu dispositivo mvel, seja este qual for. Uma das exigncias para o sucesso no atual mercado globalizado a capacidade de estar conectado a qualquer momento, pronto para fazer algum negcio assim que ele aparea. Essa reestruturao est revolucionando o mercado corporativo. Se, por um lado, possvel atingir nveis de produtividade impensveis no formato antigo, quando o executivo permanecia preso no ambiente tradicional de escritrio, por outro, a Segurana da Informao surge como o seu calcanhar-de-aquiles. Os argumentos a favor so atraentes: garantias de grande disponibilidade e flexibilidade, j que o executivo pode acessar informaes da rede da companhia em qualquer horrio e de qualquer lugar do mundo. Mas os contrrios, no entanto, assustam. Nova realidade Os dispositivos mveis possuem fragilidades que no encontram paralelo nas estaes fixas, fato que exige do gestor de segurana da informao uma poltica estruturada para cuidar de todos esses limites. As tecnologias de acesso sem fio, outra base da mobilidade, tambm representam um grande problema. Independente do padro escolhido, elas significam, no limite, uma falta de controle da organizao sobre a rede em que se acessa. Especificamente, as funcionalidades integradas de wireless LAN permitem o acesso a recursos corporativos por meio de redes terceiras, que esto longe da viso da corporao e das suas polticas de segurana. O desenvolvimento da tecnologia tambm aumenta o escopo do problema. Com discos de maior capacidade de armazenamento, o usurio acaba sendo encorajado a salvar seus dados localmente, o que representa problemas de segurana. A disseminao de USB Drives, bem como gravadores de CDs e DVDs, abrem espao para a utilizao pessoal do dispositivo, retendo informaes que no deveriam estar ali. Outro ponto preocupante diz respeito transferncia de informaes do notebook para esses aparelhos, j que, caso no exista uma poltica clara e estruturada, difcil controlar quais arquivos foram copiados em outras mdias. Alm disso, o aspecto fsico da soluo tambm precisa ser levado em conta. Pelo seu valor, os aparelhos portteis atraem enorme ateno e so roubados constantemente. Em So Paulo, por exemplo, existem quadrilhas especializadas em roubos de laptops, procurando suas vtimas em locais estratgicos como aeroportos ou de concentrao de grandes empresas. Outro fator que causa bastante preocupao est, graas miniaturizao dos aparelhos, na
    DilgoTI / NextGenerationCenter Pagina 14

    possibilidade de perda desses dispositivos. Mais do que o preo do aparelho, o dado armazenado tambm tem valor. Muitas vezes, incalculvel. Como lidar com todas essas questes? Oportunidade de negcios Na outra ponta, a grande preocupao para os CSOs representa uma grande oportunidade de negcios para as empresas de segurana. Assim, inmeros players olham com ateno para essas questes, oferecendo solues que prometem diminuir os riscos do uso de solues mveis no ambiente corporativo. A primeira resposta est nos softwares de conformidade de terminal. Aproveitando a estrutura consolidada dentro da empresa, o gestor replica as solues de segurana instaladas e confere se o aparelho est dentro das polticas especificadas internamente. Com isso, o usurio de um aparelho mvel permanece numa VPN, que funciona como quarentena, tendo seu acesso rede corporativa liberado apenas quando atender todos os pr-requisitos, como instalao das atualizaes de antivrus e patches de segurana. Com isso, possvel garantir que todos os nveis de proteo estabelecidos pela companhia sejam passados para as plataformas mveis. Assim, eliminado o problema de um worm ou vrus no notebook, por exemplo, infectar toda a rede corporativa sem que o usurio tenha conhecimento. Isso, no entanto, apenas o primeiro nvel de proteo no contexto das plataformas mveis. Um CSO preocupado e atento s novas tendncias precisa entender que, na verdade, a conformidade entra mais como um fator de controle dentro da companhia. Isso porque a abordagem de maior proteo precisa estender a preocupao para os prprios dispositivos mveis em uso, com cada um tendo uma soluo de segurana conforme suas necessidades e analisando com qual tipo de dado costuma trabalhar. Acima de tudo, a mobilidade significa que as empresas usurias precisaro fazer novos investimentos para se adequar nova realidade que a mobilidade imps. Esta nova realidade exige novas polticas e solues contra o inimigo interno, a preocupao com esse tema ganha um novo patamar. De qualquer forma, toda a implementao de segurana, seja na corporao ou nos dispositivos mveis, deve ser precedida por uma fase de rigorosa anlise. O contexto da mobilidade multifacetado, com variaes marcantes conforme o terminal, ou seja, um notebook precisa de uma abordagem determinada, enquanto um smartphone precisa de outras solues. preciso levar em conta quais so os riscos e qual a importncia dos dados armazenados para, a partir da, tomar a deciso mais adequada, seja investir numa soluo que combine antivrus, firewall e IPS ou apostar em outra alternativa. De olho no notebook Atualmente, o dispositivo mais visado o notebook. As ferramentas de criptografia so obrigatrias, nesse cenrio. preciso proteger os dados armazenados, especialmente os estratgicos, os quais, se roubados, podem causar grandes estragos para a companhia. A criptografia diminui esse perigo. Dados do Gartner, no estudo chamado Update Your Security Practices to Protect Notebook PCs, do conta de que grande parte das organizaes tem dificuldade em reconhecer a
    DilgoTI / NextGenerationCenter Pagina 15

    necessidade de levar a Segurana da Informao aos dispositivos mveis. Avaliando os motivos desse comportamento, o instituto enumerou o nvel de amadurecimento do mercado de segurana, j que os fornecedores do setor, tanto em software quanto em servios, ainda no abrangem toda a gama de vulnerabilidades dos notebooks. Tambm foram destacadas as abordagens em solues nicas. Segundo o levantamento, apostar em apenas um nico produto ou procedimento para atingir um nvel de segurana satisfatrio em notebooks muito perigoso. A estratgia de proteo adotada para notebooks, no entanto, deve ser seguida fielmente pelos outros dispositivos. Conforme as aplicaes dentro de cada aparelho forem sendo ampliadas e a importncia dos dados crescendo na mesma razo, ser necessrio cuidar de solues prprias para os outros dispositivos, sejam eles PDAs, smartphones ou os populares telefones celulares. Ainda que alguns especialistas afirmem que a consolidao j uma realidade para aparelhos de menor porte, o mercado ainda se mostra incipiente. Mas um dado precisa ser levado em considerao: enquanto o primeiro worm de rede levou cerca de 20 anos para ser desenvolvido, a praga eletrnica que infestou os celulares no demorou mais do que oito meses. Antes do surgimento da mobilidade, todos os investimentos estavam focados no permetro de rede das empresas. Hoje, a situao se modificou sensivelmente. A estrutura de combate construda para proteger a companhia do ambiente externo, empilhando solues de antivrus, firewall, IDS e IPS, alm dos appliances de rede que trazem funcionalidades de segurana no suficiente. Friamente, a mobilidade trouxe um novo conceito de permetro de rede e, com ele, gerou paralelamente inmeras brechas de segurana. No ilusrio imaginar que, como toda grande revoluo com ganhos fantsticos, a mobilidade est tambm pagando um alto preo. Reestruturar todo o ambiente corporativo, ganhar muito em produtividade e disponibilidade, fechando negcios em tempo real de qualquer lugar do mundo, gerou conseqncias. E elas sero bem mais srias do que vrus que invadem a rede ou worms que se reproduzem para toda a lista de contatos. Envolvem inmeras possibilidades muito mais complicadas, como o roubo de informaes confidenciais de importncia mpar para a corporao, podendo prejudicar seriamente a empresa ou at comprometer sua marca, exigindo sua sada do mundo de negcios. A Segurana da Informao em mobilidade algo que vai preocupar bastante os gestores de segurana nos prximos anos. Redes sem fio A comunicao de dados por redes sem fio ainda objeto de estudo de organizaes especializadas em solues de segurana da informao. A facilidade de se trafegar bits por ondas de rdio, sem necessidade de conexo a qualquer tipo de rede de cabos, tem atrado cada vez mais usurios em todas as partes do mundo. Mas o fato que, em termos prticos, esse meio de comunicao ainda no est totalmente protegido de invases e fraudes, realidade que est diretamente relacionada ao desenvolvimento dos padres de comunicao das redes sem fio. Grandes so as expectativas junto de um mercado que ainda se encontra em seu estado inicial. No Brasil, as pesquisas apontam que a adoo de redes sem fio est em processo acelerado.
    DilgoTI / NextGenerationCenter Pagina 16

    Entre outros fatores, especialistas afirmam que uma rede WLAN pode ser at mais barata do que uma estrutura com cabeamento, uma vez que dispensa a aquisio de diversos equipamentos e servios. Mas, existe tambm a mobilidade que oferece uma conectividade praticamente ininterrupta para o usurio. Vrias empresas instalaram hot spots (conexes sem fio em lugares pblicos) nos principais pontos de acesso no Brasil, tais como aeroportos, bares e livrarias, o que abre muitas possibilidades de comunicao de funcionrios com suas empresas e acesso Internet. Tecnologias com o WiMax aumentam a rea de cobertura das redes sem fio e prometem ser o prximo grande boom nas corporaes e na vida das pessoas.

    Terceirizao A terceirizao uma forte tendncia em todos os setores de TI, e no poderia ser diferente, quando falamos em Segurana da Informao. Trata-se de um assunto recorrente, isso porque a Segurana da Informao no especialidade da indstria de manufatura, como tambm no faz parte dos negcios do setor automobilstico, de empresas alimentcias ou do varejo. No entanto, para que possam manter o core business de suas operaes, essas corporaes devem garantir a manuteno das condies ideais de segurana, que cada vez mais se torna fator crtico em todas as suas transaes. Por isso, podemos nos preparar para ver as aes de proteo sendo executadas fora da corporao. No caso da segurana, a diferena que a viabilidade do processo depende do tamanho das organizaes. Grandes empresas tm pouca probabilidade em passar a segurana para o esquema outsourcing. J as pequenas e mdias empresas mostram-se mais abertas a essa opo, como podemos observar nas estruturas de software as a service, que vm crescendo no mercado, tornando-se mais maduras. Muitos profissionais da rea acreditam que a terceirizao da Segurana da Informao o caminho natural tanto para o mercado corporativo quanto para usurios domsticos. A integridade dos dados um aspecto importante para usurios em todos os nveis. Entre outros benefcios, a terceirizao dos processos de proteo rede proporciona a reduo no custo de manuteno dos dispositivos. No por acaso que os institutos de pesquisa tm indicado crescimento nos oramentos de tecnologia da informao (TI) no que se refere segurana. Em alguns casos, a verba dessa rea totalmente independente do que gasto com TI. Porm, o outsourcing de segurana ainda est engatinhando no Brasil. Apesar disso, nmeros da consultoria IDC indicam que a terceirizao tende a ganhar espao. O segmento de MSS Managed Security Services o que mais cresce no mundo na rea de segurana. Previso A previso da consultoria que o setor cresa em mdia 16% at 2010, sendo que a fatia de servios tende a aumentar o seu percentual no bolo. Segundo dados da Frost & Sullivan, o mercado latino-americano de servios gerenciados de segurana deve superar o total de US$ 272 milhes em 2011. De acordo com a consultoria, o Brasil continuar a concentrar
    DilgoTI / NextGenerationCenter Pagina 17

    40% desse mercado. Em seguida vem o Mxico, com 23%. Especialistas apontam que todos os negcios, grandes ou pequenos, possuem gaps em sua estrutura interna quando se trata de segurana. Ao tentar garantir que todas as reas estejam seguras, algum segmento acaba sempre ficando descoberto, mais vulnervel a ameaas e intrusos. A soluo para preencher esse gap seria enxergar a segurana como um servio e transferir sua gesto a um especialista. Dessa forma, as organizaes podem melhor direcionar seus profissionais e recursos. Alm disso, todas as atenes ficam mais voltadas ao foco do negcio e resultados que devem ser obtidos. Para a Frost & Sullivan, as companhias esto se conscientizando dos benefcios da contratao de terceiros para o gerenciamento da segurana. A consultoria destaca que entre as vantagens do outsourcing desses servios esto a reduo de custos com mo-deobra especializada e simplificao do investimento em equipamentos para proteo. O acesso contnuo a recursos atualizados e a possibilidade de se dedicar mais tempo ao negcio da empresa tambm so citados como benefcios diretos. O mercado brasileiro ainda passa por uma fase de maturao, mas em se tratando de segurana, nunca existe certeza absoluta do que est por vir. O que bom e seguro hoje passa a ser vulnervel amanh. Assim, muito importante que todos tenham um bom parceiro para cuidar do assunto; algum especializado, que estar sempre atualizado. E esta a funo, e a principal vantagem, das empresas que oferecem a segurana como servio. Valor estratgico O que se nota que, conforme a segurana ganha espao entre outras prioridades das organizaes, ela passa a ter valor estratgico, isto , participa das decises de mercado, integrao com a cadeia de valor, formas de oferta de produtos e servios etc. Assim, natural que, em um mesmo grau de complexidade que as transaes eletrnicas, a Segurana da Informao demande diversas aplicaes e camadas tanto no que se refere infraestrutura tecnolgica (hardware e software), quanto na prestao de servios e recursos humanos. Frente ao desafio, a terceirizao tem sido um dos caminhos procurados pelas organizaes. Como na maioria dos casos, essa tanto pode ser uma tima como uma pssima opo. O que definir cada experincia depende de uma srie de processos preestabelecidos. No h regra geral que se aplique a tudo e todos. Atualmente, algumas corporaes terceirizaram toda sua infra-estrutura de segurana, desde pessoal at backup de transaes, filtragem etc., e esto plenamente satisfeitas com isso. Em outros casos, a empresa opta por fazer um trabalho parcial, tirando de sua responsabilidade, por exemplo, os servios de contingncia, com duplicao de operaes por meio de um datacenter. Independentemente dos caminhos escolhidos para trilhar, o que a maior parte dos especialistas orienta, ao decidir partir para um processo de outsourcing no tirar a inteligncia de dentro de casa. Ou seja, deve ser terceirizado apenas o que operacional, pois o que gera investimentos pesados em infra-estrutura, hardware, licenas de software etc. Em suma, cada corporao deve avaliar em detalhes os benefcios e riscos de decidir pela terceirizao, gerando assim, um Planejamento de Outsourcing de Segurana. Esse relatrio dever contemplar desde os recursos de TI necessrios, bem como a mo-de-obra
    DilgoTI / NextGenerationCenter Pagina 18

    envolvida, os processos de migrao, atendimento a clientes e parceiros, suporte, resposta a incidentes etc. Ser esse material baseado em preo, prazos e processos de implementao que definir se a terceirizao da Segurana da Informao ter ou no sucesso. De outra forma, est ser encarada apenas como mais uma maneira de burocratizar os servios, consumir investimentos e no adicionar qualquer valor s transaes da organizao. O que terceirizar Salvo excees, algumas reas de segurana so passveis de terceirizao como suporte, monitoramento, gerenciamento e contingncia. Os SOCs (Security Operation Center) disponveis so especializados na prestao de servios dessa natureza, entre outros. Esses centros de segurana e gerenciamento de dados esto atraindo o interesse das empresas por uma srie de razes como, por exemplo, menor custo com equipe interna, investimentos divididos com outras companhias, respostas rpidas a incidentes e qualidade de servio estabelecida em contratos, os chamados Service Level Agreements (SLAs). Mas mesmo com vantagens competitivas tangveis e de retorno rpido, a terceirizao de segurana tem como barreira central a questo cultural das corporaes. Invariavelmente, esse o principal desafio a ser vencido, j que exige uma relao de total confiana entre os parceiros. Essa responsabilidade tem de estar esboada em detalhes no contrato de SLA. Um programa que garanta 100% de atividade ao longo de um ano levanta suspeita. Basta verificar o volume de incidentes de segurana que ocorrem diariamente com empresas altamente protegidas, como as do setor financeiro. Alm do nvel de servio oferecido pelo fornecedor, vale ressaltar o compromisso deste em ter uma postura pr-ativa com o usurio, ou seja, na medida do possvel manter os nveis de segurana os mais preparados possveis. Esse contrato estabelece como sero atendidas as necessidades futuras do contratante e quais multas e penalidades no caso de nocumprimento ou rompimento do acordo. No to simples Em tese, tudo passvel de ser terceirizado. Mas na realidade, o processo no to simples e imediato como se imagina. Portanto, o ideal que a empresa tenha conhecimento sobre seus prprios custos e infra-estrutura, algo que muitas vezes no est organizado ou quantificado. Na prtica, o outsourcing deve retirar da empresa tarefas repetitivas e burocrticas, que no demandam ou envolvam decises complexas ou estratgicas. Estudos apontam que, atualmente, esses servios so responsveis por algo entre 5% e 10% dos oramentos de TI. Tambm preciso avaliar a utilizao e a disponibilidade de bens que no se limitam infraestrutura tecnolgica. Em grandes corporaes, j ocorreu de a empresa contratante perder profissionais estratgicos, os quais passaram a atender a organizao via outsourcing.

    Presente e futuro Foi-se o tempo em que os criminosos virtuais contentavam-se em invadir um site e deixar ali
    DilgoTI / NextGenerationCenter Pagina 19

    a sua marca. Hoje, eles so silenciosos e muito mais perigosos. Nesse exato momento, sem que voc saiba, pode ser que seu computador esteja mandando milhares de e-mails para o mundo todo e voc nem se d conta disso. Ou pior: pode ser que voc tenha um programa espio instalado em sua mquina, capaz de copiar todas as suas senhas. J pensou? Hoje, o objetivo obter vantagem financeira. Por isso, todos precisam ficar muito espertos. Saiba quais so as principais ameaas virtuais que rondam as empresas: Fraudes A fraude implementada por meio de recursos de Tecnologia da Informao cresce gradativamente e exige a melhoria de controles internos e de processos de monitoramento. Mesmo com a rpida e constante evoluo da tecnologia, difcil afirmar que vulnerabilidades e falhas deixaro de existir nos sistemas e nas redes de computadores. Isso no quer dizer que as fraudes em TI no possam ser evitadas ou, pelo menos, que seus riscos no possam ser minimizados em nveis aceitveis pelas organizaes. Para atingir esse objetivo, necessrio um esforo integrado de investimento, em mecanismos de segurana tecnolgica e em processos operacionais. Exigncias legais, como a lei Sarbanes-Oxley, obrigam as empresas a estabelecer controles antifraude em seus processos de gesto de riscos corporativos. Deficincias nesses controles podem resultar em fraudes executadas por meio dos recursos de TI disponveis. Phishing Trata-se de uma forma de fraude eletrnica, caracterizada por tentativas de adquirir informaes confidenciais, tais como senhas e nmeros de carto de crdito, ao se fazer passar como uma pessoa confivel ou uma empresa enviando uma comunicao eletrnica oficial, como um e-mail ou uma mensagem instantnea. O termo phishing surge das cada vez mais sofisticadas artimanhas para pescar (fish) as informaes sensveis dos usurios. Essas informaes particulares so usadas para causar algum prejuzo, tal como o roubo de dinheiro da sua conta corrente. Vrus e variaes Vrus um programa malicioso desenvolvido por programadores que, tal como um vrus biolgico, infecta o sistema, faz cpias de si mesmo e tenta se espalhar para outros computadores, utilizando-se de diversos meios. A maioria das contaminaes ocorre pela ao do usurio executando o anexo de um e-mail. A segunda causa de contaminao por sistema operacional desatualizado, sem a aplicao de corretivos que bloqueiam chamadas maliciosas nas portas do micro. Ainda existem alguns tipos de vrus que permanecem ocultos, mas entram em execuo em horas especificas. Spyware Programa automtico de computador, que recolhe informaes sobre o usurio, sobre seus costumes na Internet e transmite essa informao a uma entidade externa na Internet, sem seu conhecimento ou consentimento. Diferem dos cavalos de Tria por no terem como objetivo que o sistema do usurio seja dominado, seja manipulado, por uma entidade externa, por um cracker. Os spywares podem ser desenvolvidos por empresas que desejam monitorar o hbito dos usurios para avaliar seus costumes e vender esses dados pela Internet. Elas costumam produzir inmeras variantes de seus programas-espies, aperfeioando-os e dificultando sua
    DilgoTI / NextGenerationCenter Pagina 20

    completa remoo. Por outro lado, muitos vrus transportam spywares, que visam roubar certos dados confidenciais dos usurios. Roubam logins bancrios, montam e enviam logs das atividades do usurio, roubam determinados arquivos ou outros documentos pessoais. Os spywares costumavam vir legalmente embutidos em algum programa que fosse shareware ou freeware. Sua remoo era por vezes, feita quando da compra do software ou de uma verso mais completa e paga. Trojans Trojan Horse ou Cavalo de Tria um programa que age como a lenda do cavalo de Tria: entra no computador e libera uma porta para um possvel invasor. O conceito nasceu de simples programas que se faziam passar por esquemas de autenticao, em que o utilizador era obrigado a inserir as senhas, pensando que as operaes eram legtimas. Entretanto, o conceito evoluiu para programas mais completos. Os trojans atuais so disfarados de programas legtimos, embora, diferentemente de vrus ou de worms, no criem rplicas de si. So instalados diretamente no computador. De fato, alguns trojan so programados para se autodestruir com um comando do cliente ou depois de um determinado tempo. Os trojans ficaram famosos na Internet pela sua facilidade de uso, fazendo qualquer pessoa possuir o controle de um outro computador apenas com o envio de um arquivo. Os trojans atuais so divididos em duas partes: o servidor e o cliente. Normalmente, o servidor est oculto em algum outro arquivo e, no momento que esse arquivo executado, o servidor se instala e se oculta no computador da vtima; a partir desse momento, o computador pode ser acessado pelo cliente, que enviar informaes para o servidor executar certas operaes no computador da vtima. Worms Programa auto-replicante, semelhante a um vrus. Entretanto, o vrus infecta um programa e precisa dele para se propagar. J o worm um programa completo e no precisa de outro programa para se propagar. Alm da replicao, um worm pode ser projetado para fazer muitas coisas, como deletar arquivos em um sistema ou enviar documentos por e-mail. O worm pode trazer embutidos programas que geram algum tipo de problema ou que tornam o computador infectado vulnervel a outros ataques. Um worm pode provocar danos apenas com o trfego de rede gerado pela sua reproduo. Segurana 3.0 O novo modelo de segurana proposto pelo Gartner recebeu o nome de Segurana 3.0. Seu objetivo diminuir os gastos das companhias com segurana e melhorar o desempenho das reas de negcio. A implementao dessa nova estrutura requer investimentos: para construir uma plataforma concreta de proteo, deve-se deslocar at 8% do oramento destinado anualmente TI para a rea de segurana. Depois que o modelo estiver consolidado, a inverso pode ser reduzida para, aproximadamente, 3%. O Gartner indica que as empresas devem seguir cinco passos importantes na implementao de uma plataforma de segurana 3.0. So eles: 1) Mudar o modo como a Tecnologia da Informao desenvolvida, construda dentro da corporao. 2) Mudar a forma como as solues de negcio so desenvolvidas.
    DilgoTI / NextGenerationCenter Pagina 21

    3) Mudar a metodologia e os responsveis pelo pagamento dos controles de segurana 4) Se no puder realizar todas as mudanas imediatamente, definir o que deve ser feito primeiro, e comear a agir imediatamente. 5) Segurana deve ser uma jornada, portanto, preciso que se tenha um destino pelo caminho. No atual cenrio de ameaas sofisticadas e altamente perigosas, necessrio que as empresas mudem seus perfis e, em vez de gastarem dois teros de suas verbas para remediar incidentes, passem a investir na preveno de ameaas e na antecipao de tendncias. Atualmente nenhuma corporao sobrevive sem equipamentos mveis e comunicadores instantneos, considerados vulnerveis. primordial que a companhias se adaptem a essa nova realidade, protegendo eficientemente suas redes das ameaas que podem ser trazidas por esses dispositivos. Assim como houve a evoluo da chamada Segurana 1.0, que restringia aes de usurios, para o padro 2.0, que mostrava ameaas no apenas no mainframe e passava a contar com a Internet e seus perigos, agora monitorar o perfil dos profissionais e as aplicaes de TI tambm se tornou imprescindvel. Alm do aumento no nmero e no nvel de importncia das ferramentas de controle de acessos dentro da corporao, a participao dos usurios nas polticas de segurana e o grau de adaptao e integrao de arquiteturas e sistemas passam a assumir posio estratgica na busca por resultados especficos para o foco do negcio. O alinhamento entre sistemas, processos e pessoas o caminho para a Segurana 3.0, que prev uma estrutura mais slida de proteo s corporaes. Evitar armadilhas de compliance, aderir somente s tecnologias que sigam as melhores prticas de mercado e ter a capacidade de mover o programa de segurana corporativa dentro de um ciclo de maturidade pr-estabelecido podem ser as chaves para garantir um ambiente protegido, mesmo com o surgimento rpido de novas ameaas e formas de ataque. Relao custo x segurana Investir em proteo no o bastante. Muitas vezes, pode se tornar um erro de propores astronmicas dentro de uma organizao. Isso porque muitos associam o gasto de valores exorbitantes percepo de um ambiente seguro, o que um engano. Principalmente se pensarmos que, na evoluo dos processos, a reduo de custos um progresso e tanto. Os gastos com segurana j superam duas vezes os investimentos com inovaes de TI dentro das empresas. Com isso, surgem as perguntas: podemos garantir que nossos sistemas atuais blindam melhor nossas estruturas corporativas? possvel continuar elevando esses investimentos? Antes de tudo, necessrio lembrar das caractersticas bsicas dos negcios: a busca incessante pela reduo de custos e pelo aumento de rendimento. Entretanto, preciso avaliar com o que podemos produzir uma economia saudvel. De acordo com ele, o modelo de cdigo aberto em uma corporao preparada para o momento 3.0, por exemplo, seria extinto. Essa estrutura sempre trar benefcios imediatos, mas preciso que CIOs e CSOs tenham em mente seus objetivos e prioridades em longo prazo.
    DilgoTI / NextGenerationCenter Pagina 22

    Limites do monitoramento O funcionrio que dispe de um PC com conexo Internet (raros so os que no possuem hoje em dia) pode navegar por uma infinidade de sites, realizar transaes bancrias e de comrcio eletrnico. E tambm trabalhar. Cabe conscincia de cada decidir sobre a melhor maneira de equilibrar seu tempo entre to empolgantes atividades e o seu prprio trabalho. Ou no. Muitas companhias esto aderindo s empresas de monitoramento, para identificar os mares por onde navegam seus funcionrios, quando esto no escritrio. Basicamente, as corporaes se vem frente a duas ameaas centrais. Primeiro, a queda drstica de produtividade de seus funcionrios, alm do uso indiscriminado dos recursos da companhia e de sua infraestrutura. Clculos feitos junto de usurios nos Estados Unidos apontam que cada pessoa gasta, em mdia, quase duas horas por dia checando e-mails, o que representa um quarto do expediente normal. O perodo inclui o envio e/ou recebimento de mensagens pessoais, fato reconhecido por 90% dos usurios. Em segundo lugar, e no menos crticas, esto as vulnerabilidades que esse acesso aleatrio ocasiona, as ameaas constantes que circulam pela web e que, a qualquer momento, podem comprometer operaes primordiais para o funcionamento da companhia. Situaes como essas esto levando ao controle rgido de diversas aplicaes de acesso online, entre essas a filtragem de sites e de contedos da Internet, e restries daquela que hoje a principal ferramenta do meio digital: o correio eletrnico. Uso indiscriminado Recentes pesquisas no mercado norte-americano mostram que mais de 70% dos empregadores monitoram o uso do e-mail por parte de seus funcionrios. Muitos casos de demisso ocorrem em funo da m utilizao da ferramenta. Muitas sentenas foram dadas em favor dos empregadores, mesmo no uso do Hotmail, Yahoo ou mesmo voice-mail. Mas um estudo feito pelo ePolicy Institute e a Clearswift revelou um certo descompasso entre a preocupao das corporaes com o uso indiscriminado do correio eletrnico e as aes efetivas que tomam para combater a prtica. Os resultados apontaram que 75% de todos os profissionais pesquisados reconhecem que suas empresas produzem polticas de utilizao de e-mail, mas menos da metade (48%) treina seus funcionrios sobre o assunto. De acordo com a pesquisa, 59% das empresas declararam que possuem mtodos para reforar a existncia de regras e polticas internas. Os meios mais utilizados para isso so: disciplina (50%), revises de desempenho (25%), remoo de privilgios (18%) e aes legais (4%). No bastasse o controle interno, as corporaes precisam desenvolver armas para barrar aquele que se tornou seu maior inimigo: as mensagens indesejadas, ou spams. Segundo a pesquisa, 92% dos profissionais recebem algum material desse tipo. Desses, 45% afirmam que as mensagens no-autorizadas representam mais de 10% de seu volume dirio de emails, percentual que ultrapassa 50% para 7% dos ouvidos pela pesquisa. Privacidade
    DilgoTI / NextGenerationCenter Pagina 23

    No Brasil, grandes organizaes demitiram funcionrios que costumavam acessar contedos pornogrficos ou sem qualquer relao com o negcio da empresa. Mas a polmica ainda recente. Tanto que, em uma anlise mais minuciosa dos fatos e das leis de privacidade, constata-se que a prpria legislao brasileira uma das opositoras s prticas de monitorao. Aprovado em junho de 2006 pela Comisso de Educao, o Projeto de Lei 76/2000 do Senado o mais completo texto legislativo produzido no Pas para regular a represso a crimes de informtica. O PLS 76, relatado pelo senador Eduardo Azeredo, com assessoria de Jos Henrique Santos Portugal, incorpora atualizaes e contribuies de outros projetos de lei menos abrangentes e altera o Cdigo de Processo Penal, o Cdigo Penal Militar e a Lei de Interceptao de Comunicaes Telefnicas. Dentre todos os dispositivos inclusos no texto, o mais polmico a determinao de que todo aquele que prover acesso Internet ter de arquivar informaes do usurio como o nome completo, data de nascimento e endereo residencial, alm dos dados de endereo eletrnico, identificador de acesso, senha ou similar, data, hora de incio e trmino, e referncia GMT da conexo. A medida tem sido alvo de crticas enrgicas entre aqueles que prezam pela privacidade e o anonimato na rede, sob a alegao de que dados de cunho pessoal no devem ficar em bancos de dados, expostos a uma possvel devassa judicial, alm do possvel extravio para fins escusos. Regras claras Discusses parte, o que se orienta que as empresas estabeleam regras claras de acesso e usabilidade, esclarecendo que disponibiliza seus recursos para que sejam utilizados como ferramenta de trabalho. Essas normas devem fazer parte de uma Poltica de Segurana da Informao. Uma vez estabelecido esse processo, preciso elaborar um termo de aceitao, colhendo a assinatura de cada profissional da companhia. Para uma empresa como a GlaxoSmithKline (GSK), com 1,2 mil mquinas com acesso Internet, a principal funo da poltica de segurana foi o controle de acessos e a formatao da Internet como ferramenta corporativa. A definio de regras de uso da rede comeou com a estruturao de um comit de segurana da informao, formado por representantes de vrias reas da companhia. O comit tambm elaborou um documento no qual esto definidos os critrios para a utilizao de e-mails e listados os tipos de sites que no devem ser acessados pelos funcionrios. Os downloads de aplicativos foram totalmente restringidos. J na Payot, o controle de e-mails e de acesso Internet gerou economias em gastos com manuteno de rede e tempo de funcionrios parados. A fabricante de cosmticos calcula que obteve ganhos de 50% na produtividade de seus funcionrios e seu consumo de banda reduziu em 20%. Tambm deve ser de responsabilidade da organizao garantir que esse monitoramento se configure com respeito aos funcionrios e em sigilo, restringindo a divulgao dessas informaes e no configurando qualquer tipo de perseguio ao profissional. O fato que, cada vez mais, a monitoria do profissional no uma escolha, mas uma obrigao do gerenciamento de risco. A empresa deve declarar claramente que de fato monitora, listando o que rastreado, descrevendo o que procura e detalhando as conseqncias de violaes. Controles de segurana sugeridos por normas de segurana
    DilgoTI / NextGenerationCenter Pagina 24

    podem ser um caminho mais vivel para suportar parmetros de auditoria e conformidade para toda a companhia. Prticas Algumas aes bsicas podem dar maior segurana e tranqilidade corporao e ao funcionrio, no que se refere monitoria do ambiente de trabalho. So elas: Antes de qualquer ao, vivel que a companhia consulte um especialista em lei digital para saber se existem bases judiciais que afetem seus planos de monitoria. As razes para realizar a monitoria tm que estar claras entre empresa e funcionrio. O fato de uma empresa admitir abertamente que faz monitoria, reforado por aes reativas quando so descobertas infraes, far os funcionrios entenderem que e-mail no uma forma de comunicao privada. provvel que passem a se policiar. Caracterizar a monitoria como algo de proteo mtua, dando segurana e respaldo corporao e ao profissional. Definir claramente as expectativas da empresa e informar os funcionrios sobre a monitoria. Estabelecer a poltica; educar a fora de trabalho; e empregar a poltica de maneira consistente. Combinar ferramentas de varredura de contedo e regras por escrito. Punir quando for necessrio. De outra forma, ningum respeitar as regras da companhia. Vital para o sucesso Quanto mais uma empresa depende de redes de computadores, maiores devem ser as preocupaes com segurana. E isso significa preocupar-se com a integridade de dados, com o tempo de manuteno devido a problemas de segurana, e com muitos outros aspectos. O nmero de incidentes de segurana est em pleno crescimento, no apenas porque as redes de computadores so vulnerveis, mas tambm porque quanto mais poderosos tornam-se os aparatos de segurana leia-se firewalls, software, etc , maior se torna o interesse de hackers em invadir. Falhas em polticas de segurana expem no apenas informaes e dados de uma empresa, mas tambm causam danos srios imagem da companhia. E o zelo pela imagem que, muitas vezes, impulsiona a implantao de uma poltica de segurana, com a utilizao de firewalls, mecanismos de autenticao, algoritmos de encriptao, e outras medidas de preveno. Mas ser que apenas investindo em tecnologia a empresa estar 100% segura? Um dos maiores riscos a empresa acreditar que basta comprar equipamentos e softwares e estar segura para sempre. Produtos de segurana direcionados preveno so bons, mas so apenas uma parte do conceito geral. No o bastante ter os melhores produtos de segurana. preciso instal-los, us-los, e mant-los atualizados (instalando novas verses, aplicando patches de correo, etc) para, ento, interpretar suas informaes e responder efetivamente aos alertas registrados por eles. No contexto atual, mais do que nunca, segurana vital para o sucesso de um negcio.

    DilgoTI / NextGenerationCenter

    Pagina 25

    Anda mungkin juga menyukai